HISTORIA DE MALWARES

Antivirus Gratis

2009-03-26T09:39:00.000-07:00

Avira AntiVir Personal

Avira AntiVir Personal Edition es un completo antivirus capaz de detectar y eliminar más de 50.000 virus, incluyendo los de macro y sector de arranque, y es además muy fácil de usar.

Avira AntiVir Personal Edition es uno del los mejores antivirus , con actualizaciones diarias (incluso varias veces al día), simple y sencillo, pero muy potente y efectivo contra virus.

Dr.Web CureIt! 5

Dr.Web CureIt! es una herramienta de desinfección que no precisa instalación. Se trata de un ejecutable que realiza un chequeo del sistema en busca de spyware, gusanos y todo tipo de virus.

Avast Home Antivirus Free Edition

Avast Home Antivirus Free Edition es un completo paquete antivirus gratuito para uso personal. El programa incluye una potente herramienta para chequear ficheros y directorios, así como un escáner por acceso que controla automáticamente cualquier archivo abierto, o modificado. También incluye un monitor que bloquea las acciones potencialmente peligrosas.

AVG Anti-Virus System Free Edition

Catalogado como uno de los mejores antivirus de edición Free, AVG Anti-Virus System Free Edition ahora disponible también en español es una de las mejores elecciones de protección antivirus y antispyware para Windows y disponible para descargar de forma gratuita.

Norton Security Scan

Norton Security Scan es un software diseñado para ayudarle a entender si su equipo está protegido de las amenazas o virus conocidos.

BitDefender 10.0 Free Edition

BitDefender Free Edition es una versión gratuita de este popular antivirus de la empresa Softwin. Emplea los mismos estándares de seguridad de otros productos BitDefender, como es la certificación ICSA (entidad que se dedica a chequear la calidad y efectividad de las aplicaciones de seguridad, como antivirus, cortafuegos o antispam).

Fuente:

http://www.infospyware.com

Clasificación De Los Programas Maliciosos, Enero De 2009

2009-03-15T03:32:00.000-07:00

Basándonos en los datos generados por Kaspersky Security Network (KNS) durante diciembre de 2008, hemos generado dos listas de los 20 virus informáticos más destacados.

Les recordamos que la primera lista se basa en los datos recolectados por la versión 2009 de nuestro producto antivirus. Esta tabla muestra los programas maliciosos, publicitarios y potencialmente peligrosos detectados en los ordenadores de nuestros clientes:

Posición	Cambios en la posición	Programma nocivo
1	0	Virus.Win32.Sality.aa
2	0	Packed.Win32.Krap.b
3	1	Worm.Win32.AutoRun.dui
4	-1	Trojan-Downloader.Win32.VB.eql
5	3	Trojan.Win32.Autoit.ci
6	0	Trojan-Downloader.WMA.GetCodec.c
7	2	Packed.Win32.Black.a
8	-1	Virus.Win32.Alman.b
9	5	Trojan.Win32.Obfuscated.gen
10	10	Trojan-Downloader.WMA.GetCodec.r
11	New	Exploit.JS.Agent.aak
12	-1	Worm.Win32.Mabezat.b
13	-3	Worm.Win32.AutoIt.ar
14	1	Email-Worm.Win32.Brontok.q
15	New	Virus.Win32.Sality.z
16	New	Net-Worm.Win32.Kido.ih
17	Return	Trojan-Downloader.WMA.Wimad.n
18	-2	Virus.Win32.VB.bu
19	-2	Trojan.Win32.Agent.abt
20	New	Worm.Win32.AutoRun.vnq

Como se puede apreciar, no hubo cambios significativos en la composición de la primera lista de programas nocivos.

Según las estadísticas de enero, Exploit.JS.Agent.aak substituyó a Trojan.HTML.Agent.ai y a Trojan-Downloader.JS.Agent.czm, programas que formaron parte de la lista de diciembre. Asimismo, el gusano AutoRun.eee, que desapareció de la lista, ha sido reemplazado por Worm.Win32.Autorun.vnq. Por su parte, Trojan-Downloader.WMA.Wimad.n, que no logró aparecer en nuestras estadísticas de noviembre, ha vuelto a asomarse a nuestra lista de enero. La lista de este mes también contiene tres “downloaders” poco tradicionales, lo que demuestra la gran capacidad de difusión de este tipo de programas y el exceso de confianza de los usuarios con los archivos multimedia. Además, el método de propagación de programas nocivos basado en el uso de redes p2p y de descargadores multimedia que describimos en el número anterior ha demostrado ser muy efectivo. El hecho de que Trojan-Downloader.WMA.GetCodec.r haya logrado subir 10 puestos en sólo un mes es prueba de ello.

Mientras que la versión .aa de Sality se mantiene firme a la cabeza de la lista, también ha hecho su aparición en enero la versión .z de este programa, lo que demuestra que Sality se ha convertido en una de las familias de virus más difundidas y peligrosas.

Nuestras estadísticas de enero también contienen un representante de la sobresaliente y célebre familia de gusanos Kido, que utiliza una vulnerabilidad crítica de Microsoft Windows para infectar a los usuarios. La aparición de un miembro de esta familia en nuestra lista de enero no es ninguna sorpresa si se toman en cuenta los métodos de difusión de este programa, sus destacados indicadores cuantitativos y dinámicos y el gran número de equipos vulnerables al ataque de este gusano.

Todos los programas maliciosos, publicitarios y potencialmente peligrosos representados en la primera lista pueden agruparse según el tipo de amenaza que representan. Los programas que se pueden reproducir por sí mismos siguen siendo más numerosos y comunes que los troyanos.

En total, en enero detectamos 46.401 programas maliciosos, publicitarios y potencialmente peligrosos en los equipos de los usuarios. Debemos recalcar que durante el primer mes de 2009 se vio un aumento en el número de amenazas que rondan en el mundo real: en enero detectamos 7.800 especimenes más que en diciembre de 2008 (38.190).

La segunda tabla estadística explica cuáles son los programas nocivos que infectan los equipos de los usuarios con mayor frecuencia. Esta lista está conformada por diferentes tipos de programas maliciosos capaces de infectar archivos:

Posición	Cambios en la posición	Programma nocivo
1	0	Virus.Win32.Sality.aa
2	0	Worm.Win32.Mabezat.b
3	2	Net-Worm.Win32.Nimda
4	-1	Virus.Win32.Xorer.du
5	1	Virus.Win32.Alman.b
6	3	Virus.Win32.Sality.z
7	0	Virus.Win32.Parite.b
8	2	Virus.Win32.Virut.q
9	-5	Trojan-Downloader.HTML.Agent.ml
10	-2	Virus.Win32.Virut.n
11	1	Email-Worm.Win32.Runouce.b
12	1	Worm.Win32.Otwycal.g
13	1	P2P-Worm.Win32.Bacteraloh.h
14	4	Virus.Win32.Hidrag.a
15	5	Virus.Win32.Small.l
16	-5	Virus.Win32.Parite.a
17	Return	Worm.Win32.Fujack.bd
18	New	P2P-Worm.Win32.Deecee.a
19	-4	Trojan.Win32.Obfuscated.gen
20	New	Virus.Win32.Sality.y

En la primera tabla, el nuevo representante de Virus.Win32.Sality era Sality.z, pero aquí encontramos a Sality.y, que demuestra que esta familia de programas autoreproducibles se sigue manteniendo activa.

P2P-Worm.Win32.Deecee.a es otro programa nuevo en la lista. Este gusano se propaga mediante la red peer-to-peer DC++ y su ataque le permite descargar archivos maliciosos al ordenador de la víctima. Este programa se abrió paso a las estadísticas de enero porque, mientras está instalándose, también crea múltiples copias de sí mismo en los equipos infectados. Así que, en este caso, lo que se tomó en cuenta no fue el número de ordenadores infectados, sino el número de copias en cada equipo afectado. Al terminar de instalarse, el gusano pone sus copias maliciosas al alcance de la gente. Los nombres de los archivos ejecutables que se propagan de esta manera tienen la siguiente estructura: Comienzan con un prefijo, como “(CRACK)” o ”(PATCH)”, luego viene el nombre de algún otro programa conocido: “ADOBE ILLUSTRATOR (All Versions)”, “GTA SAN ANDREAS ACTION 1 DVD” etc.

Worm.VBS.Headtail.a, que volvió a aparecer en nuestra lista de noviembre, no ha logrado ingresar a la lista de enero, lo que confirma nuestra hipótesis sobre la inestabilidad de su comportamiento.

Fuente: Kaspersky Lab

Qué Hacer Si Su Ordenador Está Infectado

2009-03-15T03:00:00.000-07:00

A veces, ni siquiera un usuario experimentado se da cuenta de que un ordenador está infectado con un virus. Esto se debe a que los virus pueden esconderse entre archivos normales o camuflarse como archivos estándar. Esta sección contiene una descripción detallada de los síntomas de la infección, cómo recuperar datos después de un ataque y cómo prevenir que los datos sean corrompidos por los programas maliciosos.

Síntomas de infección

Existen varios síntomas que indican que su ordenador ha sido infectado. Si nota que a su ordenador le suceden “cosas extrañas”, por ejemplo:

de pronto se muestran mensajes o imágenes inesperados
se reproducen sonidos o música inusuales de forma aleatoria
el lector de CD-ROM se abre y se cierra de forma misteriosa
los programas se inician de pronto en su ordenador
su cortafuegos le informa de que algunas aplicaciones intentan conectarse a Internet, aunque usted no las haya iniciado,

entonces es muy probable que su ordenador haya sido infectado por un virus. Además, existen algunos síntomas típicos que indican que su ordenador ha sido infectado vía correo electrónico:

sus amigos mencionan que han recibido mensajes desde su dirección, y usted está seguro de no que usted no los ha enviado
su bandeja de entrada contiene muchos mensajes sin la dirección del remitente o encabezado

Puede que estos problemas, sin embargo, no sean causados por virus. P. ej., los mensajes infectados que supuestamente vienen de su dirección pueden de hecho venir de un ordenador diferente.

Existe una variedad de síntomas secundarios que indican que su ordenador puede haber sido infectado:

su ordenador se paraliza con frecuencia o encuentra errores
su ordenador se vuelve lento cuando se inician los programas
el sistema operativo no puede cargarse
los archivos y carpetas han sido borrados o su contenido ha cambiado
su disco duro es accedido con mucha frecuencia (la luz en su unidad principal parpadea de forma rápida)
Microsoft Internet Explorer se paraliza o funciona de forma errática, ej. no puede cerrar la ventana de la aplicación

El 90% de las veces, los síntomas antes enumerados indican un problema de hardware o de software. Aunque es poco probable que dichos síntomas sean causados por un virus, usted debe utilizar su software antivirus para examinar su ordenador por completo.

Qué debe hacer si encuentra síntomas de infección

Si nota que su ordenador está funcionando de forma errática:

?No se deje dominar por el pánico! Esta regla de oro podría prevenir la pérdida de datos importantes almacenados en su ordenador y ayudarle a evitar una tensión nerviosa innecesaria.
Desconecte su ordenador de Internet.
Si su ordenador está conectado a una Red de Área Local, desconéctelo.
Si el ordenador no puede iniciarse desde el disco duro (error al iniciar), intente iniciar el sistema en el Modo Seguro o desde el disco de inicio de Windows
Antes emprender cualquier acción, haga una copia de seguridad de todos los datos críticos a una unidad externa (un disco flexible, CD, flash memory, etc.).
Si no lo ha hecho antes, instale un programa antivirus.
Descargue las últimas actualizaciones de la base de datos de su antivirus. Si es posible, no utilice el ordenador infectado para descargar las actualizaciones, sino utilice el ordenador de un amigo, o un ordenador en la oficina, café Internet, etc. Esto es importante debido a que si usted está conectado al Internet, el virus puede enviar información importante a terceros o podría intentar enviarse a sí mismo a todas las direcciones de correo de su libreta de direcciones. Usted podría también intentar obtener actualizaciones para su software antivirus en CD-ROM del proveedor del software o distribuidores autorizados.
Realice un análisis completo del sistema.

Si no se encuentran virus durante el examen

Si no se encuentran virus durante el examen y los síntomas que le alarmaron están clasificados, probablemente usted no tenga de qué preocuparse. Compruebe todo el hardware y software instalado en su ordenador. Descargue los parches de Windows utilizando Windows Update. Desinstale el software sin licencia de su ordenador y elimine los archivos basura de sus discos duros.

Si se encuentran virus durante el análisis

Una buena solución antivirus le notificará si se encuentran virus durante la verificación y le ofrecerá varias opciones para tratar con los objetos infectados.

En la gran mayoría de los casos, los ordenadores personales están infectados por gusanos, programas troyanos o virus. En la mayoría de los casos, los datos perdidos pueden ser recuperados con éxito.

Una buena solución antivirus le proveerá la opción de desinfectar los objetos infectados, ponerlos en cuarentena, borrar los gusanos y troyanos. Un informe proveerá los nombres del software malicioso descubierto en su ordenador.
En algunos casos, puede que usted necesite una utilidad especial para recuperar datos que han sido corrompidos. Visite el sitio de su proveedor de software antivirus y busque información acerca del virus, troyano o gusano que infectó su ordenador. Descargue cualesquier utilidades especiales si están disponibles.
Si su ordenador ha sido infectado por virus que aprovechan las vulnerabilidades de Microsoft Outlook Express, puede limpiar completamente su ordenador desinfectando todos los objetos infectados, y después examinar y desinfectar la base de datos del cliente de correo. Esto asegura que los programas maliciosos no puedan ser reactivados cuando los mensajes que hubieran sido infectados antes del examen sean reabiertos. Usted debe descargar e instalar los parches de seguridad para Microsoft Outlook Express.
Lamentablemente, algunos virus no pueden ser removidos de los objetos infectados. Algunos de estos virus podrían corromper información en su ordenador, y puede ser imposible restaurar esta información. Si un virus no puede ser removido de un archivo, el archivo debe borrarse.

Si su ordenador ha sufrido un grave ataque de virus

Algunos virus y troyanos pueden causar serios daños a su ordenador:

Si usted no puede iniciar desde su disco duro (error al iniciar), trate de iniciar desde el disco de rescate de Windows. Si el sistema no puede reconocer su disco duro, esto significa que el virus dañó la tabla de partición del disco. En este caso, trate de recuperar la tabla de partición utilizando el scandisk, un programa estándar de Windows. Si esto no ayuda, contacte a un servicio de recuperación de datos de ordenador. El proveedor de su ordenador debería poder darle la dirección de tales servicios.

Si usted tiene instalada una utilidad de administración de disco, algunas de sus unidades lógicas podrían no estar disponibles cuando inicia desde el disco de rescate. En este caso, usted debe desinfectar todas las unidades accesibles, reiniciar desde el disco duro del sistema y desinfectar el resto de las unidades lógicas.

Recupere archivos y aplicaciones corrompidas utilizando copias de seguridad después de haber examinado la unidad que contiene estos datos.

Diagnóstico del problema utilizando herramientas estándar de Windows

Aunque esto no es recomendable a menos que usted sea un usuario experimentado, puede que usted quiera:

comprobar la integridad del sistema de archivos en su disco duro (utilizando el programa CHKDSK) y reparar los errores del sistema de archivos. Si existe una gran cantidad de errores, debe hacer una copia de seguridad de los archivos más importantes en los medios de almacenaje removibles antes de reparar los errores
verificar su ordenador antes de iniciar desde el disco de rescate de Windows
utilizar otras herramientas estándar de Windows, por ejemplo, la utilidad scandisk

Para más detalles sobre cómo utilizar éstas herramientas, le remitimos a los temas de Ayuda de Windows.p>

Si nada ayuda

Si los síntomas antes descritos aún persisten luego de haber examinado su ordenador, comprobado el hardware y software instalado y su disco duro utilizando las utilidades de Windows, usted debería enviar un mensaje con una descripción completa del problema al departamento de soporte técnico de su proveedor de antivirus, donde algunos programadores de antivirus analizarán los archivos infectados enviados por los usuarios.

Some antivirus software developers will analyse infected files submitted by users.

Una vez erradicada la infección

Verifique todos los discos y medios de almacenamiento removibles que pudieran estar infectados por el virus.p>

Asegúrese de que usted configuró de forma apropiada el software antivirus instalado en su ordenador.p>

Practique un uso seguro del ordenador

Todas estas medidas podrían prevenir que su ordenador se infecte en el futuro.

Programas Troyanos (Caballos De Troya)

2009-03-15T02:43:00.000-07:00

Los troyanos se clasifican según las acciones que efectuan en los equipos de las víctimas.

Puertas traseras (Backdoors)

Hoy en día, las puertas traseras son el tipo de troyanos más peligroso y difundido. Estos troyanos son utilitarios de administración remota que someten los equipos infectados a un control externo por medio de la red local o Internet. Su forma de funcionamiento es similar a la de los programas de administración remota (a distancia) usados por los administradores de sistemas. Esto hace que sea dificil detectarlos.

La única diferencia entre una herramienta de administración legal y una puerta trasera es que éstas se instalan sin que el usuario lo sepa y sin su consentimiento. Cuando la puerta trasera es ejecutada, empieza a monitorear el sistema local sin que el usuario lo note. Con frecuencia la puerta trasera no figura en el log de los programas activos.

Una vez que un utilitario de administración a distancia se instala y ejecuta, el equipo de la víctima queda a disposición del agresor. Las puertas traseras pueden:

Enviar y recibir archivos
Activar y eliminar archivos
Ejecutar archivos
Mostrar notificaciones
Borrar datos
Reiniciar el ordenador

En otras palabras, los autores de virus usan las puertas traseras para detectar y bajar información confidencial, ejecutar código malicioso, destruir datos, incluir el ordenador en redes bot, etc. En resumen, las puertas traseras combinan la funcionalidad de la mayoría de tipos de troyanos en un solo paquete.

La puertas traseras tienen una subclase particularmente peligrosa: las variantes que pueden propagarse como gusanos. La única diferencia es que los gusanos están programados para propagarse constantemente, en tanto que las puertas traseras móviles se propagan unicamente al recibir una instrucción específica de su "amo".

Troyanos en general

Esta amplia categoría incluye una gran variedad de troyanos que causan daños a los equipos de las víctimas, amenazan la integridad de sus datos o perjudican el funcionamiento del equipo de la víctima.

Los troyanos multifuncionales también se incluyen en este grupo, ya que algunos creadores de virus prefieren crear troyanos multifuncionales antes que paquetes de troyanos.

Troyanos que roban contraseñas

Esta familia de troyanos se dedica a robar contraseñas, por lo general, las contraseñas para entrar al sistema de los equipos de las víctimas. Estos troyanos buscan los archivos del sistema que contienen información confidencial tales como contraseñas y números de acceso a Internet para luego enviar esta información a una dirección de correo elctrónico contenida en el cuerpo del troyano. La información secuestrada será usada por el "amo" o usuario del programa ilegal.

Algunos troyanos pueden robar otro tipo de información:

Detalles de la configuración del sistema (memoria, espacio libre, detalles del sistema operativo)
Detalles del cliente de correo electrónico
Direcciones IP
Detalles de inscripción
Contraseñas de juegos en línea

Los troyanos AOL son ladrones de contraseñas de America Online. Los hemos puesto en subgrupos porque son demasiado numerosos.

Clickers troyanos

Esta familia de troyanos remite los equipos de las víctimas a determinados sitios web o recursos de Internet. Los clickers también envían a los navegadores determinadas instrucciones o reemplazan los archivos del sistema dónde se guardan las direcciones de Internet (por ejemplo, los archivos "hosts" en MS Windows.

Los clickers suelen usarse para:

Elevar la posición de determinados sitios en las clasificaciones con objetivos publicitarios
Organizar ataques DoS contra el servidor o sitio especificado
Para conducir a la víctima hacia un recurso infectado, donde será atacada por otros programas maliciosos (virus o troyanos).

Descargadores troyanos (Downloaders)

Esta familia de troyanos descarga e instala nuevos programas maliciosos o publicitarios en el equipo de la víctima. Luego el downloader ejecuta los nuevos programas maliciosos o los registra para ser ejecutados automáticamente, de conformidad con las exigencias del sistema operativo local. Todo esto se hace sin que el usuario se dé cuenta y sin su consentimiento.

Los nombres y las ubicaciones de los programas maliciosos a bajar se incrustan en el troyano o se bajan desde determinados sitios web o Internet.

Droppers troyanos

Se utilizan para instalar otros programas maliciosos en los equipos de las víctimas sin que el usuario se dé cuenta. Los droppers instalan su carga útil sin mostrar ninguna notificación o bien mostrando un mensaje falso sobre un error en un archivo comprimido o en el sistema operativo. El nuevo programa malicioso es dejado en una ubicación específica o en un disco local para luego ser ejecutado.

Por lo general los droppers tienen la siguiente estructura:

Archivo principal contiene la "carga útil" del troyano

File 1 primera carga útil

File 2 segunda carga útil

... el programador puede incluir todos los archivos que desee

El dropper contiene un código que instala y ejecuta todos los archivos de la carga útil.

En la mayor parte de los casos, la carga útil contiene otros troyanos y por lo menos un hoax o maniobra de distración: chistes, juegos, gráficos o algo por el estilo. El hoax distrae la atención del usuario o pretende probar que la actividad causada por el dropper es inofensiva, pero en realidad sirve para disimular la instalación de la carga útil peligrosa.

Los hackers usan estos programas para alcanzar dos objetivos:

Ocultar o disimular la instalación de otros troyanos o virus
Engañar a las soluciones antivirus que son incapaces de analizar todos los componentes

Proxies troyanos

Funcionan como servidores proxy y proporcionan acceso anónimo a Internet desde los equipos de las víctimas. Hoy en día estos troyanos son muy populares entre los spammers que siempre necesitan de equipos adicionales para hacer sus envíos masivos. Los programadores de virus con frecuencia incluyen proxies-troyanos en sus paquetes de troyanos y venden las redes de equipos infectados a los spammers.

Trojan Spies

Esta familia incluye un variedad de programas espías y key loggers, que monitorean la actividad del usuario en el equipo afectado y luego envían esta información a su "amo". Los espías troyanos recolectan varios tipos de información:

Textos introducidos por medio del teclado
Capturas de pantalla (screenshots)
Logs de las aplicaciones activas
Otras acciones de los usuarios

Estos troyanos están siendo cada vez más utilizados para robar información bancaria y financiera que pueda servir de soporte para fraudes en línea.

Notificadores troyanos

Estos troyanos envían informes acerca del equipo infectado a su "amo". Los notificadores confirman que un equipo ha sido infectado y envía información sobre la dirección IP, los puertos abiertos, las direcciones de correo electrónico y otros datos del equipo de la víctima. Esta información se puede enviar por correo electrónico, al sitio web del "amo" o por ICQ.

Por lo general, los notificadores se incluyen en los paquetes troyanos y se usan solamente para informar al "amo" que el troyano ha sido instalado con éxito en el equipo de la víctima.

Rootkits

Un rootkit es una colección de programas usados por un hacker para evitar ser detectados mientras buscan obtener acceso no autorizado a un ordenador. Esto se logra de dos formas: reemplazando archivos o bibliotecas del sistema; o instalando un módulo de kernel. El hacker instala el rootkit después, obteniendo un acceso similar al del usuario: por lo general, crakeando una contraseña o explotando una vulnerabilidad, lo que permite usar otras credenciales hasta conseguir el acceso de raiz o administrador.

A pesar de que el término tiene su origen en el mundo de Unix, ha sido usado para denominar las técnicas utilizados por los autores de troyanos para Windows. El uso de rootkits para enmascarar las actividades de los troyanos está creciendo, ya que muchos de los usuarios de Windows ingresan al sistema con credenciales de administrador.

"Bombas" para compresores de archivos

Estos troyanos son archivos comprimidos programados para sabotear al programa de descompresión cuando éste intente abrir el archivo comprimido infectado. El equipo víctima puede ralentizarse o colapsar cuando la bomba troyana explota, o el disco duro se puede llenar de datos sin sentido. Las ArcBombs representan un especial peligro para los servidores, sobre todo cuando los datos entrantes son procesados de forma automática. En casos como éste, una ArcBomb puede hacer que el servidor colapse.

Hay tres tipos de ArcBombs: los que contienen un encabezamiento incorrecto, datos repetitivos o varios ficheros idénticos en el archivo.

Un encabezamiento incorrecto, o la presencia de datos corruptos pueden causar que el programa de descompresión colapse cuando intente abrir y descomprimir el archivo infectado.

Un archivo grande que contiene datos repetitivos puede ser comprimido en un archivo diminuto: 5 gigabytes pueden convertirse en 200KB si se usa RAR y en 480 KB si se usa ZIP.

Además, existen tecnologías especiales que permiten empaquetar un enorme número de archivos idénticos en un solo fichero sin afectar significativamente el tamaño del archivo en sí mismo: así, es posible empaquetar 10100 archivos idénticos en un archivo RAR de 30 KB o en un ZIP de 230 KB.

Virus De Script

2009-03-15T02:39:00.000-07:00

Los virus de script son una subcategoría escrita en una variedad de lenguajes de script (VBS, JavaScript, BAT, PHP etc.). Ellos infectan otros scripts, por ejemplo, archivos de instrucciones o servicios de Windows o Linux, o bien son parte de virus de varios componentes. Los virus de script pueden infectar otros formatos de archivo, como HTML, si el formato permite la ejecución de scripts.

Virus Clasicos

2009-03-15T02:34:00.000-07:00

Los virus informáticos pueden ser clasificados de acuerdo a su entorno y método de infección. El entorno es la aplicación o sistema operativo que cualquier virus necesita para infectar archivos dentro de estos sistemas. Los métodos de infección son técnicas utilizadas para inyectar código de virus en un archivo.

Entorno

La mayoría de los virus puede encontrarse en alguno de los siguientes entornos:

Sistemas de archivos
Sectores de arranque
Entornos macro
Anfitriones script

Los virus de archivoutilizan el sistema de archivos de un determinado sistema operativo (o de más de uno) para propagarse. Los virus pueden dividirse en las siguientes categorías:

Virus que infectan archivos ejecutable (este es el grupo más grande de virus de archivo)
Virus que crean duplicados de archivos (virus acompañantes)
Virus que crean copias de sí mismos en varios directorios
Virus que utilizan características de los sistemas de archivos (virus de vínculo)

Los virus de sector de arranque se escriben a sí mismos ya sea en el sector de arranque o en el registro de inicio maestro, o reemplazan el sector de arranque activo. Estos virus fueron difundidos en los 1990s, pero casi han desaparecido desde la introducción de los procesadores de 32-bit como estándar y la disminución de los discos flexibles. Aunque es técnicamente posible escribir virus de sector de arranque para CDs y USB flash ROMs, aún no se han detectado tales virus.

Muchos procesadores de texto, aplicaciones contables, de edición y proyectos tienen scripts macros incorporados que automatizan secuencias utilizadas con frecuencia. Estos lenguajes macro a menudo son complejos e incluyen una gran variedad de instrucciones. Los virus macrose escriben en lenguajes macro e infectan aplicaciones con macros incorporados. Los virus macro se propagan aprovechando las propiedades del lenguaje macro a fin de transferirse desde un archivo infectado a otro archivo.

Métodos de infección

Los grupos de virus enumerados arriba se pueden subdividir de acuerdo a la técnica que un virus utiliza para infectar objetos.

Virus de archivo

Los virus de archivos utilizan los siguientes métodos de infección:

Sobreescritura
Parasítico
Acompañante
Vínculos
Módulos de objeto (OBJ, por las siglas en inglés de object modules)
Librerías de compilación (LIB)
Código fuente de aplicación

Sobreescritura

Este es el método de infección más simple: El virus reemplaza al código del archivo infectado con el suyo propio, borrando el código original. El archivo se vuelve inservible y no puede ser restaurado. Estos virus son de fácil detección debido a que el sistema operativo y las aplicaciones afectadas dejarán de funcionar poco después de la infección.

Parasítico

Los virus parasíticos modifican el código del archivo infectado. El archivo infectado permanece parcial o totalmente funcional.

Los virus parasíticos están agrupados de acuerdo a la sección del archivo en la que escriben su código:

Anexado al comienzo: el código malicioso es escrito al comienzo del archivo
Anexado al final: el código malicioso es escrito al final del archivo
Inserto: el código malicioso es insertado a la mitad del archivo

Los virus de archivo insertos utilizan una variedad de métodos para escribir código en el medio del archivo: o mueven partes del archivo original al final, o copian su propio código en las secciones vacías del archivo objetivo. Éstos son denominados a veces virus de cavidad.

Virus anexados al comienzo

Los virus anexados al comienzo escriben su código para apuntar a archivos de dos formas. En el primer escenario, el virus mueve el código del comienzo del archivo objetivo al final y escriben su propio código en este espacio. En el segundo escenario el virus adiciona el código del archivo objetivo a su propio código.

En ambos casos, cada vez que el archivo infectado es ejecutado, el código del virus se ejecuta primero. A fin de mantener la integridad de la aplicación, puede que el virus limpie el archivo infectado, lo vuelva a ejecutar, espera a que el archivo se ejecute y una vez que se termine este proceso, el virus se copiará a sí mismo nuevamente al inicio del archivo. Algunos virus utilizan archivos temporales para almacenar versiones limpias de los archivos infectados. Algunos virus restaurarán el código de la aplicación en la memoria y reiniciarán las direcciones necesarias en el cuerpo, duplicando de este modo el trabajo del sistema operativo.

Virus anexados al final

La mayoría de los virus caen en esta categoría. Los virus anexados al final se escriben a sí mismo al final de los archivos infectados. Sin embargo, estos virus por lo general modifican los archivos (cambian el punto de entrada en el encabezado del archivo) para asegurarse de que los instrucciones contenidos en el código del virus sean ejecutados antes que los instrucciones de objeto infectados.

Virus insertados

Los creadores de virus utilizan una variedad de métodos para insertar virus en la mitad del archivo. Los métodos más simples son mover parte del código del archivo al final del archivo o hacer el código original a un lado para crear un espacio para el virus.

Los virus insertos incluyen los llamados virus de cavidad; éstos escriben su código en las secciones de los archivos que se sabe que están vacías. Por ejemplo, los virus de cavidad pueden copiarse a sí mismos en las partes no utilizadas de encabezados de archivos exe, en los vacíos que se encuentran entre secciones de archivos exe o en áreas de texto de compiladores conocidos. Algunos virus de cavidad sólo infectarán archivos donde un determinado bloque contenga cierto byte; el bloque elegido será sobrescrito con el código del virus.

Por último, algunos virus insertos están mal escritos y simplemente sobrescriben secciones de código que son esenciales para que el archivo infectado funcione. Esto causa que el archivo quede corrompido de forma irrevocable.

Virus que ocultan su punto de entrada (Entry point obscuring - EPOs)

Existe un pequeño grupo de virus parasíticos que incluyen tanto virus anexos al comienzo y al final que no modifican la dirección del punto de entrada en los encabezados de los archivos ejecutables. Los virus EPO escriben el punteo de rutina en el cuerpo del virus, en el medio del archivo infectado. El código del virus se ejecuta entonces solamente si se llama a la rutina que contiene el virus ejecutable. Si esta rutina se utiliza rara vez, (ej., una notificación de error poco común) un virus EPO puede permanecer inactivo por mucho tiempo.

Los creadores de virus necesitan escoger el punto de entrada con cuidado: un punto de entrada mal escogido puede, corromper el archivo anfitrión o causar que el virus permanezca inactivo el tiempo suficiente como para ser borrado.

Los creadores de virus utilizan distintos métodos para encontrar puntos de entrada útiles:

Buscar marcos y sobrescribirlos con el punto de inicio infectado
Desmantelar el código del archivo anfitrión
O cambiar las direcciones de las funciones de importación

Virus acompañantes

Los virus acompañantes no modifican al archivo anfitrión. En su lugar, crean un archivo duplicado que contiene el virus. Cuando se ejecuta el archivo infectado, la copia que contiene el virus se ejecutará primero.

En esta categoría se incluyen virus que cambian de nombre al archivo anfitrión, graban el nuevo nombre para futuras referencias y después sobrescriben el archivo original. Por ejemplo, un virus podría cambiar el nombre de notepad.exe a notepad.exd y escribir su propio código al archivo con el nombre original. Cada vez que el usuario de la máquina víctima ejecute notepad.exe, se ejecutará el código del virus, ejecutándose posteriormente el archivo original Notepad, notepad.exd.

Existen otros tipos de virus acompañantes que utilizan técnicas de infección originales o aprovechan vulnerabilidades en sistemas operativos específicos. Por ejemplo los virus acompañantes de ruta colocan sus copias en el directorio del sistema Windows, aprovechando el hecho de que este directorio está de primero en la lista de RUTAS; el sistema comenzará desde este directorio cuando ejecuta Windows. Muchos gusanos y troyanos contemporáneos utilizan tales técnicas de auto ejecución.

Otras técnicas de infección

Algunos virus no utilizan archivos ejecutables para infectar un ordenador, sino que simplemente se copian a sí mismos a un rango de carpetas con la esperanza de que tarde o temprano sean ejecutados por el usuario. Algunos creadores de virus nombran a sus virus como install.exe o winstart.bat para persuadir al usuario a ejecutar el archivo que contiene el virus.

Otros virus se copian a sí mismos en archivos comprimidos tales como ARJ, ZIP y RAR, mientras que otros escriben el instrucción para ejecutar un archivo infectado en un archivo BAT.

Los virus de vínculo tampoco modifican los archivos anfitriones. Sin embargo, obligan al sistema operativo a ejecutar el código del virus, modificando los campos apropiados en el sistema de archivos.

Virus de sector de arranque

Los virus de arranque son conocidos por infectar el sector de arranque de los discos flexibles y el sector de arranque del sector de arranque principal (MBR, por sus siglas en inglés, Master Boot Record) del disco duro. Los virus de arranque actúan sobre la base de algoritmos utilizados para iniciar el sistema operativo cuando el ordenador se enciende o es reiniciado. Una vez que los chequeos de memoria, discos, etc. han concluido, el programa de inicio del sistema lee/ busca el primer sector físico del disco de inicio (A:, C: o el CD-ROM, dependiendo de los parámetros configurados/ instalados en la configuración BIOS y le pasa el control a este sector.

Al infectar un disco, los virus de inicio sustituyen el código por el de un programa que adquiere control cuando se inicia el sistema. A fin de infectar al sistema, el virus obligará al sistema a leer la memoria y entregar el control, no al programa de inicio original, sino al código del virus.

Los discos flexibles solamente pueden ser infectados de una forma. El virus escribe su código en lugar del código original del sector de arranque del disco. Los discos duros pueden ser infectados de tres formas: el virus escribe su código en lugar del código MBR; el código del sector de arranque del disco de inicio o modifica la dirección del sector de libros activos en la tabla de partición del disco, en el MBR del disco duro.

En la amplia mayoría de los casos, al infectar un disco, el virus moverá el sector de arranque original (o MBR) a otro sector del disco, a menudo el primero que encuentre vacío. Si el virus es más largo que el sector, entonces el sector infectado contendrá la primera parte del código del virus y el remanente del código será colocado en otros sectores, por lo general los tres primeros.

Virus macro

Los virus macro más difundidos son para las aplicaciones de Microsoft Office (Word, Excel y PowerPoint) las cuales guardan información en formato OLE2 (Enlace e Incrustación de Objetos, en inglés Object Linking and Embedding). Los virus para otras aplicaciones son relativamente poco comunes.

La ubicación real de un virus con un archivo de MS Office depende del formato de archivo, el cual en el caso de los productos Microsoft es extremadamente complejo. Todos los documentos de WORD, Office 97 o tabla de Excel están compuestos de una secuencia de bloques de datos (cada uno de los cuales tiene su propio formato) que son unidos/ enlazados/ unidos por datos de servicio. Debido a la complejidad de los archivos de Word, Excel y Office 97, es más fácil utilizar un diagrama para mostrar la ubicación de un virus macro en tales tipos de archivo:

Archivo de documento o tabla sin infectar

Archivo de documento o tabla infectado

Encabezado del archivo

Datos de servicios (directorios, FAT)

Texto

Fuentes

Macros (si los hay)

Otros datos

Encabezado del archivo

Datos de servicios (directorios, FAT)

Texto

Fuentes

Macros (si los hay)

Macros de virus

Otros datos

Al trabajar con documentos y tablas, MS Office realiza varias acciones diferentes: la aplicación abre el documento, lo salva, lo imprime, lo cierra, etc. MS Word buscará y ejecutará/lanzará los macros incorporados apropiados. Por ejemplo, utilizando el instrucción Archivo/Guardar llamará al macro ArchivoGuardar, el instrucción Archivo/Guardarcomo llamará al macro ArchivoGuardarcomo, y así sucesivamente, siempre asumiendo que tales macros estén definidos/ configurados.

También existen auto macros, que serán llamados automáticamente en determinadas situaciones. Por ejemplo, cuando se abre un documento, MS Word comprobará la presencia del macro AutoAbrir en el documento. Si se encuentra el macro, Word lo ejecutará. Cuando un documento está cerrado, Word ejecutará el macro de AutoCierre, cuando Word sea iniciado, la aplicación ejecutará el Macro AutoEjec, etc. Estos macros son ejecutados de forma automática, sin ninguna acción por parte del usuario, así como los macros/ funciones que están asociados ya sea por una clave particular, o con un tiempo o fecha específico.

Como regla, los virus macro que infectan los archivos MS Office utilizan una de las técnicas antes descritas. El virus contendrá un auto macro (función automática); uno de los macros estándares del sistema (asociado con un ítem del menú) será redefinido; o, el virus macro será llamado de forma automática al apretarse una determinada tecla o combinación de teclas. Una vez que el virus macro hubiera adquirido el control, transferirá su código a otros archivos, usualmente los que estén siendo editados en el momento. En menos ocasiones, los virus buscarán en los discos otros archivos.

Virus de Script

Los virus script son un subgrupo de virus de archivo, escritos en una variedad de lenguajes script (VBS, JavaScript, BAT, PHP, etc.). Ellos infectan otros scripts, ej. archivos de instrucción y servicios de Windows o Linux, o forman parte de virus multi-componentes. Los virus script pueden infectar otros formatos de archivo, tales como HTML, si el formato de archivo permite la ejecución de scripts.

Gusanos De Sistemas De Mensajes Instantáneos

2009-03-15T02:32:00.000-07:00

1.	IM-Worm.Win32.Bropia.aj Este gusano se propaga a través de Internet usando MSN Messenger. Está escrito en Visual Basic y es de aproximadamente 200 KB de tamaño. El gusano contiene un programa backdoor, el Backdoor.Win32.Rbot.hg que mismo para ser descomprime e instala en el equipo de la ví...
2.	IM-Worm.Win32.Bropia.ad Este gusano está escrito en Visual Basic y normalmente tiene dos componentes: el gusano de Mensajes Instantáneos en sí, y una variante de Backdoor.Win32.Rbot incluida en el archivo. El backdoor se empaqueta usualmente con UPX y Morphine. Será detectado como...
3.	IM-Worm.Win32.Funner Este gusano de propaga a tavés de Internet, usando MSN Messenger. Está escrito en Visual Basic. Es de aproximadamente 56KB de tamaño, empaquetado utilizando ASP. El archivo sin empaquetar es de aproximadamente 306KB. Instalación Una vez ejecutado, el gusano se copia al...
4.	IM-Worm.Win32.Jitux Jitux es un gusano de Internet que se propaga a través del sistema de MSN Messenger. Está escrito en Visual Basic y su tamaño es aproximadamente 24KB. El gusano envía mensajes con el localizador uniforme de recursos (URL) de la versión del gusano que puede ser...
5.	IM-Worm.Win32.Sumom.a Virus-gusano. Se propaga mediante MSN en forma de enlaces al fichero infectado. Está empaquetado con por medio de varios programas a la vez. El tamaño del fichero empaquetado es de 17KB; descomprimido, 155KB bytes. Instalación Se copia a sí mismo al catálogo de Windows...

Gusanos De Red

2009-03-15T02:19:00.000-07:00

Todo el mundo ha oido hablar de los gusanos infomáticos

Los gusanos pueden ser clasificados de acuerdo con el método de propagación que usan, es decir, por el modo en que se copian a los equipos de las nueva víctimas. Los gusanos pueden también ser clasificados por su método de instalación, de ejecución o de acuerdo a las características comunes a todos los programas maliciosos: polimorfismo, invisibilidad, etc.

Muchos de los gusanos capaces de causar brotes virulentos usan uno o más metodos de propagación y técnicas de infección. Estos métodos son listados a continuación:

Gusanos de correo electrónico

Los gusanos de correo electrónico se propagan por medio de mensajes infectados. El gusano puede estar en forma de archivo adjunto o contener un enlace a un sitio web infectado. Sin embargo, en ambos casos el vehículo es el mensaje de correo electrónico.

En el primer caso, el gusano se activa cuando el usuario abre los datos adjuntos. En el segundo caso, el gusano se activa cuando el usuario sigue el enlace que lleva al sitio infectado.

Los gusanos de correo electrónico por lo general usan uno de los siguientes métodos para propagarse:

Conexión directa a los servidores SMTP usando una biblioteca SMTP API contenida en el gusano
Servicios de MS Outlook
Funciones MAPI de Windows

Los gusanos de correo electrónico recolectan direcciones en los equipos de las víctimas para seguir propagándose. Los gusanos usan una o más de las siguientes técnicas:

Escanear la libreta de direcciones locales de MS Outlook
Escanear la base de datos WAB
Escanear los archivos que pueden contener direcciones de correo electrónico
Enviar copias de sí mismo a todos los mensajes del buzón postal del usuario (los gusanos incluso pueden "responder" a mensajes que el usuario todavía no ha abierto)

Mientras estas son las técnicas más usadas, algunos gusanos son capaces hasta de construir nuevas direcciones usando listas de posibles nombres combinadas con nombres de dominio comunes.

Gusanos de sistemas de mensajes instantáneos (ICQ y MSN)

Estos gusanos tienen sólo un método de propagación. Se propagan por medio de sistemas de mensajes instantáneos, enviando a todos los contactos locales enlaces a sitios web infectados. La única diferencia entre estos virus y los de correo electrónico, es la forma en que envían los enlaces.

Gusanos de Internet

Los autores de virus usan otras técnicas para distribuir gusanos de ordenador, incluyendo:

Copiar el gusano a los recursos de red compartidos
Explotar las vulnerabilidades de los sistemas operativos para penetrar a los ordenadores o a las redes
Penetrar las redes públicas
Piggy-backing: usar otros programas maliciosos en calidad de portador del gusano

En el primer caso, el gusano localiza equipos remotos y se copia a sí mismo en los directorios que están abiertos a operaciones de lectura y escritura. Estos gusanos de red escanean todos los recursos de red disponibles, usando los servicios locales de los sistemas operativos y escaneando Internet en búsqueda de equipos vulnerables. A continuación, intentan conectarse a esos equipos y obtener acceso ilimitado a los mismos.

En el segundo caso, los gusanos escanean Internet buscando equipos que no han sido parchados, es decir, cuyos sistemas operativos contienen vulnerabilidades críticas aún abiertas. El gusano envía paquetes de datos o solicitudes que pueden instalar el gusano completo o una sección de su código fuente que contiene funciones de downloader. Si este código se instala con éxito, el gusano completo es posteriormente cargado. En ambos casos, una vez que el gusano se instala, empieza a ejecutar su código y el ciclo continua.

Los gusanos que usan servidores Web y FTP pertenecen a otra categoría. La infección se realiza en dos etapas. Primero, los gusanos penetran a archivos de servicio en el servidor de archivos, por ejemplo, a páginas web estáticas. Después, los gusanos esperan a que los clientes efectuen alguna acción con los archivos infectados y entonces atacan a los equipos individuales. Estos equipos-víctimas son luego usados como plataforma de lanzamiento para realizar nuevos ataques.

"Algunos creadores de virus usan gusanos o troyanos para difundir nuevos gusanos. Inicialmente, estos autores identifican a los troyanos o gusanos que instalaron puertas traseras (backdoors) en los equipos de las víctimas. En la mayoría de los casos, éstas permiten enviar instrucciones al equipo de la víctima.

Los ordenadores zombies que tienen puertas traseras instaladas, pueden usarse para descargar y ejecutar archivos, en este caso, copias de nuevos gusanos."

Muchos gusanos combinan dos o más métodos de propagación para penetrar con más eficiencia los equipos de las víctimas potenciales.

Gusanos de IRC

Este tipo de gusanos, al igual que los gusanos de correo electrónico, usa dos formas de propagarse por los canales de IRC, similares a las descritas anteriormente. La primera es enviar un enlace que lleve a un sitio infectado. La segunda, enviar archivos infectados, es menos efectiva, ya que el destinatario tiene que confirmar la recepción, guardar el archivo y abrirlo para que el gusano penetre al equipo de la víctima.

Gusanos de redes de intercambio de archivos (File-sharing o P2P)

Estos gusanos se copian a sí mismos en una carpeta compartida, por lo general ubicada en el equipo local. Una vez que el gusano ha logrado poner una copia de sí mismo en una carpeta compartida bajo un nombre aparentemente inofensivo, la red P2P empieza a funcionar: informa a los otros usuarios acerca del nuevo recurso y proporciona la infraestructura para cargar y ejecutar el archivo infectado.

Otros gusanos de P2P más complejos imitan el protocolo de red de redes específicas: responden afirmativamente a todas las solicitudes y "ofrecen" el gusano a todos los usuarios.

Los 10 Virus Más Destructivos De La Historia

2009-03-15T02:04:00.000-07:00

En orden cronológico aquí estan los 10 virus más destructivos de todos los tiempos.

Los 10 virus más destructivos

• CIH • Blaster • Melissa • Sobig.F • ILOVEYOU • Bagle • Code Red • MyDoom • SQL Slammer • Sasser

CIH (1998)

Daño estimado: 20 a 80 millones de dólares, sin contar el precio de la información destruida.

Localización: Desde Taiwan Junio de 1998, CHI es reconocido como uno de los mas peligrosos y destructivos virus jamás vistos. El virus infectó los archivos ejecutables de Windows 95,98 y ME y fué capaz de permanecer residente en memoria de los ordenadores infectados para así infectar otros ejecutables.

¿Porqué?: Lo que lo hizo tan peligroso fué que en poco tiempo afectó muchos ordenadores, podía reescribir datos en el disco duro y dejarlo inoperativo.

Curiosidades: CIH fué distribuido en algun que otro importante software como un Demo del juego de Activision "Sin".

Melissa (1999)

Daño Estimado: 300 a 600 millones de dólares

Localización: Un Miercoles 26 de Marzo de 1999, W97M/Melissa llegó a ser portada de muchos rotativos alrededor del mundo. Una estimación asegura que este script afecto del 15% a 20% de los ordenadores del mundo.

Curiosidades: El virus usó Microsoft Outlook para enviarse asimismo a 50 de los usuarios de la lista de contactos. El mensaje contenía la frase, "Here is that document you asked for...don't show anyone else. ;-)," y venía acompañado por un documento Word adjunto, el cual fue ejecutado por miles de usuarios y permitieron al virus infectar los ordenadores y propagarse a traves de la red.

ILOVEYOU (2000)

Daño Estimado: 10 a 15 billones de dólares

Localización: Tambien conocido como "Loveletter" y "Love Bug", este fue un script de Visual Basic con un ingenioso y irresistible caramelo: Promesas de amor. Un 3 de Mayo de 2000, el gusano ILOVEYOU fue detectado en HONG KONG y fué transmitido via email con el asunto "ILOVEYOU" y el archivo adjunto, Love-Letter-For-You.TXT.vbs De igual manera a Melissa se transmitio a todos los contactos de Microsoft Outlook.

¿Porqué?: Miles de usuario fueron seducidos por el asunto y clickearon en el adjunto infectado. El virus tambien se tomó la libertad de sobrescribir archivos de musica, imágenes y otros.

Curiosidades: Como Filipinas no tenía leyes que hablaran sobre la escritura de virus el autor de ILOVEYOU quedó sin cargos.

Code Red (2001)

Daño Estimado: 2.6 billones de dólares

Localización: Code Red fue un gusano que infecto ordenadores por primera vez el 13 de Julio de 2001. Fue un virulento bug porque su objetivo era atacar a ordenadores que tuvieran el servidor (IIS) Microsoft's Internet Information Server. El gusano era capaz de explotar una importante vulnerabilidad de este servidor.

Curiosidades: Tambien conocido como "Bady", Code Red fue diseñado para el maximo daño posible. En menos de una semana infectó casi 400.000 servidores y mas de un 1.000.000 en su corta historia.

SQL Slammer (2003)

Daño Estimado: Como SQL Slammer apareció un sábado su daño ecónomico fue bajo. Sin embargo este atacó 500.000 servidores.

Curiosidades: SQL Slammer, tambien conocido como "Sapphire", data del 25 de Enero de 2003 y su principal objetivo son servidores, el virus era un archivo de 376-byte que generaba una dirección Ip de manera aleatoria y se enviaba asimismoa estas IPs. Si la IP corría bajo un Microsoft's SQL Server Desktop Engine sin parchear podía enviarse de nuevo a otras IPs de manera aleatoria. Slammer infectó 75,000 ordenadores en 10 minutos.

Blaster (2003)

Daño Estimado: 2 a 10 billones de dolares, cientos de miles de ordenadores infectados.

Localización: El verano de 2003 se dió a conocer Blaster tambien llamado "Lovsan" o "MSBlast". El virus se detectó un 11 de Agosto y se propagó rapidamente, en sólo dos días. Transmitio gracias a una vulnerabilidad en Windows 2000 y Windows XP, y cuando era activado abría un cuadro de diálogo en el cual el apagado del sistema era inminente.

Curiosidades: Oculto en el codigo de MSBLAST.EXE había unos curiosos mensajes:

"I just want to say LOVE YOU SAN!!" and "billy gates why do you make this possible? Stop making money and fix your software!!"

"Solo quiero decir que te quiero san!!" y "billy gates ¿Porqué haces posible esto? para de hacer dinero y arregla tu software!!"

Sobig.F (2003)

Daño Estimado: De 5 a 10 billones de dólares y más de un millón de ordenadores infectados.

Localización: Sobig tambien atacó en Agosto de 2003 un horrible mes en materia de seguridad. La variante mas destructiva de este gusano fué Sobig.F, que atacó el 19 de Agosto generando mas de 1 millón de copias de él mismo en las primeras 24 horas.

Curiosidades: El virus se propagó vía e-mail adjunto archivos como application.pif y thank_you.pif. Cuando se activaba se transmitía. El 10 de Septiembre de 2003 el virus se desactivó asimismo y ya no resultaba una amenaza, Microsoft ofreció en su día 250.000$ a aquel que identificara a su autor.

Bagle (2004)

Daño Estimado: 10 millones de dólares y subiendo...

Localización: Bagle es un sofisticado gusano que hizó su debut el 18 de Enero de 2004. El código infectaba los sistemas con un mecanismo tradicional, adjuntando archivos a un mail y propagandose el mismo. El peligro real de Bagle es que existen de 60 a 100 variantes de él, cuando el gusano infectaba un ordenador abría un puerto TCP que era usado remotamente por una aplicación para acceder a los datos del sistema.

Curiosidades: La variante Bagle.B fue diseñada para detenerse el 28 de Enero de 2004 pero otras numerosas variantes del virus siguen funcionando.

MyDoom (2004)

Daño Estimado: Realentizo el rendimiento de internet en un 10% y la carga de páginas en un 50%.

Localización: Durante unas pocas horas del 26 de Enero de 2004, MyDoom dió la vuelta al mundo. Era transmitido vía mail enviando un supuesto mensaje de error aunque tambien atacó a carpetas compartidas de usuarios de la red Kazaa.

Curiosidades: MyDoom estaba programado para detenerse despues del 12 de Febrero de 2004.

Sasser (2004)

Daño Estimado: 10 millones de dólares

Localización: 30 de Abril de 2004 fué su fecha de lanzamiento y fue suficientemente destructivo como para colgar algunas comunicaciones satelites de agencia francesas. Tambien consiguió cancelar vuelos de numeros compañias aéreas.

Curiosidades: Sasser no era transmitido vía mail y no requería usuarios para propagarse. Cada vez que el gusano encontraba sistemas Windows 2000 y Windows Xp no actualizados este era replicado, los sistemas infectados experimentaban una gran inestabilidad.

Sasser fué escrito por un joven aleman de 17 años que propago el virus en su 18 cumpleaños. Como el escribió el código siendo un menor salió bien parado aunque fue declarado culpable de sabotage informático.

Fuente: Techweb

Descripciones De Los Programas Maliciosos

2009-03-15T01:55:00.000-07:00

Los programas maliciosos pueden dividirse en los siguientes grupos: gusanos, virus, caballos de Troya o troyanos, utilidades para hackers y otros tipos de programas maliciosos. Todos ellos han sido diseñados para causar daños al equipo infectado o a otros equipos conectados a redes.

Gusanos de red

Esta categoría incluye los programas que se propagan por redes locales o Internet con los siguientes objetivos:

Penetrar a equipos remotos
Lanzar copias en los equipos víctimas
Propagarse hacia otros equipos

Los gusanos usan diferentes sistemas de red para propagarse: correo electrónico, sistemas de mensajes instantáneos, redes de archivos compartidos (P2P), canales IRC, redes locales, redes globales, etc.

La mayoría de los gusanos se propagan en forma de archivos adjuntos a mensajes de correo electrónico, ICQ o IRC, enlaces a archivos ubicados en sitios web o servidores FTP infectados, archivos compartidos vía redes P2P, etc.

Existe una pequeña cantidad de gusanos denominados "fileless" o gusanos de paquete, que se propagan en forma de paquetes de red y penetran directamente la memoria RAM del equipo víctima, donde a continuación ejecutan su código.

Los gusanos usan una gran variedad de métodos para penetrar a los equipos y ejecutar su código, incluyendo:

Ingeniería social, mensajes de correo electrónico que incitan al destinatario a abrir el archivo adjunto
Redes mal configuradas; redes que tienen equipos locales abiertos al acceso desde fuera de la red
Vulnerabilidades en los sistemas operativos y las aplicaciones

Los programas maliciosos de hoy constan de varios componentes: los gusanos tienen ahora funciones de troyanos o la capacidad de infectar archivos ejecutables en el equipo víctima. Ya no existen gusanos simples, sino amenazas combinadas.

Virus clásicos

Esta clase de programas maliciosos incluye programas que se propagan dentro de un equipo con el objetivo de:

Ejecutar su código cuando el usuario realiza determinadas acciones
Penetrar a otros recursos en el equipo víctima

A diferencia de los gusanos, los virus no usan las redes para penetrar a otros equipos. Las copias de los virus sólo pueden penetrar a otros equipos si un objeto infectado es abierto por el usuario del equipo no infectado, con lo que se ejecuta el código del virus. Esto puede suceder en los siguientes casos:

El virus infecta los archivos ubicados en un recurso de red que puede ser accedido por otros usuarios
El virus infecta medios de almacenamiento removibles que luego son usados en un equipo no infectado
El usuario adjunta un archivo infectado a un mensaje de correo electrónico y lo envía a un destinatario "sano"

A veces, los gusanos portan virus, otras, los virus incluyen una "puerta trasera" (backdoor) o tiene funciones propias de los troyanos que destruyen datos en el equipo infectado.

Caballos de Troya, troyanos

Esta clase de programas maliciosos incluye una gran variedad de programas que efectúan acciones sin que el usuario se dé cuenta y sin su consentimiento: recolectan datos y los envían a los criminales; destruyen o alteran datos con intenciones delictivas, causando desperfectos en el funcionamiento del ordenador o usan los recursos del ordenador para fines criminales, como hacer envíos masivos de correo no solicitado.

Existe un subgrupo de troyanos que causa daños a equipos o redes a distancia, sin poner en peligro los equipos infectados. Son los troyanos que utilizan los equipos víctimas para efectuar ataques DoS contra un sitio web determinado.

Utilidades para hackers y otros programas maliciosos

Esta clase incluye:

Utilidades semejantes a constructores que pueden ser usados para crear virus, gusanos y troyanos
Bibliotecas de programas especialmente diseñadas para crear programas maliciosos
Utilidades para hackers, que cifran los archivos para hacer que los antivirus no puedan detectarlos
Bromas que interfieren con el funcionamiento normal del ordenador
Programas que deliberadamente muestran información falsa a los usuarios
Otros programas que están diseñados para causar daños a equipos y redes, ya sea de forma directa o indirecta

La Carrera Armamentista En La Ciberdelincuencia

2009-03-15T01:49:00.000-07:00

Contenido Del Tema:

La ciberdelincuencia llegó para quedarse

Nuestra sociedad ha evolucionado de tal manera que muchos de nosotros, si no la mayoría, pasamos gran parte de nuestra vida conectados línea Internet. De muchas maneras, este mundo virtual online refleja nuestro mundo real. Los delincuentes, una desgraciada pero parte real de nuestra estructura social, también se han reflejado de manera muy natural en el mundo virtual. La omnipresencia de los ciberdelincuentes ya es innegable, fomentada por el creciente número de transferencias de dinero y de datos online que hacen de ellas blanco irresistible. Hoy en día, el ecosistema de la ciberdelincuencia está alcanzando su madurez con modelos sólidos bien definidos de relaciones y de negocios. Una nueva clase de ciberdelincuentes de manera libre y abierta se dedica a vender y comprar códigos maliciosos. El abanico de estos ciberdelincuentes abarca desde los pequeños estafadores que roban pequeñas cantidades de dinero hasta aquellos que intentan robar grandes sumas de dinero de una sola vez.

La actividad delictiva siempre ha emulado los negocios legales; en este sentido, la imagen de un contador de la mafia es la primera que se nos viene a la cabeza. Sin embargo, vale la pena mencionar que actualmente la ciberdelincuencia no se encuentra organizada en una o más organizaciones internacionales mafiosas con un capo a la cabeza. Se trata más bien de un mundillo interdependiente que se basa en grupos cuyas operaciones se complementan. Por ejemplo, el individuo o grupo dueño de un botnet (red de ordenadores zombis) capaz de lanzar ataques DDoS o de distribuir mensajes no deseados, necesita dotarse de direcciones de correo. Alguien más, a quien el dueño del boot no necesita conocer ni mantener contacto alguno con él, cumple la función de robar y vender las direcciones necesarias. Este modelo de negocio refleja de muchas maneras el modelo de negocios de empresas legítimas. Así como la presencia en una zona de una compañía automotriz impulsa la creación de otras industrias, como fábricas de carburadores, pernos, etc., los ciberdelincuentes no necesitan estar conectados organizativamente, sino sólo para el mutuo beneficio económico.

La ciberdelincuencia como negocio

La ciberdelincuencia moderna se parece a cualquier otro negocio. Se comporta siguiendo principios empresariales tradicionales, como rentabilidad, facilidad de uso, manejo de riesgo, y mercados emergentes.

La ciberdelincuencia es rentable

El criterio más importante para cualquier negocio es la rentabilidad, y la ciberdelincuencia no es la excepción. En realidad, la ciberdelincuencia es en extremo rentable. Se han robado grandes sumas de dinero en una sola acción, así como se han adquirido pequeñas sumas de manera repetida. Por ejemplo, sólo en 2007 se reportó un promedio de un ciberdelito por mes.

nero de 2007 – Piratas rusos, con la ayuda de intermediarios suecos, robaron 800.000 euros del banco sueco Nordea.
Febrero de 2007 – La policía brasileña arrestó a 41 piratas por utilizar un troyano para robar datos de cuentas bancarias que utilizaron para robar 4,74 millones de dólares.
Febrero de 2007 – Diecisiete miembros de una banda de ciberdelincuentes fueron arrestados en Turquía por el robo de 500.000 dólares.
Febrero de 2007 – Li Jun fue arrestado por el virus “Panda burning Incense” usado para robar nombres de cuentas de apuestas y de mensajería instantánea. Se cree que ganaron 13.000 dólares por la venta del programa malicioso.
Marzo de 2007 – Cinco europeos del este fueron enviados a prisión por un fraude de tarjetas de crédito en el Reino Unido, habiendo robado alrededor de 1,7 millones de libras.
Junio de 2007 – En Italia se arrestó a 150 ciberdelincuentes por bombardear a los usuarios italianos con mensajes de correo fraudulentos para generar alrededor de 1,25 millones de euros en ganancias ilegales.
Julio de 2007 – Ciberdelincuentes rusos usaron un troyano para robar 500.000 dólares de bancos turcos.
Agosto de 2007 – El ucraniano Maxim Yamstremske (conocido como “Maksik”) fue detenido en Turquía por ganar decenas de millones de dólares mediante el robo de identidades.
Septiembre de 2007 – Gregory Kopiloff fue acusado en los Estados Unidos por el uso de los programas de uso compartido de archivos P2P Limeware y Soulseek, para obtener información utilizada en fraude de identidades; se cree que gastó miles de dólares en compras usando datos robados.
Octubre de 2007 – Greg King fue arrestado en los Estados Unidos por participar en el ataque DDoS contra Castle Cops en febrero de 2007; se enfrenta a una sentencia máxima de 10 años en la cárcel y 250.000 dólares en multas.
Noviembre de 2007 – El FBI arrestó a ocho individuos en la segunda fase de su iniciativa antibotnet, llamada “Operation Bot Roast”, que descubrió más de 20 millones de dólares en pérdidas económicas y más de un millón de ordenadores víctimas.
Diciembre de 2007 – Cibedelincuentes penetraron en los ordenadores del Laboratorio Nacional Oak Ridge (ORNL) del Departamento de Energía de los Estados Unidos; se cree que también atacaron el Laboratorio nacional de los Álamos y el Laboratorio Nacional Lawrence Livermore. Entre 1999 y 2004 se robaron más de 12.000 números de la seguridad social y fechas de nacimiento de los visitantes de ORNL. Esta violación de seguridad se considera un tema de seguridad nacional y deja a las víctimas individuales vulnerables ante el robo de identidad y fraudes financieros.

Estos ejemplos no constituyen más que la punta del iceberg. Las víctimas y/o las autoridades han autorizado la publicación de estos ejemplos. La mayoría de los ciberdelitos son investigados internamente por las mismas organizaciones afectadas o por las respectivas autoridades que realizan investigaciones encubiertas. Los resultados casi nunca se hacen públicos. La Figura 1 proviene de un informe de la organización Computer Security Institute y muestra las razones por las que las organizaciones prefieren no divulgar estos incidentes.

Figura 1 – Razones por las que las organizaciones no informan sobre intrusiones

La ciberdelincuencia es fácil y de bajo riesgo

El segundo factor clave en el incremento de la ciberdelincuencia como negocio es que el riesgo es mínimo. El aspecto psicológico del delito constituye una medida de disuasión en el mundo real. Pero en el mundo virtual, los delincuentes nunca ven a sus víctimas individuales o a las corporaciones a las que atacan. Resulta mucho más fácil robar a los ricos o a alguien a quien no se ve, se toca o se siente.

Junto al misterioso anonimato aparece la infinidad de recursos online disponibles para acceder a vulnerabilidades, troyanos para construir botnets, soluciones completas para alquilar botnets, etc. (Ver Figura 2 y Figura 3). Cada vez disminuye el nivel de conocimientos técnicos necesarios para llevar a cabo actos delictivos en la Red, a medida que aumenta el número de expertos en Internet.

Figura 2 – Captura de pantalla de un sitio de venta de botnets

Figura 3 – Captura de pantalla de un sitio de venta de nuevas vulnerabilidades

Los ciberdelincuentes explotan las oportunidades de la Web 2.0

La avalancha de nuevos servicios disponibles a través de Internet, junto a usuarios en todo el mundo que hoy adoptan con rapidez estos nuevos servicios, también contribuye al éxito de la ciberdelincuencia. Las zonas especialmente vulnerables a ataques incluyen:

Dinero virtual y banca online – El comercio por Internet y los bancos que trabajan para que las transacciones financieras online contribuyan a equilibrar la rapidez y la comodidad con una adecuada seguridad.
Facilidades para almacenamiento de datos y aplicaciones “en las nubes” – Con datos y aplicaciones cuyo almacenamiento en servidores externos no cesa de incrementarse, los delincuentes pueden interceptar el tráfico para acceder a información financiera, confidencial y propietaria.
Juegos online – Los delitos incluyen el robo de contraseñas y el robo de propiedad virtual para su reventa con significativas ganancias.
Agencias online de compra-venta de acciones bursátiles – Esta cómoda y rápida forma de responder a las fluctuaciones del mercado bursátil se ha convertido en un blanco codiciado para los ciberdelincuentes porque la información bursátil es un activo de mucha liquidez.
Web 2.0 – Los recursos online como redes sociales, blogs, foros, wikis, MySpace, YouTube, Twitter, y otros se basan en la facilidad de descarga, publicación y otras técnicas de compartir información que colocan a cada usuario de estos recursos en una situación vulnerable y propicia para infecciones virales.

Cómo funcionan los ataques

Cada generación de delincuentes se caracteriza por sus propias herramientas. Las armas favoritas de los actuales ciberdelincuentes son los troyanos; los utilizan para construir botnets, para robar contraseñas y datos confidenciales, para lanzar ataques DoS y para codificar datos para chantajear a sus víctimas. Una de las características más perturbadoras de los ataques actuales es el renovado objetivo de permanecer en el ordenador infectado. Los ciberdelincuentes usan una serie de técnicas para lograr este objetivo.

Hoy en día, los ciberdelincuentes están optando por lanzar discretos ataques dirigidos a determinadas organizaciones. La elaboración de un solo programa malicioso para un único objetivo exige mucho tiempo y es difícil de implementar. Sin embargo, una vez lanzados, estos ataques dirigidos casi siempre logran su objetivo. Estos ataques generalmente proporcionan a los ciberdelincuentes un significativo retorno de su inversión, lo que hace de los ataques dirigidos una pequeña pero importante forma de ciberdelincuencia.

Los modernos Botnets

Hoy en día, los botnets están formados por una cantidad de de ordenadores infectados muy fácil de manejar que permiten el control de bots (equipos zombi, robots) y el procesamiento de los datos recolectados. Las ganancias dependen del número de víctimas y de la frecuencia de la demanda de programas maliciosos. A mayor permanencia de un programa malicioso en un equipo, mayores las ganancias para su controlador. Otros métodos populares y efectivos que los modernos ciberdelincuentes utilizan para ampliar el margen de sus ganancias incluyen competir entre controladores y sabotear las soluciones de seguridad.

Técnicas de los ciberdelincuentes

En términos generales, los modernos ciberdelincuentes tienen que considerar dos técnicas distintas para lograr los resultados finales deseados: distribución e implementación.

Distribución

El primer paso para un ciberdelincuente es distribuir e instalar su programa malicioso. Los ciberdelincuentes usan una serie de técnicas para lograr este objetivo. Las actuales técnicas más conocidas de transmisión de programas maliciosos (también llamadas “vectores de infección”) son los mensajes no deseados y los sitios web infectados. El escenario ideal para un ciberdelincuente es un ordenador víctima con una vulnerabilidad que permita que un programa malicioso se instale de inmediato, ya sea que se haya distribuido por un mensaje no deseado o “de paso” mientras se navegaba por Internet.

Implementación

Una vez que se distribuye el programa malicioso, el pirata se esforzará por evitar su detección el mayor tiempo posible. Los creadores de programas maliciosos usan varias técnicas para maximizar el tiempo de vigencia de sus creaciones.

Como estrategia primaria, los creadores de programas maliciosos dependen del robo no sólo para la distribución de sus programas sino también para su supervivencia. Cuanto menos visible sea un programa malicioso ante los sistemas de detección antivirus y ante las respectivas autoridades, mayor será el tiempo que el programa malicioso permitirá el acceso al equipo víctima para recopilar información. Las técnicas más comunes de invisibilidad incluyen las tecnologías rootkit (paquete raíz), la neutralización de los mensajes de errores detectados en el sistema, los incrementos invisibles del tamaño de los archivos, los numerosos y variados compresores y el bloqueo de los mensajes de advertencia antivirus.

Los elaboradores de programas maliciosos también dependen en gran medida de las técnicas de distracción para evitar detecciones. El polimorfismo es una técnica de distracción que fue muy popular en los años 1990 y que luego virtualmente desapareció. Hoy en día, los autores de programas maliciosos han restomado el polimorfismo, pero rara vez intentan inyectar códigos polimorfos en los ordenadores cautivos. En vez de ello, existe una tendencia diferente al polimorfismo en el servidor que consiste en recompilar códigos en servidores de Internet con instrucciones de “no hacer nada” que varían con el tiempo, lo que dificulta en gran manera la detección de un nuevo programa malicioso alojado en el servidor. En realidad, actualmente existen servidores de Internet en los que los bots recompilan programas maliciosos con una frecuencia de hasta cada 5 minutos.

Ataques a las soluciones de seguridad

Otra técnica muy común consiste en sabotear los programas de seguridad para neutralizar la detección de los programas maliciosos extendiendo así su vida útil. El sabotaje a menudo termina un proceso de seguridad, elimina un código, o modifica el archivo anfitrión de Windows para prevenir la actualización de los programas antivirus. Además, los programas maliciosos a menudo eliminan códigos maliciosos previamente instalados, no para beneficiar al usuario, sino para garantizarse la “propiedad” y el control del ordenador cautivo para su propio beneficio. Esta competencia activa entre programas maliciosos remarca las oportunidades de las que gozan los autores de programas maliciosos y los delincuentes que los patrocinan.

El factor humano

Por último, cualquier sistema de seguridad tiene un talón de Aquiles. En el caso de la seguridad online, este talón de Aquiles es siempre el factor humano. En consecuencia, las técnicas de ingeniería social constituyen un elemento clave en los modernos métodos de propagación de programas maliciosos. Estas técnicas por lo general son tan simples como el envío de vínculos desde un amigo a través de un mensaje de correo o instantáneo. Estos vínculos se presentan de tal manera que parecen conducir a interesantes recursos en línea, pero en realidad conducen a recursos en sitios web infectados. Hoy en día, los mensajes de correo pueden contener scripts (rutinas) que conectan a sitios web infectados sin el conocimiento del usuario. Incluso usuarios instruidos y muy cautelosos que nunca activan vínculos no solicitados corren el riesgo de infectar su equipo por descargas “al paso” mientras navegan por Internet. Actualmente se da con alarmante rapidez la inclusión de eventos actuales en estas campañas, con resultados sorprendentemente efectivos. El phishing (correo fraudulento) sigue siendo la mayor fuente de infección a pesar de los esfuerzos de los bancos y de otras organizaciones con operaciones online por dotarse de todo tipo de medidas de protección. Aún es posible convencer a muchas víctimas inocentes para que exploren vínculos interesantes y para que acepten como legítimos comunicados aparentemente oficiales.

Pensamientos finales del autor

Para hacer frente a la ciberdelincuencia necesitamos desarrollar e implementar varias estrategias de seguridad. Damos por descontado que los programas antimalware y las estrategias de gestión de riesgo son vitales a todos los niveles.

Sin embargo, como afirmé antes, y lo sigo haciendo, creo que además de estrategias apropiadas de protección, una exitosa estrategia contra la ciberdelincuencia requiere un esfuerzo de la comunidad. Tiene que haber una Interpol de Internet completamente funcional y una creciente formación informática del usuario, con campañas similares de concienciación sobre el uso del cinturón de seguridad en los vehículos. Tiene que haber instrumentos legales que obliguen a los usuarios a comportarse de una manera segura y legal en su interacción online, así como consecuencias legales que complementen los esfuerzos de aplicación de dichas regulaciones. Tal como en el caso del uso de cinturones de seguridad, se necesita de una continua, incansable y expandida instrucción para la aceptación de las mencionadas medidas legales.

Aunque pienso que no será posible eliminar la ciberdelincuencia, como no ha sido posible eliminar la delincuencia en el mundo real, creo que sí podemos hacer de Internet un lugar seguro. Será necesario algo más que las medidas que propongo, más que una sola empresa, y más que un solo gobierno. Necesitamos una comunidad unida en la que cada individuo ponga su granito de arena en la construcción de la seguridad en línea... una comunidad como esta puede y tendrá éxito en la lucha contra los ciberdelincuentes en la mayoría de los casos. Y esa mayoría de los casos es un objetivo por el que vale la pena luchar.

Fuente:Kaspersky Lab

Ataques Contra Bancos

2009-03-15T01:38:00.000-07:00

El presente artículo considera los métodos que los ciberdelincuentes utilizan actualmente para atacar a instituciones financieras, especialmente a los bancos. Así, revisa las tendencias generales y la forma de diseñar los programas maliciosos dirigidos a instituciones financieras para evitar que las soluciones antivirus los detecten. También cubre el phishing, las mulas de dinero, los pasos técnicos que siguen los ciberdelincuentes para lanzar un ataque, como redireccionamiento del tráfico y ataques tipo man-in-the-middle y man-in-the-endpoint. Finalmente, sugiere algunas recomendaciones sobre cómo abordar la inseguridad relacionada con la banca online.

Este artículo se ha escrito con el objetivo de ofrecer a los profesionales en informática una comprensión más detallada de la forma en la que los ciberdelincuentes pueden atacar a las instituciones financieras y de lo que se puede hacer para mitigar estos ataques.

Tendencias generales

En 2007, los desarrolladores de soluciones antivirus observaron un gran incremento en el número de programas maliciosos dirigidos a bancos (malware financiero). A pesar de la escasa y poco clara información que facilitaba el sector financiero, la tendencia era evidente y presagiaba un fuerte crecimiento en el número de ataques a bancos.

Fig. 1. Porcentaje de malware financiero en el total de programas maliciosos detectados

Aunque el volumen de ataques aumentó, tal como lo muestra el gráfico anterior, el porcentaje de malware financiero detectado decrece mes a mes. A continuación, se detallan las causas de esto:

Los creadores de programas maliciosos modifican continuamente sus programas para evitar que las soluciones antivirus los detecten. Sin embargo, si los cambios realizados son mínimos, los antivirus pueden detectar las nuevas muestras de programas maliciosos mediante las firmas creadas para versiones anteriores.
El gráfico anterior se refiere sólo al malware financiero. Sin embargo, los ataques a bancos suelen ser procesos de múltiples pasos: ingeniería social, phishing y el uso de programas Trojan-downloaders que se encargan de descargar en el equipo cautivo el malware financiero. Para los ciberdelincuentes resulta más fácil modificar los programas Trojan-Downloader (por lo general de menor tamaño y complejidad) que el malware financiero.

Además del creciente número de programas maliciosos dirigidos a instituciones financieras, también se detecta un aumento de los programas maliciosos capaces de atacar a más de un banco o entidad de forma simultánea. Sin embargo, el porcentaje de programas maliciosos que atacan a más de tres instituciones financieras también está decayendo, tal como lo muestra el siguiente gráfico:

Fig. 2. Malware financiero que ataca a más de tres organizaciones financieras

Esto significa que la gran mayoría de estos programas maliciosos están diseñados para atacar de uno a tres bancos. Esto se debe a que el malware financiero se caracteriza por centrarse en zonas específicas, con programas diseñados para atacar a determinados bancos o instituciones en una misma región. Los programas maliciosos individuales se diseñan para atacar a los bancos más conocidos en países como los Estados Unidos, Alemania, México o el Reino Unido.

Este tipo de malware financiero suele concentrarse en un reducido número de bancos, tal y como se muestra en el siguiente gráfico. Hay dos razones fundamentales para que estos bancos se hayan convertido en codiciados objetivos: primero, porque cuentan con gran número de clientes y, segundo, porque es relativamente fácil obtener permisos para acceder a las cuentas de estos bancos debido a una seguridad débil.

Fig 3. Porcentaje de malware que ataca los 10 bancos más importantes

En 2007 se observó un importante incremento en el número de troyanos que roban las contraseñas y los datos que se teclean en los formularios online. Estos troyanos apuntan a los navegadores más comunes, como Explorer, Opera y Firefox. Asimismo, se utilizan para robar tarjetas de crédito y son capaces de penetrar las defensas de un banco. Todo depende del grado de sofisticación de las medidas de seguridad empleadas. Aquellos bancos que usan un único factor de autentificación son mucho más vulnerables ante ataques relativamente simples.

Eludir la protección

Las tendencias generales de los vectores infecciosos que usan los programas maliciosos se reflejan perfectamente en el malware financiero, y la gran mayoría de estos programas se infectan los equipos de los usuarios mientras estos navegan por Internet. Mientras que algunos de estos programas llegan a la víctima a través del correo electrónico, las razones por las que el malware financiero prefiere Internet están muy claras.

Primero: los programas maliciosos distribuidos por correo electrónico tienden a ser más evidentes para los desarrolladores de soluciones antivirus, las instituciones financieras, así como por usuarios finales y medios de comunicación. El factor furtivo y clandestino es clave para el éxito de los ataques contra instituciones financieras, razón por la cual una descarga realizada de manera imperceptible aprovechando vulnerabilidades, resulta ser un método muy atractivo. Si el usuario no se da cuenta de que algo está mal en su ordenador, seguirá haciendo uso normal del mismo, y seguirá introduciendo datos confidenciales que luego robarán los ciberdelincuentes.

Segundo: los programas maliciosos que se propagan a través de Internet se alojan en un servidor de Internet, factor determinante para eludir las técnicas de detección de las soluciones antivirus. Esto significa que los ciberdelincuentes que usan estos programas para lanzar ataques pueden modificar con facilidad archivos maliciosos con herramientas automatizadas, método conocido como polimorfismo en el servidor. Al estar el código alojado en un servidor remoto, resulta mucho más difícil e incluso imposible analizar el algoritmo utilizado para modificar el código. Es posible crear rutinas genéricas de detección para programas que usan polimorfismo en el servidor, pero lleva más tiempo.

Además de los factores anteriormente mencionados, algunos de los Trojans-Downloaders más sofisticados utilizados para la distribución de malware financiero están diseñados para autodestruirse (o “desaparecer”) una vez que descargan con éxito o no el malware financiero. Esto naturalmente obstaculiza el análisis realizado por especialistas forenses y antivirus.

“Mulas” de dinero

El aumento del malware financiero es resultado de la creciente ola ciberdelictiva provocada por los programas maliciosos con fines de lucro. Además de robar dinero, los ciberdelincuentes necesitan un método para acceder a este dinero. Obviamente, no pueden transferir el dinero robado a sus propias cuentas ya que ello provocaría su identificación e incrementaría de manera significativa el riesgo de que los arresten y procesen.

La respuesta de los bancos ante el creciente número de estos ataques ha sido invertir más tiempo, dinero y esfuerzos en el desarrollo de mecanismos para la detección del fraude y de las actividades ilegales. Una medida de seguridad consiste en la activación de una alerta cuando una considerable cantidad de dinero se transfiere a una región “sospechosa” en cualquier parte del mundo.

Para evitar que los descubran, los ciberdelincuentes han recurrido a las denominadas “mulas” (intermediarios en el blanqueo de dinero). Las mulas suelen reclutarse a través de ofertas de trabajo aparentemente legítimas; por ejemplo, los ciberdelincuentes pueden publicar un aviso buscando un “gerente financiero”. Si la mula acepta la oferta, posiblemente recibirá documentos con toda la apariencia oficial y se le pedirá que los firme para que todo parezca legítimo. La mula pone entonces su cuenta bancaria para realizar transacciones, y luego transfiere entre 85 y el 90 por ciento del dinero a través de servicios como MoneyGram o E-Gold. Se recurre a estos servicios porque garantizan el anonimato, reduciendo así la posibilidad de dar con los ciberdelincuentes. El dinero restante es la "comisión" de la mula; naturalmente se trata de dinero ganado de manera ilegal mediante phishing o malware financiero.

Fig. 4. Reclutamiento de “mulas” de dinero

Actuar como mula puede parecer una manera fácil de ganar dinero y algunas mulas pueden tener la impresión de que están realizando un trabajo legítimo. Sin embargo, legalmente se las considera como copartícipes de un delito, al contrario de lo que pasa con las víctimas de los fraudes online. Las mulas corren el riesgo de que se rastree sus actividades y se las arresten, en particular si viven en el mismo país que el ciberdelincuente que ha organizado la estafa.

El uso de mulas resulta muy ventajoso para los ciberdelincuentes. En primer lugar, si la mula está en el mismo país que el estafador, los sistemas automatizados del banco tienen menos posibilidades de identificar la transacción como sospechosa. En segundo lugar, el cerebro del fraude puede usar varias mulas y dividir la cantidad a transferir; por ejemplo, puede realizar diez transacciones de 5.000$ en lugar de una única transacción de 50.000$. Esto limita la posibilidad de identificar y detener la transacción por sospechosa, y también limita las pérdidas del estafador si una o dos transacciones resultan comprometidas.

Por supuesto que hay un riesgo al trabajar con mulas, pues los ciberdelincuentes tienen que estar seguros de que pueden confiar en la mula que eligen. Después de todo, nada garantiza que la mula no desaparezca con el dinero que se transfirió a su cuenta.

Phishing

Al considerar la cuestión del phishing es importante saber con exactitud qué se entiende por este término. Este artículo define el phishing como mensajes falsificados supuestamente provenientes de una organización (financiera) y diseñados para, mediante engaños, inducir al usuario a revelar sus datos confidenciales. Este es estrictamente un asunto de ingeniería social, y en cuanto implica programas maliciosos, el ataque ya no puede ser considerado como phishing.

El constante flujo de mensajes phishing y la elaboración de paquetes phishing demuestran con total claridad que el phishing sigue siendo una forma muy efectiva de inducir a los usuarios a revelar información privada. Hay varias razones para sostener este punto de vista. En primer lugar, la educación y concienciación de los usuarios no ha dado los frutos esperados y la gente sigue activando los vínculos que se incluyen en los mensajes phishing. En relación a esto, los usuarios o no conocen los mecanismos de seguridad (como https), no les prestan la suficiente atención o simplemente ignoran las advertencias sobre certificaciones válidas o inválidas de sitios Internet. Además, en un esfuerzo por maximizar sus ganancias, los ciberdelincuentes están constantemente desarrollando esquemas cada vez más agudos de ingeniería social para engañar hasta al usuario más experimentado en seguridad informática.

El segundo problema es que un ataque (phishing) muy simple puede socavar las defensas de la mayoría de las instituciones financieras. Una rápida revisión de las medidas de seguridad adoptadas por varios bancos en Estados Unidos, Reino Unido y otros países revela que recurren a un nombre de usuario y una contraseña simples y estáticos para acceder a su sistema de banca online. Todo lo que tiene que hacer el ciberdelincuente es obtener el nombre de usuario y contraseña y ya tiene el camino despejado para realizar casi cualquier transacción. Otra desventaja de usar nombre de usuario y contraseña estáticos es que se pueden guardar los datos, lo que significa que usuarios no autorizados o delicuentes cibernéticos no los tienen que procesar de inmediato, sino que pueden dejar esta tarea para más tarde.

Los bancos que tienen mejores políticas de seguridad usan al menos una contraseña dinámica que es válida una sola vez y durante una sesión específica. Es posible usar esta autentificación dinámica cuando el usuario accede al servicio o cuando firma una transacción, aunque es preferible que sea en ambos casos. El uso de este sistema hace imposible firmar una transacción con una contraseña caducada, y hace que en principio sea imposible acceder a la cuenta.

Para que un ciberdelincuente pueda realizar transacciones cuando se esté usando una contraseña dinámica mediante phishing, tiene que recurrir a un ataque del tipo MitM (man-in-the-middle - ‘hombre en el centro”-). Más adelante en este artículo se tratará este tipo de ataque. La implementación de un ataque MitM es de por sí más difícil que montar un sitio phishing estándar; sin embargo, ahora los ciberdelincuentes cuentan con paquetes MitM para lanzar ataques contra conocidos bancos con un mínimo esfuerzo.

Dado que el phishing aún goza de gran expansión, obviamente se trata de un exitoso método de ataque. Los ataques phishing funcionan en la mayoría de los sistemas operativos. Sin embargo, hay un gran problema desde el punto de vista del ciberdelincuente. Es el usuario quien al final decide pulsar o no el vínculo del mensaje, y también decide introducir o no sus datos confidenciales.

Este elemento de elección es inherente a todos los enfoques de ingeniería social. Un enfoque técnico que implique el uso de programas maliciosos elimina la variable del usuario, haciendo que aquéllos que no cayeron en una estafa phishing sean todavía un objetivo viable.

Ataques automatizados

El malware financiero viene en todas las formas y tamaños y, a menudo, está diseñado específicamente para una determinada institución. El funcionamiento de estos programas maliciosos suele estar determinada por las defensas del banco en cuestión. Esto significa que no es necesario que los ciberdelincuentes pierdan su tiempo creando programas maliciosos demasiado complejos. Existen varios métodos para eludir la seguridad de los bancos y hacerse con los datos de sus clientes. Por ejemplo, si un banco utiliza un factor único de autentificación con un nombre de usuario y contraseña estáticos, todo lo que el intruso tiene que hacer es capturar las secuencias de teclas accionadas. Algunos bancos han creado teclados dinámicos de forma que el usuario debe pulsar un modelo ‘aleatorio’ para ingresar su contraseña. Los autores de programas maliciosos recurren a dos métodos diferentes para burlar este tipo de seguridad; por un lado, pueden crear volcados de pantalla cuando el usuario visita un sitio específico; por otro, pueden simplemente obtener la información que se envía al sitio capturando el formulario. En ambos casos, los datos robados se procesarán posteriormente.

El uso de los números de transacción autorizada (TAN) para firmar transacciones hace que sea más complicado. Este número TAN proviene de una lista física que la entidad financiera entrega al dueño de la cuenta o se la envía a través de un mensaje SMS. En cualquier caso, el ciberdelincuente no tiene acceso al TAN. En la mayoría de los casos, el programa malicioso capturará la información que el usuario ingresa de una manera similar a la descrita arriba. Una vez que el usuario ingresa su número TAN, el programa malicioso interceptará este dato y mostrará un falso mensaje de error o enviará un número TAN incorrecto al sitio de la entidad financiera. Esto puede inducir al usuario a ingresar otro número TAN. Una organización puede requerir dos números TAN para completar una transacción; esto dependerá de la entidad y del sistema de seguridad que tiene implementado. Si sólo se necesita un número TAN para realizar una transacción, el ataque arriba descrito podría permitir al intruso realizar dos transacciones.

El éxito de este tipo de ataques depende en gran medida de la configuración exacta del sistema TAN. Algunos sistemas no fijan una fecha de vencimiento para los números TAN, siendo entonces sólo cuestión de utilizar el número TAN que se encuentra después del número TAN ya utilizado en la lista. Si el siguiente número TAN en la lista no llega al sitio del banco, entonces el ciberdelincuente podrá utilizarlo de inmediato, o guardarlo para después. Sin embargo, los números TAN robados tienen una vida útil menor que el nombre de usuario y la contraseña estáticos, ya que es muy probable que el usuario que sufra problemas durante una sesión de banca online llame al banco para pedir ayuda.

Cuando se envía un número TAN mediante un mensaje SMS al dueño de la cuenta es posible que el banco emita un único número TAN para cada transacción individual, siguiendo un método parecido al de la autentificación de dos factores. A partir de este punto, los piratas informáticos deben empezar a procesar los datos en tiempo real, recurriendo al ataque tipo MitM.

Redirección del tráfico

Otro método al que recurren los ciberdelincuentes es el de redireccionar el tráfico. Existen varias formas de hacer esto y la más sencilla consiste en modificar el archivo "hosts" de Windows.

Este archivo, ubicado en el directorio %windows%\system32\drivers\etc, puede usarse para pasar por alto las solicitudes de DNS (Domain Name Server). El DNS se usa para traducir nombres de dominios, tales como www.kaspersky.com a direcciones IP. Los nombres de dominios se usan por pura comodidad ya que los ordenadores usan las direcciones IP. Si el archivo “hosts” se modifica para remitir un nombre de dominio específico a una dirección IP de un sitio fraudulento, el tráfico será encauzado a ese sitio.

Otro método para redireccionar el tráfico consiste en modificar los parámetros DNS del servidor, es decir, se modifican los parámetros de manera que el ordenador use un servidor DNS distinto y fraudulento para las búsquedas. La mayoría de los usuarios que navegan desde su casa usan un servidor DNS que pertenece a su ISP. Como resultado, la gran mayoría de este tipo de ataques se canaliza a las estaciones de trabajo. Sin embargo, cuando se usa un enrutador para acceder a Internet de manera predeterminada, las búsquedas DNS las realiza el enrutador y las transfiere a las estaciones de trabajo. Se ha detectado una serie de ataques a enrutadores buscando modificar los parámetros del servidor DNS del enrutador. Teniendo en cuenta la creciente atención que provoca la inseguridad de los enrutadores, es probable que estos ataques continúen propagándose. Los ataques del tipo XSS pueden usarse para modificar ciertos parámetros clave, tales como los servidores DNS con sólo inducir al usuario a visitar un determinado sitio web.

Otro método utilizado para redireccionar el tráfico consiste en colocar un troyano en el ordenador cautivo que se encarga de monitorizar los sitios visitados. Tan pronto como el usuario se conecta al sitio de un banco (o al de otra entidad financiera), el troyano redireccionará el tráfico hacia un sitio fraudulento. El tráfico puede redireccionarse desde un sitio HTTPS a uno HTTP (potencialmente inseguro). En estos casos, el troyano es capaz de suprimir cualquier mensaje de alerta emitido por el navegador.

Sin embargo, desde la perspectiva del pirata cibernético, este método presenta algunos problemas: estos troyanos suelen ser Browser Helper Objects, lo que significa que sólo funcionarán con Internet Explorer. Además, aunque se redireccione el tráfico, no se puede procesar en tiempo real y permite al usuario atacado contar con el tiempo suficiente para ponerse en contacto con su banco y detener la transacción.

Ataque tipo Man-in-the-Middle (MitM).

Los programas maliciosos más sofisticados recurrirán a los ataques tipo MitM; esto no sólo permite al ciberpirata atacar a más bancos, sino también le garantiza un mayor beneficio ya que los datos se procesan en tiempo real. Un ataque tipo MitM recurre a un servidor pirata para interceptar todo el tráfico entre el cliente y el servidor, es decir, entre el cliente y la entidad bancaria. Aunque al usuario todo lo parecerá normal, cuando se le solicite autorizar la transacción, al hacerlo, en realidad estará autorizando una transacción fraudulenta creada por el pirata virtual. Los programas maliciosos que usan ataques MitM suelen neutralizar las notificaciones del navegador sobre falsas certificaciones de sitios o, lo que es más común, muestran falsas notificaciones. Sin embargo, dependiendo del enfoque en el que se base el programa malicioso, puede no realizar ninguna de las acciones mencionadas porque simplemente no son necesarias. Por ejemplo, si un usuario accede al sitio web de un banco y el programa malicioso toma el control y comienza a direccionar el tráfico al servidor MitM, este programa malicioso simplemente 'actualizará’ la página web del banco, mostrándosela al usuario como si todavía se encontrara en el mismo sitio.

Un gran número del malware financiero más sofisticado que usa ataques MitM también recurre a la inyección de HTML.

Esto suele manifestarse de una o dos maneras. El programa Trojan-Spy.Win32.Sinowal pertenece a una familia muy común de programas maliciosos capaces de atacar a más de 750 bancos y, a menudo, emerge en el lugar en el que el usuario debe ingresar sus datos. Sinowal puede mostrar ventanas emergentes que soliciten información no relacionada con la transacción en un intento de persuadir al usuario para que ingrese otros datos confidenciales. Las capturas de pantalla que aparecen a continuación muestran una ventana emergente generada por Sinowal en el sitio de un banco, solicitando al usuario detalles de su tarjeta de crédito, la cual no está siendo utilizada en la transacción.

Fig 5. Ventana emergente generada por Sinowal

Una forma más popular de utilizar la inyección de HTML consiste en añadir un formulario adicional al sitio web del banco: el texto que acompaña al formulario solicita al usuario que ingrese datos adicionales.

Por lo general, los datos requeridos son las credenciales necesarias para firmar una transacción. De esta manera, el servidor MitM completa una transacción de forma automática incluso aquellas en las que se necesita la autentificación de dos factores.

Aunque este método no es necesario para el éxito de un ataque MitM es el más fácil de automatizar para los piratas cibernéticos. Otro método implica la creación de un segundo sitio, réplica exacta del original. No obstante, algunos ataques MitM usan un táctica diferente: permiten que se pueda añadir otra transacción a la transacción original o modificarla, por supuesto sin que la víctima se entere de ello.

A pesar de que los ataques MitM suelen tener éxito, existen algunas dificultades para los ciberdelincuentes. Por lo general, un ataque MitM ralentiza notablemente la navegación lo que puede generar sospechas. Además, los bancos revisan sus sistemas de seguridad para identificar de forma heurística las transacciones ilegítimas. Por ejemplo, si un cliente ha accedido al sitio del banco desde una determinada dirección IP 99 veces, y la centésima vez lo hace desde una dirección localizada en un país completamente distinto, el sistema da la alarma.

Pero dado que los piratas informáticos no ceden en su búsqueda de generar máss ganancias, siempre buscan nuevas formas de lanzar sus ataques. Así, vemos un incremento de la llamada próxima generación de malware financiero: el del tipo Man-in-the-Endpoint (MitE).

La próxima generación

Aunque el concepto de los ataques MitE se conoce desde hace tiempo, su uso activo en Internet data de hace muy poco. Al contrario que los ataques MitM, los del tipo MitE no necesitan servidores adicionales para interceptar el tráfico entre el cliente y el servidor. En lugar de ello, todas las modificaciones se hacen en el sistema local.

Este enfoque presenta varias ventajas significativas. En primer lugar, existe una conexión directa con la entidad financiera de manera que no hay posibilidad de que se detecte la transacción por el simple hecho de que el usuario acceda al sitio web desde una dirección IP desconocida. En segundo lugar, un ataque tipo MitE tendrá mejores probabilidades de éxito que uno del tipo MitM si se lanza contra un sistema de protección complejo.

Sin embargo, la creación de un ataque MitE requiere mucho tiempo y esfuerzo por parte del ciberpirata. El El ataque se da cuando el sistema está infectado con un troyano diseñado para capturar todo el tráfico HTTPS. El tráfico interceptado se envía entonces a los creadores del programa malicioso, proporcionándoles una especie de plano o mapa del sitio web. Este plano se utiliza después para crear otro troyano.

Generalmente, los ciberdelincuentes recurren a los ataques MitE para actuar contra bancos que tienen autentificación de dos factores, una medida de seguridad que dificulta el acceso de los ciberpiratas al área de la transacción en el sitio web. El método arriba descrito es efectivo desde el punto de vista técnico. También elimina la necesidad de reclutar un infiltrado que proporcione al pirata las credenciales válidas para acceder al sitio.

Los troyanos utilizados en el ataque a menudo son capaces de recibir información desde un servidor Command & Control en el cual los delincuentes guardan la información de los números de cuentas y la cantidad de dinero a transferir. Ya que esto se realiza de manera dinámica, se puede enviar la información a cada ordenador infectado para que éste, a su vez, transfiera los fondos a la respectiva mula.

Resulta llamativo el hecho de que los creadores de malware modifiquen las versiones de programas maliciosos de una misma familia en función de los mecanismos específicos de seguridad de un banco. Esto se realiza con el fin de dotar a sus ataques de la mayor efectividad posible. Por ejemplo, con un banco el troyano añadirá, en secreto, una transacción adicional; pero con otro banco, el troyano reemplazará la transacción del usuario, también en secreto, para no levantar sospechas.

Soluciones

Las entidades financieras de todo el mundo están sufriendo pérdidas cada vez mayores debido a la acción de los piratas cibernéticos. Invertir en mejor seguridad es muy costoso. Sin embargo, ésta es una decisión que los bancos deben asumir. Tal y como se expone en este artículo, los ciberdelincuentes pueden burlar con mucha facilidad la autentificación de un único factor ya que sólo necesitan un simple programa genérico de control del pulsado de teclas. Por lo tanto, resulta reconfortante que muchos de los bancos que aún no han implementado la autentificación de dos factores estén considerando hacerlo.

Sin embargo, una tendencia sobresale del resto: el creciente uso de la autentificación de dos factores por parte de las instituciones financieras tiene como consecuencia el aumento de programas maliciosos capaces de neutralizar este tipo de autentificación. Esto significa que la eventual adopción de la autentificación de dos factores no tendrá efectos significativos a largo plazo. Simplemente subirá el nivel de exigencia del malware financiero.

Por otra parte, debe tenerse en cuenta que hoy en día la mayoría de los bancos que están utilizando la autentificación aún no tienen sistemas con niveles de máxima seguridad. Esto significa que todavía queda abierta una ventana para que los sistemas de seguridad bloqueen las acciones de los ciberdelincuentes.

Pero, existe un problema fundamental con la autentificación de dos factores: aunque la sesión sea segura, lo que suceda durante la misma escapa a todo control. Para incrementar la seguridad, es necesario alguna forma adicional de comunicación, como el uso de credenciales criptográficas (cryptographic token) o mensajes SMS (ya implementados por algunas entidades financieras). Los mensajes SMS podrían limitar la vida útil del número TAN, el acceso al número de las cuentas y la cantidad máxima permitida de cada transacción.

Obviamente, existe un problema potencial con este método: podría llevar a los autores de virus a crear programas maliciosos capaces de ejecutarse en los dispositivos que reciben los mensajes SMS. Un texto codificado constituye entonces la mejor solución ya que no es posible instalar ningún software adicional en esta ficha. Lo ideal sería contar con algoritmos separados para el acceso a un sitio y para firmar una transacción.

Actualmente, cuando se firma una transacción, el cliente tiene que pasar una verificación criptográfica. Un tema importante es que hasta la fecha estas verificaciones no revisten importancia para el cliente, por lo que debería implementarse una verificación para cada transacción individual. El uso de la cantidad total a transferir en calidad de verificación adicional no es un método seguro. Algunos troyanos ya han logrado burlar este mecanismo mediante el cambio de número de cuenta en lugar de añadir otra transacción.

Un método seguro tendría que pedir al cliente que introdujera los datos de la cuenta de destino de los fondos, algo que ni los ciberdelincuentes ni los programas maliciosos son capaces de predecir. Otro aspecto importante en este caso es que el cliente usara activamente el número de su cuenta, lo que en teoría significa que tiene la posibilidad de detectar una transacción incorrecta en vez de sólo leer el contenido de un mensaje SMS.

Más aún, tal mecanismo podría diseñarse para que fuera muy sencillo de manejar, permitiendo que el cliente tenga la opción de crear una lista blanca de números de cuentas que no necesitarían autentificación adicional. Sin embargo, esto exigiría esfuerzos para asegurar la lista blanca y el procedimiento para acceder a ella.

Obviamente, mucho depende de las entidades financieras y de los bancos y de su predisposición a implementar medidas apropiadas de seguridad. Dado que la seguridad para los procedimientos de la banca online es relativamente nueva, los desarrolladores de soluciones antivirus tienen una gran responsabilidad. ¿Pueden las soluciones de seguridad detectar el actual malware financiero? ¿Cuál es su capacidad para detectar nuevas versiones de programas maliciosos y de ataques phishing?

Por último, pero no menos importante, la solidez de cualquier solución o proceso de seguridad depende del eslabón más débil y, en este caso, ese eslabón es el cliente. ¿Pulsará el cliente el vínculo o abrirá un adjunto? ¿Está actualizado su sistema con todos los parches? Las entidades financieras ya han empezado a tomar en cuenta estos factores y algunas organizaciones, como en Nueva Zelanda, ya han dejado claro que no restituirán ninguna pérdida en un sistema que no esté actualizado con todos parches necesarios.

Por desgracia, la experiencia de la industria antivirus revela que la educación y concienciación del usuario tiene un efecto limitado, y que las medidas de seguridad que las instituciones adoptan pueden, de alguna manera, ser burladas. Por lo tanto, parece que cuando se trata de ataques contra bancos, la industria antivirus sigue a la vanguardia en cuanto a la protección de los usuarios y de las instituciones financieras, evitándoles pérdidas.

Fuente: Kaspersky Lab

Los Hackers Y La ley

2009-03-15T01:20:00.000-07:00

Dado que el hacking de ordenadores tiene por lo menos tres décadas, ha habido mucho tiempo para que los gobiernos desarrollen y aprueben leyes sobre crímenes cibernéticos. Al momento, casi todos los países desarrollados tienen algunas leyes contra el hacking o legislación sobre el robo o corrupción de datos que pueden ser utilizados para enjuiciar a los criminales cibernéticos. Existen esfuerzos para hacer que estas leyes sean aún más estrictas, lo que a veces provoca las protestas de grupos que apoyan el derecho a la libertad de información.

En los últimos años, han habido varios encarcelamientos por hacking y acceso no autorizado a datos, como los siguientes:

La captura de Kevin Mitnick es probablemente uno de los casos más famosos. Mitnick fue arrestado por FBI en Releigh, Carolina del Norte el 15 de febrero de 1995, después que el experto en ordenadores Tsutomu Shimomura lograra seguirlo hasta su escondite. Después de ser declarado culpable de la mayoría de los cargos que se le presentaron, Mitnick fue sentenciado a 46 meses de prisión y 3 años de libertad condicional. Más tarde fue sentenciado a otros veintidós meses haber infringido su libertad condicional y otros cargos. Salió de la prisión el 21 de enero del 2000.
Pierre-Guy Lavoie, un hacker canadiense de 22 años, fue sentenciado a 12 meses de servicio a la comunidad y a 12 meses de libertad condicional por haber hecho uso fraudulento de las contraseñas de ordenadores para perpetrar crímenes. Fue sentenciado bajo la ley canadiense.
Thomas Michael Whitehead, de 38, de Boca Ratón, Florida, fue la primera persona en ser encontrada culpable según el Digital Millennium Copyright Act (DMCA). Fue procesado como parte del Programa Attorney General's Computer Hacking y del Intellectual Property program, acusado de vender hardware para recibir de forma ilegal los programas satelitales de DirecTV.
Serge Humpich, un ingeniero de 36 años, fue sentenciado a 10 meses de prisión por la Cámara Correccional Nr. 13. También tuvo que pagar 12.000 francos (aproximadamente €1,200) en multas y una indemnización simbólica de un franco al 'Groupement des Cartes Bancaires'.
El 10 de octubre 2001, Vasiliy Gorshkov, de 26 años, de Chelyabinsk, Rusia, fue encontrado culpable de veinte cargos de conspiración, crímenes informáticos y fraude cometido contra Speakeasy Network de Seattle, Washington, Nara Bank de Los Angeles, California y el Central National Bank de Waco de Texas.
El 01 de julio del 2003, Oleg Zezev, alias "Alex", un ciudadano de Kazjistán, fue sentenciado por la corte federal de Manhattan a más de 4 años (51 meses) de prisión por extorsión y cargos de hacking contra ordenadores.
Mateias Calin, un hacker rumano, junto con cinco ciudadanos de Estados Unidos, recibió el veredicto la Gran Corte Federal por haber conspirado para robar más de $10 millones en equipos informáticos a la compañía Ingram Micro de Santa Ana, California, el distribuidor de tecnología más grande del mundo. Mateias y sus complices fueron condenados a más de 90 años de prisión.

La lista anterior es sólo una breve muestra de la situación del crimen cibernético en el mundo. Hay casos en que algunas personas han recibido un veredicto erróneo con respecto al crimen cibernético y también muchos hackers identificados están todavía en libertad. Sin embargo, el número de esos casos se reduce día tras día.

El crimen cibernético ha llegado para quedarse. Es una realidad del siglo XXI, y la amplia disponibilidad de Internet y los sistemas inseguros que lo acompañan han incrementado el alcance del crimen cibernético. Con una legislación suficientemente preparada y con más tratados internacionales sobre los crímenes cibernéticos, el mundo está tomando la dirección correcta, cuya meta a largo plazo es un espacio cibernético más seguro.

Un Análisis De La Mentalidad Del Hacker

2009-03-15T01:15:00.000-07:00

¿Por que algunas personas se dedican a hackear? Algunos dicen que la explicación es similar a la que dan los alpinistas refiriéndose a las montañas: “porque los ordenadores están allí". Otros indican que al resaltar las vulnerabilidades, el hacker ayuda a incrementar la seguridad de los ordenadores. Finalmente, está la explicación más aceptada y difundida: por motivos criminales.

Sea cual fuere la razón, mientras existan los ordenadores, habrán hackers de sombrero blanco, sombreros negro y sombrero gris. Y como no hay forma de predecir que clase de ataque (‘curiosidad’ versus ‘malicia’) amenazará a su ordenador, siempre es mejor estar preparado para lo peor.

Durante las horas en que un equipo está conectado a Internet, alguien lo puede explorar con un escáner automático de vulnerabilidades, buscando formas de ingresar. Puede ser alguien que sólo tiene curiosidad por ver lo que hay en el ordenador, o algún hacker de ‘sombrero blanco’ revisando si el ordenador es seguro. Por supuesto, a usted no le gustaría que desconocidos que pasan por su casa se detengan a revisar sus posesiones, confirmar si su casa o su auto están seguros y dejar una nota diciendo: "Hola, yo estuve aquí, su puerta estaba abierta, pero no se preocupe y por cierto, repare su cerrojo". Si usted no quiere que alguien haga esto en su casa, tampoco querrá que lo haga en su ordenador y no hay tampoco hay excusas para hacerlo en el ordenador de otra persona.

El hacking premeditado y criminal es más grave. En el mundo real las cosas suceden así: alguien llega, rompe su candado, entra, desconecta su sistema de alarma, roba algo o coloca micrófonos en su teléfono o un equipo de vigilancia en su sala. Si esto ocurre, usted puede llamar a la policía; ellos investigarán, escribirán un reporte y a usted sólo le quedará esperar que los ladrones sean capturados. Desafortunadamente, este es un lujo raro en el mundo de los ordenadores; el acusado puede estar lejos, muy lejos, descargando sus archivos confidenciales mientras descansa sentado en su villa personal o toma baños de sol en su gigantesca piscina, construida con dinero robado. En el ámbito de negocios, muchas corporaciones prefieren no informar sobre ningún incidente de hacking, a fin de proteger la imagen de su compañía. Lo cual significa que los criminales permanecen sin castigo.

Otra motivación del hacker puede ser el vandalismo o graffiti digital, que puede ser definido como hackear los sistemas para causar daño. La desfiguración de sitios web es una forma muy popular de graffiti digital y hay algunos grupos hackers que solamente se ocupan de realizar esta tarea. Igual que en el mundo real, no cibernético, atrapar a los hooligans es una tarea tediosa que no suele merecer los esfuerzos que se le dedica.

Cualquiera que sea la razón, ya sea "ayudar a los otros", "incrementar la seguridad", "vandalismo" o "intento criminal"; el hacking es un fenómeno que tiene profundas raices en el mundo de los ordenadores y probablemente nunca desaparezca. Siempre habrá gente inmadura que tratará de abusar de los recursos públicos, autoproclamándose "Robin Hood" y criminales informáticos ocultos en los oscuros callejones del ciberespacio.

Los Hackers Más Destacados

2009-03-15T01:13:00.000-07:00

Esta sección contiene una breve información sobre algunos de los hackers más famosos, ya sean de "sombrero blanco" (inofensivos) o de "sombrero negro" (delincuentes).

Los individuos abajo mencionados son bien conocidos por varias razones: sus acciones, buenas o malas, sus contribuciones al desarrollo de software y la tecnología o su actitud innovadora; sus destrezas y su capacidad de pensar fuera de esquemas preestablecidos.

Richard Stallman es conocido como el padre de software gratuito. Cuando Stallman comenzó a trabajar en el MIT's Artificial Intelligence Lab en1971 fue confrontado con ‘acuerdos de no revelación’ y fuentes de programas cerrados mientras trataba de sintonizar y mejorando los drivers de sistemas de la ‘forma tradicional’.

Después de una interesante batalla para obtener el código fuente de una utilidad de impresión mal escrita, Stallman renunció a su trabajo y se convirtió en el promotor más conocido del software libre, creando GNU y la Fundación de Software Libre .

Dennis Ritchie y Ken Thompson por haber creado el software más significativo del siglo XX: el sistema de operación UNIX y el lenguaje de programación C. Ambos comenzaron sus carreras en los Laboratorios Bell en 1960, revolucionando el mundo de los ordenadores con sus ideas. Mientras Ken Thompson se ha retirado del mundo de los ordenadores, Dennos Ritchie está aún empleado en Lucent Technology, trabajando en un nuevo sistema de operación derivado del UNIX llamado ‘Plan9’

John Draper, alias ‘Cap’n Crunch’ se hizo famoso por su capacidad de hackear los sistemas de teléfonos utilizando solamente un silbato de las cajas de cereales 'Cap'n Crunch' (de aquí viene el sobrenombre). Además de ser el padre del 'phone phreaking', John Draper es también famoso por escribir lo que tal vez fuera el primer procesador de palabras para IBM PC. Ahora tiene su propia empresa de seguridad, desarrollando soluciones antispam, desbaratando los ataques de hackers y asegurando los PC.

Robert Morris es famoso por ser el creador del primer gusano de Internet en 1988, que infectó miles de sistemas y prácticamente paralizó Internet por casi un día. El gusano Morris fue tal vez la primera herramienta hacking completamente automática que utilizó un par de vulnerabilidades no parchadas en los ordenadores Vax y Sun

Kevin Mitnick, posiblemente el hacker de "sombrero negro", fue capturado por el experto en ordenadores Tsutomu Shimomura en 1995.

Kevin Poulsen llegó a la fama por haber hackeado en 1990 el sistema de teléfonos de Los Angeles. Esto le permitió hacer la llamada número 102 en una radio y ganar un Porsche 944. Kevin Poulsen fue capturado y puesto en prisión por tres años. El ahora trabaja como columnista para la revista de seguridad en línea ‘Security Focus’

Vladimir Levin, un experto en ordenadores ruso, hackeó el Citibank y extrajo 10 millones de dólares. Fue arrestado por la INTERPOL en el Reino Unido por el año 1995, y sentenciado a tres años de prisión. También se requirió que pagara la suma de 240.015 dólares en calidad de restitución.

Tsutomu Shimomura es un buen ejemplo de ‘sombrero blanco’. Trabajaba para el Centro de Supercomputación en San Diego cuando Kevin Mitnick se introdujo en su red y robó información de tecnología celular y otros datos secretos. Tsutomu comenzó la persecución que condujo al arresto de Mitnick.

Linus Torvalds es conocido como el padre de Linux, el más popular sistema operativo basado en Unix. Linus comenzó a crear un nuevo sistema operativo en 1991, adoptando varias tecnologías controversiales en su proyecto conocido como Free Software y GNU's Public License System. Es también conocido por su anterior disputa con Andrew Tannenbaum, el autor de Minix, que fue la fuente de inspiración para el proyecto del sistema operativo de Linus.

Cómo Detectar Un Ataque De Hacker

2009-03-15T00:56:00.000-07:00

La mayoría de las vulnerabilidades de ordenadores pueden ser aprovechadas de varias formas. Los ataques Hacker pueden utilizar un simple exploit específico, o varios exploits al mismo tiempo, una configuración deficiente en uno de los componentes del sistema o inclusive un backdoor instalado en un ataque anterior.

Debido a esto, detectar los ataques hacker no es una tarea fácil, sobre todo para un usuario inexperto. Este artículo da unas cuantas ideas y guías básicas para ayudarle a darse cuenta si su máquina está bajo un ataque o si la seguridad de su sistema está expuesta a peligro. Tenga en cuenta que no hay una garantía del 100% de que usted detecte un ataque hacker de esta forma. Sin embargo, hay buenas probabilidades de que si su sistema ha sido penetrado, muestre uno o más de los siguientes comportamientos.

Equipos con Windows:

Tráfico de red de salida sospechosamente alto. Si usted está en una cuenta de discado o utiliza ADSL y nota un volumen alto no usual en el tráfico de salida (sobre todo si este tráfico sucede cuando su ordenador esta inactivo o no necesariamente cargando datos) entonces es posible que su ordenador esté en peligro. Su ordenador puede estar siendo utilizado ya sea para enviar spam o por un gusano de red que se esta reproduciendo y enviando copias de si mismo. Para las conexiones por cable, esto es menos relevante – es muy común tener la misma cantidad de tráfico de salida como el tráfico de entrada; inclusive si usted no está haciendo nada más que visitar sitios o descargar datos de Internet.
Gran actividad del disco duro o archivos de aspecto sospechoso en los directorios raíces de cualquiera de los discos. Después de penetrar en el sistema, muchos hackers realizan un escaneo masivo para encontrar documentos interesantes o archivos que contengan contraseñas o detalles de cuentas de banco o de pagos como PayPal. De igual forma, algunos gusanos buscan en el disco archivos que contengan direcciones de correo electrónico y las usan para propagarse. Si usted nota una gran actividad en su disco cuando el sistema esta inactivo, y archivos de nombres sospechosos en carpetas comunes, este puede ser un indicio de penetración en el sistema o de una infección de malware.
Un gran número de paquetes que vienen de una dirección simple son y son bloqueados por un cortafuegos (firewall) personal. Después de ubicar un blanco (Ej: el rango IP de una compañía o un grupo de usuarios de servicios de cable) los hackers suelen usar herramientas automáticas de prueba que tratan de usar varios exploits para irrumpir en el sistema. Si usted tiene un cortafuegos (firewall) personal (un elemento fundamental para protegerse de los ataques hacker) y notan un número inusualmente alto de paquetes que vienen de la misma dirección, entonces este es un claro indicador de que su equipo está bajo ataque. Las buenas noticias son que si su cortafuegos (firewall) personal está reportando estos ataques, es muy probable de que usted esté seguro. Sin embargo, dependiendo de la cantidad de servicios que usted expone a Internet, el cortafuegos personal puede fallar en protegerlo contra un ataque dirigido a un servicio FTP específico de su sistema que haya sido abierto a todos los usuarios. En este caso, la solución es bloquear el IP ofensor temporalmente hasta que cesen los intentos de conexión. Muchos cortafuegos (firewall) personales y IDS tienen incorporada una función de bloqueo.
Un gran número de paquetes que vienen de una sola dirección y son bloqueados por su cortafuegos (firewall) personal. Después de ubicar un blanco (Ej: el rango IP de una compañía o un grupo de usuarios de servicios de cable) los hackers suelen usar herramientas automáticas de prueba que tratan de usar varios exploits para irrumpir en el sistema. Si usted tiene un cortafuegos (firewall) personal (un elemento fundamental para protegerse de los ataques hacker) y notan un número inusualmente alto de paquetes que vienen de la misma dirección, entonces este es un claro indicador de que su equipo está bajo ataque. Las buenas noticias son que si su cortafuegos (firewall) personal está reportando estos ataques, es muy probable de que usted esté seguro. Sin embargo, dependiendo de la cantidad de servicios que usted expone a Internet, el cortafuegos personal puede fallar en protegerlo contra un ataque dirigido a un servicio FTP específico de su sistema que haya sido abierto a todos los usuarios. En este caso, la solución es bloquear el IP ofensor temporalmente hasta que cesen los intentos de conexión. Muchos cortafuegos (firewall)s personales y IDS tienen incorporada una función de bloqueo. Su antivirus residente de pronto comienza a informar que ha detectado backdoors o caballos de Troya, inclusive si usted no ha hecho nada fuera de lo ordinario. Aunque los ataques de hacker pueden ser complejos e innovadores, los caballos troyanos o backdoor conocidos siguen utilizándose para obtener acceso completo al sistema amenazado. Si el componente residente de su antivirus está detectando y reportando este tipo de malware, puede ser un indicio de alguien está intentando penetrar a su sistema.

Unix machines:

Archivos con nombres sospechosos en el archivo/tmp folder. Muchos exploits en el mundo Unix se basan en la creación de archivos temporales en el fólder /tmp, que no siempre son borrados después del hackear el sistema. Lo mismo sucede con algunos gusanos que infectan los sistemas Unix; ellos se apoderan del directorio tmp y lo utilizan como su "casa".
Con frecuencia, después de ingresar al sistema, el hacker intenta asegurarse el acceso instalando una "puerta trasera" en uno de los demonios con acceso directo desde el Internet, o mediante la modificación de utilidades standard del sistema que se usan para conectarse con otros sistemas. Los binarios modificados son usualmente parte de un rootkit y generalmente son invisibles ante una inspección simple. En todos los casos, es una buena idea mantener una base de datos de las sumas de control de cada utilidad de sistema y verificarlas periódicamente desconectando el sistema de la red y en modo de usuario único.
La alteración de /etc/passwd, /etc/shadow, u otros archivos de sistemas en el directorio /etc. A veces los ataques de hackers pueden añadir un nuevo usuario en /etc/passwd que puede obtener ingreso remoto al sistema en una fecha posterior. Busque cualquier nombre de usuario sospechoso en el archivo de contraseñas y monitoree todos los usuarios agregados, especialmente en un sistema de usuarios múltiples.
Los servicios sospechosos añadidos a /etc/services. Para abrir una puerta trasera en un sistema Unix a veces basta añadir dos líneas de texto. Esto se lleva a cabo al modificar /etc/services así como /etc/ined.conf. Monitoree de cerca estos dos archivos y preste atención a cualquier adición que podría indicar una conexión backdoor a un puerto sospechoso o no usado.

Historia de incidentes provocados por hackers

2009-03-14T23:54:00.000-07:00

Diciembre de 1947 - William Shockley inventa el transistor y demuestra su uso por primera vez. El primer transistor consistía de una colección desordenada de cables, aislantes y germanio. Según datos recientes publicados en el sitio web de sitio web de CNN, se cree que el transistor fue el descubrimiento más importante en los últimos 100 años.
1964 - Thomas Kurtz y John Kemeny crean BASIC, uno de los lenguajes de programación más populares hasta hoy.
1965 -Se estima que aproximadamente 20.000 sistemas de ordenadores se usan en Estados Unidos. La mayoría de éstos son fabricados por International Business Machines (IBM).
1968 - se funda Intel.
1969 - se funda AMD.
1969 - Advanced Research Projects Agency (ARPA) crea ARPANET, la red precursora de Internet. Las primeras cuatro redes de ARPANET pertenecían a la Universidad de California Los Angeles, Universidad de California Santa Barbara, la Universidad de Utah y el Instituto de Investigación Stanford
1969 - Intel anuncia módulos RAM de 1K (1024 bytes).
1969 - Ken Thompson y Dennis Ritchies comienzan a trabajar en UNICS. Thompson escribe la primera version de UNICS en un mes en un artefacto con 4KB de 18 bit words. UNICS después cambió de nombre a 'UNIX'.
1969 - MIT se convierte el hogar de los primeros hackers de ordenadores, quienes comienzan a alterar el software y hardware para hacer que funcionen mejor o más rápido.
1969 - Linus Torvalds nace en Helsinki.
1970 - DEC presenta el PDP-11, uno de los diseños de ordenadores más populares. Algunos se siguen usando hoy en día.
1971 - John Draper, alias 'Cap'n Crunch' hackea sistemas de teléfono utilizando un silbato de juguete.
1971 - Se presenta el primer programa de correo electrónico para Arpanet. El autor es Ray Tomlinson, quien decide usar el signo '@' para separar el nombre del usuario del nombre de dominio.
1972 - Ritchie y Kerningham reescriben UNIX en C, un lenguaje de programación diseñado con la idea de ser ejecutable en diferentes plataformas.
1972 - NCSA desarrolla la herramienta 'telnet'.
1973 - Gordon Moore, presidente de Intel postula la famosa 'Moore Law', ley Moore que indica el número de transistores en los CPU se duplicarán cada 18 meses, una ha resultado cierta durante más de 20 años.
1973 - Se introduce FTP, el protocolo de transmisión de ardchivos.
1974 - Stephen Bourne desarrolla el primer importante shell para UNIX, llamado 'bourne'.
1975 - Bill Gates y Paul Allen fundan Microsoft.
1976 - Bill Gates, entonces de 21 años, escribe una 'An Open Letter to Hobbyists' una carta abierta a los aficionados, un documento en el que condena la fuente abierta y la piratería de software.
April 1st, 1976 - Se funda Apple Computers.
1977 - Billy Joy crea BSD, otro sistema de operación parecido a UNIX. .
1979 - Microsoft compra a AT&T la licencia del código fuente de UNIX y crea su propia implementación ‘Xenix’.
1981 - Se crea el sistema de nombres de dominio (DNS).
1981 - Microsoft adquiere los derechos de propiedad intelectual del sistema operativo DOS y le cambia el nombre a MS-DOS.
1982 - Se funda Sun Microsystems. Sun se volvería famoso por su microprocesador SPARC, el sistema operativo Solaris, el sistema de archivo de redes (NFS) y Java.
1982 - Richard Stallman comienza a desarrollar una versión libre de UNIX la que llama 'GNU', una definición recursiva que significa 'GNU's no UNIX'.
1982 - William Gibson inventa el término 'cyberspace', ciberespacio.
1982 - Se publica el SMTP, el 'simple mail transfer protocol' protocolo de transferencia de correo simple. SMTP es actualmente el método más difundido para intercambiar mensajes por Internet.
1982 - Scott Fahlman inventa el primer emoticon ‘:)’.
1983 - Se funda Internet al dividir el Arpanet en redes separadas: militares y civiles.
1983 - Tom Jennings desarrolla FidoNet , que llegará a ser la red de intercambio de información más difundida en el mundo por los próximos 10 años, hasta que el Internet lo sobrepasa.
1983 - Kevin Poulsen, alias 'Dark Dante' es arrestado por forzar el Arpanet.
1984 - Se funda CISCO Systems.
1984 - Fred Cohen crea el primer virus para PC y surge un nuevo término : 'computer virus', virus de ordenadores.
1984 - Andrew Tannenbaum crea Minix, un clon gratuito de UNIX basado en la arquitectura modular microkernel.
1984 - Bill Landreth, conocido como 'The Cracker', es apresado por hackear sistemas de ordenadores e ingresar a los datos de ordenadores de la NASA y el Departamento de Defensa.
1984 - Apple presenta Macintosh System 1.0.
1985 - Richard Stallman funda la Fundación de Software Libre (Free Software Foundation).
March 15, 1985 - Se registra 'Symbolics.com' como el primer nombre de dominio de Internet.
November 1985 - Microsoft presenta 'Windows 1.0', que se vende a un precio de 100 dólares.
1986 - En Estados Unidos se promulga el Acto de Abuso y Fraude en los Ordenadores.
1986 - Loyd Blankenship, miembro del grupo 'Legion of Doom', alias 'The Mentor', es arrestado y publica el ahora famoso 'Hacker's Manifesto'.
1988 - Se inventa el CD-ROM.
1988 - Se establece el IRC.
Noviembre de 1988 - Robert Morris crea un gusano de Internet que infecta varios miles de sistemas, destroza y provoca atascos en los ordenadores en todo el país, debido a un error de programación. Este virus ahora se conoce como el gusano Morris.
1989 - Se desarrolla el WWW en los laboratorios CERN labs, en Suiza
1990 - Se desmantela Arpanet.
1990 - Kevin Poulsen hackea un sistema telefónico en Los Angeles, haciéndose ganador de un Porsche 944 en un concurso radial.
1991 - PGP (Pretty Good Privacy), una poderosa herramienta y gratuita de cifrado es presentada por Philip Zimmerman. El software rápidamente llega a ser el paquete de cifrado más popular del mundo.
1991 - Aparecen los rumores sobre el virus de ordenadores 'Michaelangelo', codificado para lanzar su carga destructiva el 6 de marzo.
17 de septiembre de 1991 - Linus Torvalds presenta la primera versión de Linux.
1992 - El grupo de "phreaking telefónico" “Masters of Deception” es arrestado debido a evidencia obtenida vía pinchado de teléfono.
1993 - Se presenta el navegador web Mosaic.
1993 - Microsoft presenta Windows NT.
1993 - Se presenta la primera versión de FreeBSD.
23 de marzo de 1994 - Richard Pryce, de 16 años, alias 'Datastream Cowboy', es arrestado con cargos de acceso no autorizado a ordenadores.
1994 - Vladimir Levin, un matemático ruso, hackea el Citibank y roba $10 millones.
1995 - Dan Farmer y Wietse Venema presentan SATAN, un escaner automático de vulnerabilidades, que se convierte en una popular herramienta de hacking.
1995 - Chris Lamprecht, alias 'Minor Threat', es la primera persona que en ser "baneada" de Internet.
1995 - Sun lanza Java, un lenguaje de programación de ordenadores diseñado para ser ejecutado en diferentes plataformas de forma compilada.
Agosto de 1995 - Microsoft lanza Internet Explorer (IE) el cual se convertirá en el navegador web más explotado de la historia y el blanco favorito para los escritores de virus y hackers.
August 1995 - Se lanza Windows 95 .
1996 - IBM presenta la version 4 de Warp OS/2, un poderoso sistema de operación multitareas con un nuevo interfaz de usuario, como un respuesta a Microsoft, que había presentado Windows 1995. A pesar de ser más confiable y estable, OS/2 irá perdiendo terreno y será abandonado pocos años más tarde.
1996 - Se presenta el primer servicio de mensajería en Internet, el ICQ.
1996 - Tim Lloyd planta una bomba de tiempo de software en Omega Engineering, una compañía en New Jersey. Los resultados del ataque son devastadores: pérdidas de USD$12 millones y más de 80 empleados que pierden su trabajo. Lloyd es sentenciado a 41 meses en prisión.
1997 - Se publican las especificaciones de formato del DVD.
1998 -Dos hackers chinos, Hao Jinglong y Hao Jingwen (mellizos) son sentenciados a muerte por una corte en China por ingresar a un ordenador de un banco y robar 720.000 yuan ($87'000).
March 18, 1998 - Ehud Tenebaum, un prolífico hacker, alias “El Analizador” es arrestado en Israel por hackear muchos ordenadores de alto perfil en los Estados Unidos.
1998 - El virus CIH es presentado. CIH es el primer virus que incluye una carga explosiva que borra la memoria FLASH BIOS, haciendo que el sistema del ordenador no pueda arrancar y echa por tierra el mito de que ‘los virus no pueden dañar el hardware’.
26 de marzo de 1999 - Se lanza el virus Melissa .
2000 - Un hacker adolescente canadiense conocido como ‘Mafiaboy’ conduce un ataque DoS y hace que Yahoo, eBay, Amazon.com, CNN y unos cuantos otros sitios web se tornen inaccesibles. Es sentenciado a ocho meses en un centro de detención para jóvenes.
2000 - Microsoft Corporation admite que su red de ordenadores fue penetrada y el código de varias versiones nuevas de Windows fueron robadas.
2000 - The FBI arresta a dos hackers rusos, Alexi V. Ivanov y Vasiliv Groshkov. Los arrestos se llevan a cabo después de una operación compleja que incluyó el llevar a los hackers a los Estados Unidos bajo el pretexto de "mostrar sus habilidades de hacking’
Julio de 2001 - El gusano CodeRed es lanzado, y se esparce rápidamente por todo el mundo, infectando cientos de miles de ordenadores en pocas horas.
2001 - Microsoft presenta Windows XP.
July 18th, 2002 - Bill Gates anuncia la iniciativa 'Trustworthy Computing', una nueva tendencia en el software Microsoft que desarrolla una estrategia dirigida a incrementar la seguridad.
October 2002 - Hackers no identificados atacan 13 servidores del dominio raíz de Internet. El objetivo: detener el servicio de resolución de nombres de dominio en toda la red.
2003 - Microsoft presenta Windows Server 2003.
29 de abril de 2003 - New Scotland Yard arresta a Lynn Htun en la feria de ordenadores London's InfoSecurity Europe 2003. Se cree que Lynn Htun obtuvo acceso no autorizado a muchos importantes sistemas de ordenadores como Symantec y SecurityFocus.
6 de noviembre de 2003 - Microsoft anuncia un fondo de recompensa de 5 millones de dólares. El dinero se dará a aquellos que ayuden a seguir las pistas de los hackers que tienen como blanco las aplicaciones de software de Microsoft.
May 7th, 2004 - Sven Jaschan, el autor de los gusanos de Internet Netsky y Sasser, es arrestado en Alemania Occidental.
September 2004 - IBM presenta un superordenador que es el artefacto más rápido en el mundo. Su velocidad sostenida es de 36 billones de operaciones por segundo

Vulnerabilidades Del Software

2009-03-14T23:47:00.000-07:00

"Errare humanum est" (" Errar es humano.") Marcus Tullius Cicero, filósofo, estadista y escritor romano

"Errar es humano, pero hacer las cosas realmente mal, es necesario usar un ordenador" Paul Ehrlich

El término ‘vulnerabilidad’ es se menciona a menudo en conexión con la seguridad de los ordenadores en muchos diferentes contextos.

En su sentido más amplio, el término ‘vulnerabilidad’ se refiere a la violación de una política de seguridad . Esto puede deberse a reglas de seguridad inadecuadas o a problemas dentro del mismo software. En teoría , todos los sistemas de ordenadores tienen vulnerabilidades, de cuya seriedad depende que sean o no usados para causar un daño al sistema.

Han habido muchos intentos de definir claramente el término ‘vulnerabilidad’ y separar los dos significados. MITRE, un grupo de investigación y desarrollo fundado en Estados Unidos, que se concentra en el análisis y la solución de situaciones críticas de seguridad. El grupo propone las siguientes definiciones:

Según la Terminología de MITRE's CVE :

[...] Una vulnerabilidad universal es un estado en un sistema de ordenadores o un grupo de sistemas que:

permite que un atacante ejecute órdenes como otro usuario
permite que un atacante tenga acceso a los datos de acceso restringido
permite que un atacante hacerse pasar por otra entidad
permite que un atacante conduzca un denegación de servicio.

MITRE cree que cuando un ataque se hace posible por una debilidad o una política de seguridad inapropiada, es mejor descrita como "exposición"

Una exposición es un estado en un sistema de ordenadores ( o grupo de sistemas) que no es una vulnerabilidad universal, pero:

permite que un atacante reúna información sobre las actividades del sistema
permite que un atacante disimule sus actividades
Incluye una función que se comporta como se espera, pero puede ser fácilmente puesta en peligro
Es un punto primario de entrada que un atacante puede intentar usar para obtener acceso al sistema o a los datos.
Es considerado un problema de acuerdo a alguna política de seguridad razonable.

Cuando se trata de obtener acceso no autorizado al sistema, un intruso usualmente primero realiza un escaneo de rutina (o investigación) del blanco, reúne cualquier dato ‘expuesto’ y luego explota las debilidades o vulnerabilidades de las políticas de seguridad.

Por esta razón, las vulnerabilidades y exposiciones son aspectos importantes que deben ser considerados cuando se asegura un sistema contra el acceso no autorizado.

Los Malwares recorren el mundo: No se deje Engañar…

2009-03-12T15:38:00.000-07:00

Usted se preguntará, ¿será tal vez una nueva comida; un nuevo producto, una nueva tecnología? No es para menos. Pues es razonable que en estos momentos esté formulándose miles de preguntas.

Estimados empresarios el “Malware” (Malicious Software) es cualquier programa potencialmente dañino para nuestra computadora.

Este concepto no debe ser confundido con el de Virus ya que son dos cosas totalmente distintas. A ver, para que se comprenda la diferencia: “un virus es un malware, por ejemplo, los Worms o gusanos: Se multiplican ocupando la memoria y volviendo lento al ordenador; pero no todo malware es un virus, por ejemplo: el SPAM”.

Lo fundamental, es tener una actitud responsable ante la información propia y ajena. Esta actitud frente a la información pasa por no efectuar descargas en nuestro ordenador sin la validación correspondiente y si tenemos dudas acerca de su procedencia. No es garantía suficiente que sea enviada por alguno de nuestros contactos ya que ellos pudieron ser engañados también.

¿Cómo logra el malware dañar nuestra PC?

Es muy sencillo, mediante la técnica llamada Ingeniería Social (la práctica de obtener una información confidencial a través de la manipulación de usuarios legítimos) Esto generalmente se realiza, por teléfono, por fax o por Internet para engañar a la víctima y llevarla a revelar información o a violar las políticas de seguridad típicas.

Es la más utilizada por los malwares para engañar usuarios, realizar infecciones y lograr estafas. Se interrogará, usted acerca de los objetivos que persigue:

•	Recolectar información con o sin consentimiento del usuario
•	Engañar al usuario
•	Salteo de autentificación
•	Instalación de otros malwares
•	Daño sin intención
•	Daño explícito

No se deje engañar. Los malwares recorren el mundo y están llegando a su ordenador… ¡No los deje avanzar!

Creadores De Virus: 4 Tipos Generales

2009-03-12T15:08:00.000-07:00

Los creadores de virus pertenecen a uno de los siguientes grupos: vándalos cibernéticos, que pueden ser divididos en dos categorías, y programadores más serios, que también pueden ser divididos en dos grupos.

Vandalismo cibernético

En el pasado, programadores jóvenes creaban la mayor parte de los programas maliciosos: eran muchachos que habían terminado de aprender a programar y querían poner a prueba sus habilidades. Afortunadamente, gran parte de esos programas no tuvieron gran difusión, ya que la mayoría de ellos sucumbió durante el formateo o modernización de los discos. Estos virus no se escribieron con un objetivo o fin concreto, sino como forma de autorrealización de sus autores.

Vandalismo cibernético

El segundo grupo de autores de programas maliciosos estaba conformado por jóvenes, por lo general estudiantes. Ellos todavía estaban aprendiendo a programar, pero ya habían tomado la decisión consciente de dedicar sus aptitudes a la creación de virus. Era gente que había decidido trastornar la comunidad informática cometiendo actos de vandalismo cibernético. Los virus que creaban los miembros de este grupo eran, por lo general, extremadamente primitivos y su código contenía una gran cantidad de errores.

Sin embargo, el desarrollo de Internet otorgó nuevos espacios y oportunidades para esos creadores de virus. Aparecieron numerosos sitios, cuartos de charla y otros recursos dónde cualquiera podía aprender a escribir virus: se podía hablar con autores experimentados y descargar desde herramientas para construir y ocultar programas maliciosos, hasta códigos fuentes de programas maliciosos.

Creadores profesionales de malware

Posteriormente, estos "muchachos programadores" se convirtieron en adultos. Lamentablemente, algunos de ellos no salieron de la etapa de "creadores de virus". Por el contrario, empezaron a buscar aplicaciones comerciales para sus dudosos talentos. Este grupo continúa siendo el sector más clandestino y peligroso de la comunidad informática clandestina. Han creado una red de programadores profesionales y talentosos que se toman muy en serio la tarea de escribir y propagar los virus.

Los creadores profesionales de virus con frecuencia escriben códigos innovadores para penetrar en los ordenadores y redes; investigan las vulnerabilidades del software y el hardware y usan la ingeniería social de forma original para asegurarse de que sus criaturas maliciosas no sólo sobrevivan, sino que se reproduzcan por toda la faz de la tierra.

Los investigadores de malware: los autores de "pruebas de concepto" maliciosas

El cuarto grupo de creadores de virus, que es el menos numeroso, es bastante inusual. Estos creadores de virus que se autodenominan "investigadores", con frecuencia son programadores talentosos que han dedicado sus aptitudes a desarrollar nuevos métodos de penetrar e infectar sistemas, burlar los programas antivirus, etc. Por lo general, son los primeros en penetrar en los nuevos sistemas operativos y equipos. No obstante, estos autores no escriben virus para ganar dinero, sino sólo con fines de investigación. No suelen difundir el código fuente de sus "virus de prueba de concepto", pero debaten activamente sus innovaciones en los recursos de Internet dedicados a los creadores de virus.

Todo lo dicho puede sonar inocente e incluso útil. Sin embargo, un virus es un virus y la investigación de nuevas amenazas debe ser conducida por gente dedicada a la curación de la enfermedad, y no por aficionados que no asumen ninguna responsabilidad por los resultados de su investigación. Muchos de los virus de "prueba de concepto" pueden convertirse en serias amenazas una vez que los creadores profesionales de virus los tengan en su poder, ya que la creación de virus es una fuente de ingresos para este grupo.

Para que escribir virus?

Para estafar

La comunidad informática clandestina se ha dado cuenta de que el pagar por servicios de Internet, tales como acceso a Internet, al correo electrónico y el hospedaje de páginas web proporciona nuevas oportunidades para realizar actividades ilegales, con la satisfacción adicional de recibir dinero sin esfuerzo. Los autores de virus han creado una serie de troyanos que roban información sobre los nombres de usuarios y sus contraseñas para obtener acceso gratuito a los recursos de Internet contratados por otros usuarios.

El primer troyano que robaba contraseñas apareció en 1997: su objetivo era obtener acceso a America On Line (AOL). Hasta 1998 aparecieron troyanos para todos los proveedores más importantes de servicios de Internet. Los troyanos que roban los datos de las conexiones por teléfono a los proveedores de Internet, AOL y otros por lo general los escribe gente de limitados recursos para mantener sus hábitos de Internet, o por gente que no acepta que los recursos de Internet son un servicio comercial de pago como cualquier otro.

Por largo tiempo, este grupo de troyanos constituyó una significante parte de la "pesca" diaria de las compañías antivirus en todo el mundo. Hoy, su número está decreciendo en proporción directa con el precio cada vez menor del acceso a Internet.

Las licencias de juegos y software para ordenador son otra presa deseada por los estafadores cibernéticos. Una vez más, gente de limitados recurso escribe los troyanos que proveen acceso gratuito a esos recursos. Ciertos sujetos que se hacen llamar "defensores de la libertad" escriben algunas utilidades piratas, proclamando que toda la información debe ser compartida libremente en toda la comunidad informática. Sin embargo, la estafa continúa siendo un crimen, sin importar cuán nobles puedan ser los ideales que declaran sus autores.

El crimen cibernético organizado

Los más peligrosos autores de virus son las personas y grupos que se han convertido en profesionales. Esta gente obtiene dinero directamente de las víctimas (por robo o estafa) o usa equipos zombi para ganar dinero de otras formas, por ejemplo al crear y vender una plataforma para envío de correo no solicitado u organizando ataques DoS.

La mayoría de las epidemias actuales son causadas por creadores profesionales de virus que organizan la instalación de troyanos en los equipos víctimas. Con este objetivo se usan gusanos, enlaces a sitios infectados y otros troyanos.

Redes zombi (bot networks)

En la actualidad, los autores de virus trabajan para personas que hacen envíos masivos de correo no solicitado; o venden sus productos al mejor postor. Uno de los procedimientos estándar que usan los creadores de virus consiste en organizar redes zombi, compuestas de ordenadores infectados por un mismo programa malicioso. En el caso de redes que sirven de plataforma para los envíos masivos de correo, un servidor proxy troyano es el que penetra los equipos víctimas. Estas redes están conformadas por miles o decenas de miles de equipos infectados. Los creadores de virus venden estas redes al mejor postor en la comunidad informática clandestina.

Semejantes redes suelen ser usadas en calidad de plataformas de envíos masivos de correo no solicitado. Las herramientas de los hackers pueden usarse para garantizar que estas redes funcionen co n eficiencia; los programas maliciosos se instalan sin que el usuario se dé cuenta y sin su consentimiento, los programas de publicidad no deseada (adware) se pueden camuflar para evitar su detección y eliminación; hasta los programas antivirus pueden ser atacados.

Ganancias financieras

Aparte de servir para efectuar envíos masivos y mostrar publicidad no deseada, los creadores profesionales de virus también crean espías troyanos que utilizan para robar dinero de billeteras electrónicas, cuentas Pay Pal o directamente de cuentas bancarias en Internet. Estos troyanos reúnen la información bancaria y de pagos de los ordenadores locales o hasta de los servidores corporativos para luego enviarla a su "amo".

Extorsión cibernética

La tercera forma que toma el crimen cibernético moderno es la extorsión o el fraude por Internet. Por lo general, los autores de virus crean una red de equipos zombi capaz de conducir ataques DoS organizados. Luego chantajean a las compañías amenazándolas con realizar ataques DoS contra sus sitios web corporativos. Los objetivos más populares son tiendas electrónicas, sitios bancarios o de juegos de azar, es decir, compañías cuyas ganancias son generadas directamente por la presencia en línea de sus clientes.

Otros programas maliciosos

Los creadores de virus y los hackers también se aseguran de que la publicidad no deseada (adware), los marcadores, las utilidades que remiten a los navegadores hacia sitios de pago y demás tipos de programas indeseables funcionen con eficacia. Estos programas pueden generar ganancias a la comunidad informática clandestina, por lo que los autores de virus están interesados en que no sean detectados y sean regularmente renovados.

A pesar de que la prensa dedica especial atención a los jóvenes autores de virus que logran causar epidemias globales, aproximadamente el 90% de los programas maliciosos son escritos por profesionales. Aunque los cuatro grupos de creadores de virus representan un desafío a la seguridad informática, los creadores profesionales de virus que venden sus servicios son los más peligrosos y su número continua en aumento.

Heurística En Antivirus

2009-03-07T01:28:00.001-08:00

En los productos antivirus se conoce como heurística a las técnicas que emplean para reconocer códigos maliciosos (virus, gusanos, troyanos, etc.) que no se encuentren en su base de datos (ya sea porque son nuevos, o por no ser muy divulgados). El término general implica funcionalidades como detección a través de firmas genéricas, reconocimiento del código compilado, desensamblado, desempaquetamiento, entre otros.

Su importancia radica en el hecho de ser la única defensa automática posible frente a la aparición de nuevos códigos maliciosos de los que no se posea firmas.

Técnicas heurísticas

Firmas genéricas

Hay muchos códigos maliciosos que son modificados por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, por lo que se catalogan como una familia de virus. Gracias a las similitudes dentro del código del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a través de una única firma o vacuna genérica. Esto permite que al momento de aparecer una nueva versión de un virus ya conocido, aquellos antivirus que implementan esta técnica puedan detectarlo sin la necesidad de una actualización.

Reconocimiento de código compilado

Cuando se compila un programa para poder convertirlo en un archivo ejecutable, la codificación resultante representa instrucciones que se le darán al sistema para realizar las operaciones necesarias. Las implementaciones de heurística de algunos antivirus utilizan técnicas para reconocer instrucciones comúnmente aplicadas por los códigos maliciosos, y así poder identificar si un archivo ejecutable puede llegar a ser un código malicioso.

Desensamblado

Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el código fuente del programa en lenguaje ensamblador. La heurística de algunos antivirus es capaz de analizar el código fuente de los programas sospechosos. De esta forma puede reconocer un posible código malicioso si encuentra técnicas de desarrollo que suelen usarse para programador virus, sin la necesidad de una actualización.

Desempaquetamiento

Los programadores de códigos maliciosos suelen usar empaquetadores de archivos ejecutables como UPX con el fin de modificar la "apariencia" del virus a los ojos del análisis antivirus. Para evitar ser engañados por un código malicioso antiguo y luego reempaquetado, los antivirus incluyen en sus técnicas heurísticas métodos de desempaquetamiento. De esta forma pueden analizar el código real del programa, y no el empaquetado.

Evaluaciones retrospectivas

La heurística es un aspecto muy difícil de probar en los antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas.

¿Qué son las evaluaciones retrospectivas?

Para poder analizar correctamente el funcionamiento de las capacidades heurísticas o proactivas de un antivirus, lo que se hace es detener la actualización de firmas del producto durante un período de tiempo X. En ese lapso, se acumulan muestras de códigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los antivirus las reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus solo podrá reconocer si están infectadas o no a través de sus capacidades heurísticas.

Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos.

Ejemplos

Existen varios organismos independientes que realizan evaluaciones retrospectivas, como por ejemplo:

AV-Comparatives (en inglés)
Hispasec (en castellano)

Correo Electronico

2009-03-06T20:51:00.000-08:00

Correo electrónico, o en inglés e-mail (electronic mail), es un servicio de red que permite a los usuarios enviar y recibir mensajes rápidamente (también denominados mensajes electrónicos o cartas electrónicas) mediante sistemas de comunicación electrónicos. Principalmente se usa este nombre para denominar al sistema que provee este servicio en Internet, mediante el protocolo SMTP, aunque por extensión también puede verse aplicado a sistemas análogos que usen otras tecnologías. Por medio de mensajes de correo electrónico se puede enviar, no solamente texto, sino todo tipo de documentos digitales. Su eficiencia, conveniencia y bajo coste están logrando que el correo electrónico desplace al correo ordinario para muchos usos habituales.

Origen

El correo electrónico antecede a la Internet, y de hecho, para que ésta pudiera ser creada, fue una herramienta crucial. En una demostración del MIT (Massachusetts Institute of Technology) de 1961, se exhibió un sistema que permitía a varios usuarios ingresar a una IBM 7094 desde terminales remotas, y así guardar archivos en el disco. Esto hizo posible nuevas formas de compartir información. El correo electrónico comenzó a utilizarse en 1965 en una supercomputadora de tiempo compartido y, para 1966, se había extendido rápidamente para utilizarse en las redes de computadoras.

En 1971 Ray Tomlinson incorporó el uso de la arroba (@). Eligió la arroba como divisor entre el usuario y la computadora en la que se aloja la casilla de correo porque no existía la arroba en ningún nombre ni apellido. Desde entonces la arroba se lee "at" (en). Así, fulano@maquina.com se lee fulano en máquina punto com.

El nombre correo electrónico proviene de la analogía con el correo postal: ambos sirven para enviar y recibir mensajes, y se utilizan "buzones" intermedios (servidores), en donde los mensajes se guardan temporalmente antes de dirigirse a su destino, y antes de que el destinatario los revise.

Elementos

Para que una persona pueda enviar un correo a otra, ambas han de tener una dirección de correo electrónico. Esta dirección la tiene que dar un proveedor de correo, que son quienes ofrecen el servicio de envío y recepción. El procedimiento se puede hacer desde un programa de correo o desde un correo web.

Dirección de correo

Una dirección de correo electrónico es un conjunto de palabras que identifican a una persona que puede enviar y recibir correo. Cada dirección es única y pertenece siempre a la misma persona.

Un ejemplo es persona@servicio.com, que se lee persona arroba servicio punto com. El signo @ (llamado arroba) siempre está en cada dirección de correo, y la divide en dos partes: el nombre de usuario (a la izquierda de la arroba; en este caso, persona), y el dominio en el que está (lo de la derecha de la arroba; en este caso, servicio.com). La arroba también se puede leer "en", ya que persona@servicio.com identifica al usuario persona que está en el servidorservicio.com (indica una relación de pertenencia).

Una dirección de correo se reconoce fácilmente porque siempre tiene la @, donde la @ significa "pertenece a..."; en cambio, una dirección de página web no. Por ejemplo, mientras que http://www.servicio.com/ puede ser una página web en donde hay información (como en un libro), persona@servicio.com es la dirección de un correo: un buzón a donde se puede escribir.

Lo que hay a la derecha de la arroba es precisamente el nombre del proveedor que da el correo, y por tanto es algo que el usuario no puede cambiar. Por otro lado, lo que hay a la izquierda depende normalmente de la elección del usuario, y es un identificador cualquiera, que puede tener letras, números, y algunos signos.

Es aconsejable elegir en lo posible una dirección fácil de memorizar para así facilitar la transmisión correcta de ésta a quien desee escribir un correo al propietario, puesto que es necesario transmitirla de forma exacta, letra por letra. Un solo error hará que no lleguen los mensajes al destino.

Es indiferente que las letras que integran la dirección estén escritas en mayúscula o minúscula. Por ejemplo, persona@servicio.com es igual a Persona@Servicio.Com.

Proveedor de correo

Para poder usar enviar y recibir correo electrónico, generalmente hay que estar registrado en alguna empresa que ofrezca este servicio (gratuita o de pago). El registro permite tener una dirección de correo personal única y duradera, a la que se puede acceder mediante un nombre de usuario y una Contraseña.

Hay varios tipos de proveedores de correo, que se diferencian sobre todo por la calidad del servicio que ofrecen. Básicamente, se pueden dividir en dos tipos: los correos gratuitos y los de pago.

Gratuitos

Los correos gratuitos son los más usados, aunque incluyen algo de publicidad: unos incrustada en cada mensaje, y otros en la interfaz que se usa para leer el correo.

Muchos sólo permiten ver el correo desde una página web propia del proveedor, para asegurarse de que los usuarios reciben la publicidad que se encuentra ahí. En cambio, otros permiten también usar un programa de correo configurado para que se descargue el correo de forma automática.

Una desventaja de estos correos es que en cada dirección, la parte que hay a la derecha de la @gapa puede acabar teniendo gapa@correo-gratuito.net. Este tipo de direcciones desagradan a algunos (sobre todo, a empresas) y por eso es común comprar un dominio propio, para dar un aspecto más profesional. muestra el nombre del proveedor; por ejemplo, el usuario

De pago

Los correos de pago normalmente ofrecen todos los servicios disponibles. Es el tipo de correo que un proveedor de Internet da cuando se contrata la conexión. También es muy común que una empresa registradora de dominios venda, junto con el dominio, varias cuentas de correo para usar junto con ese dominio (normalmente, más de 1).

También se puede considerar de pago el método de comprar un nombre de dominio e instalar un ordenador servidor de correo con los programas apropiados (un MTA). No hay que pagar cuotas por el correo, pero sí por el dominio, y también los gastos que da mantener un ordenador encendido todo el día.

Correo web

Casi todos los proveedores de correo dan el servicio de correo web (webmail): permiten enviar y recibir correos mediante una página web diseñada para ello, y por tanto usando sólo un programa navegador web. La alternativa es usar un programa de correo especializado.

El correo web es cómodo para mucha gente, porque permite ver y almacenar los mensajes desde cualquier sitio (en un servidor remoto, accesible por la página web) en vez de en un ordenador personal concreto.

Como desventaja, es difícil de ampliar con otras funcionalidades, porque la página ofrece unos servicios concretos y no podemos cambiarlos. Además, suele ser más lento que un programa de correo, ya que hay que estar continuamente conectado a páginas web y leer los correos de uno en uno.

Cliente de correo

También están los clientes de correo electrónico, que son programas para gestionar los mensajes recibidos y poder escribir nuevos.

Suelen incorporar muchas más funcionalidades que el correo web, ya que todo el control del correo pasa a estar en el ordenador del usuario. Por ejemplo, algunos incorporan potentes filtros anti-spam.

Por el contrario, necesitan que el proveedor de correo ofrezca este servicio, ya que no todos permiten usar un programa especializado (algunos sólo dan correo web). En caso de que sí lo permita, el proveedor tiene que explicar detalladamente cómo hay que configurar el programa de correo. Esta información siempre está en su página web, ya que es imprescindible para poder hacer funcionar el programa, y es distinta en cada proveedor. Entre los datos necesarios están: tipo de conexión (POP o IMAP), dirección del servidor de correo, nombre de usuario y contraseña. Con estos datos, el programa ya es capaz de obtener y descargar nuestro correo.

El funcionamiento de un programa de correo es muy diferente al de un correo web, ya que un programa de correo descarga de golpe todos los mensajes que tenemos disponibles, y luego pueden ser leídos sin estar conectados a Internet (además, se quedan grabados en el ordenador). En cambio, en una página web se leen de uno en uno, y hay que estar conectado a la red todo el tiempo.

Algunos ejemplos de programas de correo son Mozilla Thunderbird, Outlook Express y Eudora lista completa). (ver

Funcionamiento

Escritura del mensaje

Se pueden mandar mensajes entre computadores personales o entre dos terminales de una computadora central. Los mensajes se archivan en un buzón (una manera rápida de mandar mensajes). Cuando una persona decide escribir un correo electrónico, su programa (o correo web) le pedirá como mínimo tres cosas:

Destinatario: una o varias direcciones de correo a las que ha de llegar el mensaje
Asunto: una descripción corta que verá la persona que lo reciba antes de abrir el correo
El propio mensaje. Puede ser sólo texto, o incluir formato, y no hay límite de tamaño

Además, se suele dar la opción de incluir archivos adjuntos al mensaje. Esto permite traspasar datos informáticos de cualquier tipo mediante el correo electrónico.

Para especificar el destinatario del mensaje, se escribe su dirección de correo en el campo llamado Para dentro de la interfaz (ver imagen de arriba). Si el destino son varias personas, normalmente se puede usar una lista con todas las direcciones, separadas por comas o punto y coma.

Además del campo Para existen los campos CC y CCO, que son opcionales y sirven para hacer llegar copias del mensaje a otras personas:

Campo CC (Copia de Carbón): quienes estén en esta lista recibirán también el mensaje, pero verán que no va dirigido a ellos, sino a quien esté puesto en el campo Para. Como el campo CC lo ven todos los que reciben el mensaje, tanto el destinatario principal como los del campo CC pueden ver la lista completa.
Campo CCO (Copia de Carbón Oculta): una variante del CC, que hace que los destinatarios reciban el mensaje sin aparecer en ninguna lista. Por tanto, el campo CCO nunca lo ve ningún destinatario.

Un ejemplo: Ana escribe un correo electrónico a Beatriz (su profesora), para enviarle un trabajo. Sus compañeros de grupo, Carlos y David, quieren recibir una copia del mensaje como comprobante de que se ha enviado correctamente, así que les incluye en el campo CC. Por último, sabe que a su hermano Esteban también le gustaría ver este trabajo aunque no forma parte del grupo, así que le incluye en el campo CCO para que reciba una copia sin que los demás se enteren. Entonces:

Beatriz recibe el mensaje dirigido a ella (sale en el campo Para), y ve que Carlos y David también lo han recibido
Carlos recibe un mensaje que no va dirigido a él, pero ve que aparece en el campo CC, y por eso lo recibe. En el campo Para sigue viendo a Beatriz
David, igual que Carlos, ya que estaban en la misma lista (CC)
Esteban recibe el correo de Ana, que está dirigido a Beatriz. Ve que Carlos y DavidCC), pero no se puede ver a él mismo en ninguna lista, cosa que le extraña. Al final, supone que es que Ana le incluyó en el campo CCO. también lo han recibido (ya que salen en el

Envío

El envío de un mensaje de correo es un proceso largo y complejo. Éste es un esquema de un caso típico:

En este ejemplo ficticio, Ana (ana@a.org) envía un correo a Bea (bea@b.com). Cada persona está en un servidor distinto (una en a.org, otra en b.com), pero éstos se pondrán en contacto para transferir el mensaje. Por pasos:

Ana escribe el correo en su programa cliente de correo electrónico. Al darle a Enviar, el programa contacta con el servidor de correo usado por Ana (en este caso, smtp.a.org). Se comunica usando un lenguaje conocido como protocolo SMTP. Le transfiere el correo, y le da la orden de enviarlo.
El servidor SMTP ve que ha de entregar un correo a alguien del dominio b.com, pero no sabe con qué ordenador tiene que contactar. Por eso consulta a su servidor DNS (usando el protocolo DNS), y le pregunta que quién es el encargado de gestionar el correo del dominio b.com. Técnicamente, le está preguntando el registro MX asociado a ese dominio.
Como respuesta a esta petición, el servidor DNS contesta con el nombre de dominio del servidor de correo de Bea. En este caso es mx.b.com; es un ordenador gestionado por el proveedor de Internet de Bea.
El servidor SMTP (smtp.a.org) ya puede contactar con mx.b.com y transferirle el mensaje, que quedará guardado en este ordenador. Se usa otra vez el protocolo SMTP.
Más adelante (quizás días después), Bea aprieta el botón "Recibir nuevo correo" en su programa cliente de correo. Esto empieza una conexión, mediante el protocolo POP3 o IMAP, al ordenador que está guardando los correos nuevos que le han llegado. Este ordenador (pop3.b.com) es el mismo que el del paso anterior (mx.b.com), ya que se encarga tanto de recibir correos del exterior como de entregárselos a sus usuarios. En el esquema, Bea recibe el mensaje de Ana mediante el protocolo POP3.

Ésta es la secuencia básica, pero pueden darse varios casos especiales:

Si ambas personas están en la misma red (una Intranet de una empresa, por ejemplo), entonces no se pasa por Internet. También es posible que el servidor de correo de Ana y el de Bea sean el mismo ordenador.
Ana podría tener instalado un servidor SMTP en su ordenador, de forma que el paso 1 se haría en su mismo ordenador. De la misma forma, Bea podría tener su servidor de correo en el propio ordenador.
Una persona puede no usar un programa de correo electrónico, sino un webmail. El proceso es casi el mismo, pero se usan conexiones HTTP al webmail de cada usuario en vez de usar SMTP o IMAP/POP3.
Normalmente existe más de un servidor de correo (MX) disponible, para que aunque uno falle, se siga pudiendo recibir correo.

Si el usuario quiere puede almacenar los mensajes que envía, bien de forma automática (con la opción correspondiente), bien sólo para los mensajes que así lo desee. Estos mensajes quedan guardados en la carpeta "Enviados".

Recepción

Cuando una persona recibe un mensaje de correo electrónico puede verse en la bandeja de entrada un resumen de él:

Remitente (o De o De: o From o From: -en inglés-): esta casilla indica quién envía el mensaje. Puede aparecer el nombre de la persona o entidad que nos lo envía (o su apodo o lo que desee el remitente). Si quien envía el mensaje no ha configurado su programa o correo web al respecto aparecerá su dirección de email
Asunto: en este campo se ve el tema que trata el mensaje (o lo que el remitente de él desee). Si quien envía el mensaje ha dejado esta casilla en blanco se lee [ninguno] o [sin asunto]
- Si el mensaje es una respuesta el asunto suele empezar por RE: o Re: (abreviatura de responder o reply -en inglés-, seguida de dos puntos). Aunque según de dónde proceda el mensaje pueden aparecer An: (del alemán antwort), Sv: (del sueco svar), etc.
- Cuando el mensaje procede de un reenvío el asunto suele comenzar por RV: (abreviatura de reenviar) o Fwd: (del inglés forward), aunque a veces empieza por Rm: (abreviatura de remitir)
Fecha: esta casilla indica cuándo fue enviado el mensaje o cuándo ha llegado a la bandeja de entrada del receptor. Puede haber dos casillas que sustituyan a este campo, una para indicar la fecha y hora de expedición del mensaje y otra para expresar el momento de su recepción

Además pueden aparecer otras casillas como:

Tamaño: indica el espacio que ocupa el mensaje y, en su caso, fichero(s) adjunto(s)
Destinatarios (o Para o Para: o To o To: -en inglés-): muestra a quiénes se envió el mensaje
Datos adjuntos: si aparece una marca (habitualmente un clip) significa que el mensaje viene con uno o varios ficheros anexos
Prioridad: expresa la importancia o urgencia del mensaje según el remitente (alta -se suele indicar con un signo de exclamación-, normal -no suele llevar marca alguna- o baja -suele indicarse con una flecha apuntando para abajo-)
Marca (de seguimiento): si está activada (p.e. mostrando una bandera) indica que hay que tener en cuenta este mensaje (previamente lo ha marcado la persona que lo ha recibido)
Inspeccionar u omitir: pinchando en esta casilla se puede marcar el mensaje para inspeccionarlo (suelen aparecer unas gafas en la casilla y ponerse de color llamativo -normalmente rojo- las letras de los demás campos). Pinchando otra vez se puede marcar para omitirlo (suele aparecer el símbolo de "prohibido el paso" en este campo y ponerse en un tono suave -normalmente gris- las letras de las demás casillas). Pinchando una vez más volvemos a dejar el mensaje sin ninguna de las dos marcas mencionadas
Cuenta: Si utilizamos un cliente de correo electrónico configurado con varias cuentas de correo esta casilla indica a cuál de ellas ha llegado el mensaje en cuestión
Primeras palabras del (cuerpo del) mensaje

Los mensajes recibidos pero sin haber sido leídos aún suelen mostrar su resumen en negrita. Después de su lectura figuran con letra normal. A veces si seleccionamos estos mensajes sin abrirlos podemos ver abajo una previsualización de su contenido.

Si el destinatario desea leer el mensaje tiene que abrirlo (normalmente haciendo (doble) clic sobre el contenido de su asunto con el puntero del ratón). Entonces el receptor puede ver un encabezado arriba seguido por el cuerpo del mensaje. En la cabecera del mensaje aparecen varias o todas las casillas arriba mencionadas (salvo las primeras palabras del cuerpo del mensaje). Los ficheros adjuntos, si existen, pueden aparecer en el encabezado o debajo del cuerpo del mensaje.

Una vez el destinatario ha recibido (y, normalmente, leído) el mensaje puede hacer varias cosas con él. Normalmente los sistemas de correo (tanto programas como webmails) ofrecen opciones como:

Responder: escribir un mensaje a la persona que ha mandado el correo (que es sólo una). Existe la variante Responder a todos, que pone como destinatarios tanto al que lo envía como a quienes estaban en el campo CC
Reenviar (o remitir): pasar este correo a una tercera persona, que verá quién era el origen y destinatario original, junto con el cuerpo del mensaje. Opcionalmente se le puede añadir más texto al mensaje o borrar los encabezados e incluso el cuerpo (o parte de él) de anteriores envíos del mensaje.
Marcar como spam: separar el correo y esconderlo para que no moleste, de paso instruyendo al programa para que intente detectar mejor mensajes parecidos a éste. Se usa para evitar la publicidad no solicitada (spam)
Archivar: guardar el mensaje en el ordenador, pero sin borrarlo, de forma que se pueda consultar más adelante. Esta opción no está en forma explícita, ya que estos programas guardan los mensajes automáticamente.
Borrar: Se envía el mensaje a una carpeta Elementos eliminados que puede ser vaciada posteriormente.
Mover a carpeta o Añadir etiquetas: algunos sistemas permiten catalogar los mensajes en distintos apartados según el tema del que traten. Otros permiten añadir marcas definidas por el usuario (ej: "trabajo", "casa", etc.).

Problemas

El principal problema actual es el spam, que se refiere a la recepción de correos no solicitados, normalmente de publicidad engañosa, y en grandes cantidades, promoviendo Rolex, Viagra, pornografía y otros productos y servicios de la calidad sospechosa.

Usualmente los mensajes indican como remitente del correo una dirección falsa. Por esta razón, es más difícil localizar a los verdaderos remitentes, y no sirve de nada contestar a los mensajes de Spam: las respuestas serán recibidas por usuarios que nada tienen que ver con ellos. Por ahora, el servicio de correo electrónico no puede identificar los mensajes de forma que se pueda discriminar la verdadera dirección de correo electrónico del remitente, de una falsa. Esta situación que puede resultar chocante en un primer momento, es semejante por ejemplo a la que ocurre con el correo postal ordinario: nada impide poner en una carta o postal una dirección de remitente aleatoria: el correo llegará en cualquier caso. No obstante, hay tecnologías desarrolladas en esta dirección: por ejemplo el remitente puede firmar sus mensajes mediante criptografía de clave pública.

Además del spam, existen otros problemas que afectan a la seguridad y veracidad de este medio de comunicación:

los virus informáticos, que se propagan mediante ficheros adjuntos infectando el ordenador de quien los abre
el phishing, que son correos fraudulentos que intentan conseguir información bancaria
los engaños (hoax), que difunden noticias falsas masivamente
las cadenas de correo electrónico, que consisten en reenviar un mensaje a mucha gente; aunque parece inofensivo, la publicación de listas de direcciones de correo contribuye a la propagación a gran escala del spam y de mensajes con virus, phishing y hoax.

Precauciones recomendables

Cuando recibamos un mensaje de correo electrónico que hable de algo que desconocemos (aunque nos lo haya mandado alguien que conocemos) conviene consultar su veracidad (por ejemplo a partir de buscadores de la web, tratando de consultar en el sitio web de la supuesta fuente de la información o en webs serias, fiables y especializadas en el tipo de información en cuestión). Sólo si estamos seguros de que lo que dice el mensaje es cierto e importante de ser conocido por nuestros contactos lo reenviaremos, teniendo cuidado de poner las direcciones de correo electrónico de los destinatarios en la casilla CCO (puede ser necesario poner sólo nuestra dirección de email en la casilla Para) y borrando del cuerpo del mensaje encabezados previos con direcciones de email (para facilitar la lectura es preferible copiar la parte del cuerpo del mensaje sin los encabezados previos y pegarla en un mensaje nuevo -o en el que aparece tras pinchar en reenviar tras borrar todo el texto, repetido a partir de previos envíos-). Así evitaremos la propagación del spam así como la de mensajes con virus (u otro tipo de malware), phishing o hoax. Conviene que hagamos saber esto a nuestros contactos en cuanto nos reenvían mensajes con contenido falso, sin utilizar la casilla CCO o sin borrar encabezados previos con direcciones de correo electrónico.

Cuando el mensaje recibido lleve uno o varios ficheros adjuntos tendremos cuidado, especialmente si el mensaje nos lo manda alguien que no conocemos. Hay peligro de que los archivos contengan virus (u otro tipo de malware). Sólo los abriremos si estamos seguros de su procedencia e inocuidad. Si, tras esto, comprobamos que los ficheros son inofensivos e interesantes para nuestros contactos podremos reenviarlo siguiendo las precauciones del párrafo anterior (en este caso, para que lleguen los ficheros adjuntos es más rápido pinchar en reenviar que crear un mensaje nuevo y volverlos a adjuntar -aunque tendremos cuidado de borrar todo el texto que repite previos reenvíos; quizá pegando después el cuerpo principal del mensaje recibido si tiene información de interés o relacionada con los archivos adjuntos-).

Cuando en un mensaje sospechoso se nos ofrezca darnos de baja de futura recepción de mensajes o de un boletín no haremos caso, es decir, no responderemos el mensaje, ni escribiremos a ninguna dirección supuestamente creada para tal fin (del tipo bajas@xxxxxxx.es o unsubscribe@xxxxxxx.com), ni pincharemos sobre un enlace para ello. Si hiciéramos algo de lo citado confirmaríamos a los spammers (remitentes de correo basura) que nuestra cuenta de correo electrónico existe y está activa y, en adelante, recibiríamos más spam. Si nuestro proveedor de correo lo ofrece podemos pinchar en "Es spam" o "Correo no deseado" o "Marcar como spam". Así ayudaremos a combatir el correo basura.

Servicios de correo electrónico

Principales proveedores de servicios de correo electrónico gratuito:

Los servicios de correo de pago los suelen dar las compañías de acceso a Internet o los registradores de dominios.

También hay servicios especiales, como Mailinator, que ofrece cuentas de correo temporales (caducan en poco tiempo) pero que no necesitan registro.

Programas para leer y organizar correo

Principales programas
- Windows Live Mail: Windows
- Evolution: Linux
- Mail: MacOS X
- Outlook Express: Windows
- Thunderbird: Windows, Linux, MacOS X

Puede ver una lista más larga en el artículo lista de clientes de correo electrónico.

Programas servidores de correo

Éstos son usados en el ordenador servidor de correo para proporcionar el servicio a los clientes, que podrán usarlo mediante un programa de correo.

Principales programas servidores
- Mercury Mail Server: Windows, Unix, Linux
- Microsoft Exchange Server: Windows
- MailEnable: Windows
- Exim: Unix
- Sendmail: Unix
- Qmail: Unix
- Postfix: Unix
- Zimbra: Unix, Windows
Gestión de correo electrónico
- Duroty: alternativa libre a Gmail

Cracker

2009-03-06T20:38:00.000-08:00

El término cracker (del inglés crack, romper) tiene varias acepciones, entre las que podemos observar las siguentes:

Es una persona que mediante ingeniería inversa realiza: seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto pretenda ser dañino para el usuario del mismo.

Es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño. El término deriva de la expresión "criminal hacker", y fue creado alrededor de 1985 por contraposición al término hacker, en defensa de éstos últimos por el uso incorrecto del término. Se considera que la actividad realizada por esta clase de cracker es dañina e ilegal.

En ocasiones el cracking es la única manera de realizar cambios sobre software para el que su fabricante no presta soporte, especialmente cuando lo que se quiere es, o corregir defectos, o exportar datos a nuevas aplicaciones, en estos casos (sólo en estos casos) en la mayoría de legislaciones no se considera el cracking como actividad ilegal. Por ello los crackers son temidos y criticados por la mayoría de hackers, por el desprestigio que les supone ante la opinión pública y las empresas, son aquellos que utilizan sus conocimientos técnicos para perturbar procesos informáticos (Haffner y Markoff, 1995). Pueden considerarse un subgrupo marginal de la comunidad de hackers.

En muchos países existen crackers mercenarios que se ofrecen para romper la seguridad de cualquier programa informático que se le solicite y que contenga alguna protección para su instalación o ejecución.

Crackers famosos

Algunos de los crackers más conocidos son:

Fred Cohen en 1984, al presentar su tesis doctoral sobre Ingeniería Eléctrica en la Universidad del Sur de California, demostró cómo se podían crear virus, motivo por el cual es considerado como el primer autor de virus "autodeclarado". Clasificó a los emergentes virus de computadoras en tres categorías: caballos de Troya, gusanos y virus informático.

Robert Tappan Morris fue uno de los precursores de los virus informaticos. Recién graduado en Informática en la Universidad de Cornell, en 1988 difundió un virus a través de ARPANET, (precursora de Internet) logrando infectar 6.000 servidores conectados a la red. La propagación la realizó desde uno de los terminales del MIT (Instituto Tecnológico de Massachussets). ARPANET empleaba UNIX, como sistema operativo. Robert Tappan Morris al ser descubierto, fue enjuiciado y condenado el 4 de Mayo de 1990 a 4 años de prisión y el pago de 10.000 dólares (USD) de multa.

Kevin David Mitnick desde muy niño sintió curiosidad por los sistemas de comunicación electrónica y fue cultivando un obsesivo deseo por investigar cosas y lograr objetivos aparentemente imposibles, hasta llegar a poseer una genial habilidad para ingresar en servidores sin autorización, robar información, interceptar teléfonos, crear virus, etc. En 1992 el gobierno estadounidense acusó a Mitnick de haber sustraído información del FBI y de haber penetrado en computadoras militares, lo que lo convirtió en un símbolo entre la comunidad internacional de crackers después de que el FBI lo investigara y persiguiera infructuosamente durante tres años. Finalmente fue capturado en 1995 en Carolina del Norte y fue condenado a pasar 5 años en una prisión federal; finalmente salió bajo libertad condicional por un periodo de dos años. Después de este tiempo inició su propia empresa, una consultaría orientada a la seguridad informática y especializada en ingeniería social.

Chen Ing Hau fue el creador del virus CIH, que lleva sus propias iniciales, motivo que justificó por una venganza en contra de los que llamó "incompetentes desarrolladores de software antivirus". En Mayo de 1998, Chen Ing-Hou creó su famoso virus, al cual denominó Chernobyl en conmemoración del 13 aniversario de la tragedia ocurrida en la planta nuclear soviética. Actualmente trabaja como experto en Internet Data Security.

Vladimir Harkonen, otros alias: H4rK0n3N y Cibereye, este joven español se especializó en diferentes disciplinas como lurker, phreaker, hacker y cracker. Se le atribuyen ataques en los últimos 5 años a diferentes empresas como Sony. También cabe decir que tiene preferencia por centros gubernamentales y servidores de operaciones militares. Fue detenido por vez primera en 1998 como integrante de !Hispahack, pero por entonces no actuaba con ningún apodo (nick) conocido. Entre los suyos se le define como un tipo escurridizo y para los miembros de la Unidad de Delitos Telemáticos de la Guardia Civil es una persona calculadora y maquinadora, con una mente fría. La última vez que fue detenido, en Mayo del 2007 ,la policía llevaba 3 años siguiendo sus escasas pistas. Una anécdota que cuentan los miembros de la Benemérita es que en todo el tiempo que lo siguieron usaba redes Wifi, que asaltaba con codificaciones de todo tipo además de la habitual WEP. Residía en una localidad del Norte de Madrid.

El Martes 4 de Noviembre del año 2008 Vladimir Harkonen fue juzgado en la Audiencia provincial de Madrid y sentenciado a 4 años de prisión hallado culpable de asalto, copia, sustracción y libre distribución de documentación e imágenes consideradas de seguridad nacional, material sustraído del Ministerio de Defensa de España en una sentencia, considerada ejemplar. El acusado se mantuvo en todo momento tranquilo y firme y reconoció los hechos que se le imputaron durante la vista ante los pruebas y registros de las IP obtenidos por medio del uso delictivo de un sistema de redireccionamiento proxy Red Tor ideado por el Cracker. Cumplirá 2 años completos de la referida condena reducida a efectos prácticos por su participación voluntaria pero definitiva en el caso contra la pornografía infantil más importante en España conocido con el nombre en clave de Operación Santiago. El Cracker H4rK0n3N aportó la versión 2.0 de la aplicación Nautilus, versión desarrollada en lenguaje Python y de uso operativo en GNU/Linux con base Debian que resultó ser una aplicación de extrema utilidad para la policía científica en el curso del desarrollo de dicha operación que se ha saldado con la captura de más de 180 individuos solo en España. secuencial similar al de la conocida como

Herramientas usadas por los crackers

Las herramientas de "cracking" son los programas y aplicaciones que ayudan al cracker a lograr su fin, aunque estos programas no necesariamente debieron estar diseñados para ese fin específico.

Categorías:

Tipos de crackers

Pirata: su actividad consiste en la copia ilegal de programas, rompiendo su sistema de protección y licencias. Luego el programa es distribuido por Internet, CDs, etc.
Lamer: se trata de personas con poco conocimiento de informática, que normalmente buscan herramientas fáciles de usar para atacar a ordenadores, sin saber mucho de ellas, en ocasiones causando grandes daños.
Phreaker: son los crackers en línea telefónica. Se dedican a atacar y romper sistemas telefónicos ya sea para dañarlos o hacer llamadas gratuitas. Generalmente para dañarlos.
Trasher: traducido al español es basurero, se trata de personas que buscan en las papeleras de los cajeros automáticos para conseguir claves de tarjetas, números de cuentas bancarias e información general para cometer estafas y actividades fraudelentas a través de Internet.
Insiders: son los crackers corporativos, empleados de la empresa que atacan desde dentro, movidos usualmente por la venganza.

Seguridad de la información

2009-03-06T20:21:00.000-08:00

Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.

El termino Seguridad de Información, Seguridad informática y garantía de la información son usados con frecuencia y aun que su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la información; Sin embargo entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque , las metodologías utilizadas, y las zonas de concentración.

La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma los datos pueden tener: electrónicos, impresos, audio u otras formas.

En este artículo representa un panorama general del concepto de la Seguridad de la Información y sus conceptos básicos.

Principios Básicos

Los Gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera. La mayor parte de esta información es recolectada, tratada, almacenada y puesta a la disposición de sus usuarios, en computadoras y trasmitida a través de las redes entre los ordenadores.

En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la perdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma.

Por lo que proteger la información confidencial es un requisito del negocio, y en muchos casos también un imperativo ético y una obligación legal.

Para el individuo común, la Seguridad de la Información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

El campo de la Seguridad de la Información ha crecido y evolucionado considerablemente en los últimos años. Convirtiéndose en una carrera acreditada a nivel mundial. La misma ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, Planificación de la continuidad del negocio, Ciencia Forense Digital y Administración de Sistemas de Gestión de Seguridad por nombrar algunos.

Conceptos Importantes

Por más de veinte años la Seguridad de la Información ha declarado que la confidencialidad, integridad y disponibilidad (conocida como la Tríada CIA, del inglés: "Confidentiality, Integrity, Availability") son los principios básicos de la seguridad de la información.

La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información.

Confidencialidad

La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.

Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.

La perdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.

Integridad

Para la Seguridad de la Información, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información.

Disponibilidad

La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizado para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe seguir estando disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque Denegación de servicio.

Otros Conceptos

Otros conceptos relacionados son:

Auditabilidad: Permitir la reconstrucción, revisión y análisis de la secuencia de eventos
Identificación: verificación de una persona o cosa; reconocimiento.
Autenticación: Proporcionar una prueba de identidad; puede puede ser algo que se sabe, que se es, se tiene o una combinación de todas.
Autorización: Lo que se permite cuando se ha otorgado acceso
No repudio: no se puede negar un evento o una transacción.
Seguridad en capas: La defensa a profundidad que contenga la inestabilidad
Control de Acceso: limitar el acceso autorizado solo a entidades autenticadas
Métricas de Seguridad, Monitoreo: Medición de actividades de seguridad
Gobierno: proporcionar control y dirección a las actividades
Estrategia: los pasos que se requieren para alcanzar un objetivo
Arquitectura: el diseño de la estructura y las relaciones de sus elementos
Gerencia: Vigilar las actividades para garantizar que se alcancen los objetivos
Riesgo: la explotación de una vulnerabilidad por parte de una amenaza
Exposiciones: Áreas que son vulnerables a un impacto por parte de una amenaza
Vulnerabilidades: deficiencias que pueden ser explotadas por amenazas
Amenazas: Cualquier acción o evento que puede ocasionar consecuencias adversas
Riesgo residual: El riesgo que permanece después de que se han implementado contra medidas y controles
Impacto: los resultados y consecuencias de que se materialice un riesgo
Criticidad: La importancia que tiene un recurso para el negocio
Sensibilidad: el nivel de impacto que tendría una divulgación no autorizada
Análisis de impacto al negocio: evaluar los resultados y las consecuencias de la inestabilidad
Controles: Cualquier acción o proceso que se utiliza para mitigar el riesgo
Contra medidas: Cualquier acción o proceso que reduce la vulnerabilidad
Políticas: declaración de alto nivel sobre la intención y la dirección de la gerencia
Normas: Establecer los limites permisibles de acciones y procesos para cumplir con las políticas
Ataques: tipos y naturaleza de inestabilidad en la seguridad
Clasificación de datos: El proceso de determinar la sensibilidad y Criticidad de la información

Tecnologías

Las principales tecnologías referentes a la seguridad de la información son:

Cortafuegos
Administración de cuentas de usuarios
Detección y prevención de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Conexión única "Single Sign on- SSO"
Biométria
Cifrado
Cumplimiento de privacidad
Acceso remoto
Firma digital
Intercambio electrónico de Datos "EDI" y Transferencia Electrónica de Fondos "EFT"
Redes Virtuales Privadas "VPNs"
Transferencia Electrónica Segura "SET"
Informática Forense
Recuperación de datos
Tecnologías de monitoreo

Estándares de seguridad de la información

Otros estándares relacionados

Certificaciones

CISM - CISM Certificaciones : Certified Information Security Manager
CISSP - CISSP Certificaciones : Security Professional Certification
GIAC - GIAC Certificaciones : Global Information Assurance Certification

Certificaciones independientes en seguridad de la información

CISA- Certified Information Security Auditor, ISACA
CISM- Certified Information Security Manager, ISACA
Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
CISSP - Certified Information Systems Security Professional, ISC2
SECURITY+, COMPTia - Computing Technology Industry Association
CEH - Certified Ethical Hacker
PCI DSS - PCI Data Security Standard

Referencias

44 U.S.C § 3542 (b)(1) (2006)
ISACA (2008). ISACA MANUAL DE PREPARACIÓN AL EXAMEN CISM 2008, págs. p. 16. Information Systems Audit and Control Association. ISBN 978-1-60420-000-3.
ISACA (2008). ISACA MANUAL DE PREPARACIÓN AL EXAMEN CISM 2008, págs. p. 17. Information Systems Audit and Control Association. ISBN 978-1-60420-000-3.

Seguridad informática

2009-03-06T19:13:00.000-08:00

La seguridad informática consiste en asegurar que los recursos del sistema de información material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Introducción

Podemos entender como seguridad un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro características:

Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.
Confidencialidad: La información sólo debe ser legible para los autorizados.
Disponibilidad: Debe estar disponible cuando se necesita.
Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en seguridad lógica y seguridad física.

En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que su información sea comprometida.

Términos relacionados con la seguridad informática

Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
Amenaza: es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
Impacto: medir la consecuencia al materializarse una amenaza.
Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían englobar un mismo concepto, una definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad está ligada a una Amenaza y el Riesgo a un Impacto.

Objetivos

Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos:

Información: Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico.

Equipos que la soportan.: Software, hardware y organización.

Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información.

Análisis de riesgos

El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.

Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida.

Los medios para conseguirlo son:

Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.
Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

Puesta en marcha de una política de seguridad

Actualmente las legislaciones nacionales de los Estados, obligan a las empresas, instituciones públicas a implantar una política de seguridad. Ej: En España la Ley Orgánica de Protección de Datos o también llamada LOPD y su normativa de desarrollo.

Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tiene sólo los permisos que se les dio.

La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene:

Elaborar reglas y procedimientos para cada servicio de la organización.
Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión
Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.

Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad.

Las amenazas

Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones).

Estos fenómenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.).
Un siniestro (robo, incendio, por agua): una mala manipulación o una malintención derivan a la pérdida del material o de los archivos.
El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.

Técnicas de aseguramiento del sistema

Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.
Vigilancia de red.
Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.

Consideraciones de software

Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia.

Existe software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra.

Consideraciones de una red

Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.

Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.

Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.

Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus.

Algunas afirmaciones erróneas comunes acerca de la seguridad

Mi sistema no es importante para un cracker. Esta afirmación se basa en la idea de que no introducir contraseñas seguras en una empresa no entraña riesgos pues ¿quién va a querer obtener información mía?. Sin embargo, dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus.
Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.
Como tengo antivirus estoy protegido. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicación, además los antivirus son vulnerables a desbordamientos de búfer que hacen que la seguridad del sistema operativo se vea más afectada aún.
Como dispongo de un firewall no me contagio. Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos, además los firewalls de aplicación (los más usados) no brindan protección suficiente contra el spoofing.
Tengo un servidor web cuyo sistema operativo es un unix actualizado a la fecha: Puede que este protegído contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de dicha aplicación puede permitir que el atacante abra una shell y por ende ejecutar comandos en el unix.

Organismos oficiales de seguridad informática

Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, tales como el CERT/CC (Computer Emergency Response Team Coordination Center) del SEI (Software Engineering Institute) de la Carnegie Mellon University el cual es un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.

Rootkit

2009-03-06T17:57:00.001-08:00

Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder a otros programas, procesos, archivos, directorios, llaves de registro, y puertos que permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o extraer información sensible, a menudo con fines maliciosos o destructivos. Existen rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows.

Algunas versiones españolas de programas lo han traducido como "Encubridor".

Origen de los rootkits

El origen de los rootkits puede ser muy variado. La mayoria aparecen desde los emuladores y descargadores de archivos mediante varios virus lo cual se le podria decir que aparte de encubrir es un duplicador de ellos.

La única informacion que existe o poca conocida es, que los rootkit se suelen esconder por el archivo:

ejecutar o:

al actualizar antivirus o cualquier peticion de asistencia remota

entre los archivos de programa o archivos internet explorer

la mayoria creados a traves del virus beagle que muchas veces entra por un mal crack de juego

Objetivos de un rootkit

El objetivo de un rootkit es ocultar procesos maliciosos que son usados para robar información confidencial almacenada en la computadora de la víctima.

Uso de los rootkits

Un rootkit se usa habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado. Suelen incluir backdoors (puertas traseras) para ayudar al intruso a acceder fácilmente al sistema una vez que se ha conseguido entrar por primera vez. Por ejemplo, el rootkit puede esconder una aplicación que lance una consola cada vez que el atacante se conecte al sistema a través de un determinado puerto. Los rootkits del kernel o núcleo pueden contener funcionalidades similares. Un backdoor puede permitir también que los procesos lanzados por un usuario sin privilegios de administrador ejecuten algunas funcionalidades reservadas únicamente al superusuario. Todo tipo de herramientas útiles para obtener información de forma ilícita pueden ser ocultadas mediante rootkits.

Los rootkits se utilizan también para usar el sistema atacado como "base de operaciones", es decir, usarlo a su vez para lanzar ataques contra otros equipos. De este modo puede parecer que es el sistema infiltrado el que lanza los ataques y no el intruso externo. Este tipo de ataques podrían ser de denegación de servicio (DoS), ataques mediante IRC o mediante correo electrónico (spam).

Tipos de rootkits

Tipos básicos

Los rootkits se pueden clasificar en dos grupos: los que van integrados en el núcleo y los que funcionan a nivel de aplicación. Los que actúan desde el kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. Normalmente este procedimiento se complementa añadiendo nuevo código al kernel, ya sea mediante un controlador (driver) o un módulo, como los módulos del kernel de Linux o los dispositivos del sistema de Windows. Estos rootkits suelen parchear las llamadas al sistema con versiones que esconden información sobre el intruso. Son los más peligrosos, ya que su detección puede ser muy complicada.

Los rootkits que actúan como aplicaciones pueden reemplazar los archivos ejecutables originales con versiones crackeadas que contengan algún troyano, o también pueden modificar el comportamiento de las aplicaciones existentes usando hacks, parches, código inyectado, etc.

Ejemplos:

Algunos troyanos han utilizado estos rootkits no-persistentes ( FU Rootkits ) que cargan en la memoria una vez que ellos se encuentran instalados.
SuckIT
Adore
T0rn
Ambient's Rootkit (ARK)
Hacker Defender
First 4 Internet XCP (Extended Copy Protection) DRM
(en inglés) Rootkit.com rootkits PoC gratuitos.
(en francés) RkU Test Rootkit & Unreal rootkits para someter a un test sus softwares de protección.
Rootkit de núcleo : UACd (Agrega un driver de muy bajo nivel llamado UACd.sys)

Rootkits de Macintosh

Detección de rootkits

Hay limitaciones inherentes a cualquier programa que intente detectar rootkits mientras se estén ejecutando en el sistema sospechoso. Los rootkits son aplicaciones que modifican muchas de las herramientas y librerías de las cuales depende el sistema. Algunos rootkits modifican el propio kernel (a través de módulos y otros métodos como se indica más arriba). El principal problema de la detección de rootkits consiste en que el sistema operativo en ejecución no es fiable globalmente. En otras palabras, algunas acciones como pedir la lista de los procesos en ejecución o listar los ficheros de un directorio no son fiables al no comportarse como deberían.

El mejor método para detectar un rootkit es apagar el sistema que se considere infectado y revisar o salvar los datos arrancando desde un medio alternativo, como un CD-ROM de rescate o un PenDrive. Un rootkit inactivo no puede ocultar su presencia. Los programas antivirus mejor preparados suelen identificar a los rootkits que funcionan mediante llamadas al sistema y peticiones de bajo nivel, las cuales deben quedar intactas. Si hay alguna diferencia entre ellas, se puede afirmar la presencia de un rootkit. Los rootkits intentan protegerse a sí mismos monitorizando los procesos activos y suspendiendo su actividad hasta que el escaneo ha finalizado, de modo que el rootkit no pueda ser identificado por un detector.

Los fabricantes de aplicaciones de seguridad han ido integrando los detectores de rootkits en los productos tradicionales de detección de antivirus. Si un rootkit consigue esconderse durante el proceso de detección, será identificado por el detector de rootkits, que busca movimientos sospechosos. Si el rootkit "decide" detenerse momentáneamente, será identificado como un virus. Esta técnica combinada de detección puede obligar a los atacantes a implementar mecanismos de contraataque (también llamados retro-rutinas) en el código del rootkit, con el objetivo de eliminar los procesos creados por el software de seguridad, eliminando así al programa antivirus de la memoria. Al igual que con los virus convencionales, la detección y eliminación de los rootkits será una batalla permanente entre los creadores del rootkit y de los programas de seguridad.

Hay varios programas disponibles para detectar rootkits. En los sistemas basados en Unix, dos de las aplicaciones más populares son chkrootkit y rkhunter. Para Windows está disponible un detector llamado Blacklight (gratuito para uso personal) en la web de F-Secure. Otra aplicación de detección para Windows es Rootkit Revealer de Sysinternals. Detecta todos los rootkits actuales comparando las funcionalidades del sistema operativo original con las que se han detectado. Sin embargo, algunos rootkits han empezado a añadir este programa a la lista de los cuales no deben esconderse. En esencia, eliminan las diferencias entre los dos listados, de modo que el detector no los encuentra. Pero algo tan simple como renombrar el fichero rootkitrevealer.exe hace que el rootkit ya no sepa que se está enfrentando a un detector. Como se decía antes, será una continua batalla entre los rootkits y los antivirus.

El desplome de la economía fomentará las amenazas de malware

2009-03-05T10:55:00.000-08:00

Aunque con algo de retraso, McAfee acaba de anunciar sus predicciones de amenazas para 2009, coindiciendo en muchos puntos con otras compañías del sector.

Para la empresa de seguridad McAfee la tendencia más importante para este año es “la continua explotación de la crisis financiera por parte de los timadores, con falsos servicios de transacciones financieras, falsas firmas de inversión y falsos servicios legales”.

La actual crisis económica está dañando nuestro bienestar financiero, mientras que los autores de malware están aprovechando nuestra distracción para atacarnos. Al menos esto es lo que afirma Jeff Green, Vicepresidente Senior del Grupo de Investigación de los Laboratorios McAfee Avert Labs, que también ha dicho que los usuarios se enfrentan con un peligroso golpe “uno-dos”.

La predicción de amenazas de McAfee para 2009 se concreta en:

Amenazas escondidas en la red: Los malos están experimentando, también, una transición hacia Internet como principal vehículo para aprovecharse de las atracciones de la Web 2.0. McAfee espera que esta tendencia continúe en 2009, desplazando finalmente a los vectores más tradicionales de distribución de malware.

Amenazas personalizadas que hablan tu idioma: Según McAfee las amenazas no sólo continuarán con su intento de evadir las medidas de seguridad sino que se espera una expansión del malware en otros idiomas distintos del inglés.

Malware dirigido a dispositivos de consumo: McAfee espera un aumento de los ataques dirigidos a las memorias flash y a los dispositivos USB que se usan en cámaras, marcos de fotos digitales y otros aparatos electrónicos.

La web y publicidad engañosa: El año pasado McAfee advirtió el uso del malware clandestino como práctica dominante en la venta de software que, o bien era erróneo o bien era fraudulento. McAfee espera que esta tendencia continúe en 2009 porque los cibercriminales siguen viendo un mercado lucrativo en esta área.

McColo: Los efectos de una interrupción: En este punto McAfee hace referencia al descenso que experimentó el volumen del spam tras el cierre, por parte de los proveedores de Internet, de McColo Corp, la fuente de hasta el 60% del spam mundial. La compañía de seguridad afirma que este año presenciaremos un continuo cambio en las organizaciones, pasando de un apoyo pasivo de las fuerzas del orden, a un papel activo de colaboración, trabajando con proveedores de servicios de Internet (ISP) y entidades globales de Internet como ICANN. Juntas, estas organizaciones sacarán a la luz pública a estos ciberdelincuentes y cortarán sus accesos a la red y a infraestructuras de sistemas.

Por Rosalía Arroyo [Jueves 5 de marzo de 2009]

Los virus informáticos se 'visten' de felicitaciones de San Valentín

2009-03-05T10:50:00.000-08:00

Una empresa de seguridad informática alerta sobre los emails del tipo 'I love you'
Los hackers utilizan fórmulas del Día de los Enamorados para infectar equipos
Como consejo general, se recomienda no abrir los archivos adjuntos a estas felicitaciones

La versión digital de las tradicionales felicitaciones de San Valentín pueden esconder un inesperado visitante: los virus informáticos, según ha alertado la empresa AVG, experta en esta área, que ha hecho un llamamiento a los usuarios en el marco del Día Internacional de Internet Seguro. AVG ha recordado mediante una nota prensa que los emisores de estos virus emplean epígrafes y títulos relacionados con el día de los enamorados como cebo para los usuarios de correo electrónico, con el fin de que aquéllos se propaguen a través de sus contactos. En esta fecha, los correos electrónicos van acompañados de enlaces por los cuales, además de las tarjetas con la felicitación de San Valentín, se descargan códigos maliciosos sin el conocimiento del usuario. No abrir archivos Por esa razón, la empresa recomienda que no se abra ningún archivo que no sea solicitado. Ante la popularización de los programas de mensajería instantánea y de las redes sociales (Facebook, Hi5, MySpace, entre otros), AGV recomienda tener especial atención con cualquier e-mail o invitación que uno reciba de sus propios contactos. De esta forma se pueden evitar casos como el KoobFace, un virus que se propagó por Facebook y que robaba información privada de los usuarios infectados. En 2000, el virus I love you tuvo una gran resonancia mediática por infectar millones de ordenadores de todo el mundo, incluso de grandes corporaciones y estamentos públicos. El envío de e-mails masivos con virus en fechas señaladas, se ha convertido en algo habitual, y así en febrero de 2003 se propagó el virus w32.Yaha.K@mm, conocido también como el virus de San Valentín a través de varios e-mails. El enlace en sí, además de mostrar una postal, descargaba dicho virus, que utilizaba el ordenador infectado para hacerse con sus contactos y reenviar el correo, y que iba saturando y ralentizando el equipo hasta dejarlo inservible. Si, en 2008, el FBI alertó a la comunidad internauta a prestar especial atención a los e-mails recibidos en esta fecha, este año las autoridades de antivirus chinas advierten a sus internautas de la propagación de virus por San Valentín, en especial Vbs--Valentin.A, Worm-blebla.B, VBS-ILoveyou. EFE Barcelona 10 de febrero de 2009

Falsos antivirus y gusanos son los peligros informáticos más recientes según Pandalabs

2009-03-05T10:46:00.000-08:00

Anti-Virus-1 es un adware del tipo conocido como "falsos antivirus". Como todos los de este tipo, está diseñado para simular que lleva a cabo un análisis del equipo mediante el cual detecta decenas de ejemplares de malware que, en realidad, no existen. El objetivo es vender al usuario una versión de pago del falso antivirus para eliminar esas amenazas que, en realidad, nunca han estado en el computador. Así, cuando es ejecutado, alerta al usuario con varios mensajes en los que se notifica que el computador no está protegido. Además, la pantalla principal que muestra imita a la del Centro de Seguridad de Windows para engañar a los usuarios y que no sospechen. A continuación, como se ha dicho, simula llevar a cabo un análisis del sistema en busca de malware. Igualmente, en caso de que el usuario no reaccione ante este análisis comprando la versión de pago del falso antivirus, el código malicioso cada cierto tiempo mostará un mensaje recordando al usuario de que está infectado. Tanto tras el análisis como en los mensajes de alerta, el código malicioso ofrece un link desde que el usuario puede descargarse la versión de pago del falso antivirus. Por otra parte, cuando el usuario accede a ciertas páginas web en las que se muestran comparativas de antivirus, es redirigido a una página web que imita a la original y en la que se muestra una comparativa de un falso programa antivirus, denominado Antivirus2010, con características y funciones similares a Anti-Virus-1. "De esta manera, los ciberdelincuentes buscan que ya no sea necesario engañar al usuario para que se descargue el falso antivirus, sino que lo haga por iniciativa propia. Así, sospechará menos de que pueda haber sido infectado y habrá más posibilidades de que compre el falso antivirus de pago", explica Luis Corrons, director técnico de PandaLabs. Pinit.B.es un gusano que, una vez ha infectado un equipo modifica la configuración del Explorador de Windows. Además, permite a su creador realizar conexiones en el equipo a través de Terminal Server. Este gusano se propaga a través de las unidades del sistema, tanto compartidas como extraíbles. Werly.A, por su parte, es un virus diseñado para infectar los archivos con extensión EXE que encuentre en el computador afectado. Además, está programado para borrar archivos con ciertas extensiones, como DOC, TXT, XLS y ZIP, entre otras. Jueves 5 de marzo de 2009

Virus informáticos en el Ejército alemán

2009-03-05T10:36:00.000-08:00

El virus conocido como 'Conficker' o 'Downadup', que desde hace semanas circula por Internet, ha contaminado varios centenares de ordenadores del Ejercito Federal Alemán, según reconoció un portavoz del Ministerio de Defensa.

"Varias oficinas afectadas fueron separadas de la red informática del Ejército Federal para evitar que el programa malicioso se extendiese aún mas", añadió el portavoz, quien subrayó que, entre tanto, el problema ha sido subsanado.

Explicó además que especialistas de un equipo de técnicos informáticos militares con la ayuda de la empresa especializada BWI Informationstechnik GmbH tomaron "medidas para eliminar el 'software' dañino y devolver a los sistemas informatizados del Ejército Federal toda su capacidad operativa.

El virus, en realidad un gusano informático, ha atacado en las últimas semanas a los sistemas informáticos de los ejércitos de varios países europeos, como es el caso de la Marina francesa, cuyo sistema de intranet se vio afectado por 'Downadup'.

El programa dañino atacó en enero a millones de ordenadores en todo el mundo, pero especialmente a las redes internas de empresas e instituciones.

La empresa Microsoft ha ofrecido una recompensa de 250.000 dólares (194.000 euros) por cualquier pista que conduzca a la identificación, detención y procesamiento del autor del virus, que aprovecha un agujero de seguridad en el sistema Windows para atacar los ordenadores.

lunes 16/02/2009