REDES ZOMBI (BOTNETS) 3RA PARTE.

Ciclo de vida de una Botnet.

Se denomina ciclo de vida al proceso completo de despliegue y explotación de una red zombi. Dentro de este ciclo, hay una serie de etapas como son:

Diseño y desarrollo: En esta fase el promotor, también denominado pastor (Herd), define las necesidades, características y forma de trabajar del troyano y de la propia red, y desarrolla el software necesario.

Implantación: La fase de implantación se inicia en el momento en que se infecta (“se siembra” en la jerga de las redes zombi) el primer equipo, y continúa de forma indefinida mientras los métodos de infección sean efectivos. En el momento en que dejen de serlo, los modificarán mediante la actualización o la red no crecerá más.

Esta fase es clave en el éxito del desarrollo de la red, si no es discreto, las medidas de protección pueden evitar la implantación, además debe propagarse de forma autónoma lo más rápido posible. Los métodos más comunes son los mismos que utilizan losvirus para dispersarse como pueden ser el correo electrónico, la mensajería instantánea, las unidades de disco extraíbles, o a través de páginas web.

También se utilizan las redes p2p, mediante la utilización de “mochilas”, que son programas que contienen el software malicioso, se pegan a software comercial de gran demanda, de tal modo que cuando se descarga y ejecuta dicho software el equipo queda infectado.

Explotación: En esta fase es cuando la red zombi realiza los servicios para los que se ha diseñado. Su función está gobernada por los comandos que se envían a un servidor, que es el que envía las órdenes a los equipos que forman parte de la red.

Declive: Ocurre cuando el número de equipos infectados desciende a unos niveles que dejan de ser operativos. Esto sucede por varios motivos, los principales tienen que ver con la resolución de vulnerabilidades de sistemas operativos y aplicaciones, la mejora en el control de las redes, cambios en versiones de software que no tienen esas vulnerabilidades, acción de los antivirus y antiespías, extensiones de navegadores, etc.

Inactividad: Se produce si la red deja de utilizarse o se hace poco efectiva y permanece sin realizar ningún tipo de actividad.

Modificación: Si el controlador de la red zombi actualiza el software malicioso para dificultar la detección, añadir alguna funcionalidad o alguna otra mejora, se vuelve a iniciar el ciclo, en el que, además de infectar otra vez las maquinas de la red, se pueden añadir equipos a esta red.

Anuncios

REDES ZOMBI (BOTNETS) 2DA. PARTE

Características:

El potencial de estas redes recae en su infraestructura distribuida, y es que numerosas computadoras controladas por un mismo atacante, ofrecen ventajas a la hora de cometer actividades ilegitimas respecto a los medios más tradicionales, como son:

Anonimato: La actividad se produce desde muchos ordenadores a la vez. Localizar estos ordenadores puede ser muy complicado, tanto a nivel técnico, como a nivel judicial, ya que pueden utilizar ordenadores de varios países, y la legislación no es igual en todos ellos. Por lo tanto, llegar a descubrir al atacante resulta muy complicado.

Coste: La inversión solo se realiza en el desarrollo del software malicioso, en ordenadores y comunicaciones. Es muy bajo para la efectividad del mismo, ya que se utilizan ordenadores y líneas de comunicación que pagan los propietarios de los ordenadores infectados y la capacidad de proceso y de comunicaciones es enorme.

Las primeras redes zombi partían de los IRC (un tipo de protocolo de mensajería instantánea), y se controlaban mediante comandos sencillos desde el servidor del IRC, ya que era muy sencillo de utilizar. No obstante, hoy se utilizan otros protocolos en los cuales es más complicado hacer el seguimiento o restringir su uso, como son HTTPDNSICMP. Protocolos que son difíciles de restringir o de filtrar. También hay software malicioso que trabajan en los programas de mensajería instantánea o a través de la Web.

“Las primeras redes zombi se crearon a partir del IRC

En la actualidad se están empezando a utilizar redes distribuidas (tipo p2p) en el que no existe un servidor central, y cada máquina infectada está en contacto con varias, de tal modo que si cae alguna, la red zombi sigue operativa.

La importancia de una red zombi va en función de la capacidad que tiene para realizar sus funciones y en general, se mide por:

Número de equipos: Es el objetivo principal de la red zombi, cuantos más equipos infectados posea, mayor capacidad de cálculo y ancho de banda tendrá.

Anonimato: Cuanto más inadvertida pase mejor, ya que si no se aprecia en el sistema nada raro, no se buscan posibles infecciones, con lo que el software malicioso que permite la manipulación del ordenador permanece más tiempo en este.

Actualización: Este característica indica que el que controla (o quienes controlan) la red zombi tienen capacidad de reaccionar cada vez que la red pierde eficacia, introduciendo mejoras para dificultar su detección.

Explotación.

Los usos que se le pueden dar a una red zombi, son muy variados y comprenden una amplia variedad de actividades ilegítimas, las más comunes son:

Ataques de denegación de servicio distribuidos (DDoS): Su misión es bloquear un servidor enviando muchas peticiones en muy poco tiempo (desde cada uno de los ordenadores infectados de la red zombi), de forma que logran saturarlo ralentizándolo y, en el peor de los casos, provocando su caída.

Fraudes: Se utiliza la red para generar dinero mediante la manipulación en negocios legítimos.

  • Manipulación de encuestas: Ya que cada equipo comprometido tiene una dirección IP diferente, es muy difícil la detección del engaño.
  • Juegos en línea: Se paga para que los equipos infectados actúen como jugadores y mejorar a jugadores o beneficiar indirectamente a otros jugadores.
  • Pago por clic: Los equipos de la red zombi hacen clic en anuncios de páginas concretas para que aumenten los ingresos del propietario de la página.

Spam: En este caso se utiliza la red zombi para enviar muchísimos correos electrónicos no solicitados que suele contener algún tipo de fraude o publicidad.

Descarga de ficheros: Se utilizan como servidores replica (mirror) para descargar grandes archivos, que consumen mucho ancho de banda y que generalmente son ilícitos o ilegales (warez).

Computación distribuida: Al igual que este modelo se utiliza para proyectos con el consentimiento del usuario (SETI, Globus…), aquí se utiliza la potencia de miles de maquinas para procesos con una finalidad ilícita, como por ejemplo forzar contraseñas.

Anonimato: Se utiliza la red zombi como servidores proxy en cascada para dificultar la traza de una comunicación pasando por diferentes equipos que estén en localizaciones muy distintas con el fin de poder realizar conexiones a distintos ordenadores remotos y que su localización sea muy complicada.

Otras actividades complementarias. Las redes zombi pueden tener otra serie de funcionalidades, como son actividades de descarga de otro malware, siembra de otras redes zombi…, actividades que aunque no sean la actividad básica no hay que descartarlas.

Métodos de Explotación

Estas redes, que reportan un beneficio a las personas que las controlan, actualmente se aprovechan económicamente de tres modos:

  1. Explotación propia. El aprovechamiento económico, viene por la explotación directa de la misma por parte del propietario.
  2. Alquiler a terceros. El beneficio se obtiene de vender los servicios de la red a clientes siendo el propietario quién la controla.
  3. Venta de Entornos de control: Se trata de la última tendencia en este tipo de servicios, los promotores de la red, venden a cualquier usuario el programa de control de los zombis.

 

REDES ZOMBI (BOTNETS) 1 PARTE

Cuando en los medios de comunicación aparecen noticias en las que se habla de spam o de páginas web que han estado inaccesibles durante un tiempo, detrás de esas acciones probablemente se encuentre una red zombi o botnet.

Estas redes son conjuntos de ordenadores que han sido infectados con un tipo de software malicioso, con funcionalidad de puerta trasera (backdoor), que permite al atacante controlar dichas maquinas sin tener acceso físico a ellas y sin el conocimiento del propietario. Estas caracteristicas así como su bajo coste unido a la gran variedad de formas de explotación lo convierten en uno de los métodos de acciones ilegitimas o ilegales más importantes en la red, en la actualidad existen redes zombi de unos pocas maquinas hasta redes muy grandes, que pueden llegar a ser cientos de miles (informes del FBI afirman que millones), con unas características muy precisas y todas con una amplia variedad de posibilidades de uso y métodos de explotación.

De este modo, el atacante puede utilizar las maquinas infectadas para llevar a cabo diferentes acciones ilegales como las comentadas anteriormente. Cada una de las maquinas comprometidas se denomina bot, zombi o drone. Un bot es un programa u ordenador que actúa de forma automática solo dándole la orden de inicio, en el caso de una red zombi, el ordenador actúa automáticamente en cuanto el controlador lo inicia. De este modo una botnet es un conjunto de bots.

“Actualmente son una de las principales amenazas de Internet”

Las redes zombi tienen un ciclo de vida complejo desde la elaboración del software malicioso que infectara las maquinas que formaran parte de la botnet, hasta la infección y el posterior perfeccionamiento de la red zombi para mejorar su eficacia.

Recomendaciones

Se debe hacer hincapié en que no existen diferentes maneras de infectar un ordenador por medio de un virus, y que dicho ordenador pase a formar parte de una red zombi, de manera que las recomendaciones más importantes serian:

  • Las recomendaciones generales respecto a la protección contra virus.
  • Los diferentes métodos de protección del correo electrónico.
  • Mantener todo el software que haya en el equipo actualizado.

Si existen sospechas de una infección por parte de un software malicioso de una red zombi, o el antivirus lo confirma, es un buen hábito avisar a los contactos del correo electrónico, posiblemente el programa les haya mandado un mail para contagiarlos.

“Las medidas preventivas son esenciales para no infectarse”

LOS TIPOS DE VIRUS Y SU DESARROLLO

 

¿Qué son los virus?

Los virus son programas maliciosos creados para manipular el normal funcionamiento de los sistemas, sin el conocimiento ni consentimiento de los usuarios.

Actualmente, por sencillez, el término virus es ampliamente utilizado para referirse genéricamente a todos los programas que infectan un ordenador, aunque en realidad, los virus son sólo un tipo específico de este tipo de programas. Para referirse a todos ellos también se suelen emplear las palabras: código malicioso, software malicioso, software malintencionado, programas maliciosos o, la más usual, malware que procede de las siglas en inglés malicious software.

Los programas maliciosos pueden alterar tanto el funcionamiento del equipo como la información que contienen o se maneja en ella. Las acciones realizadas en la máquina pueden variar desde el robo de información sensible o el borrado de datos hasta el uso del equipo como plataforma para cometer otro tipo de actividades ilegales –como es el caso de las redes zombies, pudiendo llegar incluso a tener sus respectivas consecuencias legales.

En sus comienzos la motivación principal para los creadores de virus era la del reconocimiento público. Cuanta más relevancia tuviera el virus, más reconocimiento obtenía su creador. Por este motivo las acciones a realizar por el virus debían ser visibles por el usuario y suficientemente dañinas como para tener relevancia, por ejemplo, eliminar ficheros importantes, modificar los caracteres de escritura, formatear el disco duro, etc.

Sin embargo, la evolución de las tecnologías de la comunicación y su penetración en casi todos los aspectos de la vida diaria ha sido vista por los ciberdelincuentes como un negocio muy lucrativo. Los creadores de virus han pasado a tener una motivación económica, por lo que actualmente son grupos mucho más organizados que desarrollan los códigos maliciosos con la intención de que pasen lo más desapercibidos posibles, y dispongan de más tiempo para desarrollar sus actividades maliciosas.

¿A qué afectan los códigos maliciosos?

Los programas maliciosos afectan a cualquier dispositivo que tenga un Sistema Operativo que pueda entender el fichero malicioso, es decir:

  • Ordenadores personales
  • Servidores
  • Teléfonos Móviles
  • PDAs
  • Videoconsolas

Esto implica que para utilizar cualquiera de estos dispositivos de manera segura debemos verificar que no está infectado, además de tomar las medidas necesarias para prevenir una infección en el futuro.

¿Por qué hay gente que crea programas maliciosos?

Cuando surgieron los primeros virus y programas maliciosos solía ser muy sencillo darse cuenta de que el ordenador estaba infectado, ya que los virus generalmente realizaban alguna acción visible en el equipo, por ejemplo, borrar ficheros, formatear el disco duro, cambiar los caracteres de escritura, etc.

Actualmente los programas maliciosos han evolucionado y suelen perseguir un fin lucrativo. Para lograr más fácilmente su cometido suelen pasar desapercibidos para el usuario, por lo que son más difíciles de detectar de forma sencilla. Hay varias formas en las que el creador del programa malicioso puede obtener un beneficio económico, las más comunes son:

  • Robar información sensible del ordenador infectado, como datos personales, contraseñas, credenciales de acceso a diferentes entidades…
  • Crear una red de ordenadores infectados -generalmente llamada red zombie o botnet- para que el atacante pueda manipularlos todos simultáneamente y vender estos servicios a entidades sin escrúpulos que puedan realizar acciones poco legítimas como el envío de SPAM, envío de mensajes de phishing, realizar ataques de denegación de servicio, etc.
  • Vender falsas soluciones de seguridad que no realizan las acciones que afirman hacer, por ejemplo, falsos antivirus que muestran mensajes con publicidad informando de que el ordenador está infectado cuando en realidad no es así, la infección que tiene el usuario es el falso antivirus.
  • Cifrar el contenido de los ficheros del ordenador y solicitar un “rescate” al usuario del equipo para recuperar la información, como hacen los criptovirus.

TIPOS DE VIRUS

Los distintos códigos maliciosos que existen pueden clasificarse en función de diferentes criterios, los más comunes son:

  • por su capacidad de propagación
  • por las acciones que realizan en el equipo infectado.

Algunos de los programas maliciosos tienen alguna característica particular por la que se les suele asociar a un tipo concreto mientras que a otros se les suele incluir dentro de varios grupos a la vez. También cabe mencionar que muchas de las acciones que realizan los códigos maliciosos, en algunas circunstancias se pueden considerar legítimas, por lo tanto, como dijimos anteriormente, sólo se considera que un programa es malicioso cuando actúa sin el conocimiento ni consentimiento del usuario.

Los posibles tipos de virus y sus clasificaciones son los siguientes:

Según su capacidad de propagación

Atendiendo a su capacidad de propagación, o mejor dicho de autopropagación, existen tres tipos de códigos maliciosos:

  • Virus: Su nombre es una analogía a los virus reales ya que infectan otros archivos, es decir, sólo pueden existir en un equipo dentro de otro fichero. Los ficheros infectados generalmente son ejecutables: .exe, .src, o en versiones antiguas .com, .bat; pero también pueden infectar otros archivos, por ejemplo, un virus de Macro infectará programas que utilicen macros, como los productos Office.

Los virus se ejecutan cuando se ejecuta el fichero infectado, aunque algunos de ellos además están preparados para activarse sólo cuando se cumple una determinada condición, por ejemplo que sea una fecha concreta. Cuando están en ejecución, suelen infectar otros ficheros con las mismas características que el fichero anfitrión original. Si el fichero que infectan se encuentra dentro de un dispositivo extraíble o una unidad de red, cada vez que un nuevo usuario acceda al fichero infectado, su equipo también se verá comprometido.

Los virus fueron el primer tipo de código malicioso que surgió, aunque actualmente casi no se encuentran nuevos virus pasando a hallarse en los equipos otros tipos de códigos maliciosos, como los gusanos y troyanos que se explican a continuación.

  • Gusanos: Son programas cuya característica principal es realizar el máximo número de copias de sí mismos posible para facilitar su propagación. A diferencia de los virus no infectan otros ficheros. Los gusanos se suelen propagar por los siguientes métodos:
  • Correo electrónico
  • Redes de compartición de ficheros (P2P)
  • Explotando alguna vulnerabilidad
  • Mensajería instantánea
  • Canales de chat

Generalmente los gusanos utilizan la ingeniería social para incitar al usuario receptor a que abra o utilice determinado fichero que contiene la copia del gusano. De este modo, si el gusano se propaga mediante redes P2P, las copias del gusano suelen tener un nombre sugerente de, por ejemplo, alguna película de actualidad; para los gusanos que se propagan por correo, el asunto y el adjunto del correo suelen ser llamativos para incitar al usuario a que ejecute la copia del gusano.

Eliminar un gusano de un ordenador suele ser más fácil que eliminar un virus. Al no infectar ficheros la limpieza del código malicioso es más sencilla, no es necesario quitar sólo algunas partes del mismo basta con eliminar el archivo en cuestión.

Por otro lado, como los gusanos no infectan ficheros, para garantizar su autoejecución suelen modificar ciertos parámetros del sistema, por ejemplo, pueden cambiar la carpeta de inicio con el listado de todos los programas que se tienen que ejecutar al arrancar el ordenador, para incluir en el listado la copia del gusano; o modificar alguna clave del registro que sirva para ejecutar programas en determinado momento, al arrancar el ordenador, cuando se llama a otro programa…

  • Troyanos: Carecen de rutina propia de propagación, pueden llegar al sistema de diferentes formas, las más comunes son:
  • Descargado por otro programa malicioso.
  • Descargado sin el conocimiento del usuario al visitar una página Web maliciosa.
  • Dentro de otro programa que simula ser inofensivo.

Según las acciones que realizan

Según las acciones que realiza un código malicioso, existen varios tipos, es posible que un programa malicioso pertenezca a un tipo en concreto, aunque también puede suceder que pertenezca a varias de estas categorías a la vez.

Los diferentes tipos de códigos maliciosos por orden alfabético son:

  • Adware: Muestra publicidad, generalmente está relacionado con los espías, por lo que se suelen conectar a algún servidor remoto para enviar la información recopilada y recibir publicidad.

Algunos programas en sus versiones gratuitas o de evaluación muestran este tipo de publicidad, en este caso deberán avisar al usuario que la instalación del programa conlleva la visualización de publicidad.

  • Bloqueador: Impide la ejecución de determinados programas o aplicaciones, también puede bloquear el acceso a determinadas direcciones de Internet. Generalmente impiden la ejecución de programas de seguridad para que, de este modo, resulte más difícil la detección y eliminación de programas maliciosos del ordenador. Cuando bloquean el acceso a direcciones de Internet, éstas suelen ser de páginas de seguridad informática; por un lado logran que los programas de seguridad no se puedan descargar las actualizaciones, por otro lado, en caso de que un usuario se quiera documentar de alguna amenaza informática, no podrá acceder a las direcciones en las que se informa de dicha amenaza.
  • Bomba lógica: Programa o parte de un programa que se instala en un ordenador y no se ejecuta hasta que se cumple determinada condición, por ejemplo, ser una fecha concreta, ejecución de determinado archivo…
  • Broma (Joke): No realiza ninguna acción maliciosa en el ordenador infectado pero, mientras se ejecuta, gasta una “broma” al usuario haciéndole pensar que su ordenador está infectado, por ejemplo, mostrando un falso mensaje de que se va a borrar todo el contenido del disco duro o mover el ratón de forma aleatoria.
  • Bulo (Hoax): Mensaje electrónico enviado por un conocido que intenta hacer creer al destinatario algo que es falso, como alertar de virus inexistentes, noticias con contenido engañoso, etc, y solicitan ser reenviado a todos los contactos. Algunos de estos mensajes pueden ser peligrosos por la alarma innecesaria que generan y las acciones que, en ocasiones, solicitan realizar al usuario, por ejemplo, borrando ficheros del ordenador que son necesarios para el correcto funcionamiento del equipo.
  • Capturador de pulsaciones (Keylogger): Monitoriza las pulsaciones del teclado que se hagan en el ordenador infectado, su objetivo es poder capturar pulsaciones de acceso a determinadas cuentas bancarias, juegos en línea o conversaciones y mensajes escritos en la máquina.
  • Clicker: Redirecciona las páginas de Internet a las que intenta acceder el usuario, de este modo logra aumentar el número de visitas a la página redireccionada, realizar ataques de Denegación de Servicio a una página víctima o engañar al usuario sobre la página que está visitando, por ejemplo, creyendo que está accediendo a una página legítima de un banco cuando en realidad está accediendo a una dirección falsa.
  • Criptovirus (ransomware): Hace inaccesibles determinados ficheros en el ordenador y coacciona al usuario víctima a pagar un “rescate” (ransom en inglés) para poder acceder a la información. Generalmente lo que se hace es cifrar los ficheros con los que suela trabajar el usuario, por ejemplo, documentos de texto, hojas Excel, imágenes…
  • Descargador (Downloader): Descarga otros programas (generalmente también maliciosos) en el ordenador infectado. Suelen acceder a Internet para descargar estos programas.
  • Espía (Spyware): Roba información del equipo para enviarla a un servidor remoto. El tipo de información obtenida varía según el tipo de espía, algunos recopilan información relativa a los hábitos de uso del ordenador, como el tiempo de uso y páginas visitadas en Internet; sin embargo, otros troyanos son más dañinos y roban información confidencial como nombres de usuario y contraseñas.

A los espías que roban información bancaria se les suele llamar Troyanos Bancarios.

  • Exploit: Tipo del software que se aprovecha de un agujero o de una vulnerabilidad en el sistema de un usuario para tener el acceso desautorizado al sistema.
  • Herramienta de fraude: Simula un comportamiento anormal del sistema y propone la compra de algún programa para solucionarlo. Los más comunes son los falsos antivirus, que informan de que el ordenador está infectado, cuando en realidad el principal programa malicioso que tiene es la herramienta fraudulenta.
  • Instalador (Dropper): Instala y ejecuta otros programas, generalmente maliciosos, en el ordenador.
  • Ladrón de contraseñas (PWStealer): Roba nombres de usuario y contraseñas del ordenador infectado, generalmente accediendo a determinados ficheros del ordenador que almacenan esta información.
  • Marcador (Dialer): Actúa cuando el usuario accede a Internet, realizando llamadas a Números de Tarificación Adicional (NTA), lo que provoca un considerable aumento en la factura telefónica del usuario afectado. Este tipo de programas está actualmente en desuso porque sólo funcionan si la conexión a Internet se hace a través del Módem, no se pueden realizar llamadas a NTA en conexiones ADSL o WiFi.
  • Puerta trasera (Backdoor): Permite el acceso de forma remota a un sistema operativo, página Web o aplicación, haciendo que el usuario evite las restricciones de control y autenticación que haya por defecto. Puede ser utilizado por responsables de sistemas o webmasters con diversos fines dentro de una organización, pero también puede ser utilizados por atacantes para realizar varias acciones en el ordenador infectado, por ejemplo:
  • Utilizar los ficheros que desee para leer su información, moverlos, subirlos al ordenador, descargarlos, eliminarlos…
  • Reiniciar el ordenador
  • Obtener diversa información de la máquina infectada: nombre del ordenador, dirección MAC, sistema operativo instalado…
  • etc.
  • Rootkit: Toma control de Administrador (“root” en sistemas Unix/Linux) en el sistema, generalmente para ocultar su presencia y la de otros programas maliciosos en el equipo infectado; la ocultación puede ser para esconder los ficheros, los procesos generados, conexiones creadas… También pueden permitir a un atacante remoto tener permisos de Administrador para realizar las acciones que desee.

Cabe destacar que los rootkits hay veces que se utilizan sin fines maliciosos.

  • Secuestrador del navegador (browser hijacker): Modifica la página de inicio del navegador, la página de búsqueda o la página de error por otra de su elección, también pueden añadir barras de herramientas en el navegador o incluir enlaces en la carpeta de “Favoritos”. Todas estas acciones las realiza generalmente para aumentar las visitas de la página de destino.

Otras clasificaciones

Debido a la gran cantidad y diversidad de códigos maliciosos que existen, y que muchos de ellos realizan varias acciones y se pueden agrupar varios apartados a la vez, existen varias clasificaciones genéricas que engloban varios tipos de códigos maliciosos, son las siguientes:

  • Ladrones de información (Infostealers): Agrupa todos los tipos de códigos maliciosos que roban información del equipo infectado, son los capturadores de pulsaciones, espías y ladrones de contraseñas.
  •  Código delictivo (crimeware): Hace referencia a todos los programas que realizan una acción delictiva en el equipo, básicamente con fines lucrativos. Engloba a los ladrones de información,mensajes de phishing y clickers que redireccionen al usuario a falsas páginas bancarias o de seguridad. Las herramientas de fraude, marcadores y criptovirus también forman parte de esta categoría.
  • Greyware (grayware): Engloba todas las aplicaciones que realizan alguna acción que no es, al menos de forma directa, dañina, tan sólo molesta o no deseable. Agrupa el adware, espías que sólo roben información de costumbres del usuario (páginas por las que navegan, tiempo que navegan por Internet…),  bromas y bulos.

Programas no recomendables

Por otro lado existen algunos programas que, sin realizar directamente ninguna acción dañina en el equipo, generalmente se consideran maliciosos, son los siguientes:

Programas que realizan acciones ilegales

  • Generador de claves (keygen): Genera las claves necesarias para que funcione determinado programa de pago de forma gratuita. El generador es un programa independiente del programa de pago.
  • Crack: Parche informático que se desarrolla para que determinado programa de pago funcione de forma gratuita. A diferencia de los generadores de claves, aquí lo que se hace es modificar el programa de pago.
  • Herramienta de creación de malware (constructor): No realiza ninguna acción maliciosa en el ordenador. Es empleado por programadores maliciosos para crear programas dañinos personalizados, por ejemplo, acciones perjudiciales que va a realizar en el ordenador infectado, cuándo y cómo se va a ejecutar…

El uso y pertenencia de estos programas, no sólo están tipificados como delito por la legislación española sino que, además, suelen ser utilizados para propagar otros programas maliciosos que están ocultos para el usuario que ejecuta el archivo.

Cookies maliciosas

Existe un tipo de ficheros que según el uso que tengan, pueden o no ser peligrosos, son las cookies. Las cookies son pequeños ficheros de texto que se crean en el navegador al visitar páginas Web; almacenan diversa información que, por lo general, facilitan la navegación del usuario por la página Web que se está visitando y lo más importante no tienen capacidad para consultar información del ordenador en el que están almacenadas. Sin embargo existen un tipo de cookies llamadas cookies maliciosas que su cometido no es facilitar la navegación por determinadas páginas, sino monitorizar las actividades del usuario en Internet con fines maliciosos, por ejemplo capturar los datos de usuario y contraseña de acceso a determinadas páginas Web o vender los hábitos de navegación a empresas de publicidad.

Por último, nos queda indicar que existen algunas amenazas que pueden afectar a un ordenador sin que la máquina esté infectada; son los denominados ataques en red, correo no deseado, fraude en Internet… En la sección de Amenazas se explican todas ellas.

Cómo llegan al ordenador y cómo prevenirlos

Existen gran variedad de formas por las que los virus, gusanos y troyanos pueden llegar a un ordenador; en la mayoría de los casos prevenir la infección resulta relativamente fácil siguiendo unas sencillas pautas. Las formas en que un programa puede llegar al ordenador son las siguientes:

  • Explotando una vulnerabilidad: cualquier programa del ordenador puede tener una vulnerabilidad que puede ser aprovechada para introducir programas maliciosos en el ordenador. Es decir, todos los programas que haya instalados en el equipo, ya sean: Sistemas Operativos -Windows, Linux, MAC OS, etc-, navegadores Web -Internet Explorer, Firefox, Opera, Chrome, etc-, clientes de correo –Outlook, Thunderbird, etc- o cualquier otra aplicación –reproductores multimedia, programas de ofimática, compresores de ficheros, etc-, es posible que tengan alguna vulnerabilidad que sea aprovechada por un atacante para introducir programas maliciosos. Para prevenir quedarse infectado de esta forma, recomendamos tener siempre actualizado el software el equipo.
  •  Ingeniería social: apoyado en técnicas de ingeniería social para apremiar al usuario a que realice determinada acción. La ingeniería social se utiliza sobre todo en correos de phishing, pero puede ser utilizada de más formas, por ejemplo, informando de una falsa noticia de gran impacto, un ejemplo puede ser alertar del comienzo de una falsa guerra incluyendo un enlace en que se puede ver más detalles de la noticia; a donde realmente dirige el enlace es a una página Web con contenido malicioso. Tanto para los correos de phishing como para el resto de mensajes con contenido generado con ingeniería social, lo más importante es no hacer caso de correos recibidos de remitentes desconocidos y tener en cuenta que su banco nunca le va a pedir sus datos bancarios por correo.
  • Por un archivo malicioso: esta es la forma que tienen gran cantidad de troyanos de llegar al equipo. El archivo malicioso puede llegar como adjunto de un mensaje, por redes P2P, como enlace a un fichero que se encuentre en Internet, a través de carpetas compartidas en las que el gusano haya dejado una copia de sí mismo…La mejor forma de prevenir la infección es analizar con un antivirus actualizado todos los archivos antes de ejecutarlos, a parte de no descargar archivos de fuentes que no sean fiables.
  • Dispositivos extraíbles: muchos gusanos suelen dejar copias de sí mismos en dispositivos extraíbles para que automáticamente, cuando el dispositivo se conecte a un ordenador, ejecutarse e infectar el nuevo equipo. La mejor forma de evitar quedarse infectados de esta manera, es deshabilitar el autoarranque de los dispositivos que se conecten al ordenador.

LOS CONCEPTOS DE SEGURIDAD Y SU DESARROLLO

Los conceptos confidencialidad, integridad o disponibilidad son muy comunes en el ámbito de la seguridad y aparecen como fundamentales en toda arquitectura de seguridad de la información, ya sea en el ámbito de la protección de datos, normativa vigente relacionada con la protección de datos de carácter personal, como de códigos de buenas prácticas o recomendaciones sobre gestión de la seguridad de la información y de prestigiosas certificaciones internacionales, éstas últimas, relacionadas con la auditoría de los sistemas de información. Suele referirse al grupo de estas características como CIDAN, nombre sacado de la inicial de cada característica.

Por estos motivos es importante tener una idea clara de estos conceptos.

 

Confidencialidad

Se trata de la cualidad que debe poseer un documento o archivo para que este solo se entienda de manera comprensible o sea leído por la persona o sistema que este autorizado.

De esta manera se dice que un documento (o archivo o mensaje) es confidencial si y solo si puede ser comprendido por la persona o entidad a quien va dirigida o esté autorizada. En el caso de un mensaje esto evita que exista una intercepción de este y que pueda ser leído por una persona no autorizada.

Por ejemplo, si Andrea quiere enviar un mensaje a Bruno y que solo pueda leerlo Bruno, Andrea cifra el mensaje con una clave (simétrica o asimétrica), de tal modo que solo Bruno sepa la manera de descifrarlo, así ambos usuarios están seguros que solo ellos van a poder leer el mensaje.

 

 

Integridad

La integridad es la cualidad que posee un documento o archivo que no ha sido alterado y que además permite comprobar que no se ha producido manipulación alguna en el documento original. Aplicado a las bases de datos seria la correspondencia entre los datos y los hechos que refleja.

Teniendo como muestra el ejemplo anterior. Finalmente Bruno compara ambas funciones resumen, que se trata de una función que produce un valor alfanumérico que identifica cualquier cambio que se produzca en el mensaje, y si éstas funciones son iguales, quiere decir que no ha existido manipulación del mensaje

Autenticación

La autenticación es la situación en la cual se puede verificar que un documento ha sido elaborado (o pertenece) a quien el documento dice.

Aplicado a la verificación de la identidad de un usuario, la autenticación se produce cuando el usuario puede aportar algún modo de que se pueda verificar que dicha persona es quien dice ser, a partir de ese momento se considera un usuario autorizado.

Otra manera de definirlo seria, la capacidad de determinar si una determinada lista de personas ha establecido su reconocimiento sobre el contenido de un mensaje.

Disponibilidad

Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran.

No repudio

El no repudio o irrenunciabilidad es un servicio de seguridad estrechamente relacionado con la autenticación y que permite probar la participación de las partes en una comunicación. La diferencia esencial con la autenticación es que la primera se produce entre las partes que establecen la comunicación y el servicio de no repudio se produce frente a un tercero, de este modo, existirán dos posibilidades:

  • No repudio en origen: El emisor no puede negar que envío porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario
  • No repudio en destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.

Si la autenticidad prueba quién es el autor de un documento y cual es su destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino).

Relación de los servicios de seguridad

En la imagen superior se ilustra como se relacionan los diferentes servicios de seguridad, unos dependen de otros jerárquicamente, así si no existe el de mas abajo, no puede aplicarse el superior. De esta manera, la disponibilidad se convierte en el primer requisito de seguridad, cuando existe esta, se puede disponer deconfidencialidad, que es imprescindible para conseguir integridad, para poder obtener autenticación es imprescindible la integridad y por ultimo el no repudio solo se obtiene si se produce previamente la autenticación.

Un grupo de piratas ataca la web de Apple y asegura robar contraseñas

La campaña de pirateo ‘Antisec’ ha lanzado un ambicioso ataque a una de las web mejor protegidas del mundo tecnológico, la de Apple, y asegura haber robado 26 nombres de usuario y contraseñas, según informa el ‘Wall Street Journal’.

La campaña de pirateo ‘Antisec’ ha lanzado un ambicioso ataque a una de las web mejor protegidas del mundo tecnológico, la de Apple, y asegura haber robado 26 nombres de usuario y contraseñas, según informa el ‘Wall Street Journal’.

Los piratas anunciaron el ataque en su página web, donde publicaron un enlace a un supuesto servidor de encuestas online de Apple, junto con los datos de 26 usuarios encargados de administrarla.

No obstante, la veracidad de esos datos no ha sido certificada, y Apple, que lleva ocho años sin sufrir un ataque informático exitoso, se ha negado por el momento a hacer comentarios al respecto.

La campaña ‘Antisec’ es un plan lanzado por piratas del famoso grupo Anonymous y del ahora desaparecido Lulz Security para atacar a gobiernos y grandes corporaciones en defensa de ‘la libertad y el progreso’, según anunciaron al inaugurar el proyecto.

En su cuenta de Twitter, @AnonymousIRC, el grupo publicó un enlace al servidor ‘pastebin’ con la lista de usuarios y contraseñas, aunque precisó que se trataba de un ataque ‘poco serio’ y que el gigante informático no es su principal enemigo.

‘Apple podría ser un objetivo. Pero no se preocupen, estamos ocupados con otras cosas’, indica el tuiteo.

La campaña ha atacado en los últimos dos meses a otras empresas, como la tecnológica Sony y la de telecomunicaciones AT&T; y a agencias federales como el Senado estadounidense, la CIA y el Departamento de Seguridad Pública de Arizona, entre otros.

Esa serie de ataques llevó a la disolución del grupo Lulz Security, una vez identificados los responsables.

El grupo de piratas aseguró también en Twitter que está ‘preparando un bonito regalo para el cumpleaños de Estados Unidos hoy’ -cuando se celebra el día de la Independencia-, aunque subrayó que no puede prometer nada porque se encuentra en plena fase de ‘control de calidad’.