Comienzo:
Virus:
Existe cierta controversia sobre la definición de
virus
informático. Quizás la más aceptada
pertenece a Fred B. Cohen, quien en 1984 escribió su
tesis doctoral
acerca de los virus,
definiéndolos como «un programa de
ordenador que puede infectar otros programas
modificándolos para incluir una copia de sí
mismo».
Los virus
informáticos tienen básicamente la función de
propagarse, replicándose, pero algunos contienen
además una carga dañina (payload) con distintos
objetivos,
desde una simple broma hasta realizar daños importantes en
los sistemas, o
bloquear las redes informáticas
generando tráfico inútil.
El funcionamiento de un virus informático es
conceptualmente simple: ejecutando un programa infectado
(normalmente por desconocimiento del usuario) el código
del virus queda almacenado (residente) en la memoria RAM del
ordenador, aun cuando el programa que lo contenía haya
terminado de ejecutarse. El virus toma entonces el control de los
servicios
básicos del sistema
operativo, infectando los posteriores ficheros ejecutables que
sean abiertos o ejecutados, añadiendo su propio
código al del programa infectado y grabándolo en
disco, con lo cual el proceso de
replicado se completa.
Tabla de contenidos [ocultar]
1 Clasificación
1.1 Según lo infectado
1.2 Según su comportamiento
2 Historia
3 Virus informáticos y Sistemas
Operativos
4 Daños
5 Métodos de
contagio
6 Métodos de protección
6.1 Activos
6.2 Pasivos
7 Referencias
8 Enlaces externos
Clasificación
Según lo infectado
Según algunos autores, fundamentalmente existen
dos tipos de
virus:
Aquellos que infectan archivos. A su
vez, estos se clasifican en:
Virus de acción
directa. En el momento en el que se ejecutan, infectan a otros
programas.
Virus residentes. Al ser ejecutados, se instalan en
la memoria del
ordenador. Infectan a los demás programas a medida que se
accede a ellos. Por ejemplo, al ser ejecutados.
Los que infectan el sector de arranque (virus de boot).
Recordemos que el sector de arranque es lo primero que lee el
ordenador cuando es encendido. Estos virus residen en la memoria.
Existe una tercera categoría llamada
multipartite, pero corresponde a los virus que infectan archivos
y al sector de arranque, por lo que se puede decir que es la suma
de las dos categorías anteriores.
Para otros autores, la clasificación de los virus
también se divide en dos categorías, pero el
método de
clasificación utilizado es diferente:
Virus de archivos, que modifican archivos o entradas de
las tablas que indican el lugar donde se guardan los directorios
o los archivos.
Virus de sistema
operativo, cuyo objetivo
consiste en infectar aquellos archivos que gobiernan el
ordenador.
Existe una tercera clasificación, promovida por
CARO, para unificar la forma de nombrar a los virus. En esta
clasificación se atiende a la plataforma en la que
actúa el virus y a algunas de sus características
más importantes.
Por ejemplo, el W32/Hybris.A-mm es un virus que funciona
en la plataforma win32 en su variante A (primera) que tiene
capacidad mass mailing o de envío masivo de correo
electrónico infectado.
Según su comportamiento
En función de su comportamiento, todos los virus
anteriores pueden a su vez clasificarse en otros
subgrupos:
Virus uniformes, que producen una replicación
idéntica a sí mismos.
Virus encriptados, que cifran parte de su código
para que sea más complicado su análisis. A su vez pueden
emplear:
Encriptación fija, empleando la misma
clave.
Encriptación variable, haciendo que cada copia de
sí mismo esté encriptada con una clave distinta. De
esta forma reducen el tamaño del código fijo
empleable para su detección.
Virus oligomórficos, que poseen un conjunto
reducido de funciones de
encriptación y eligen una de ellas aleatoriamente.
Requieren distintos patrones para su detección.
Virus polimórficos, que en su replicación
producen una rutina de encriptación completamente
variable, tanto en la fórmula como en la forma del
algoritmo. Con
polimorfismos fuertes se requiere de emulación, patrones
múltiples y otras técnicas
antivirus
avanzadas.
Virus metamórficos, que reconstruyen todo su
cuerpo en cada generación, haciendo que varíe por
completo. De esta forma se llevan las técnicas avanzadas
de detección al límite. Por fortuna, esta
categoría es muy rara y sólo se encuentran en
laboratorio.
Sobreescritura, cuando el virus sobreescribe a los
programas infectados con su propio cuerpo.
Stealth o silencioso, cuando el virus oculta
síntomas de la infección.
Existen más clasificaciones según su
comportamiento, siendo las citadas parte de las más
significativas y reconocidas por la mayoría de los
fabricantes de antivirus.
Virus
informáticos y Sistemas Operativos
Los virus informáticos afectan en mayor o menor
medida a casi todos los sistemas más conocidos y usados en
la actualidad.
Las mayores incidencias se dan en el sistema operativo
Windows
debido, entre otras causas, a:
Su gran popularidad entre los computadores de escritorio
(por lo menos un 90% de ellos usa Windows).
La tradicional poca seguridad de esta
plataforma (situación a la que, según Microsoft,
está dando en los últimos años mayor
prioridad e importancia que en el pasado) al ser muy permisivo en
la instalación de programas ajenos al sistema, sin
requerir alguna autentificación de parte del usuario o
pedirle algún permiso especial para ello (en los Windows
basados en NT se ha mejorado en parte este problema).
Software como Internet
Explorer y Outlook Express, desarrollados por Microsoft e
incluidos en forma predeterminada en las últimas versiones
de Windows, son conocidos por ser vulnerables a los virus ya que
éstos aprovechan la ventaja de que dichos programas
están fuertemente integrados en el sistema operativo dando
acceso completo y prácticamente sin restricciones a los
archivos del sistema.
La poca información y toma de medidas preventivas
por parte de los usuarios de Windows ya que este sistema
está dirigido mayormente a los usuarios no expertos en
Informática, situación que es
aprovechada por los programadores de virus.
En otros sistemas
operativos como Mac OS X, Linux y otros
basados en Unix las
incidencias y ataques existen pero en mucha menor cantidad. Son
prácticamente inexistentes. (Totalmente inexistentes en el
caso de Mac OS X) Esto se debe principalmente a:
Tradicionalmente los programadores y usuarios de
sistemas basados en Unix/BSD han considerado la seguridad como
una prioridad por lo que hay mayores medidas frente a virus tales
como la necesidad de autenficación por parte del usuario
como administrador o
root para poder instalar
cualquier programa adicional al sistema.
Los directorios o carpetas que contienen los archivos
vitales del sistema operativo cuentan con permisos especiales de
acceso por lo que no cualquier usuario y/o programa puede acceder
fácilmente a ellos para modificarlos o borrarlos. Existe
una jerarquía de permisos y accesos para los
usuarios.
Relacionado al punto anterior, a diferencia de los
usuarios de Windows, la mayoría de los usuarios de
sistemas basados en Unix no inician sesiones como usuarios
Administradores o root excepto para instalar o configurar
software, dando
como resultado que si incluso un usuario no administrador ejecuta
un virus o algún software malicioso pues este no
dañaría completamente el sistema operativo ya que
Unix limita el entorno de ejecución a un espacio o
directorio reservado llamado comúnmente home.
Estos sistemas son mucho menos populares y usados que
Windows, razón que los hace menos atractivos para un
desarrollo de
virus o software malicioso.
Daños
Dado que una característica de los virus es el
consumo de
recursos, los
virus ocasionan problemas
tales como pérdida de productividad,
cortes en los sistemas de
información o daños a nivel de datos.
Otra de las características es la posibilidad que
tienen de ir replicándose. Las redes en la actualidad
ayudan a dicha propagación.
Otros daños que los virus producen a los sistemas
informáticos son la pérdida de información,
horas de parada productiva, tiempo de
reinstalación, etc.
Hay que tener en cuenta que cada virus plantea una
situación diferente.
Métodos de
contagio
Existen dos grandes grupos de
contaminaciones, los virus donde el usuario en un momento dado
ejecuta o acepta de forma inadvertida la instalación del
virus, o los gusanos donde el programa malicioso actúa
replicándose a través de las redes.
En cualquiera de los dos casos, el sistema operativo
infectado comienza a sufrir una serie de comportamientos
anómalos o no previstos. Dichos comportamientos pueden dar
la traza del problema y permitir la recuperación del
mismo.
Dentro de las contaminaciones más frecuentes por
interacción del usuario están las
siguientes:
Mensajes que ejecutan automáticamente programas
(como el programa de correo que abre directamente un archivo
adjunto)
Ingeniería social, mensajes como ejecute este
programa y gane un premio.
Entrada de información en discos de otros
usuarios infectados.
Instalación de software pirata o de baja calidad.
En el sistema Windows existe el caso único de que
el computador
pueda infectarse sin ningún tipo de intervención
del usuario (versiones Windows 2000, XP
y Server 2003) por virus como Blaster, Sasser y sus variantes,
por el simple acto de conectar el computador a la red Internet. Este tipo de virus
aprovechan una vulnerabilidad de desbordamiento de búfer y
puertos de red para infiltrarse y contagiar el equipo, causar
inestabilidad en el sistema, mostrar mensajes de error y hasta
reinicios involuntarios, reenviarse a otras máquinas
mediante la red local o Internet, entre otros daños. En
las últimas versiones de Windows 2000, XP y Server 2003 se
ha corregido este problema en mayoría. Adicionalmente el
usuario deberá descargar actualizaciones y parches de
seguridad.
Métodos de
protección
Los métodos para contener o reducir los riesgos
asociados a los virus pueden ser los denominados activos o
pasivos.COMPRAR UN ANTIVIRUS Y ESO ES TODO
Activos
Antivirus: los llamados programas antivirus tratan de
descubrir las trazas que ha dejado un software malicioso, para
detectarlo y eliminarlo, y en algunos casos contener o parar
la
contaminación. Tratan de tener controlado el sistema
mientras funciona parando las vías conocidas de
infección y notificando al usuario de posibles incidencias
de seguridad.
Filtros de ficheros: consiste en generar filtros de
ficheros dañinos si el ordenador está conectado a
una red. Estos
filtros pueden usarse por ejemplo en el sistema de correos o
usando técnicas de firewall.
En general este sistema proporciona una seguridad donde
el usuario no requiere de intervención, puede ser
más tajante, y permitir emplear únicamente recursos
de forma más selectiva.
Pasivos
Copias de seguridad: mantener una política de copias de
seguridad garantiza la recuperación de los datos y la
respuesta cuando nada de lo anterior ha funcionado.
Amenazas y
Malware
No solo los virus suponen una amenaza para nuestro
ordenador.
Hasta hace unos años, los virus
constituían la principal amenaza para los equipos
informáticos. Los virus son programas que se reproducen
infectando otros ficheros o aplicaciones y realizan acciones
perjudiciales para el usuario.
Con posterioridad aparecieron los gusanos, programas que
no necesitan infectar otros ficheros para reproducirse, y que se
propagan realizando copias de sí mismos, con el fin de
colapsar las redes en las que se infiltran. Y los troyanos y
backdoors, aparentemente inofensivos, pero que buscan
introducirse en el ordenador para capturar contraseñas y
pulsaciones del teclado,
permitir el acceso remoto a la información almacenada,
etc.
Sin embargo, en los últimos tiempos, y debido
principalmente a la generalización del uso de la
informática y del acceso a Internet entre el gran
público, han aparecido otras amenazas capaces de resultar
muy dañinas y que obligan a redefinir el concepto de
amenaza, también denominada como malware.
La palabra malware proviene de la composición de
las palabras inglesas malicious software, es decir, programas
maliciosos. Se entiende por malware cualquier programa, documento
o mensaje que puede resultar perjudicial para un ordenador, tanto
por pérdida de datos como por pérdida de
productividad.
Así, aparte de los ya conocidos virus, gusanos,
troyanos y backdoors cabe incluir dentro del malware:
Dialer: tratan de establecer conexión
telefónica con un número de tarificación
especial.
Joke: gasta una broma informática al
usuario.
Riesgo de Seguridad: son herramientas
legales que pueden ser empleadas de forma
malintencionada.
Herramienta de Hacking: permite a los hackers realizar
acciones peligrosas para las víctimas de los
ataques.
Vulnerabilidad: es un fallo en la programación de una aplicación, a
través del cual se puede vencer la seguridad del ordenador
y realizar intrusiones en el mismo.
Programa Espía: recoge datos acerca de
hábitos de uso de Internet y los envía a empresas de
publicidad.
Hoax: son mensajes de correo electrónico con
advertencias sobre falsos virus.
Spam: es el envío indiscriminado de mensajes de
correo no solicitados, generalmente publicitarios.
Todos ellos configuran el panorama del malware en la
actualidad.
Virus,
gusanos, troyanos y backdoors
Los "parientes" más cercanos de los
virus.
Virus
Gusanos
Troyanos
Backdoors
Además de los virus, existen otros tres enemigos
de gran parecido: los gusanos, los troyanos y los backdoors.
Aunque a efectos prácticos se suelen considerar
también como virus, tienen alguna diferencia con
ellos.
Virus
Los virus son programas con unas características
muy peculiares que se introducen en los ordenadores de formas muy
diversas: a través del correo electrónico,
Internet, disquetes, etc. Tienen dos características
diferenciales:
Se reproducen infectando otros ficheros o
programas.
Al ejecutarse, realizan acciones molestas y/o
dañinas para el usuario.
El término virus informático se debe a su
enorme parecido con los virus biológicos.
Del mismo modo que los virus biológicos se
introducen en el cuerpo humano
e infectan una célula,
que a su vez infectará nuevas células al
inyectar su contenido en ellas, los virus informáticos se
introducen en los ordenadores e infectan ficheros insertando en
ellos su "código". Cuando el programa infectado se
ejecuta, el código entra en funcionamiento y el virus
sigue extendiéndose.
Además, ambos tipos de virus presentan
síntomas que avisan de su presencia y, mientras que los
virus biológicos son micro-organismos, los virus
informáticos son micro-programas.
Gusanos
Los gusanos son programas muy similares a los virus, ya
que también se autoreplican y tienen efectos
dañinos para los ordenadores, pero se diferencian en que
no necesitan infectar otros ficheros para
reproducirse.
Básicamente, los gusanos se limitan a realizar
copias de sí mismos, sin tocar ni dañar
ningún otro fichero, pero se reproducen a tal velocidad que
pueden colapsar por saturación las redes en las que se
infiltran. Principalmente se extienden a través del correo
electrónico, como los conocidos I Love You, Navidad,
Pretty Park, Happy99, ExploreZip.
Troyanos
Un troyano o caballo de Troya es un programa que se
diferencian de los virus en que no se reproduce infectando otros
ficheros. Tampoco se propaga haciendo copias de sí mismo
como hacen los gusanos.
Su nombre deriva del parecido en su forma de actuar con
los astutos griegos de la mitología: llegan al ordenador como un
programa aparentemente inofensivo. Sin embargo, al ejecutarlo
instalará en nuestro ordenador un segundo programa, el
troyano.
Los efectos de los troyanos pueden ser muy peligrosos.
Permiten realizar intrusiones o ataques contra el ordenador
afectado, realizando acciones tales como capturar todos los
textos introducidos mediante el teclado o registrar las
contraseñas introducidas por el usuario.
Algunos ejemplos de troyanos son Autorooter, Zasi y
Webber.
Backdoors
Un backdoor es un programa que se introduce en el
ordenador de manera encubierta, aparentando ser inofensivo. Una
vez es ejecutado, establece una "puerta trasera" a través
de la cual es posible controlar el ordenador afectado. Esto
permite realizar en el mismo acciones que pueden comprometer la
confidencialidad del usuario o dificultar su trabajo.
Las acciones permitidas por los backdoors pueden
resultar muy perjudiciales. Entre ellas se encuentran la
eliminación de ficheros o la destrucción de la
información del disco duro.
Además, pueden capturar y reenviar datos confidenciales a
una dirección externa o abrir puertos de
comunicaciones, permitiendo que un posible intruso
controle nuestro ordenador de forma remota.
Algunos ejemplos de backdoors son: Orifice2K.sfx,
Bionet.318, Antilam y Subseven.213.
Si desea ampliar esta información, consulte el
apartado Tipos de virus.
Spyware, Adware y
Dialers
La nueva generación de malware.
Hoy en día han surgido una nueva
generación de malware que espían, roban
información, actúan sobre programas, desvían
conexiones, realizan seguimientos de usuarios no solicitados,
etc. Para poder luchar contra ellos, hay que conocerlos y saber
en que consisten.
Spyware o programas espías
Adware
Dialer
Cookie
Programas espía o spyware
Los programas espía, también conocidos
como spyware, son aplicaciones informáticas que recopilan
datos sobre los hábitos de navegación, preferencias
y gustos del usuario. Los datos recogidos son transmitidos a los
propios fabricantes o a terceros, bien directamente, bien
después de ser almacenados en el ordenador.
El spyware puede ser instalado en el sistema a
través de numerosas vías, entre las que se
encuentran: troyano, que los instalan sin consentimiento del
usuario; visitas a páginas
web que contienen determinados controles ActiveX o
código que explota una determinada vulnerabilidad;
aplicaciones con licencia de tipo shareware o freeware
descargadas de Internet, etc. El spyware puede ser instalado
solicitando previamente o no el consentimiento del usuario,
así como con plena conciencia o
falta de ella acerca de la recopilación de datos y/o del
uso que se va a realizar de los mismos.
El spyware puede ser instalado con el consentimiento del
usuario y su plena conciencia, pero en ocasiones no es
así. Lo mismo ocurre con el
conocimiento de la recogida de datos y la forma en que son
posteriormente utilizados.
Adware
Adware es una palabra inglesa que nace de la
contracción de las palabras Advertising Software, es
decir, programas que muestran anuncios. Se denomina adware al
software que muestra
publicidad, empleando cualquier tipo de medio: ventanas
emergentes, banners, cambios en la página de inicio o de
búsqueda del navegador, etc. La publicidad está
asociada a productos y/o
servicios ofrecidos por los propios creadores o por
terceros.
El adware puede ser instalado con el consentimiento del
usuario y su plena conciencia, pero en ocasiones no es
así. Lo mismo ocurre con el conocimiento o
falta del mismo acerca de sus funciones.
Dialer
Es un programa que, sin el consentimiento del usuario,
cuelga la conexión telefónica que se está
utilizando en ese momento (la que permite el acceso a Internet,
mediante el marcado de un determinado número de teléfono) y establece otra, marcando un
número de teléfono de tarificación especial.
Esto supondrá un notable aumento del importe en la
factura
telefónica.
Cookie
Las cookies son pequeños archivos de texto que el
navegador almacena en el ordenador del usuario, cuando se visitan
páginas web.
Las cookies almacenan información que se utiliza
con varios fines:
Para personalizar la página web
y su navegación para cada usuario.
Para recoger información demográfica sobre
cuántos usuarios visitan la página y su tiempo de
estancia en ella.
Para realizar un seguimiento de qué banners se
muestran al usuario, y durante cuánto tiempo.
Estos usos no tienen un carácter malicioso, al menos en
principio.
Sin embargo, es necesario tener en cuenta que toda
información personal que se
introduzca en una página web se puede almacenar en una
cookie, incluyendo el número de la tarjeta de crédito.
Además, las cookies también se pueden
utilizar para formar un perfil del usuario, con
información que éste no controla, y que
después puede ser enviada a terceros, con la consiguiente
amenaza para la privacidad.
Spam
mensajes de correo no solicitados
El spam es el
correo electrónico no solicitado, normalmente con
contenido publicitario, que se envía de forma
masiva.
El término spam tiene su origen en el
jamón especiado (SPiced hAM), primer producto de
carne enlatada que no necesitaba frigorífico para su
conservación. Debido a esto, su uso se generalizó,
pasando a formar parte del rancho habitual de los
ejércitos de Estados Unidos y
Rusia durante
la Segunda Guerra
Mundial.
Posteriormente, en 1969, el grupo de
actores Monthy Python protagonizó una popular escena, en
la cual los clientes de una
cafetería intentaban elegir de un menú en el que
todos los platos contenían… jamón especiado,
mientras un coro de vikingos canta a voz en grito "spam, spam,
spam, rico spam, maravilloso spam". En resumen, el spam
aparecía en todas partes, y ahogaba el resto de
conversaciones.
Haciendo un poco de historia, el primer caso de spam del
que se tiene noticia es una carta enviada en
1978 por la empresa
Digital Equipment Corporation. Esta compañía
envió un anuncio sobre su ordenador DEC-20 a todos los
usuarios de ArpaNet (precursora de Internet) de la costa
occidental de los Estados Unidos. Sin embargo, la palabra spam no
se adoptó hasta 1994, cuando en Usenet apareció un
anuncio del despacho de los abogados Lawrence Cantera y Martha
Siegel. Informaban de su servicio para
rellenar formularios de la
lotería que da acceso a un permiso para trabajar en
Estados Unidos. Este anuncio fue enviado mediante un script a
todos los grupos de discusión que existían por
aquel entonces.
Algunas de las características más comunes
que presentan este tipo de mensajes de correo electrónico
son:
La dirección que aparece como remitente del
mensaje no resulta conocida para el usuario, y es habitual que
esté falseada.
El mensaje no suele tener dirección
Reply.
Presentan un asunto llamativo.
El contenido es publicitario: anuncios de sitios web,
fórmulas para ganar dinero
fácilmente, productos milagro, ofertas inmobiliarias, o
simplemente listados de productos en venta en promoción.
La mayor parte del spam está escrito en inglés
y se origina en Estados Unidos o Asia, pero
empieza a ser común el spam en español.
Aunque el método de distribución más habitual de este
tipo de malware es el correo electrónico, existen diversas
variantes, cada cual con su propio nombre asociado en
función de su canal de distribución:
Spam: enviado a través del correo
electrónico.
Spim: específico para aplicaciones de tipo
Mensajería Instantánea (MSN Messenger, Yahoo
Messenger, etc).
Spit: spam sobre telefonía IP. La
telefonía IP consiste en la utilización de Internet
como medio de transmisión para realizar llamadas
telefónicas.
Spam SMS: spam destinado a enviarse a dispositivos
móviles mediante SMS (Short Message Service).
El spam es un fenómeno que va en aumento
día a día, y representa un elevado porcentaje del
tráfico de correo electrónico total.
Además, a medida que surgen nuevas soluciones y
tecnologías más efectivas para luchar contra el
spam, los spammers
(usuarios maliciosos que se dedican profesionalmente a enviar
spam) se vuelven a su vez más sofisticados, y modifican
sus técnicas con objeto de evitar las contramedidas
desplegadas por los usuarios.
Phishing
Robo de datos personales
El phishing consiste en el envío de correos
electrónicos que, aparentando provenir de fuentes
fiables (por ejemplo, entidades bancarias), intentan obtener
datos confidenciales del usuario. Para ello, suelen incluir un
enlace que, al ser pulsado, lleva a páginas web
falsificadas. De esta manera, el usuario, creyendo estar en un
sitio de toda confianza, introduce la información
solicitada que, en realidad, va a parar a manos del
estafador.
Existe un amplio abanico de software y aplicaciones de
toda índole que quedan clasificados dentro de la
categoría de robo de información personal o
financiera, algunas de ellas realmente complejas, como el uso de
una ventana Javascript
flotante sobre la barra de direcciones del navegador con el fin
de confundir al usuario.
Algunas de las características más comunes
que presentan este tipo de mensajes de correo electrónico
son:
Uso de nombres de compañías ya existentes.
En lugar de crear desde cero el sitio web de una
compañía ficticia, los emisores de correos con
intenciones fraudulentas adoptan la imagen
corporativa y funcionalidad del sitio de web de una empresa
existente, con el fin de confundir aún más al
receptor del mensaje.
Utilizar el nombre de un empleado real de una empresa como
remitente del correo falso. De esta manera, si el receptor
intenta confirmar la veracidad del correo llamando a la
compañía, desde ésta le podrán
confirmar que la persona que dice
hablar en nombre de la empresa trabaja en la misma.
Direcciones web con la apariencia correcta. Como hemos
visto, el correo fraudulento suele conducir al lector hacia
sitios web que replican el aspecto de la empresa que está
siendo utilizada para robar la información. En realidad,
tanto los contenidos como la dirección web (URL) son
falsos y se limitan a imitar los contenidos reales. Incluso la
información legal y otros enlaces no vitales pueden
redirigir al confiado usuario a la página web
real.
Factor miedo. La ventana de oportunidad de los
defraudadores es muy breve, ya que una vez se informa a la
compañía de que sus clientes están siendo
objeto de este tipo de prácticas, el servidor que
aloja al sitio web fraudulento y sirve para la recogida de
información se cierra en el intervalo de unos pocos
días. Por lo tanto, es fundamental para el defraudador el
conseguir una respuesta inmediata por parte del usuario. En
muchos casos, el mejor incentivo es amenazar con una
pérdida, ya sea económica o de la propia cuenta
existente, si no se siguen las instrucciones indicadas en el
correo recibido, y que usualmente están relacionadas con
nuevas medidas de seguridad recomendadas por la
entidad.
Para lograr su objetivo, este tipo de malware,
además de la ocultación de la URL fraudulenta en un
correo electrónico aparentemente real, también
utiliza otras técnicas más sofisticadas:
Man-in-the-middle (hombre en el
medio). En esta técnica, el atacante se sitúa entre
el usuario y el sitio web real, actuando a modo de proxy. De esta
manera, es capaz de escuchar toda la
comunicación entre ambos. Para que tenga éxito,
debe ser capaz de redirigir al cliente hacia su
proxy en vez de hacia el servidor real. Existen diversas
técnicas para conseguirlo, como por ejemplo los proxies
transparentes, el DNS Cache
Poisoning (Envenenamiento de Caché DNS) y la
ofuscación del URLs.
Aprovechamiento de vulnerabilidades de tipo Cross-Site
Scripting en un sitio web, que permiten simular una página
web segura de una entidad bancaria, sin que el usuario pueda
detectar anomalías en la dirección ni en el
certificado de seguridad que aparece en el navegador.
Aprovechamiento de vulnerabilidades de Internet Explorer
en el cliente, que permiten mediante el uso de exploits falsear
la dirección que aparece en el navegador. De esta manera,
se podría redirigir el navegador a un sitio fraudulento,
mientras que en la barra de direcciones del navegador se
mostraría la URL del sitio de confianza. Mediante esta
técnica, también es posible falsear las ventanas
pop-up abiertas desde una página web
auténtica.
Algunos ataques de este tipo también hacen uso de
exploits en sitios web fraudulentos que, aprovechando alguna
vulnerabilidad de Internet Explorer o del sistema operativo del
cliente, permiten descargar troyanos de tipo keylogger que
robarán información confidencial del
usuario.
Otra técnica más sofisticada es la
denominada Pharming. Se trata de una táctica fraudulenta
que consiste en cambiar los contenidos del DNS (Domain Name
Server, Servidor de Nombres de Dominio) ya sea a
través de la configuración del protocolo
TCP/IP o del
archivo lmhost (que actúa como una caché local de
nombres de servidores), para
redirigir los navegadores a
páginas falsas en lugar de las auténticas cuando el
usuario accede a las mismas a través de su navegador.
Además, en caso de que el usuario afectado por el pharming
navegue a través de un proxy para garantizar su anonimato,
la resolución de nombres del DNS del proxy puede verse
afectada de forma que todos los usuarios que lo utilicen sean
conducidos al servidor falso en lugar del legítimo
.
¿Qué es
una vulnerabilidad?
Algunos programas poseen "agujeros" que pueden facilitar
la infección de nuestro ordenador.
Como en el mito griego
del famoso héroe Aquiles, una vulnerabilidad representa un
punto a través del cual es posible vencer la seguridad de
un ordenador. Una vulnerabilidad es un fallo en la
programación de una aplicación cualquiera, y que
puede ser aprovechado para llevar a cabo una intrusión en
el ordenador que tenga instalado dicho programa.
Generalmente, dicho fallo de programación se
refiere a operaciones que
provocan un funcionamiento anormal de la aplicación. Esta
situación anómala puede ser producida
artificialmente por una persona maliciosa para poder introducirse
en un ordenador sin el consentimiento del usuario. En ocasiones,
es suficiente con abrir un documento creado "artesanalmente" con
ese fin específico.
Esto le permitirá al usuario malicioso realizar
un gran abanico de acciones en el ordenador vulnerable, desde
ejecutar ficheros hasta borrarlos, introducir virus, acceder a
información, etc.
Aunque son más conocidas las vulnerabilidades
asociadas a sistemas operativos, navegadores de Internet y
programas de correo electrónico, cualquier programa puede
presentar vulnerabilidades: procesadores de
textos, bases de datos, aplicaciones de reproducción de archivos de sonido,
etc.
Una vulnerabilidad no representa un peligro inmediato
para el ordenador. Sin embargo, es una vía de entrada
potencial para otras amenazas, tales como virus, gusanos,
troyanos y backdoors, que sí pueden tener efectos
destructivos.
Por ello, es altamente recomendable estar informado
acerca de las vulnerabilidades descubiertas en los programas
instalados y aplicar los parches de seguridad más
recientes proporcionados por la empresa fabricante, accesibles a
través del sitio web de la misma.
Algunos ejemplos de gusanos que aprovechan
vulnerabilidades para llevar a cabo sus acciones son: Blaster,
Bugbear.B, Klez.I y Nachi.A.
Hoaxes y
jokes
Virus falsos y bromas pesadas que pueden confundir al
usuario.
Hoaxes
Jokes
Existen ciertos tipos de mensajes o de software que a
veces son confundidos con virus, pero que no lo son en
ningún sentido. Es muy importante conocer las diferencias
para no sufrir las consecuencias negativas de una
confusión.
Hoaxes
Los hoaxes no son virus, sino mensajes de correo
electrónico engañosos, que se difunden masivamente
por Internet sembrando la alarma sobre supuestas infecciones
víricas y amenazas contra los usuarios.
Los hoaxes tratan de ganarse la confianza de los
usuarios aportando datos que parecen ciertos y proponiendo una
serie de acciones a realizar para librarse de la supuesta
infección.
Si se recibe un hoax, no hay que hacer caso de sus
advertencias e instrucciones: lo más aconsejable es
borrarlo sin prestarle la más mínima atención y no reenviarlo a otras
personas.
Mensaje de presentación del hoax
SULFNBK.EXE.
Jokes
Un joke tampoco es un virus, sino un programa inofensivo
que simula las acciones de un virus informático en nuestro
ordenador. Su objetivo no es atacar, sino gastar una broma a los
usuarios, haciéndoles creer que están infectados
por un virus y que se están poniendo de manifiesto sus
efectos. Aunque su actividad llega a ser molesta, no producen
realmente efectos dañinos.
¿Qué elementos infectan los
virus?
Los virus pueden introducirse en muchas partes, pero
aún no infectan los monitores.
Los objetivos de los virus suelen ser los programas que
se pueden ejecutar (ficheros con extensión EXE o COM ).
Sin embargo, y cada vez más, también pueden
infectar otros tipos de ficheros, como páginas Web
(HTML),
documentos de
Word (DOC),
hojas de
cálculo (XLS), etc.
La infección de un fichero puede provocar la
modificación en su comportamiento y funcionamiento o
incluso su eliminación. Esto se traduce en consecuencias
que, en mayor o menor medida, afectan al sistema
informático.
Por otro lado, los ficheros se alojan o almacenan en
unidades de disco (disco duro, CD-ROM,
DVD, disquete,
etc) que también pueden verse afectadas por la
infección.
Medios de entrada
más habituales
¿Pueden entrar por el ratón? Descubra
cómo llegan los virus y las amenazas.
Internet
Redes de ordenadores
Discos extraíbles
Las amenazas entran en los ordenadores a través
de los distintos medios
utilizados para intercambiar información.
Básicamente, estos medios se dividen en tres grupos:
Internet, redes de ordenadores y unidades de disco
extraíbles.
Internet
Internet se ha convertido en el mayor medio de
transferencia de información entre ordenadores, y en
consecuencia, hoy es la mayor y más rápida
vía de propagación de virus y demás
amenazas.
Sin embargo, Internet posibilita numerosas formas de
intercambiar información, y cada una de ellas tiene unas
características y un potencial de riesgo
distinto.
Básicamente, hay que distinguir entre correo
electrónico, navegación por páginas Web,
transferencia de ficheros por FTP, descarga
de programas y comunicaciones a través de chat y grupos
de noticias.
Redes de ordenadores
Las redes de ordenadores consisten en un conjunto de
ordenadores conectados físicamente entre sí (a
través de cable, módem, routers, etc.), para poder
compartir información (programas, Intranet,
etc.) y recursos entre ellos (acceso a impresoras,
escáner, etc), sin necesidad de recurrir a
las unidades de disco extraíbles.
Esto es positivo y facilita el trabajo,
pero también facilita la transmisión de virus: la
probabilidad
de infección en una red es mayor que si el ordenador no
está conectado en red.
Si uno de los ordenadores de una red contiene
información con virus, cuando los demás accedan a
ella serán infectados a su vez, cayendo todos en cadena y
paralizando la actividad de la toda red.
Discos extraíbles
Los discos extraíbles son unidades físicas
y externas a nuestro ordenador, que se utilizan para guardar e
intercambiar información, como los disquetes, CD-ROMs, DVDs,
discos duros
extraíbles, etc.
Si uno de los programas, ficheros, mensajes de correo,
etc. guardados en una unidad de disco está infectado, al
introducirla en otro ordenador podría infectarlo
también.
Tradicionalmente, esta era la mayor fuente de
infecciones. Hoy en día, los discos han retrocedido en
importancia frente a la expansión de Internet, pero
todavía continúan representando un riesgo
considerable.
Si desea ampliar esta información, consulte el
apartado Vías de entrada.
¿Dónde se esconden?
Los virus y las amenazas emplean numerosos medios para
intentar pasar desapercibidos.
Los escondites más usados por las distintas
amenazas son los siguientes:
Las páginas Web están escritas en un
determinado lenguaje y
pueden contener elementos (Applets Java y controles
ActiveX) que permiten a los virus esconderse en ellos. Al visitar
la página, se produce la infección.
Los mensajes de correo electrónico son los
escondites preferidos de los virus, pues se trata del medio de
propagación más rápido. Estos mensajes
pueden contener ficheros infectados o incluso producir la
infección con su simple lectura y
apertura.
La memoria principal del ordenador (memoria RAM). Los virus y
las amenazas se colocan y quedan residentes en ella, esperando a
que ocurra algo que les permite entrar en
acción.
El sector de arranque es un área especial de un
disco, que almacena información sobre sus
características y su contenido. Los virus, concretamente
los de boot, se alojan en ella para infectar el
ordenador.
Los ficheros con macros son un
escondite interesante para los virus. Las macros son
pequeños programas que ayudan a realizar ciertas tareas y
están incorporados dentro de documentos Word (ficheros con
extensión DOC), hojas de cálculo
Excel
(extensión XLS) o presentaciones PowerPoint
(extensión PPT o PPS). Al ser programas, las macros pueden
ser infectadas por los virus.
Para ampliar esta información, consulte el
apartado Técnicas de propagación y
camuflaje.
 Página anterior | Volver al principio del trabajo | Página siguiente  |