Norman, la empresa noruega de seguridad proactiva antivirus, publica "I Informe de Seguridad Norman 2010": Así fue el 2009 y así será el 2010” que analiza la evolución del software malicioso e informa sobre las nuevas amenazas a las que nos enfrentamos
Redes sociales y nuevos dispositivos, principales objetivos del malware en 2010
1. I INFORME 2010 DE
SEGURIDAD
ASÍ FUE EL 2009 Y ASÍ SERÁ EL 2010
“Las redes sociales —como Twitter y Facebook—: Objetivo prioritario para los
autores de programas maliciosos”
1 / 6
2. ASÍ FUE EL 2009
Menor crecimiento del software malicioso…
Uno de los indicadores que demuestra el crecimiento del software malicioso durante un período
de tiempo es el número de firmas de programas maliciosos en los archivos de detección de
virus de Norman.
Si en 2007 se añadieron más firmas que en todos los años anteriores juntos, 2008, se
añadieron más firmas que el número total existente.
Sin embargo, en 2009 se agregaron menos firmas que el número total de principios de año.
Esto parece indicar que el crecimiento se ha estabilizado hasta ser más lineal, a diferencia del
incremento exponencial de los anos anteriores a 2008. No obstante, el número total de nuevas
firmas en este momento es impresionante en comparación con la cantidad de principios de la
década.
La imagen de abajo muestra el crecimiento de las firmas de los archivos de firmas de malware
de Norman desde 2008 y hasta mediados de diciembre de 2009.
… pero aumentaron los programas informáticos malintencionados.
Los “falsos” programas informáticos, que pretenden ser lo que no son, han existido siempre en
la era de la informática. No obstante, durante 2008 surgió un nuevo tipo de estos programas:
las falsas aplicaciones de antivirus y contra software espía, cuya finalidad era engañar a los
usuarios y conseguir que compraran el producto dañino mostrando falsas alarmas de virus, e
instalaban software malintencionado descargándolo automáticamente de distintos sitios web.
Esta tendencia no sólo continuó durante 2009, sino que se multiplicó. Hacia finales de año, los
programas informáticos maliciosos habían crecido hasta convertirse en una industria
sustancial. El potencial de obtención de beneficios económicos para los implicados es
importante, mientras que el riesgo que les supone es mínimo.
2 / 6
3. Las redes sociales, los nuevos dispositivos y las
noticias: Los grandes objetivos del 2009
Uso de las redes sociales para la propagación del malware
Durante este año, las redes sociales como Facebook y Twitter han adquirido una creciente
popularidad. No es de sorprender que ello se haya correspondido con el uso de dichas redes
como mecanismos de propagación de malware.
Si tuviésemos que elegir un problema de seguridad específico como el más importante de
2009, diríamos que es el uso de las redes sociales como objetivos para la propagación y
aprovechamiento del malware, por lo general utilizando la ingeniería social.
Los titulares de noticias como desencadenantes de distribución del malware
No se trata de una observación nueva ni revolucionaria. Sin embargo, durante 2009 hemos
observado que esta tendencia se ha incrementado. Los autores del malware se han
especializado en canalizar el malware utilizando técnicas de ingeniería social vinculadas a los
titulares de noticias.
Hemos visto varios ejemplos de ello. Quizá el más destacado fue el vinculado con la muerte y
funerales de Michael Jackson.
El software malicioso en los nuevos dispositivos
Este año hemos observado dos claros ejemplos: malware en cajeros automáticos y malware
que aprovecha routers y módems ADSL. Posiblemente se trate de la punta del iceberg.
En el futuro, los dispositivos de ataque de malware nunca considerados vulnerables ni
peligrosos por los usuarios pueden convertirse precisamente en eso
Principales virus en el 2009
Conficker W32/Virut W32/Koobface
Aunque este gusano apareció Se trata de una familia de
por primera vez a finales de virus altamente polimórficos,
2008, fue en 2009 cuando del que existen muchas Este gusano es interesante
provocó los mayores variables. Normalmente sobre todo porque utiliza
problemas a los usuarios infecta archivos ejecutables y mecanismos de propagación
finales, especialmente protectores de pantalla, e a través de redes sociales
organizaciones. intenta descargar malware como Facebook.
adicional.
El gusano mantuvo su mayor Los virus de la familia Virut
han estado activos durante Aunque hizo su debut en
nivel de actividad durante la 2008, fue en 2009 cuando su
primera parte de 2009, todo el año, y posiblemente
sus nuevas variantes van a actividad alcanzó su pico
aunque todavía sigue activo. máximo.
acompañarnos durante 2010
3 / 6
4. Vulnerabilidades y ataques
Las vulnerabilidades de sistemas operativos y aplicaciones siguen siendo aprovechadas
Observamos que ha continuado la tendencia de los autores de software malicioso de
aprovechar las vulnerabilidades de sistemas operativos y aplicaciones para propagarlo. Las
aplicaciones más populares, como los exploradores web, las aplicaciones de Adobe, los
sistemas de oficina, etc. fueron afectadas por este fenómeno. No solamente fueron objeto de
ataque las aplicaciones más usadas de Microsoft, sino también los programas de software de
otros proveedores.
En años anteriores, los autores de malware se centraban fundamentalmente en las
vulnerabilidades de los sistemas operativos. No obstante, esto ha cambiado recientemente, y
las ampliamente utilizadas aplicaciones como las ya mencionadas han pasado a ser sus
objetivos. Un problema específico de los usuarios es que no existe ninguna norma para la
distribución de actualizaciones y parches de las aplicaciones, lo que implica que deben
utilizarse multitud de mecanismos de actualización.
Los creadores de malware son muy rápidos en aprovechar las nuevas vulnerabilidades
creando aplicaciones intrusas
Una de las consecuencias que esto ha tenido es que los fabricantes de software deben intentar
reaccionar más rápidamente con parches de seguridad y otras soluciones provisionales.
Los autores de malware son cada vez más sofisticados en la creación de programas que
aprovechan no solamente una, sino varias vulnerabilidades —parcheadas y no parcheadas—
en el mismo malware. Esto les ha resultado todavía más fácil por el hecho de que pueden
elegir en Internet su propio conjunto de códigos de explotación y utilizarlo en sus programas
maliciosos.
Hoy en día es posible crear un programa malintencionado sin necesidad de tener
conocimientos de programación. Una de las consecuencias es que las aptitudes en ingeniería
social de parte del "diseñador" del malware son más importantes para que un programa de
malware concreto tenga más éxito que otros.
Las amenazas de Internet llegan a los altos escalafones políticos
Por último, es digno de destacar que a mediados de año se hizo hincapié en la importancia de
Internet como parte fundamental de la infraestructura de las sociedades modernas. El
presidente estadounidense Barack Obama se centró en este tema en el muy comentado
discurso que pronunció el 29 de mayo.
Y no sólo eso, sino que es destacable que a finales del pasado año la página web de la
presidencia española de la Unión Europea sufrió un ataque que no buscaba claves secretas ni
introducir códigos maliciosos, sino mera difamación, ya que los piratas informáticos falsificaron
la web haciendo creer que habían sustituido una imagen del presidente Rodríguez Zapatero
por una de Mister Bean, (cuando en realidad se trataba de una web falsa).
Software legítimo identificado como malicioso
El hecho de que la cantidad de software malicioso sea tan grande representa un riesgo
adicional, ya que el software legítimo puede ser detectado como malicioso por corresponderse
con una parte de los archivos de firma de los proveedores de antimalware u otras tecnologías
de detección de software maligno.
4 / 6
5. Esto fue lo que ocurrió en 2009 con el software de seguridad de diversos proveedores,
incluyendo Norman. Lamentablemente, es inevitable que vuelva a ocurrir. El reto más
importante para los proveedores de seguridad es evitar estos incidentes en los archivos críticos
del sistema y en aplicaciones críticas de uso habitual. Para ello, los proveedores de software
de seguridad realizan importantes inversiones en equipos que les permiten verificar los
archivos de detección de malware con todo tipo de software legítimo antes de publicar los
archivos de firmas en la base de clientes general.
PREVISIONES PARA 2010: ¿A QUÉ NOS VAMOS A
ENFRENTAR?
Mayor aprovechamiento, y más sofisticado, de las redes sociales
El malware en las redes sociales seguirá creciendo de la misma forma que lo hace su número
de usuarios. Hi5, Linkedin, Xing Twitter, Myspace o Facebook a través del gusano Koobface,
serán objetivos principales de los piratas informáticos.
Todo apunta a que el modo de infección actual –que funciona a través desde mensajes que
llegan a los perfiles desde contactos conocidos (pero ya infectados), con contenido atractivo
(desde música a video…) que redireccionan mediante un script a quien pinche a un sitio dañino
para incluirlo en una Botnet, se multiplicarán y evolucionarán hacia nuevas formas de ataques
para la instalación de programas espías y software maligno.
Algunas de las nuevas versiones de Koobface tienen ya funcionalidades nuevas que dificultan
que los que están expuestos al gusano puedan determinar que se trata de un malware
automático como:
• Establecer cuentas en Facebook:
o Estas cuentas tienen características que parecen legítimas, como la fecha de
nacimiento, los libros o las pinturas favoritos, etc.,
o Los detalles de las cuentas son diferentes en cada cuenta que se configura.
• Confirmar que una dirección de correo electrónico de Gmail es correcta (usada para
poder activar la cuenta de Facebook)
• Unirse a grupos aleatorios de Facebook
• Añadir otros usuarios de Facebook como amigos
• Enviar mensajes a los muros de Facebook de los nuevos amigos
La mejor manera de protegerse en estos casos, será ser cuidadoso: tanto con a quién
agregamos a nuestros contactos como con las aplicaciones de terceros que descargamos.
Persistirán los cócteles de malware; serán más flexibles y se desarrollará una tecnología
de rootkits cada vez más avanzada
En los "buenos viejos tiempos" de los programas maliciosos, las organizaciones de seguridad y
los usuarios tenían que abordar el malware de manera diferente a lo que lo hacen ahora.
5 / 6
6. A la sazón, la técnica más utilizada por los autores de malware consistía en crear un programa
malicioso, utilizando diferentes técnicas de propagación. Con el correr de los años, esta
situación ha cambiado y hoy es fundamentalmente diferente. Ahora, la tendencia general son
los cócteles de malware. Estos “brebajes” están compuestos por una amplia variedad de
diferentes tipos de programas maliciosos, así como por tipos idénticos de funcionalidad
diversificada.
Ataques a los nuevos sistemas operativos: Windows 7 y MAC
Durante los próximos 12 meses, debido al lanzamiento del nuevo Windows 7, y el aumento de
las ventas de MAC durante el último trimestre (posiblemente causado por los rechazos de los
usuarios a Windows Vista), nos enfrentaremos a un nuevo tipo de amenazas contra todas las
plataformas distintas a Windows XP, que ha sido nuestra zona de confort durante casi 8 años.
Las innovaciones en tecnología, tan positivas para la productividad, abren siempre nuevas
puertas a los ataques.
Complementos de aplicaciones de dudosa procedencia
Los complementos de aplicaciones son software que mejora la funcionalidad de la aplicación
que complementan, (también llamado plug-ins, extensiones, etc.) es decir, no son aplicaciones
sino programas que ofrecen funciones adicionales especiales para un programa principal.
Durante 2010 crecerá esta tendencia de crear plug-ins falsos, (que en realidad son troyanos) o
explotar las vulnerabilidades en los complementos conocidos existentes para aplicaciones
como los exploradores
Además, durante el 2010:
• El software de seguridad malicioso mantendrá su popularidad
• Las actualizaciones automáticas del malware serán más innovadoras
Más información en:
En la página web de Norman, encontrarás esta y otras noticias sobre seguridad y más
información sobre esta amenaza en:
http://www.norman.com/security_center/es
6 / 6