1. ESET Latinoamérica: Av. Del Libertador 6250, 6to. Piso -
Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 -
Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com
Curso para el uso seguro
de medios informáticos
Amenazas actuales
2. Uso seguro de medios informáticos
2
Índice
Introducción ...................................................3
Malware .........................................................4
Virus .........................................................................4
Gusano......................................................................5
Troyano .....................................................................6
Adware...................................................................... 7
Spyware ....................................................................8
Rogue .......................................................................8
Ransomware..............................................................9
Otras amenazas ............................................. 11
Spam........................................................................ 11
Hoax ........................................................................ 11
Scam ........................................................................12
Phishing ...................................................................13
Conclusión.....................................................15
3. Uso seguro de medios informáticos
3
El presente módulo presenta la definición y clasificación de las principales amenazas a las que un usuario
hogareño o el administrador de un sistema informático se pueden enfrentar. Se presentan las definiciones
de los códigos maliciosos, se detallan las características de cada uno de los diversos tipos de malware
existentes y, finalmente, otros tipos de amenazas existentes en la actualidad.
Introducción
Actualmente existen muchas amenazas a las que los usuarios están expuestos por el simple
hecho de encender su computadora o de conectarse a una red. A continuación se darán
definiciones de las amenazas más frecuentes a la que se enfrentan los usuarios.
Desde comienzos de la década de 1980 se conocen los programas llamados virus informáticos,
y su definición ha variado notablemente con el correr el tiempo1
. A diferencia de programas
benignos, no considerados malware (y que son instalados con el consentimiento del usuario),
estas aplicaciones son capaces de realizar acciones dañinas sin que el usuario lo sepa.
La mayoría de los primeros códigos maliciosos se reproducían de equipo en equipo utilizando
los medios extraíbles disponibles en ese momento, que eran los disquetes. Por esta razón, la
velocidad de propagación era baja y se demoraba relativamente bastante desde que un virus
era creando hasta que el mismo lograba una extensa difusión. Luego se produjo la masificación
de las redes, Internet llegó a los hogares y organizaciones, y la difusión de los códigos
maliciosos se incrementó exponencialmente, haciendo que en solo un par de horas la cantidad
de infectados por un malware sea muy elevada.
La clasificación del malware se ha diversificado y crece día a día, y cada vez es más común
escuchar distintos términos anglosajones que los describen. Con el paso del tiempo, además,
se reconoce un cambio en la finalidad de los códigos maliciosos, donde inicialmente el
desarrollador buscaba reconocimiento y fama por haber desarrollado el malware. Hoy en día el
principal motivo del desarrollo de los mismos se centra en el beneficio económico que genera, y
esto se ve reflejado en la gran cantidad de nuevos códigos maliciosos que se publican a diario.
A continuación se presentan las definiciones de malware más conocidas junto con otras
amenazas existentes en la actualidad.
1
Para una lectura detalla se recomienda leer el documento “Cronología de los virus informáticos: la historia del malware”:
http://www.eset-la.com/centro-amenazas/1600-cronologia-virus-informaticos
4. Uso seguro de medios informáticos
4
Malware
Malware es el acrónimo, en inglés, de las palabras “malicious” y “software” (en español,
programa malicioso). Se puede considerar como malware todo programa diseñado con algún
fin dañino.
Dentro de este grupo se encuentran una serie de amenazas que difieren en sus características,
particularidades y formas de funcionamiento. También es muy frecuente la existencia de
malware que combina diferentes características de cada amenaza.
A continuación se describen los diversos tipos de códigos maliciosos, las definiciones de cada
uno, y otras informaciones que pueden verse resumidas en la siguiente tabla, junto a sus
características:
Imagen 1 – Clasificación de malware
Virus
Un virus es un programa informático creado para producir algún daño en el sistema del
usuario y que posee dos características particulares adicionales: actúa de forma transparente
al usuario y tiene la capacidad de reproducirse a sí mismo.
Los virus informáticos requieren de un anfitrión donde alojarse. Este puede variar, siendo un
archivo (tanto ejecutable como no), el sector de arranque o incluso la memoria de la
computadora. Su origen data de los comienzos de los años ’80, siendo en aquel entonces el
único código malicioso existente (no existía el concepto de malware).
El método tradicional de infección consiste en la “inyección” de una porción de código dentro de
un archivo del sistema. Al residir el código malicioso dentro de un archivo benigno, cuando este
5. Uso seguro de medios informáticos
5
es ejecutado se procesan en primer término las acciones maliciosas y posteriormente las
contenidas normalmente en el archivo original.
Cuando un virus es ejecutado se producen dos acciones en paralelo: el daño en cuestión y la
propagación para seguir infectando otros archivos. Esta es la característica primordial de los
virus: su capacidad de reproducirse por sí mismos; el mismo virus es el que causa el daño y
continúa infectando nuevos sistemas o archivos.
Gusano
Un gusano informático es un código malicioso cuyas principales características son que no
infecta archivos (principal diferencia con los virus) y que se propaga por sí mismo a través la
explotación de diferentes tipos de vulnerabilidades.
Su surgimiento data del año 1988, cuando el gusano Morris, considerado el primero de este tipo
de malware, logró colapsar miles de sistemas, específicamente el 10% de los equipos
conectados a la Internet (ArpaNet por aquel entonces).
El medio utilizado puede diferir según la variante, siendo algunas de las principales técnicas
empleadas:
• Envío de mensajes a través de clientes de mensajería instantánea.
• Copia por dispositivos USB.
• Aprovechamiento de vulnerabilidades de software.
Ampliando este último apartado, una de las características más frecuentemente detectadas en
los gusanos es la posibilidad de explotar vulnerabilidades en el sistema operativo o las
aplicaciones para continuar su propagación, y las variantes suelen tener altos índices de
infección, especialmente cuando se trata de fallas de seguridad sin parche, o que aparezcan en
productos muy difundidos como puede ser, entre otros, Microsoft Windows.
Un ejemplo de esta amenaza es el reciente gusano Conficker, que apareció en octubre de 2008,
y durante los años 2009 y 2010 continuó como una de las principales amenazas informáticas. El
mismo explota una vulnerabilidad en los sistemas Microsoft Windows (identificada como
MS08-067)2
, poseyendo la capacidad de propagarse por equipos que no hubieran sido
actualizados. En sus otras variantes Conficker incorporó nuevos canales de difusión, como los
medios removibles y los recursos compartidos en red.
Amenazas como Conficker continúan infectando equipos y empresas, esto se debe a que
muchas de ellas utilizan software no licenciado. La falta de licencias originales del sistema
operativo o programas de terceros, implica que no se actualicen los sistemas y vulnerabilidades
como las explotadas por Conficker continúen causando infecciones.
6. Uso seguro de medios informáticos
6
Según ESET tres de cada diez usuarios no mantienen seguro su sistema por tener versiones del
software no licenciadas. Esto se debe a que en muchos casos las actualizaciones poseen
mecanismos para detectar estas copias no legítimas de software, y es por ello que muchos
usuarios prefieren no correr ese riesgo, y a cambio (en muchos casos sin saberlo) terminan
corriendo otros riesgos.
Troyano
Un troyano es un código malicioso que simula ser inofensivo y útil para el usuario. Al igual que
los gusanos, no infectan archivos, aunque a diferencia de aquellos, el troyano necesita del ser
humano para su propagación.
Los primeros troyanos pueden identificarse a finales de los años ’80 y principios de los años ’90,
de la mano de la masiva difusión de Internet. Al basar su éxito en la simulación y en la necesidad
de que el usuario ejecute el archivo, los troyanos se caracterizan por una extensa utilización de
técnicas de Ingeniería Social.
Existe una gran variedad de troyanos, dependiendo sus acciones y utilidades:
• Downloader: descargan otros códigos maliciosos.
• Banker: posee como objetivo el robo de credenciales de acceso financieras.
• Dropper: se ejecuta en paralelo con un programa legítimo.
• Clicker: busca beneficio económico a través de clics en publicidad.
• Keylogger: registra las actividades que se realizan en el sistema.
• Backdoor: abre puertos en el sistema.
• Bot: convierte el sistema en zombi.
7. Uso seguro de medios informáticos
7
La siguiente imagen muestra una técnica frecuentemente utilizada para engañar al usuario: la
instalación de falsos códec. El usuario es invitado a observar un video y es luego informado de la
necesidad de instalar un códec. Toda la situación es un engaño y el usuario termina descargando
un troyano:
Imagen 2 – Falso códec
Adware
Adware (acrónimo de advertisement –anuncio publicitario- y software) es un programa
malicioso, que se instala en el sistema sin que el usuario sepa realmente su objetivo principal,
que es descargar y/o mostrar anuncios publicitarios en la pantalla de la víctima.
Cuando un adware infecta un sistema, el usuario comienza a ver anuncios publicitarios que se
muestran de manera sorpresiva en pantalla. Por lo general, estos se ven como ventanas
emergentes en el navegador (pop-ups). Los anuncios pueden modificar las páginas que visita el
mismo (como puede ser, por ejemplo, los resultados de un buscador), e incluso aparecer
aunque el usuario no esté navegando por Internet. Por lo general, el adware utiliza información
recopilada por algún spyware para decidir qué publicidades mostrar al usuario.
Frecuentemente se observa a estas dos amenazas trabajando en forma conjunta.
8. Uso seguro de medios informáticos
8
Spyware
El spyware, también conocido como programa espía, es una aplicación cuyo fin es recolectar
información del usuario, sin su consentimiento.
Inicialmente el spyware nació como un conjunto de aplicaciones incluidas junto al software
gratuito, con el objetivo de generar estadísticas sobre la actividad del usuario en su
computadora, a fin de poder determinar su perfil de navegación e intereses. Esto tiene mucho
valor para las compañías dedicadas al marketing en Internet, ya que gracias al material
recolectado pueden confeccionar bases de datos que les permiten conocer fehacientemente
qué es lo que puede atraer a cada usuario o perfil en particular.
Pero como toda amenaza informática, el spyware evolucionó y ya no solo se instala junto al
software distribuido libremente, sino que utiliza otros métodos para llegar hasta las
computadoras de los usuarios.
Los datos que recopila un spyware son enviados a los atacantes, y pueden ser variados: historial
de navegación, historial de descargas, compras vía e-commerce, información demográfica (sexo,
edad, etc.), intereses comerciales, búsquedas realizadas, etc.
Rogue
El rogue es un código malicioso que simula ser un programa de seguridad, con el fin de lograr
que el usuario pague por una aplicación dañina o inexistente. Es una de las técnicas que mayor
crecimiento ha experimentado en los años 2008 y 2009. Emplea como herramienta la
generación de miedo en el usuario, indicando falsas alertas sobre infecciones y/o problemas
que pudiera tener el sistema; logrando de esta forma que el usuario desee instalar el falso
producto.
Es utilizado para dos fines principalmente:
• Instalación de malware: trabajando como un troyano, mientras la víctima supone que
está instalando una aplicación de seguridad (en la mayoría de los casos gratuita), en
realidad se instala en el equipo un código malicioso.
• Scam: en algunos casos, luego de alertar al usuario sobre un riesgo de seguridad en el
sistema, se ofrece una aplicación a un precio “promocional”. Luego el usuario pagará
por una aplicación inexistente.
Es muy frecuente en este tipo de amenazas que se realicen falsas exploraciones del sistema,
para luego indicar al usuario la existencia de supuestos riesgos.
9. Uso seguro de medios informáticos
9
A continuación vemos una imagen de este tipo de malware alertando acerca de una falsa
infección en el sistema:
Imagen 3 – Rogue, alerta sobre falsas amenazas
Es muy importante estar atento ante este tipo de amenazas, y conocer las diversas maneras de
identificar un rogue2
.
Ransomware
El ransomware es una de las amenazas informáticas más similares a un ataque sin medios
tecnológicos: el secuestro. En su aplicación informatizada, el ransomware es un código
malicioso que, por lo general, cifra la información del ordenador e ingresa en él una serie de
instrucciones para que el usuario pueda recuperar sus archivos. La víctima, para obtener la
contraseña que libera la información, debe pagar al atacante una suma de dinero, según las
instrucciones que este comunique. Algunas de las técnicas para el secuestro son las siguientes:
• Cifrado de archivos del disco.
• Bloqueo de acceso a ciertos archivos (frecuentemente documentos de ofimática).
• Bloqueo total de acceso al sistema (previo al login, o bloqueo de pantalla una vez que el
usuario accedió al sistema).
2
Más información: http://blogs.eset-la.com/laboratorio/2010/09/14/5-formas-de-identificar-un-rogue/
10. Uso seguro de medios informáticos
10
Una vez que el sistema fue secuestrado, el atacante solicita al usuario una suma de dinero, a
través de diversas técnicas (algunas más directas que otras): un depósito bancario, el envío de
un mensaje de texto, pago electrónico, la adquisición de un producto, etc.
Aunque la principal protección ante esta amenaza es la utilización de un software de seguridad
antivirus, la realización de backups de la información es una buena práctica para prevenir
ciertos casos de ransomware.
Uno de los casos más populares de este tipo de amenazas es el código malicioso detectado por
ESET NOD32 como Win32/Gpcode, un malware que cifra todo el disco duro al infectar el sistema,
y solicita el pago de dinero para enviar al usuario una aplicación que permite restaurar el estado
anterior del disco. Durante 2008 tuvo índices de infección altos para un software de este tipo.
El mensaje que utilizaba para informar de la infección era el siguiente (originalmente en inglés):
“Sus archivos fueron cifrados con el algoritmo RSA-1024. Para recuperar sus archivos, debe comprar
nuestra aplicación de descifrado. Para comprar la herramienta, contacte a [ELIMINADO]@yahoo.com”3
Imagen 4 - Ransomware
3
“Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool
contact us at: [ELIMINADO]@yahoo.com”
11. Uso seguro de medios informáticos
11
Otras amenazas
Spam
Se denomina spam al correo electrónico no solicitado enviado masivamente por parte de un
tercero. En español también es identificado como correo no deseado o correo basura.
Es utilizado, por lo general, para envío de publicidad, aunque también se lo emplea para la
propagación de códigos maliciosos. Además de los riesgos que representa el spam para el envío
de contenidos dañinos y de la molestia que causa al usuario recibir publicidad no deseada,
también existen efectos colaterales de su existencia, como la pérdida de productividad que
genera en el personal de una empresa la lectura de correo no solicitado, y el consumo de
recursos (ancho de banda, procesamiento, etc.) que estos generan.
La cantidad de spam ha ido en aumento con el pasar de los años, y es de esperar que esta
tendencia continúe. Respecto al porcentaje, algunos estudios afirman que entre un 80-85% del
correo electrónico es correo basura. Algunas fuentes han aventurado valores superiores,
llegando al 95%.
La principal barrera de protección son las herramientas antispam. De todas formas, también es
importante que los usuarios no reenvíen correos en cadena, utilicen la opción de copia oculta
(para no difundir las direcciones de correo de sus contactos) y no publiquen su dirección de
correo en foros o sitios web.
Aunque el spam visto con mayor frecuencia es el realizado vía correo electrónico, también se
pueden observar mensajes de spam en foros, comentarios en blogs o mensajes de texto, entre
otros.
Hoax
Un hoax es un correo electrónico distribuido en formato de cadena, cuyo objetivo es hacer creer
a los lectores que algo falso es real. A diferencia de otras amenazas, como el phishing o el scam;
los hoax no poseen fines de lucro, al menos como intención principal.
Los contenidos de este tipo de correos son extremadamente variables. Entre otros, se pueden
encontrar alertas falsas sobre virus y otras amenazas, historias solidarias sobre gente con
extrañas enfermedades, leyendas urbanas o secretos para hacerse millonario.
12. Uso seguro de medios informáticos
12
Existe una serie de características comunes a la mayoría de los hoax que circulan por la red,
cuyo conocimiento puede ayudar al usuario a detectar este tipo de correos:
• Muchos de ellos están escritos de forma desprolija, sin firma y con redacción poco
profesional.
• Invitan al usuario a reenviar el correo a sus contactos, conformando lo que se conoce
como cadena de mails.
• El remitente es alguien de confianza. Esto se debe simplemente a que el reenvío de esta
amenaza está dado voluntariamente por víctimas que ya han creído el contenido del
correo.
• Por lo general, no poseen información específica de ubicación temporal. De esta forma,
al ser el contenido atemporal, la difusión del mensaje se puede dar por tiempo
indeterminado.
• Algunos de ellos indican un beneficio o donación por cada vez que se reenvíe el
mensaje.
Scam
Scam es el nombre utilizado para las estafas a través de medios tecnológicos. A partir de la
definición de estafa, se describe scam como el "delito consistente en provocar un perjuicio
patrimonial a alguien mediante engaño y con ánimo de lucro, utilizando como medio la
tecnología".
Los medios utilizados por los scam son similares a los que utiliza el phishing, aunque el objetivo
no es obtener datos sino lucrar de forma directa a través del engaño. Los argumentos utilizados
principalmente para engañar al usuario, son el anuncio de una ganancia extraordinaria o las
peticiones de ayuda caritativa.
En el primer caso aparecen, por ejemplo, los anuncios de empleo con rentabilidades
inesperadas o el premio de una lotería o juegos de azar. En estos casos, para convertir el ataque
en una estafa, se le solicita al usuario que haga una entrega de una suma de dinero (pequeña en
comparación con la supuesta ganancia ofrecida) para poder verificar algunos datos o cubrir los
costos de envío y administración del dinero obtenido.
El segundo caso, y el más común, es el correo en que se solicita una donación al usuario, para
una obra caritativa. Los contenidos más generales hacen referencia a países de extrema
pobreza (generalmente de África), a personas enfermas o a catástrofes internacionales. El
correo invita a la víctima a hacer un depósito o envío de dinero a fin de colaborar con la causa
caritativa. Esta técnica de Ingeniería Social aprovecha la bondad de las personas y su interés por
ayudar.
13. Uso seguro de medios informáticos
13
Los scam son una amenaza constante para el usuario y cientos de ellos rondan la red cada día.
Sin embargo, luego de algún desastre (terremoto, inundación, guerra, hambruna) con impacto
mediático considerable, aumenta notablemente la cantidad de correos de este tipo que
circulan por la red.
Phishing
El phishing consiste en el robo de información personal y/o financiera del usuario, mediante la
falsificación de comunicaciones provenientes de un ente confiable. De esta forma, el usuario
cree ingresar los datos en un sitio que conoce cuando, en realidad, estos son enviados
directamente al atacante. En su forma clásica, el ataque comienza con el envío de un correo
electrónico simulando la identidad de una organización de confianza, como por ejemplo un
banco o una reconocida empresa. Las características de un correo de phishing son las
siguientes:
• Uso de nombres de organizaciones con presencia pública.
• El correo electrónico del remitente simula ser de la compañía en cuestión.
• El cuerpo del correo presenta el logotipo de la compañía u organización que firma el
mensaje.
• El mensaje insta al usuario a reingresar algún tipo de información que, en realidad, el
supuesto remitente ya posee.
• El mensaje incluye un enlace.
El enlace es un componente importante del ataque. Cuando el usuario hace clic sobre él es
direccionado a un sitio web, donde podrá ingresar la información solicitada en el correo
electrónico. A pesar de que el texto sobre el que usuario haga clic mencione una dirección web
válida, el mismo puede apuntar a cualquier otro sitio web; en este caso, al sitio falsificado. De
esta forma el correo induce al usuario a hacer clics sobre los vínculos del mensaje.
Como técnica de Ingeniería Social, el phishing suele utilizar el factor miedo, para inducir al
usuario a ingresar la información en el sitio del atacante. Un aviso legítimo de caducidad de
información (como contraseñas, cuentas de correo o registros personales), nunca alertará al
usuario sin el suficiente tiempo para que este gestione las operaciones necesarias en tiempos
prudenciales. Mensajes del tipo "su cuenta caducará en 24hs." o "si no ingresa la información en las
próximas horas..." son frecuentemente utilizados en este tipo de incidentes.
14. Uso seguro de medios informáticos
14
La recepción de este tipo de ataques usualmente se produce a través de correos electrónicos y
el usuario (una vez que abre el mensaje o sigue el enlace) puede ser víctima de esta técnica, tal
como se observa en la imagen siguiente
Imagen 4 – Correo de phishing
15. Uso seguro de medios informáticos
15
Conclusión
Desde la aparición de los virus informáticos, particularmente en la década del ‘80, los códigos
maliciosos han evolucionado encontrando nuevas características y métodos de propagación
para afectar a los usuarios.
Por un lado, es importante poder clasificarlos, para así conocer la diversidad de amenazas
existentes, sus características, sus metodologías, sus índices de infección, etc. La clasificación
es una medida conceptual y educativa, que es importante para comprender lo que representa la
amenaza del malware en la actualidad.
Sin embargo, por otro lado, debe recordarse que todos estos tipos de malware poseen un factor
común: generar daño. Por lo tanto, la protección de amenazas debe abarcar todas las clases de
códigos maliciosos descritos a lo largo del capítulo, ya que cualquiera de ellos es un riesgo para
los usuarios de computadoras.