Gua bsica de utilizacin de medios informticos en forma segura

Amenazas actuales

ESET Latinoamrica, Av. Del Libertador 6250, 6to. Piso Buenos Aires, C1428ARS, Argentina Tel. +54 (11) 4788 9213 Fax. +54 (11) 4788 9629 info@eset-la.com, www.eset-la.com

Amenazas actuales 2

ndice
Introduccin .................................................................................................................... 3 Malware ........................................................................................................................... 4
Virus .....................................................................................................................................................................................................4 Gusano................................................................................................................................................................................................5 Troyano ..............................................................................................................................................................................................6 Adware ...............................................................................................................................................................................................7 Spyware..............................................................................................................................................................................................8 Rogue ..................................................................................................................................................................................................8 Ransomware .....................................................................................................................................................................................9

Otras amenazas............................................................................................................. 10
Spam ................................................................................................................................................................................................ 10 Hoax.................................................................................................................................................................................................. 11 Scam ................................................................................................................................................................................................. 12 Phishing .......................................................................................................................................................................................... 12

Conclusin ..................................................................................................................... 15

Amenazas actuales 3

El presente mdulo presenta la definicin y clasificacin de las principales amenazas a las que un usuario hogareo o el administrador de un sistema informtico se pueden enfrentar. Se presentan las definiciones de los cdigos maliciosos, se detallan las caractersticas de cada uno de los diversos tipos de malware existentes y, finalmente, otros tipos de amenazas existentes en la actualidad.

Introduccin
Actualmente existen muchas amenazas a las que los usuarios estn expuestos por el simple hecho de encender su computadora o de conectarse a una red. A continuacin se darn definiciones de las amenazas ms frecuentes a la que se enfrentan los usuarios. Desde comienzos de la dcada de 1980 se conocen los programas llamados virus informticos, y su definicin ha variado notablemente con el correr el tiempo 1. A diferencia de programas benignos, no considerados malware (y que son instalados con el consentimiento del usuario), estas aplicaciones son capaces de realizar acciones dainas sin que el usuario lo sepa. La mayora de los primeros cdigos maliciosos se reproducan de equipo en equipo utilizando los medios extrables disponibles en ese momento, que eran los disquetes. Por esta razn, la velocidad de propagacin era baja y se demoraba relativamente bastante desde que un virus era creando hasta que el mismo lograba una extensa difusin. Luego se produjo la masificacin de las redes, Internet lleg a los hogares y organizaciones, y la difusin de los cdigos maliciosos se increment exponencialmente, haciendo que en solo un par de horas la cantidad de infectados por un malware sea muy elevada. La clasificacin del malware se ha diversificado y crece da a da, y cada vez es ms comn escuchar distintos trminos anglosajones que los describen. Con el paso del tiempo, adems, se reconoce un cambio en la finalidad de los cdigos maliciosos, donde inicialmente el desarrollador buscaba reconocimiento y fama por haber desarrollado el malware. Hoy en da el principal motivo del desarrollo de los mismos se centra en el beneficio econmico que genera, y esto se ve reflejado en la gran cantidad de nuevos cdigos maliciosos que se publican a diario. A continuacin se presentan las definiciones de malware ms conocidas junto con otras amenazas existentes en la actualidad.

Para una lectura detalla se recomienda leer el documento Cronologa de los virus informticos: la historia del malware: http://www.eset-la.com/centro-amenazas/1600-cronologia-virus-informaticos

Amenazas actuales 4

Malware
Malware es el acrnimo, en ingls, de las palabras malicious y software (en espaol, programa malicioso). Se puede considerar como malware todo programa diseado con algn fin daino. Dentro de este grupo se encuentran una serie de amenazas que difieren en sus caractersticas, particularidades y formas de funcionamiento. Tambin es muy frecuente la existencia de malware que combina diferentes caractersticas de cada amenaza. A continuacin se describen los diversos tipos de cdigos maliciosos, las definiciones de cada uno, y otras informaciones que pueden verse resumidas en la siguiente tabla, junto a sus caractersticas:

Imagen 1 Clasificacin de malware

Virus
Un virus es un programa informtico creado para producir algn dao en el sistema del usuario y que posee dos caractersticas particulares adicionales: acta de forma transparente al usuario y tiene la capacidad de reproducirse a s mismo. Los virus informticos requieren de un anfitrin donde alojarse. Este puede variar, siendo un archivo (tanto ejecutable como no), el sector de arranque o incluso la memoria de la computadora. Su origen data de los comienzos de los aos 80, siendo en aquel entonces el nico cdigo malicioso existente (no exista el concepto de malware). El mtodo tradicional de infeccin consiste en la inyeccin de una porcin de cdigo dentro de un archivo del sistema. Al residir el cdigo malicioso dentro de un archivo benigno, cuando este es ejecutado se procesan en primer trmino las acciones maliciosas y posteriormente las contenidas normalmente en el archivo original.

Amenazas actuales 5

Cuando un virus es ejecutado se producen dos acciones en paralelo: el dao en cuestin y la propagacin para seguir infectando otros archivos. Esta es la caracterstica primordial de los virus: su capacidad de reproducirse por s mismos; el mismo virus es el que causa el dao y contina infectando nuevos sistemas o archivos.

Gusano
Un gusano informtico es un cdigo malicioso cuyas principales caractersticas son que no infecta archivos (principal diferencia con los virus) y que se propaga por s mismo a travs la explotacin de diferentes tipos de vulnerabilidades. Su surgimiento data del ao 1988, cuando el gusano Morris, considerado el primero de este tipo de malware, logr colapsar miles de sistemas, especficamente el 10% de los equipos conectados a la Internet (ArpaNet por aquel entonces). El medio utilizado puede diferir segn la variante, siendo algunas de las principales tcnicas empleadas: Envo de mensajes a travs de clientes de mensajera instantnea. Copia por dispositivos USB. Aprovechamiento de vulnerabilidades de software.

Ampliando este ltimo apartado, una de las caractersticas ms frecuentemente detectadas en los gusanos es la posibilidad de explotar vulnerabilidades en el sistema operativo o las aplicaciones para continuar su propagacin, y las variantes suelen tener altos ndices de infeccin, especialmente cuando se trata de fallas de seguridad sin parche, o que aparezcan en productos muy difundidos como puede ser, entre otros, Microsoft Windows. Un ejemplo de esta amenaza es el reciente gusano Conficker, que apareci en octubre de 2008, y durante los aos 2009 y 2010 continu como una de las principales amenazas informticas. El mismo explota una vulnerabilidad en los sistemas Microsoft Windows (identificada como MS08-067)2, poseyendo la capacidad de propagarse por equipos que no hubieran sido actualizados. En sus otras variantes Conficker incorpor nuevos canales de difusin, como los medios removibles y los recursos compartidos en red. Amenazas como Conficker continan infectando equipos y empresas, esto se debe a que muchas de ellas utilizan software no licenciado. La falta de licencias originales del sistema operativo o programas de terceros, implica que no se actualicen los sistemas y vulnerabilidades como las explotadas por Conficker continen causando infecciones. Segn ESET tres de cada diez usuarios no mantienen seguro su sistema por tener versiones del software no licenciadas. Esto se debe a que en muchos casos las actualizaciones poseen mecanismos para detectar

Amenazas actuales 6

estas copias no legtimas de software, y es por ello que muchos usuarios prefieren no correr ese riesgo, y a cambio (en muchos casos sin saberlo) terminan corriendo otros riesgos.

Troyano
Un troyano es un cdigo malicioso que simula ser inofensivo y til para el usuario. Al igual que los gusanos, no infectan archivos, aunque a diferencia de aquellos, el troyano necesita del ser humano para su propagacin. Los primeros troyanos pueden identificarse a finales de los aos 80 y principios de los aos 90, de la mano de la masiva difusin de Internet. Al basar su xito en la simulacin y en la necesidad de que el usuario ejecute el archivo, los troyanos se caracterizan por una extensa utilizacin de tcnicas de Ingeniera Social. Existe una gran variedad de troyanos, dependiendo sus acciones y utilidades: Downloader: descargan otros cdigos maliciosos. Banker: posee como objetivo el robo de credenciales de acceso financieras. Dropper: se ejecuta en paralelo con un programa legtimo. Clicker: busca beneficio econmico a travs de clics en publicidad. Keylogger: registra las actividades que se realizan en el sistema. Backdoor: abre puertos en el sistema. Bot: convierte el sistema en zombi.

Amenazas actuales 7

La siguiente imagen muestra una tcnica frecuentemente utilizada para engaar al usuario: la instalacin de falsos codecs. El usuario es invitado a observar un video y es luego informado de la necesidad de instalar un codec. Toda la situacin es un engao y el usuario termina descargando un troyano:

Imagen 2 Falso codec

Adware
Adware (acrnimo de advertisement anuncio publicitario- y software) es un programa malicioso, que se instala en el sistema sin que el usuario sepa realmente su objetivo principal, que es descargar y/o mostrar anuncios publicitarios en la pantalla de la vctima. Cuando un adware infecta un sistema, el usuario comienza a ver anuncios publicitarios que se muestran de manera sorpresiva en pantalla. Por lo general, estos se ven como ventanas emergentes en el navegador (pop-ups). Los anuncios pueden modificar las pginas que visita el mismo (como puede ser, por ejemplo, los resultados de un buscador), e incluso aparecer aunque el usuario no est navegando por Internet. Por lo general, el adware utiliza informacin recopilada por algn spyware para decidir qu publicidades mostrar al usuario. Frecuentemente se observa a estas dos amenazas trabajando en forma conjunta.

Amenazas actuales 8

Spyware
El spyware, tambin conocido como programa espa, es una aplicacin cuyo fin es recolectar informacin del usuario, sin su consentimiento. Inicialmente el spyware naci como un conjunto de aplicaciones incluidas junto al software gratuito, con el objetivo de generar estadsticas sobre la actividad del usuario en su computadora, a fin de poder determinar su perfil de navegacin e intereses. Esto tiene mucho valor para las compaas dedicadas al marketing en Internet, ya que gracias al material recolectado pueden confeccionar bases de datos que les permiten conocer fehacientemente qu es lo que puede atraer a cada usuario o perfil en particular. Pero como toda amenaza informtica, el spyware evolucion y ya no solo se instala junto al software distribuido libremente, sino que utiliza otros mtodos para llegar hasta las computadoras de los usuarios. Los datos que recopila un spyware son enviados a los atacantes, y pueden ser variados: historial de navegacin, historial de descargas, compras va e-commerce, informacin demogrfica (sexo, edad, etc.), intereses comerciales, bsquedas realizadas, etc.

Rogue
El rogue es un cdigo malicioso que simula ser un programa de seguridad, con el fin de lograr que el usuario pague por una aplicacin daina o inexistente. Es una de las tcnicas que mayor crecimiento ha experimentado en los aos 2008 y 2009. Emplea como herramienta la generacin de miedo en el usuario, indicando falsas alertas sobre infecciones y/o problemas que pudiera tener el sistema; logrando de esta forma que el usuario desee instalar el falso producto. Es utilizado para dos fines principalmente: Instalacin de malware: trabajando como un troyano, mientras la vctima supone que est instalando una aplicacin de seguridad (en la mayora de los casos gratuita), en realidad se instala en el equipo un cdigo malicioso. Scam: en algunos casos, luego de alertar al usuario sobre un riesgo de seguridad en el sistema, se ofrece una aplicacin a un precio promocional. Luego el usuario pagar por una aplicacin inexistente.

Es muy frecuente en este tipo de amenazas que se realicen falsas exploraciones del sistema, para luego indicar al usuario la existencia de supuestos riesgos.

Amenazas actuales 9

A continuacin vemos una imagen de este tipo de malware alertando acerca de una falsa infeccin en el sistema:

Imagen 3 Rogue, alerta sobre falsas amenazas

Es muy importante estar atento ante este tipo de amenazas, y conocer las diversas maneras de identificar un rogue 2.

Ransomware
El ransomware es una de las amenazas informticas ms similares a un ataque sin medios tecnolgicos: el secuestro. En su aplicacin informatizada, el ransomware es un cdigo malicioso que, por lo general, cifra la informacin del ordenador e ingresa en l una serie de instrucciones para que el usuario pueda recuperar sus archivos. La vctima, para obtener la contrasea que libera la informacin, debe pagar al atacante una suma de dinero, segn las instrucciones que este comunique. Algunas de las tcnicas para el secuestro son las siguientes: Cifrado de archivos del disco. Bloqueo de acceso a ciertos archivos (frecuentemente documentos de ofimtica). Bloqueo total de acceso al sistema (previo al login, o bloqueo de pantalla una vez que el usuario accedi al sistema).

Una vez que el sistema fue secuestrado, el atacante solicita al usuario una suma de dinero, a travs de diversas tcnicas (algunas ms directas que otras): un depsito bancario, el envo de un mensaje de texto, pago electrnico, la adquisicin de un producto, etc.

Ms informacin: http://blogs.eset-la.com/laboratorio/2010/09/14/5-formas-de-identificar-un-rogue/

Amenazas actuales 10

Aunque la principal proteccin ante esta amenaza es la utilizacin de un software de seguridad antivirus, la realizacin de backups de la informacin es una buena prctica para prevenir ciertos casos de ransomware. Uno de los casos ms populares de este tipo de amenazas es el cdigo malicioso detectado por ESET NOD32 como Win32/Gpcode, un malware que cifra todo el disco duro al infectar el sistema, y solicita el pago de dinero para enviar al usuario una aplicacin que permite restaurar el estado anterior del disco. Durante 2008 tuvo ndices de infeccin altos para un software de este tipo. El mensaje que utilizaba para informar de la infeccin era el siguiente (originalmente en ingls): Sus archivos fueron cifrados con el algoritmo RSA-1024. Para recuperar sus archivos, debe comprar nuestra aplicacin de descifrado. Para comprar la herramienta, contacte a [ELIMINADO]@yahoo.com 3

Imagen 4 - Ransomware

Otras amenazas
Spam
Se denomina spam al correo electrnico no solicitado enviado masivamente por parte de un tercero. En espaol tambin es identificado como correo no deseado o correo basura. Es utilizado, por lo general, para envo de publicidad, aunque tambin se lo emplea para la propagacin de cdigos maliciosos. Adems de los riesgos que representa el spam para el envo de contenidos
3 Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool contact us at: [ELIMINADO]@yahoo.com

Amenazas actuales 11

dainos y de la molestia que causa al usuario recibir publicidad no deseada, tambin existen efectos colaterales de su existencia, como la prdida de productividad que genera en el personal de una empresa la lectura de correo no solicitado, y el consumo de recursos (ancho de banda, procesamiento, etc.) que estos generan. La cantidad de spam ha ido en aumento con el pasar de los aos, y es de esperar que esta tendencia contine. Respecto al porcentaje, algunos estudios afirman que entre un 80-85% del correo electrnico es correo basura. Algunas fuentes han aventurado valores superiores, llegando al 95%. La principal barrera de proteccin son las herramientas antispam. De todas formas, tambin es importante que los usuarios no reenven correos en cadena, utilicen la opcin de copia oculta (para no difundir las direcciones de correo de sus contactos) y no publiquen su direccin de correo en foros o sitios web. Aunque el spam visto con mayor frecuencia es el realizado va correo electrnico, tambin se pueden observar mensajes de spam en foros, comentarios en blogs o mensajes de texto, entre otros.

Hoax
Un hoax es un correo electrnico distribuido en formato de cadena, cuyo objetivo es hacer creer a los lectores que algo falso es real. A diferencia de otras amenazas, como el phishing o el scam; los hoax no poseen fines de lucro, al menos como intencin principal. Los contenidos de este tipo de correos son extremadamente variables. Entre otros, se pueden encontrar alertas falsas sobre virus y otras amenazas, historias solidarias sobre gente con extraas enfermedades, leyendas urbanas o secretos para hacerse millonario. Existe una serie de caractersticas comunes a la mayora de los hoax que circulan por la red, cuyo conocimiento puede ayudar al usuario a detectar este tipo de correos: Muchos de ellos estn escritos de forma desprolija, sin firma y con redaccin poco profesional. Invitan al usuario a reenviar el correo a sus contactos, conformando lo que se conoce como cadena de mails. El remitente es alguien de confianza. Esto se debe simplemente a que el reenvo de esta amenaza est dado voluntariamente por vctimas que ya han credo el contenido del correo. Por lo general, no poseen informacin especfica de ubicacin temporal. De esta forma, al ser el contenido atemporal, la difusin del mensaje se puede dar por tiempo indeterminado. Algunos de ellos indican un beneficio o donacin por cada vez que se reenve el mensaje.

Amenazas actuales 12

Scam
Scam es el nombre utilizado para las estafas a travs de medios tecnolgicos. A partir de la definicin de estafa, se describe scam como el "delito consistente en provocar un perjuicio patrimonial a alguien mediante engao y con nimo de lucro, utilizando como medio la tecnologa". Los medios utilizados por los scam son similares a los que utiliza el phishing, aunque el objetivo no es obtener datos sino lucrar de forma directa a travs del engao. Los argumentos utilizados principalmente para engaar al usuario, son el anuncio de una ganancia extraordinaria o las peticiones de ayuda caritativa. En el primer caso aparecen, por ejemplo, los anuncios de empleo con rentabilidades inesperadas o el premio de una lotera o juegos de azar. En estos casos, para convertir el ataque en una estafa, se le solicita al usuario que haga una entrega de una suma de dinero (pequea en comparacin con la supuesta ganancia ofrecida) para poder verificar algunos datos o cubrir los costos de envo y administracin del dinero obtenido. El segundo caso, y el ms comn, es el correo en que se solicita una donacin al usuario, para una obra caritativa. Los contenidos ms generales hacen referencia a pases de extrema pobreza (generalmente de frica), a personas enfermas o a catstrofes internacionales. El correo invita a la vctima a hacer un depsito o envo de dinero a fin de colaborar con la causa caritativa. Esta tcnica de Ingeniera Social aprovecha la bondad de las personas y su inters por ayudar. Los scam son una amenaza constante para el usuario y cientos de ellos rondan la red cada da. Sin embargo, luego de algn desastre (terremoto, inundacin, guerra, hambruna) con impacto meditico considerable, aumenta notablemente la cantidad de correos de este tipo que circulan por la red.

Phishing
El phishing consiste en el robo de informacin personal y/o financiera del usuario, mediante la falsificacin de comunicaciones provenientes de un ente confiable. De esta forma, el usuario cree ingresar los datos en un sitio que conoce cuando, en realidad, estos son enviados directamente al atacante. En su forma clsica, el ataque comienza con el envo de un correo electrnico simulando la identidad de una organizacin de confianza, como por ejemplo un banco o una reconocida empresa. Las caractersticas de un correo de phishing son las siguientes: Uso de nombres de organizaciones con presencia pblica. El correo electrnico del remitente simula ser de la compaa en cuestin. El cuerpo del correo presenta el logotipo de la compaa u organizacin que firma el mensaje.

Amenazas actuales 13

El mensaje insta al usuario a reingresar algn tipo de informacin que, en realidad, el supuesto remitente ya posee. El mensaje incluye un enlace.

El enlace es un componente importante del ataque. Cuando el usuario hace clic sobre l es direccionado a un sitio web, donde podr ingresar la informacin solicitada en el correo electrnico. A pesar de que el texto sobre el que usuario haga clic mencione una direccin web vlida, el mismo puede apuntar a cualquier otro sitio web; en este caso, al sitio falsificado. De esta forma el correo induce al usuario a hacer clics sobre los vnculos del mensaje. Como tcnica de Ingeniera Social, el phishing suele utilizar el factor miedo, para inducir al usuario a ingresar la informacin en el sitio del atacante. Un aviso legtimo de caducidad de informacin (como contraseas, cuentas de correo o registros personales), nunca alertar al usuario sin el suficiente tiempo para que este gestione las operaciones necesarias en tiempos prudenciales. Mensajes del tipo "su cuenta caducar en 24hs." o "si no ingresa la informacin en las prximas horas..." son frecuentemente utilizados en este tipo de incidentes.

Amenazas actuales 14

La recepcin de este tipo de ataques usualmente se produce a travs de correos electrnicos y el usuario (una vez que abre el mensaje o sigue el enlace) puede ser vctima de esta tcnica, tal como se observa en la imagen siguiente

Imagen 4 Correo de phishing

Amenazas actuales 15

Conclusin
Desde la aparicin de los virus informticos, particularmente en la dcada del 80, los cdigos maliciosos han evolucionado encontrando nuevas caractersticas y mtodos de propagacin para afectar a los usuarios. Por un lado, es importante poder clasificarlos, para as conocer la diversidad de amenazas existentes, sus caractersticas, sus metodologas, sus ndices de infeccin, etc. La clasificacin es una medida conceptual y educativa, que es importante para comprender lo que representa la amenaza del malware en la actualidad. Sin embargo, por otro lado, debe recordarse que todos estos tipos de malware poseen un factor comn: generar dao. Por lo tanto, la proteccin de amenazas debe abarcar todas las clases de cdigos maliciosos descritos a lo largo del captulo, ya que cualquiera de ellos es un riesgo para los usuarios de computadoras.

Amenazas actuales 16

Copyright 2011 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados. Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con ESET, LLC y ESET, spol. s.r.o. ESET, 2011 Acerca de ESET Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (Mxico). Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploracin y un uso mnimo de los recursos. Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento proactivo de variadas amenazas informticas. La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de amenazas con una navegacin y uso responsable del equipo, junto con el inters de fomentar la concientizacin de los usuarios en materia de seguridad informtica, convierten a las campaas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre propio. Para ms informacin, visite www.eset-la.com