Glosario de seguridad informรกtica
2
1
Glosario de seguridad informática Ya seas un administrador de redes, utilices un ordenador en el trabajo o simplemente navegues por Internet, este libro es para ti. Te contaremos la verdad sobre los virus informáticos, gusanos, programas espía, spam, etc. de forma simple y comprensible. Sophos es un líder mundial en soluciones integradas de gestión de amenazas y protege contra programas maliciosos y espía, intrusiones, aplicaciones no deseadas, spam y abuso de políticas internas. Sophos ofrece tecnología fiable y productos fáciles de utilizar, que protegen a más de 53 millones de usuarios en más de 150 países. Con más de 20 años de experiencia y una red global de centros de análisis de amenazas, Sophos responde rápidamente ante nuevas amenazas, independientemente de su dificultad, y consigue los niveles más altos del mercado en satisfacción del cliente.
2
3
Contenido
Copyright 2006 Sophos Group. Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste electrónico, mecánico, grabación, fotocopia o cualquier otro sin la previa autorización escrita por parte del propietario. Sophos y Sophos Anti-Virus son marcas registradas de Sophos Plc y Sophos Group. Todos los demás nombres de productos y empresas mencionados son marcas comerciales o marcas registradas de sus respectivos propietarios. ISBN 0-9553212-0-4 ISBN 978-0-9553212-0-7
Introducción
.......................................
4
Amenazas de la A a la Z
.......................................
6
Software de seguridad
....................................... 75
Consejos de seguridad
....................................... 83
Cronografía de virus
....................................... 96
4
5
Introducción Todos sabemos qué es un virus informático... o, por lo menos, eso creemos. Hace alrededor de 20 años, se escribió el primer virus para PC, en teoría, con la intención de proteger software y disquetes antiguos contra los contrabandistas. Desde entonces, han aparecido cientos de miles de virus y programas maliciosos (virus de email, troyanos, gusanos de Internet, grabadores de pulsaciones de teclado). Todo el mundo ha oído hablar de los virus que llenan la pantalla de tonterías o borran archivos. En la imaginación popular, los programas maliciosos siguen siendo bromas y sabotajes. En los años 90 surgió el pánico generalizado al virus Michelangelo, ya olvidado. En el año 2000, cuando el virus SoBig-F infectaba millones de equipos y se preparaba para descargar programas desconocidos de Internet a una hora determinada, las empresas de antivirus intentaban convencer a los proveedores de Internet para que cerraran los servidores para evitar "el día del juicio final". Películas como Independence Day y La Red reforzaron esta idea, con ataques de virus anunciados a bombo y platillo. Pero todo eso está lejos de la realidad actual. Las amenazas son igual de reales, pero a menor escala, con objetivos fijos y más enfocados a hacer dinero que a crear el caos. Hoy en día, los programas maliciosos no borran discos duros, corrompen datos o muestran mensajes. Ese tipo de "cibervandalismo" ha dado paso a otros más lucrativos. Los virus actuales pueden cifrar todos sus datos y pedir un rescate, o amenazar a una empresa grande con lanzar un ataque de denegación de servicio que impida que los clientes accedan al sitio web para chantajearla. Los más comunes, sin embargo, no causan daños aparentes ni anuncian su presencia. En lugar de eso, instalan sigilosamente un grabador de pulsaciones del teclado, que espera hasta que la víctima visita un sitio de banca por Internet para grabar los detalles de la cuenta y la contraseña, que los piratas pueden entonces utilizar para clonar tarjetas de crédito o saquear cuentas bancarias. La víctima ni siquiera sabe que
el equipo está infectado. Una vez que el virus ha cumplido su misión, puede eliminarse completamente para evitar que lo detecten. Las amenazas combinadas de varios tipos de programas maliciosos y métodos de piratería son también muy comunes. Se utilizan listas de direcciones de spam para enviar troyanos por email y que lo reciban y lo activen muchas personas en poco tiempo. Esta técnica también favorece el spam. Los virus y troyanos pueden crear equipos "zombis" a control remoto y utilizarlos para distribuir spam con fines lucrativos. El número de víctimas ya no es tan elevado como antes. Los ataques masivos llaman demasiado la atención y las empresas antivirus pueden neutralizarlos rápidamente. Además, los ataques a gran escala pueden proporcionar a los piratas más datos robados de los que pueden procesar. Por eso, las amenazas son cada vez más concretas. La "pesca controlada de información" es un ejemplo. La "pesca de información" original consistía en enviar correo masivo que parecía venir de bancos, para pedir a los clientes que volvieran a registrar datos confidenciales y poder robarlos. La pesca controlada de información, por el contrario, se reduce a un pequeño número de gente, normalmente de la misma empresa. El mensaje parece provenir de algún compañero de un departamento de confianza, pidiendo información sobre contraseñas. El principio es el mismo, pero el ataque tiene más posibilidades de dar sus frutos, ya que la víctima baja la guardia al pensar que el mensaje es interno. Sigilosos, a pequeña escala y con blancos definidos: por ahora, ésta parece ser la tendencia de las amenazas de seguridad. ¿Y en el futuro? Es casi imposible predecir cómo serán las amenazas del futuro. Algunos pronosticaron que nunca habría más de unos cientos de virus, y Bill Gates afirmó que el spam dejaría de ser un problema en 2006. No está claro de dónde provendrán las amenazas futuras ni lo serias que serán. Lo que está claro es que, siempre que haya oportunidad de ganancias, los piratas y criminales intentarán acceder y hacer uso indebido de los datos.
6
7
8
9
Aplicaciones no deseadas (PUA) Son programas que, sin ser maliciosos, no son adecuados en redes empresariales. Algunas aplicaciones pueden no ser maliciosas y ser incluso útiles en el contexto adecuado, pero no en empresas. Los programas publicitarios, marcadores telefónicos, programas espía no maliciosos, herramientas de administración remota de equipos y herramientas de piratería son algunos ejemplos. Algunos programas antivirus pueden detectar estas aplicaciones e informar de su presencia. Entonces, el administrador puede autorizar su uso o eliminarlas.
www.sophos.com
10
11
Ataque de denegación de servicio El ataque de denegación de servicio impide a los usuarios acceder a un equipo o sitio web. Los hackers intentan saturar o cerrar equipos para que los usuarios no puedan acceder más. El objetivo más común suelen ser servidores y sitios web. No roban ni ponen en peligro los datos, pero la interrupción puede suponer grandes pérdidas para las empresas. El ataque más común consiste en enviar a un equipo más tráfico del que puede soportar. Los métodos más rudimentarios envían paquetes de datos de gran tamaño o datos adjuntos con nombres que los programas de correo ya no admiten. Los ataques pueden aprovechar también el primer establecimiento de comunicación entre ordenadores. Si el hacker envía rápidamente muchas solicitudes de conexión y luego no responde, las solicitudes falsas permanecen por un tiempo en el búfer. Las solicitudes auténticas de los usuarios no se pueden procesar, por lo que no pueden ponerse en contacto con el equipo. Otro método consiste en enviar un mensaje "ping" (mensaje que requiere la respuesta de otros equipos) que parece procedente del equipo de la víctima. El mensaje va destinado a un gran número de equipos y todos intentarán responder. La víctima se ve desbordada con respuestas y el equipo no puede con el tráfico auténtico. Los ataques distribuidos de denegación de servicio se realizan desde muchos equipos. Normalmente, los hackers utilizan virus o troyanos para abrir la "puerta trasera" de equipos ajenos y hacerse con su control. Estos equipos "zombi" pueden utilizarse para realizar ataques de denegación de servicio coordinados. Consulta los apartados Troyanos de puerta trasera, Zombis.
www.sophos.com
12
13
Bulos Los bulos informan sobre virus que no existen. Normalmente, son mensajes de email que: • Advierten sobre un virus nuevo, imposible de detectar y muy destructivo. • Piden que no leas mensajes con un asunto determinado, como Budweiser Frogs. • Aseguran que el aviso proviene de una gran compañía informática, proveedor de Internet u organismo gubernamental, como IBM, Microsoft o AOL. • Advierten de cualidades bastante increíbles para un virus. Por ejemplo, Un momento de silencio afirma que "el virus puede infectar ordenadores sin intercambio de ningún programa". • Usan verborrea técnica para describir los efectos. Good Times decía que el virus podría "sumir al procesador en un bucle binario infinito de complejidad n". • Te incitan a que mandes el mensaje de aviso a todos los usuarios que puedas. Si los usuarios reenvían un bulo para advertir a sus amigos y colegas, puede producirse una sobrecarga en los servidores de correo. El efecto sería el mismo que con el virus real Sobig, pero sin utilizar ni una sola línea de código. Pero no sólo los usuarios reaccionan de forma exagerada. A veces son las empresas las que reaccionan de forma drástica y cierran su servidor de correo o bloquean sus redes internas. Esto sería más eficaz que un virus auténtico a la hora de paralizar las comunicaciones y bloquear el acceso al email, muy importante para muchas empresas. Además, las falsas alarmas pueden desviar la atención de las amenazas reales. Los bulos también pueden llegar a ser muy persistentes. Puesto que no son virus, los programas antivirus no los podrán detener o eliminar.
www.sophos.com
14
15
Cartas en cadena Una carta electrónica en cadena es un email que te insta a enviar el mensaje a otras personas. Como en los bulos, su propagación depende más del usuario que del código informático. Los tipos más comunes son: • Bulos sobre ataques terroristas, timos de líneas telefónicas de tarifas especiales, robos en cajeros, etc. • Falsedades sobre empresas que ofrecen vuelos gratis, teléfonos móviles gratis u obsequios en metálico si reenvías el email. • Mensajes que dan a entender que provienen de la CIA o del FBI y advierten sobre criminales peligrosos en la zona. • Peticiones que, aunque sean auténticas, continúan circulando mucho después de la fecha de vencimiento. • Chistes y bromas, como el que aseguraba que Internet se cerraría el 1 de abril por razones de mantenimiento. Estas cartas no amenazan tu seguridad, pero pueden hacerte perder el tiempo, propagar información falsa y distraerte de los mensajes auténticos, además de ralentizar los servidores de correo. A veces, instan a los usuarios a enviar mensajes a direcciones determinadas para saturarlas con spam. La solución es simple: no reenviar esos mensajes.
16
17
Caza de información Consiste en la redirección desde un sitio web real a uno falso, con el fin de robar la información que introduces. La caza de información aprovecha la composición de las direcciones web. Todos los equipos tienen una dirección IP numérica, como 127.0.0.1., en Internet. Pero, como estos números no son fáciles de recordar, las direcciones web también cuentan con un nombre de dominio, como sophos.com. Al escribir una dirección, el servidor de nombres de dominio, o DNS, vuelve a convertir el nombre del dominio en la dirección IP, a menos que el archivo host local de su equipo ya lo haya hecho. Los hackers pueden alterar este proceso de dos formas. Pueden enviar un troyano que modifique el archivo host local en el PC para que asocie el nombre de dominio con un sitio web falso y redireccionarte a ese sitio aunque escribas la dirección correcta. También pueden "envenenar" el directorio del DNS, es decir, alterarlo para redireccionar a cualquiera que visite ese sitio al sitio falso. Para evitarlo, utiliza conexiones web seguras al acceder a sitios. Busca el prefijo https:// en la dirección web. Si un hacker intenta plagiar un sitio seguro, un mensaje te advertirá de que el certificado del sitio no coincide con la dirección visitada. Si recibes una alerta sobre un certificado no válido o no emitido por una autoridad de confianza, no entres en el sitio. También existen soluciones de software. Algunos programas pueden mostrar advertencias si utilizas información personal al responder a direcciones de email desconocidas. Otros comprueban si los sitios web o las direcciones IP aparecen en alguna lista negra.
www.sophos.com
18
19
Cookies Las cookies son archivos que permiten a los sitios web recordar datos. Cuando visitas una página web, ésta puede colocar en tu ordenador un archivo llamado cookie, que permitirá al sitio web recordar tus datos y controlar tus visitas. Pueden amenazar la confidencialidad, pero no los datos. Las cookies se diseñaron para ser serviciales. Por ejemplo, al introducir ciertos datos básicos en un sitio web, la cookie puede almacenarlos para no tener que volver a introducirlos. También son útiles para los webmasters, ya que muestran qué páginas se utilizan correctamente y pueden ayudar a rediseñar un sitio. Las cookies son archivos de texto pequeños, inofensivos para los datos, pero pueden poner en peligro la confidencialidad. Las cookies se pueden almacenar en tu equipo sin que lo sepas ni lo autorices, y no es fácil acceder a la información que contienen. Al volver a visitar el mismo sitio web, los datos se vuelven a pasar al servidor web, sin consentimiento. Los sitios web construyen poco a poco un perfil de tus visitas e intereses. Esta información puede venderse o compartirse con otros sitios, facilitando la personalización y seguimiento de la publicidad. Si prefieres el anonimato, siempre puedes desactivar las cookies en tu navegador de Internet.
www.sophos.com
20
21
Gusanos de Internet Los gusanos son programas que crean copias de sí mismos y se propagan a través de las conexiones de Internet. Los gusanos de Internet se diferencian de los virus en que pueden propagarse sin necesidad de programas o archivos que los transporten. Simplemente, crean copias exactas de sí mismos y utilizan la comunicación entre equipos para propagarse. Los gusanos pueden transmitirse entre equipos conectados aprovechando los "agujeros" de seguridad del sistema operativo. Por ejemplo, el gusano Blaster aprovecha un agujero de seguridad en el servicio de llamada de procedimiento remoto en ordenadores con Windows NT, 2000 y XP sin parches para enviar una copia de sí mismo a otro equipo. Muchos virus, como MyDoom o Bagle, se comportan como gusanos y utilizan el correo electrónico para propagarse. Los gusanos pueden utilizar los equipos afectados para inundar sitios web con solicitudes y datos, haciendo que se bloqueen (un "ataque de denegación de servicio"), o pueden cifrar archivos del usuario y hacerlos inutilizables. En cualquier caso, las empresas pueden ser víctimas de chantaje. Muchos gusanos abren puertas traseras en el sistema, permitiendo a los hackers hacerse con el control y utilizarlos para enviar spam (consulta el apartado Zombis). Además, el tráfico de red generado por gusanos de rápida propagación puede ralentizar las comunicaciones. El gusano Blaster, por ejemplo, crea mucho tráfico en Internet al expandirse, ralentizando la comunicación o bloqueando el equipo. Después, utiliza el ordenador para bombardear con datos el sitio web de Microsoft y hacerlo inaccesible. Microsoft (y otros fabricantes) publican parches para corregir estos agujeros de seguridad. Intenta actualizar tu equipo con frecuencia visitando la web del fabricante. www.sophos.com
22
23
Marcadores telefónicos Los marcadores telefónicos cambian el número de acceso telefónico a Internet por un número con tarifas especiales. Los marcadores telefónicos no son maliciosos. Las compañías que ofrecen descargas o juegos cuentan con que utilices líneas de coste elevado para acceder a sus servicios. El coste y las instrucciones para descargar el marcador aparecen en una ventana emergente. Otros marcadores se instalan sin que te des cuenta al hacer clic en un mensaje emergente (por ejemplo, una advertencia sobre un virus detectado en tu equipo y cómo solucionarlo). No ofrecen acceso a ningún servicio especial; sólo desvían la conexión para que accedas a Internet a través de líneas de tarifas especiales. Los usuarios de banda ancha no corren este riesgo aunque el marcador se instale por sí solo, ya que la banda ancha no utiliza números de teléfono normales y no se suele tener un módem telefónico conectado. El software antivirus puede detectar y eliminar troyanos que instalan marcadores.
24
25
Parásitos Los parásitos, también conocidos como virus de archivo, se propagan adjuntándose a programas. El código del virus se ejecuta al iniciar un programa infectado con un parásito. Para ocultarse, el virus devuelve el control al programa original. El sistema operativo del equipo ve el virus como parte del programa que se intentaba ejecutar y le otorga los mismos derechos. Estos derechos permiten al virus copiarse, instalarse en la memoria o hacer cambios en el equipo. Los parásitos aparecieron hace tiempo, pero aún pueden suponer una amenaza.
www.sophos.com
26
27
Pesca controlada de información Consiste en el uso de mensajes de procedencia falsa para persuadir al personal de una empresa para que revelen datos confidenciales. A diferencia de la pesca de información, que utiliza correo masivo, la pesca controlada de información se hace a pequeña escala y con objetivos fijos, como los usuarios de una misma empresa. Los mensajes parecen provenir de un colega que te pide que confirmes un nombre de usuario y una contraseña. Es habitual que se hagan pasar por departamentos que puedan necesitar tales datos, como el departamento de informática o Recursos Humanos. A veces, te redireccionan a una versión falsa del sitio web o intranet de la empresa. Al responder, el pirata se hace con tus datos, los usa de forma indebida y puede generar las direcciones de las víctimas fácilmente utilizando programas de spam que combinan nombres propios y apellidos, por ejemplo. Sólo tiene que enviar mensajes a un dominio, haciendo más difícil que el mensaje se detecte como spam.
www.sophos.com
28
29
Pesca de información
A veces, el hacker utiliza una técnica denominada "inyección HTML": el enlace lleva al sitio web correcto, pero obtiene el contenido desde otros sitios. Una vez más, el hacker controla la parte del sitio en la que se introducen datos.
El "phishing" o pesca de información es el uso de mensajes y páginas web falsos para "engancharte" y hacerte enviar información confidencial o personal.
La pesca de información comenzó en los años 90 con el robo de datos de cuentas de AOL para obtener acceso gratuito a Internet. Los datos se denominaron "pesca" porque se obtenían "pescando" usuarios.
Normalmente, recibes un email que parece proceder de una organización acreditada, como un banco. El email incluye lo que parece ser un enlace a la web de la organización. Sin embargo, si haces clic en el enlace, te llevará a una copia falsa de la web. Cualquier dato que introduzcas, como números de cuenta, números PIN o contraseñas, pueden ser robados y usados por las personas que crearon la página falsa.
Ten cuidado con mensajes que utilicen saludos genéricos, como "Estimado cliente", y al hacer clic en enlaces que aparezcan en mensajes. Es aconsejable introducir la dirección del sitio web en el campo de dirección para llegar a la página, o utilizar un marcador o un Favorito. Aún introduciendo la dirección, existe el riesgo de ser redireccionado a un sitio falso (consulta el apartado Caza de información), así que ten cuidado.
A veces, el enlace muestra el sitio web auténtico, pero abre otra ventana falsa por encima. La dirección del sitio web real puede verse al fondo, pero los datos introducidos en la ventana emergente caerán en malas manos.
El software anti-spam puede bloquear muchos mensajes relacionados. Algunos programas pueden detectar contenido de pesca de información en páginas web e mensajes, y ofrecen una barra de herramientas que muestra el dominio real del enlace al que se dirige.
www.sophos.com
30
31
Pesca de información telefónica Consiste en el uso de números de teléfono falsos para conseguir información confidencial. La pesca de información inicial consistía en el envío de mensajes con enlaces a sitios web falsos, donde se pedía a las víctimas que introdujeran información confidencial. La pesca de información por teléfono pide a la víctima que llame a un número de teléfono, en lugar de visitar un sitio web, pero la intención es la misma: robar datos con fines económicos. Los mensajes de pesca de información por teléfono de PayPal son un ejemplo. El email parece ser de PayPal, el servicio de pago electrónico, y advierte al usuario de que su cuenta puede haberse utilizado de forma fraudulenta y que se cancelará a menos que el usuario llame al número de teléfono para "verificar" los datos. Al llamar a ese número, un mensaje automático le pide el número de tarjeta, que los criminales podrán utilizar en beneficio propio. Los usuarios pueden tener cuidado con los enlaces de mensajes desconocidos en los que hacen clic y asegurarse de que escriben la dirección web correcta al visitar un sitio de servicios financieros, pero es menos probable que sepan el número de teléfono de la empresa. Para evitar la pesca de información por teléfono, es aconsejable utilizar software anti-spam que pueda detectar mensajes de pesca de información y tener cuidado con los mensajes no solicitados.
www.sophos.com
32
33
Plagio de páginas El plagio de páginas web es el uso de copias de sitios web legítimos para atraer a usuarios y redirigirlos a otras páginas. Consiste en la copia de algunas páginas de una web ya establecida y su posterior colocación en una nueva web que parece ser legítima. Esta nueva web se registra en los principales buscadores, de modo que algunos usuarios la visiten al hacer una búsqueda. Cuando el usuario llega al sitio, se le redirige automáticamente a una página diferente que muestra publicidad u ofrece diferentes servicios. A veces, el usuario no puede escapar del sitio sin reiniciar el equipo (consulta el apartado Ratonera). El plagio de páginas se utiliza para aumentar el número de visitantes de un sitio web, para que el sitio consiga más beneficios por publicidad y tenga más valor si deciden venderlo. También puede redirigir a los usuarios a otro sitio y reclamar una tarifa por remitirles. Este plagio de páginas web es molesto para los usuarios y les puede conducir hasta material ofensivo. También reduce el volumen de ventas de la página web legítima y resta utilidad a los buscadores. En algunos casos, se utiliza en ataques de pesca de información. Para evitarlo, utiliza un marcador o "Favorito" (ten cuidado de no vincularlo a la página plagiada) o escribe la dirección del sitio web directamente.
www.sophos.com
34
35
Programas espía Estos programas permiten a los hackers hacerse con información sin permiso. No son virus (no se propagan a otros equipos), pero pueden tener efectos poco deseables. Ciertas páginas web pueden colocar programas espía, o "spyware", en tu ordenador. Aparecerá una ventana que te instará a descargar un programa que "necesitas", o bien el software se descargará automáticamente sin tu conocimiento. Los programas espía se ejecutan después en tu ordenador, monitorizan lo que haces (por ejemplo, qué sitios web visitas) y se lo notifican a terceros, como páginas publicitarias. También pueden cambiar la página de inicio que se muestra al iniciar tu navegador y pueden usar tu módem para marcar números de teléfono de tarifas elevadas. Estas aplicaciones usan memoria y recursos, y pueden ralentizar o bloquear el ordenador. Los programas antivirus de calidad pueden detectar y eliminar programas espía, que se tratan como un tipo de troyano.
www.sophos.com
36
37
Programas publicitarios Los programas publicitarios, también conocidos como "adware", son programas que muestran publicidad. Al utilizar la aplicación, aparecen anuncios o ventanas emergentes. No son necesariamente malos y algunos patrocinan el desarrollo de software útil, que luego se distribuye de forma gratuita (por ejemplo, el navegador web Opera). Pero suponen un problema si: • se instalan en el equipo sin autorización • se instalan en otras aplicaciones y muestran publicidad al utilizarlas • secuestran el navegador web para mostrar más anuncios (consulta el apartado Secuestradores de navegadores) • recopilan datos de la navegación por Internet sin consentimiento y la envían a terceros (consulta el apartado Programas espía) • están diseñados para que sea difícil desinstalarlos. Los programas publicitarios pueden ralentizar el equipo o hacer que la conexión a Internet sea más lenta al descargar anuncios. A veces, la baja calidad de los programas publicitarios pueden provocar la inestabilidad del equipo. Las ventanas publicitarias emergentes pueden hacerte perder el tiempo si tienes que cerrarlas para seguir utilizando el equipo. Algunos programas antivirus detectan programas publicitarios y los clasifican como aplicaciones no deseadas para que el usuario decida si desea eliminarlos o autorizarlos. También existen programas especiales para detectar este tipo de aplicaciones.
www.sophos.com
38
39
Ratonera Las ratoneras impiden salir de sitios web. Si te redirigen a una web falsa, podrías no ser capaz de salir con los botones Atrás o Cerrar. A veces, tampoco puedes escapar escribiendo otra dirección web. El sitio que te atrapa no te permitirá visitar otra dirección o abrirá otra ventana del navegador con el mismo sitio. Algunas ratoneras te dejan salir después de intentarlo varias veces, pero otras no. Para salir, utiliza un marcador o "Favorito", o abre la lista de direcciones recién visitadas y selecciona la penúltima. También puedes pulsar Ctrl+Alt+Supr y utilizar el Administrador de tareas para cerrar el navegador o, si eso no funciona, reiniciar el equipo. Para evitar el riesgo de caer en ratoneras, puedes desactivar Javascript en el navegador de Internet. Eso evitará que caigas en sitios que utilicen este tipo de script, pero también afecta al aspecto de los sitios web.
www.sophos.com
40
41
Rootkit Un rootkit es una aplicación que oculta programas o procesos en ejecución. Suele utilizarse para ocultar el uso indebido del equipo o el robo de datos. A veces, cuando un programa malicioso, como un gusano de Internet, consigue acceder a un equipo, instala un rootkit para ocultar la presencia de utilidades que permiten al hacker abrir una puerta trasera para acceder al equipo. Las utilidades ocultas también pueden otorgar derechos al hacker para llevar a cabo acciones que normalmente sólo puede realizar un usuario con derechos especiales. Un rootkit puede ocultar grabadores de pulsaciones del teclado o rastreadores de contraseñas, que capturan información confidencial y la envían a hackers por Internet. También puede permitir que los hackers utilicen el equipo con fines ilícitos, como lanzar ataques de denegación de servicio o enviar spam, sin conocimiento del usuario. Incluso si el rootkit no se instala con malas intenciones, como en el caso del famoso sistema anticopia DRM (Digital Rights Management) de Sony, puede hacer el equipo vulnerable a los hackers. La detección de rootkits es complicada. Una vez que el rootkit se está ejecutando, no es posible identificar a ciencia cierta todos los procesos en ejecución o todos los archivos de un directorio, por lo que el software antivirus tradicional puede no percatarse de su presencia. Algunos rootkits suspenden su actividad hasta que termina el escaneado. Un método eficaz para encontrar rootkits es apagar el equipo, reiniciarlo desde un CD-ROM de rescate y, a continuación, utilizar el software antivirus para escanear el equipo. Como el rootkit no está funcionando, no se puede ocultar. Los programas antivirus pueden detectar los troyanos o gusanos que suelen instalar los rootkits, y algunos pueden detectar el propio rootkit mientras se ejecuta.
www.sophos.com
42
43
Secuestradores de navegadores Los secuestradores de navegadores modifican las páginas de inicio y búsqueda predeterminadas del navegador de Internet. Algunos sitios web ejecutan un script que cambia la configuración del navegador sin permiso. El secuestrador puede añadir nuevos "Favoritos" o cambiar la página que aparece al abrir el navegador. A veces, no es posible volver a configurar la misma página de inicio utilizada antes del secuestro. Algunos secuestradores modifican el registro de Windows para que la configuración secuestrada se restaure cada vez que se inicie el equipo. Otros eliminan opciones del menú de herramientas del navegador para que no puedas restablecer la página de inicio. La intención es siempre la misma: obligarte a que visites un sitio web. Al aumentar el número de visitas al sitio y mejorar su clasificación en los motores de búsqueda, los beneficios por publicidad aumentan. Los secuestradores de navegadores pueden ser muy tenaces, pero algunos pueden eliminarse automáticamente con software de seguridad. Otros pueden eliminarse de forma manual. En algunos casos, es más cómodo restaurar un estado anterior del equipo o volver a instalar el sistema operativo.
www.sophos.com
44
45
Secuestro por Bluetooth
Spam por Bluetooth
El secuestro por Bluetooth o "bluesnarfing" consiste en el robo de datos a teléfonos con Bluetooth.
El spam por Bluetooth o "bluejacking" consiste en el envío anónimo de mensajes no solicitados a teléfonos móviles o portátiles con Bluetooth.
Al igual que el spam por Bluetooth, se basa en la capacidad de los dispositivos con Bluetooth para detectar y contactar con otros dispositivos cercanos.
El "bluejacking" se basa en la capacidad de los teléfonos con Bluetooth para detectar y contactar con otros dispositivos cercanos utilizando una función diseñada para intercambiar datos de contacto o tarjetas de negocio electrónicas. Mediante esta técnica, se crea un contacto nuevo y se escribe un mensaje para enviarlo a través de Bluetooth. El teléfono busca otros teléfonos con Bluetooth y, si encuentra alguno, envía el mensaje.
En teoría, un usuario de Bluetooth con el software adecuado puede detectar un teléfono cercano, conectarse a él sin autorización y descargar la libreta de direcciones, fotos de contactos o el calendario. También es posible descargar el número de serie del móvil y clonar el teléfono. Es aconsejable desactivar el Bluetooth o mantenerlo "oculto", lo que permite seguir utilizando el dispositivo con Bluetooth sin que los demás puedan verlo.
El spam por Bluetooth es inofensivo, ya que no roba información ni toma el control del teléfono, pero puede suponer un problema si se utiliza para enviar mensajes ofensivos o publicidad. Para evitarlos, desactiva el Bluetooth o mantenlo "oculto". Los dispositivos con Bluetooth pueden ser también objetivo de técnicas más serias, como el secuestro por Bluetooth.
www.sophos.com
46
47
Software de secuestro Es un programa que impide el acceso a archivos hasta que se paga un rescate. Antes, los programas maliciosos solían corromper o eliminar datos, mientras que ahora los secuestran. Por ejemplo, el troyano Archiveus copia el contenido de "Mis documentos" en un archivo protegido por contraseña y elimina los archivos originales. Deja un mensaje para decir que es necesaria una contraseña de 30 caracteres para acceder a la carpeta, y que la recibirás si haces alguna compra en una farmacia de Internet. En ese caso, como en casi todos, la contraseña o clave está escondida en el código del troyano y los analistas de virus pueden extraerla. Sin embargo, en el futuro, los hackers podrían utilizar cifrados asimétricos o de clave pública, que utilizan una clave para cifrar datos y otra para descifrarlos, de forma que la contraseña no se almacene en el equipo. En algunos casos, amenazar con impedir el acceso es suficiente. Por ejemplo, el troyano Ransom-A amenaza con eliminar un archivo cada 30 minutos hasta que compras un "código de desbloqueo" a través de Western Union. Si introduces un código incorrecto, el troyano te advierte de que el ordenador se bloqueará dentro de tres días. Sin embargo, las amenazas son falsas, ya que Ransom-A no es capaz de llevar a cabo tales acciones.
www.sophos.com
48
49
Spam El spam es correo comercial no solicitado, el equivalente electrónico del correo basura que llega al buzón de tu casa.
¿Es malo el spam? • El spam es una pérdida de tiempo para el personal. Los usuarios sin protección anti-spam deben comprobar si un mensaje es spam antes de borrarlo. • Los usuarios pueden pasar por alto fácilmente, o incluso eliminar, mensajes importantes confundiéndolos con spam.
Los tipos más comunes son:
• Al igual que los bulos y virus de email, usa ancho de banda y satura bases de datos.
• medicamentos con receta o para mejorar partes del cuerpo, productos de herboristería o para perder peso
• Ciertos mensajes de spam pueden ser ofensivos para el usuario. El empresario puede ser responsable puesto que, en teoría, debe ofrecer un ambiente laboral seguro.
• planes para hacerse rico rápidamente
• El spam suele enviarse desde ordenadores ajenos (consulta el apartado Zombis).
• servicios financieros, como ofertas de hipotecas o planes para reducir las deudas • venta de títulos universitarios o profesionales • apuestas • software rebajado o pirateado. Los mensajes de spam suelen camuflarse con un asunto que parece de un email personal como "Disculpas por ayer", un email comercial como "Necesita renovar su cuenta" o un mensaje devuelto por el servidor. Los mensajes suelen disfrazarse para intentar burlar el software anti-spam (consulta el apartado Spam camuflado). El spam se envía porque es rentable. Se pueden enviar millones de mensajes por un precio insignificante en una única campaña (si secuestran ordenadores de otros usuarios, el coste es aún menor) y resulta rentable sólo con que un usuario de cada diez mil realice una compra.
www.sophos.com
50
51
Spam camuflado Son mensajes disfrazados para intentar burlar el software anti-spam. Los emisores de spam no dejan de buscar formas de modificar o disimular los mensajes para que el software anti-spam no los pueda leer. Pero tú sí puedes. El ejemplo más simple de camuflaje es poner espacios entre las letras de las palabras, con la esperanza de que el software anti-spam no las lea como una palabra, como en V I A G R A
Otra técnica común es utilizar faltas de ortografía o caracteres no estándar, como en V!agra
Estos trucos se detectan fácilmente. Existen técnicas más avanzadas que utilizan código HTML (normalmente utilizado para escribir páginas web) en los mensajes. Esto hace que el software anti-spam no "vea" el aspecto verdadero del mensaje. Por ejemplo, pueden escribirse palabras utilizando códigos HTML numéricos especiales para cada letra, como Viagr&#97
en lugar de Viagra. El HTML también puede hacer que el destinatario vea un mensaje, mientras que el software anti-spam ve otro más inocente. El mensaje más inocente es del mismo color que el fondo. <body bgcolor=white> Viagra <font color=white>¡Hola Juan! Ayer me lo pasé muy bien en la cena. </font></body>
Los emisores de spam suelen incluir grandes cantidades de texto oculto, normalmente sacado de libros de consulta en línea, para intentar burlar las reglas de evaluación de palabras clave del software anti-spam.
www.sophos.com
52
53
Suplantación Consiste en enviar mensajes de email que parezcan de un destinatario, cuando en realidad provienen de otro distinto. Si el servidor de correo de una empresa permite las conexiones con el puerto SMTP, cualquiera puede conectarse y enviar mensajes que parezcan provenir de ese sitio; la dirección puede ser auténtica o ficticia. También se denomina "spoofing".
También puedes utilizar cifrado para enviar correo autenticado, lo que te garantizará que los mensajes provienen de quien parece y no se han modificado. Asegúrate de que tu sistema de entrega de correo realiza registros suficientes para poder descubrir el origen de los mensajes falsificados. Contempla la posibilidad de utilizar un solo punto de entrada de correo para tu sitio web. Para ello, puedes configurar el cortafuegos de forma que las conexiones con el SMTP desde el exterior tengan que pasar por un concentrador de correo. Así, contarás con registros centralizados, que pueden ayudarte a detectar el origen de los intentos de falsificación de correo de tu sitio.
Puede utilizarse con diferentes fines malintencionados. Los delincuentes que engañan a los usuarios para que revelen información confidencial utilizan direcciones de remitentes suplantados para que parezcan de una fuente de confianza, como un banco. El email puede llevar a un sitio web falso (como la imitación de un sitio de banca por Internet), donde puedes perder los datos y la contraseña de la cuenta. También pueden enviar mensajes que parezcan provenir de la propia empresa, como del administrador del sistema, pidiendo que cambies la contraseña y confirmes tus datos. Los hackers que utilizan email para timos o fraudes pueden utilizar direcciones falsificadas para tapar las huellas y evitar que les detengan, haciéndose pasar por usuarios o empresas inofensivas que envían spam. Además, así evitan la saturación de sus propios buzones con mensajes de entregas fallidas.
BANG
Existen varias formas de evitar estas falsificaciones. Puedes configurar tu sistema de correo de forma que nadie pueda conectar con tu puerto SMTP.
www.sophos.com
54
55
Timos bursátiles Consisten en el envío de recomendaciones para hacer subir de forma artificial el precio de acciones, para después venderlas con un margen de beneficio. Los timos bursátiles, conocidos en inglés como "pump-and-dump", consisten en el envío masivo de consejos engañosos sobre las "mejores" empresas. Se insta a las víctimas a invertir en acciones de empresas, para subir los precios de forma artificial; entonces, el timador vende sus propias acciones con un margen de beneficio antes de que caigan los precios. Este tipo de mensajes cumple todas las características del spam. Son mensajes publicitarios no solicitados, normalmente distribuidos desde equipos "zombi" tomados por hackers, y utilizan técnicas de camuflaje para evitar el software anti-spam (por ejemplo, la línea del asunto puede ser "st0ck", en lugar de "stock"). También hacen afirmaciones inexactas, aunque pueden incluir cierta información auténtica de la empresa en cuestión para parecer más reales. Estos timos dañan tanto a los inversores como a las pequeñas empresas. Cuando estalla la burbuja y los precios de las acciones caen en picado, los inversores pierden su dinero. La caída de los valores puede ser fatal también para las empresas con activos limitados. El consejo para evitar estos timos es el mismo que para el resto de spam: no compres, no pruebes, no contestes.
www.sophos.com
56
57
Troyanos Un caballo de Troya es un programa aparentemente legítimo pero que ha sido diseñado para dañar la actividad del ordenador. Los troyanos dan la impresión de tener una función (y hasta puede parecer que la llevan a cabo), pero en realidad hacen algo diferente, normalmente sin que el usuario lo sepa. Por ejemplo, recibes un email con el adjunto DLoader-L, que se presenta como una actualización urgente de Microsoft para Windows XP. Si lo ejecutas, descargará un programa que usará tu ordenador para conectarse a ciertos sitios web con la intención de sobrecargarlos (lo que se llama ataque de denegación de servicio). Los troyanos no pueden extenderse tan rápido como los virus ya que no pueden autoduplicarse. Sin embargo, hoy en día suelen acompañar a virus. Los virus pueden descargar troyanos que graben pulsaciones del teclado o roben información, y algunos troyanos se utilizan para infectar equipos con virus. Consulta también el apartado Troyanos de puerta trasera.
www.sophos.com
58
59
Troyanos de puerta trasera Los troyanos de puerta trasera permiten tomar el control de equipos ajenos sin permiso a través de Internet. Como otros troyanos, los de puerta trasera se presentan como un programa legítimo. Cada vez más a menudo, los usuarios dejan entrar troyanos en sus equipos haciendo clic en enlaces que aparecen en mensajes de spam. Al ejecutarlo, se insertará en la rutina de inicio del sistema y vigilará hasta que el equipo se conecte a Internet. En ese momento, la persona que envió el troyano podrá tomar el control del ordenador infectado: podrá abrir y modificar archivos, grabar las teclas pulsadas por el usuario o enviar mensajes de spam. Ejemplos de este tipo de troyanos son Subseven, BackOrifice y Graybird, que se hacía pasar por un parche para el famoso gusano Blaster. Para evitar troyanos de puerta trasera, instala todos los parches disponibles (para cerrar vulnerabilidades del sistema operativo) y utiliza software anti-spam y antivirus. El uso de cortafuegos también evita que los troyanos se pongan en contacto con el hacker a través de Internet.
www.sophos.com
60
61
Virus Los virus son programas informáticos que pueden propagarse copiándose a sí mismos. Los virus se propagan de un equipo a otro y de red en red haciendo copias de sí mismos, normalmente sin conocimiento del usuario. Los virus pueden mostrar mensajes molestos, robar datos o ceder el control de equipos a otros usuarios. Para que un virus infecte un ordenador, es necesario ejecutarlo. Con este propósito, los virus pueden adosarse a otros programas u ocultar su código de manera que se ejecute al intentar abrir ciertos tipos de archivo. A menudo aprovechan agujeros de seguridad en el sistema operativo de tu ordenador para ejecutarse y extenderse automáticamente. Los archivos infectados pueden recibirse como adjuntos de email, en descargas de Internet o en discos. En cuanto se ejecute el archivo, se activará el código del virus. A continuación, el virus intentará infectar otros archivos o discos y realizar cambios en tu ordenador.
www.sophos.com
62
63
Virus de email Muchos de los virus de mayor expansión hacen uso del email. En general, estos virus vienen en forma de archivo adjunto, en el que el usuario debe hacer doble clic para que se ejecute el código malicioso y se autoenvíe a otros usuarios. Netsky, por ejemplo, busca en el ordenador archivos que contengan direcciones de email y usa el programa de correo del usuario para autoenviarse a esas direcciones. Algunos virus, como Sobig-F, ni siquiera necesitan programas de email, ya que incluyen su propio "motor SMTP" para crear y enviar mensajes. Cualquier programa o documento que recibas por email puede contener un virus y podrías infectar tu ordenador al abrirlo. Incluso archivos considerados seguros, como archivos con la extensión .txt, pueden suponer un riesgo. Ese "archivo de texto" puede en realidad ser un virus en Visual Basic Script con su extensión (.vbs) oculta. Algunos virus, como Kakworm y Bubbleboy, pueden infectar al usuario con sólo leer el email, aprovechando vulnerabilidades del sistema operativo o del programa de correo. Su aspecto no difiere del de cualquier otro mensaje, pero contiene código oculto que se ejecuta al abrirlo o incluso al previsualizarlo (sólo si usas Outlook con cierta versión de Internet Explorer). Este código puede cambiar la configuración del sistema y enviar el virus a otras personas por email. Estos virus pueden poner en peligro la seguridad de tu equipo o robar datos, pero su efecto más común es aumentar el tráfico de mensajes y bloquear servidores. Para evitar los virus de email, es aconsejable utilizar software antivirus y no abrir adjuntos inesperados. También es aconsejable instalar los parches del sistema y programa de correo para cerrar vulnerabilidades que los virus puedan aprovechar.
www.sophos.com
64
65
Virus de macro Los virus de macro (o de documento) aprovechan los comandos de macro incrustados en los archivos que se ejecutan automáticamente. Muchas aplicaciones, como procesadores de texto y programas de hojas de cálculo, utilizan macros. Los virus de macro pueden copiarse a sí mismos y se propagan de archivo en archivo. Al abrir un archivo que contenga un virus de macro, el virus se copia en los archivos de inicio de la aplicación y el equipo se infecta. Al abrir otro archivo con la misma aplicación, el virus infecta ese archivo. Si el equipo está en una red, la infección puede extenderse rápido: al enviar un archivo a alguien, su equipo puede infectarse también. Las macros maliciosas pueden modificar documentos u opciones de configuración. Los virus de macro infectan archivos utilizados en la mayoría de oficinas y algunos pueden infectar varios tipos de archivos, como archivos de Word o Excel. También pueden extenderse a cualquier plataforma en la que se ejecute la aplicación. Los primeros virus de macro aparecieron a mediados de los años 90 y se convirtieron en la amenaza más seria de entonces. Hoy en día, se ven pocos virus de este tipo.
www.sophos.com
66
67
Virus de ordenadores de mano Los ordenadores de mano y PDA suponen nuevas oportunidades para virus, pero aún no han suscitado demasiado interés. Los ordenadores de mano y PDA usan sistemas operativos a pequeña escala, como Palm y Microsoft PocketPC, que son vulnerables al código malicioso, aunque hasta ahora parece que los riesgos no son muy importantes. Actualmente sólo se conocen unos cuantos programas maliciosos para Palm. Los creadores de virus prefieren centrarse en los sistemas operativos de las estaciones, puesto que son más populares y permiten que los virus se propaguen rápidamente a través del email y de Internet. Actualmente, el auténtico riesgo es que tu ordenador de mano puede ser un portador. Cuando lo conectas al ordenador de casa o de la oficina para sincronizar, un virus inofensivo para el ordenador de mano podría infectar tu PC, donde sí puede ser perjudicial. Para evitar el riesgo, sigue nuestros consejos sobre cómo evitar virus, troyanos, gusanos y programas espía, y utiliza siempre software antivirus.
www.sophos.com
68
69
Virus de sector de arranque Los virus de sector de arranque se propagan modificando el programa que permite el inicio de un equipo. Al encender un ordenador, el equipo busca el programa del sector de arranque (que suele estar en el disco duro, pero puede estar en un disquete o CD-ROM) y lo ejecuta. Este programa carga el resto del sistema operativo en la memoria. Estos virus sustituyen el sector de arranque original por una versión propia modificada (y normalmente ocultan el original). La próxima vez, el ordenador se iniciará con el sector de arranque infectado y el virus se activará. Tu equipo sólo se puede infectar si lo inicias desde un disco infectado, como un disquete que ya contiene un virus de sector de arranque. Los virus de sector de arranque fueron los primeros en aparecer y la mayoría son bastante antiguos. Ya casi no se encuentran.
www.sophos.com
70
71
Virus de teléfonos móviles Los móviles pueden infectarse con gusanos que se propagan por la red de telefonía móvil. En 2004 se escribió el primer gusano para móviles. El gusano Cabir-A afecta a teléfonos que usan el sistema operativo Symbian y se transmite como un juego para móviles (un archivo SIS). Si activas el archivo, aparecerá un mensaje en la pantalla y el gusano se ejecutará cada vez que enciendas el teléfono. Cabir-A busca otros móviles cercanos que usen tecnología Bluetooth y envía una copia de sí mismo al primero que encuentra. También hay virus convencionales que envían mensajes a móviles. Por ejemplo, Timo-A usa ordenadores para enviar mensajes de texto (SMS) a números de teléfono seleccionados pero, en estos casos, estos virus no pueden infectar o dañar el móvil. Hasta ahora, los riesgos de virus para móviles han sido escasos. Esto puede deberse a que utilizan diferentes sistemas operativos y a que el software y propiedades del teléfono cambian con mucha rapidez.
www.sophos.com
72
73
Zombis Un zombi es un equipo controlado de forma remota que se utiliza con fines maliciosos sin el conocimiento del usuario. Un virus o troyano puede infectar un equipo y abrir una "puerta trasera" para permitir el acceso de otros usuarios. Entonces, el virus responde con un mensaje al creador del virus, que ahora puede controlar el equipo de forma remota a través de Internet. A partir de ese momento, el equipo es un "zombi" y cumple órdenes ajenas, aunque el usuario no lo sabe. Al conjunto de estos ordenadores se les denomina "redes de bots" o "botnets". El creador del virus puede compartir o vender acceso a los equipos afectados para utilizarlos con fines maliciosos. Por ejemplo, los equipos zombi pueden utilizarse para enviar spam. Hasta un 80% del spam actual se distribuye de esta forma, ya que ayuda a los criminales a que no les descubran y a burlar las listas que bloquean sus servidores. También reduce los costes, porque el dueño del equipo paga los gastos de acceso a Internet. Los hackers también utilizan zombis para lanzar ataques de denegación de servicio. Organizan el acceso multitudinario de miles de equipos al mismo sitio web de forma simultánea para que el servidor no pueda atender todas las solicitudes. El sitio web deja de ser accesible. Consulta también los apartados Ataque de denegación de servicio, Spam, Troyano de puerta trasera.
74
75
Software de seguridad
76
77
Software antivirus Los programas antivirus protegen contra virus, troyanos, gusanos y, según el producto, programas espía y otros tipos de programas maliciosos. Los programas antivirus utilizan escáneres para identificar programas maliciosos. Los escáneres pueden detectar: • Virus conocidos: el escáner compara los archivos del equipo con una biblioteca de "identidades" de virus conocidos. Si encuentra coincidencias, emite una alerta y bloquea el acceso al archivo. • Virus desconocidos: el escáner analiza el posible comportamiento de un programa. Si cumple todas las características de un virus, se bloquea aunque no coincida con ningún virus conocido. • Archivos sospechosos: el escáner analiza el posible comportamiento del programa. Si el comportamiento puede considerarse indeseado, el escáner advierte de que puede ser un virus. La detección de virus conocidos depende de la frecuencia de las actualizaciones con las identidades más recientes. Existen dos tipos de escáner: en acceso y en demanda. La mayoría de paquetes antivirus incluyen ambos. El escaneado en acceso se encuentra activo siempre que estés utilizando tu equipo. Comprueba de forma automática cada archivo antes de abrirlo o ejecutarlo y puede impedir que uses archivos infectados. El escaneado en demanda lo controla el usuario y permite programar el escaneado de carpetas o unidades determinadas.
www.sophos.com
78
79
Software anti-spam Los programas anti-spam pueden detectar correo no deseado y evitar que llegue a los buzones de los usuarios. Estos programas combinan varios métodos para determinar la probabilidad de que un mensaje sea spam. Pueden: • Bloquear mensajes provenientes de equipos enumerados en una lista negra, que puede ser una lista comercial o una lista local de equipos que han enviado spam a tu empresa antes. • Bloquear email que incluya ciertas direcciones web.
Cómo protege el software el correo que SÍ quieres A muchos usuarios les preocupa que el software anti-spam pueda borrar mensajes personales o útiles. De hecho, tus mensajes están a salvo e incluso, si lo deseas, puedes ver mensajes que se han clasificado como spam. Los programas anti-spam pueden ser muy precisos. Generalmente, puede que bloqueen menos de un mensaje auténtico de cada diez mil mensajes, o incluso de cien mil. Incluso si el programa identifica erróneamente un mensaje como spam, se puede configurar para que lo coloque en el área de "cuarentena" en lugar de borrarlo. Después, un administrador puede decidir si entregar el mensaje o borrarlo. Algunos programas permiten a cada usuario recuperar los mensajes en cuarentena que deseen.
Cómo se adapta el software a tus necesidades
• Comprobar si los mensajes provienen de un nombre de dominio o una dirección web auténticos. Los remitentes de spam suelen utilizar direcciones falsas para evitar los programas anti-spam.
Algunos programas anti-spam son adaptables y aprenden qué temas te resultan aceptables y cuáles no.
• Buscar palabras clave o frases que aparecen en mensajes de spam (como "tarjeta de crédito" o "perder peso").
Imagina que una empresa farmacéutica instala un programa anti-spam. Al principio, el software intenta localizar spam buscando palabras como crédito, gratis, deuda, hipoteca, medicamentos, receta o médico, y bloquea los mensajes que contienen muchas de estas palabras clave, pero permite a los usuarios recuperar aquellos mensajes que desean leer.
• Buscar patrones que indiquen que el remitente del email intenta camuflar palabras (como "hardc*re p0rn"). • Buscar código HTML innecesario, que los piratas a veces emplean para ocultar sus mensajes y confundir a los programas anti-spam. El programa combina todos los datos que encuentra para determinar la probabilidad de que un mensaje sea spam. Si la probabilidad es lo suficientemente alta, puede bloquear o borrar el mensaje en función de los parámetros escogidos por el usuario. Los programas anti-spam deben actualizarse con frecuencia con "reglas" nuevas para que puedan reconocer las técnicas más recientes utilizadas por los piratas.
www.sophos.com
Un empleado del departamento de investigación se da cuenta de que se ha bloqueado un email auténtico sobre nuevos medicamentos y solicita recuperarlo. En este caso, el software memorizará que ese usuario recibe con frecuencia mensajes sobre medicamentos y, por tanto, cuando busque spam, le dará menos importancia a las palabras relacionadas con medicamentos. En el departamento financiero, los usuarios reciben mensajes que contienen términos financieros, por lo que el programa aprende a dar menos importancia a estas palabras, aunque para esos usuarios bloquea los mensajes relacionados con medicamentos.
80
81
Cortafuegos
Blindaje del sistema
Evita el acceso sin autorización a un equipo o red.
El blindaje del sistema te protege contra los intentos de acceder a partes vulnerables del equipo.
El cortafuegos actúa como barrera entre redes o partes de una red, bloqueando el tráfico malintencionado y evitando el acceso no autorizado. El cortafuegos de red se instala en el límite entre dos redes, normalmente, entre Internet y la red de la empresa. Puede ser un dispositivo o un programa instalado en un equipo que actúa como puerta de enlace a la red de la empresa. Un programa cortafuegos es un programa que se ejecuta en un equipo para proteger sólo ese equipo.
Analiza el comportamiento de todos los programas en ejecución y bloquea toda actividad que parezca peligrosa. Por ejemplo, comprueba todos los cambios que se realizan en el registro de Windows, que pueden desvelar la instalación de programas maliciosos para iniciarse al reiniciar el equipo. Los productos de blindaje del sistema normalmente permiten configurar reglas propias sobre qué recursos deben protegerse.
En cualquier caso, el cortafuegos inspecciona todo el tráfico, entrante y saliente, para ver si cumple ciertos criterios. De ser así, se permite; si no, el cortafuegos lo bloquea. Los cortafuegos pueden filtrar el tráfico basándose en: • las direcciones de origen y destino, y los números de puerto (filtrado de direcciones) • el tipo de tráfico de red, como HTTP o FTP (filtrado de protocolo) • los atributos o el estado de los paquetes de la información enviada. Los programas cortafuegos también pueden advertir al usuario cada vez que un programa intenta realizar una conexión, y preguntarle si la permite o no. Puede aprender poco a poco de las respuestas del usuario, para saber qué tipo de tráfico suele permitir.
www.sophos.com
82
83
Consejos de seguridad
84
85
Consejos para: evitar virus, troyanos, gusanos y programas espía Utiliza software antivirus Instala software antivirus en todos los equipos de escritorio y servidores, y mantenlos actualizados. Establece una estructura de actualizaciones para actualizar fácilmente los equipos de la empresa, ya que los virus nuevos pueden extenderse muy rápido. Utiliza software de filtrado de correo en la puerta de enlace, para proteger la empresa contra amenazas de virus, spam y programas espía de email. Y no te olvides de proteger los equipos de escritorio y portátiles de aquellos que trabajen desde casa. A los virus, gusanos y programas espía les resulta muy fácil utilizar estos dispositivos para entrar a las empresas.
Bloquea tipos de archivos que suelan incluir virus Como archivos EXE, COM, PIF, SCR, VBS, SHS, CHM y BAT. Es poco probable que tu empresa necesite recibir este tipo de archivos del exterior.
Bloquea archivos con más de una extensión Algunos virus intentan ocultar que son programas utilizando extensiones dobles, como .TXT.VBS. A primera vista, un archivo como LOVE-LETTER-FOR-YOU.TXT.VBS o ANNAKOURNIKOVA.JPG.VBS parece un archivo de texto o un gráfico inofensivo. Bloquea cualquier archivo con extensión doble en el gateway de email.
Asegúrate de que el departamento informático revisa los programas Asegúrate de que todos los programas recibidos del exterior por email van directamente al departamento informático o, en el caso de pequeñas empresas, al encargado, para que den su visto bueno y confirmen que no contienen virus, que cuentan con la licencia adecuada, no crean conflictos con el software existente y son adecuados.
Suscríbete a un servicio de alertas por email Un servicio de alertas puede advertirte sobre virus nuevos y ofrecer identidades de virus que permitan al software identificarlos. Sophos dispone de un servicio gratuito. Para más información, consulta www.esp.sophos.com/security/notifications. Contempla la posibilidad de agregar información en directo sobre virus a tu sitio web o intranet para asegurarte de que los usuarios están al tanto de los últimos virus informáticos.
Utiliza un cortafuegos en equipos conectados a Internet Es aconsejable utilizar un cortafuegos para proteger los equipos conectados al mundo exterior. Los portátiles y equipos remotos necesitan también protección de cortafuegos.
Actualiza el software con parches Estáte atento a las noticias de seguridad y descarga los parches. Estos parches a menudo corrigen fallos de seguridad que hacen que tu equipo sea vulnerable. Los responsables informáticos deben suscribirse a las listas de correo de los fabricantes de software, como www.microsoft.com/technet/security/bulletin/notify.mspx. Los usuarios particulares con ordenadores Windows pueden visitar windowsupdate.microsoft.com, donde pueden escanear su ordenador para localizar agujeros de seguridad y saber qué parches instalar.
Realiza copias de seguridad de los datos de forma regular Haz copias de seguridad de tu trabajo y datos de forma regular, y comprueba que funcionan. También es aconsejable almacenar las copias de seguridad en un lugar seguro, incluso fuera de la oficina. Si un virus infecta tu equipo, podrás recuperar documentos y programas eliminados o dañados. www.sophos.com
86
87
Desactiva el arranque desde disquetes Los virus de sector de arranque no son ya muy comunes, pero puede que prefieras evitarlos. Cambia la secuencia de arranque de los PC para que se inicien siempre desde el disco duro, en lugar de intentar arrancar desde el disquete (unidad A:). Así, aunque dejes un disquete infectado en el ordenador, el virus de sector de arranque no podrá infectarlo. Si necesitas arrancar desde un disquete, puedes cambiar la configuración en ese momento.
Introduce una política antivirus Crea una política para la seguridad informática de la empresa y distribúyela a todo el personal. Algunas directivas podrían ser: • No descargar ejecutables y documentos directamente de Internet. • No abrir programas no solicitados, documentos u hojas de cálculo.
Consejos para: evitar bulos Crea una política sobre alertas de virus Establece una política sobre alertas de virus. Por ejemplo: "No reenviar alertas de virus de ningún tipo a NADIE que no sea la persona responsable de los problemas antivirus". No importa si las alertas proceden de una empresa antivirus o si han sido confirmadas por una gran compañía informática o por tu mejor amigo. TODAS las alertas sobre virus se enviarán solamente a [nombre de la persona responsable]. El responsable se encargará de notificar al resto cualquier alerta sobre virus. Deberá hacerse caso omiso de las alertas de virus procedentes de cualquier otra fuente.”
• No jugar a juegos o utilizar salvapantallas no incluidos en el sistema operativo. • Enviar adjuntos de email al departamento informático para su revisión. • Guardar todos los documentos de Word como archivos RTF, ya que los archivos DOC pueden albergar virus de macro.
Infórmate sobre los bulos Visita las páginas sobre bulos en nuestro sitio web www.esp.sophos.com/security/hoaxes/
• Tener cuidado con todos los mensajes inesperados.
No reenvíes cartas en cadena
• Reenviar alertas de virus o bulos directamente al departamento informático (y nadie más) para confirmar que son verdad.
No reenvíes una carta en cadena, aunque ofrezca una recompensa por hacerlo o afirme ser información útil.
• Informar al departamento informático inmediatamente si se cree que algún equipo está infectado con un virus.
www.sophos.com
88
89
Consejos para: evitar spam Utiliza software para el filtrado de email en la puerta de enlace de correo Protegerá tu empresa contra spam, además de programas espía, virus y gusanos de email.
No hagas compras anunciadas en mensajes no solicitados Puedes estar patrocinando más spam. Tu dirección electrónica podría añadirse a listas que se venden entre la comunidad de remitentes de spam, de modo que recibirás aún más spam. O lo que es peor, podrías verte involucrado en un fraude.
Si no conoces al remitente de un email no solicitado, elimínalo Normalmente, el spam es sólo una molestia, pero a veces puede contener virus que dañen o pongan en peligro el equipo en el que se abre el mensaje.
No respondas nunca a mensajes de spam ni hagas clic en los enlaces que aparezcan
Utiliza el campo "Cco" si envías un email a varias personas Los campos de copia oculta no permiten ver al resto de destinatarios. Si pones todas las direcciones en el campo "Para", los remitentes de spam pueden recolectarlas y añadirlas a listas de correo.
No des nunca tu dirección de email en Internet No proporciones tu dirección de email en páginas web, listas de grupos de noticias u otros foros públicos de Internet. Los delincuentes informáticos tienen programas que analizan este tipo de páginas para encontrar direcciones.
Da tu dirección electrónica principal tan sólo a personas de confianza Da tu dirección electrónica principal tan sólo a amigos y compañeros de trabajo.
Utiliza una o dos direcciones de email secundarias Si te registras en una página web o realizas encuestas en páginas de las que no quieres recibir más información, utiliza una dirección alternativa. Así protegerás tu dirección principal contra spam.
Desactiva las opciones para recibir más información u ofertas Al rellenar formularios en páginas web, asegúrate de desactivar las casillas para recibir más información u ofertas. Activa o desactiva la casilla según corresponda.
Al responder al spam, incluso para anular tu suscripción a la lista de correo, estás confirmando que tu dirección de email existe y, por lo tanto, fomentando más spam.
No utilices el modo de vista previa en el visor de email Muchos piratas pueden saber si se previsualiza un mensaje, aunque no hagas clic en el email. Si previsualizas tus mensajes, sabrán que los has recibido. Cuando leas tu correo, intenta decidir si un mensaje es spam o no basándote sólo en el asunto.
www.sophos.com
90
91
Consejos para: que no pesquen tu información
Comprueba que el sitio web que visitas es seguro
No respondas a mensajes que pidan datos bancarios personales
Ten cuidado con tus mensajes y datos personales
Sospecha de cualquier email en el que te pidan tu contraseña, los datos de tu cuenta, o que incluya enlaces para tal fin. Los bancos o las empresas de comercio electrónico no suelen enviar ese tipo de mensajes.
Haz caso a los consejos de tu banco sobre cómo realizar transacciones seguras. No le digas tu PIN o contraseñas a nadie, no las anotes y no utilices la misma contraseña para todas tus cuentas en Internet. No abras ni respondas mensajes de spam. Si lo haces, el remitente sabrá que la cuenta existe y que puede utilizarla para otros timos.
Comprueba la dirección web en la barra de dirección. Si el sitio web que visitas está en un servidor seguro, empezará por "https://" ("s" de seguro) en lugar de "http://". Busca también el candado en la barra de estado del navegador que indica que el sitio web utiliza cifrado, aunque no que sea un sitio web legítimo.
Identifica los mensajes de pesca de información Estos mensajes suelen utilizar saludos genéricos, como "Querido cliente", porque son spam y el delincuente no sabe tu nombre. También suelen utilizar mensajes preocupantes, como que alguien ha robado o perdido los datos de tu cuenta. El mensaje suele tener faltas de ortografía o caracteres alternativos, como "1nformaci0n", para intentar burlar el software anti-spam.
Escribe la dirección web de los bancos que quieras visitar en la barra de direcciones No hagas clic en los enlaces que aparezcan en mensajes no solicitados, ya que los hackers suelen utilizarlos para llevarte a sitios falsos. Es mejor que escribas la dirección completa en la barra del navegador.
Vigila tus cuentas de forma habitual Revisa a menudo el estado de tus cuentas en línea. Si ves alguna transacción sospechosa, informa a tu banco o al proveedor de tu tarjeta de crédito.
www.sophos.com
Mantén tu equipo protegido El software anti-spam evitará que te lleguen muchos mensajes de pesca de información. Los cortafuegos también ayudan a proteger la información personal y a bloquear comunicaciones no autorizadas. También deberías utilizar software antivirus para detectar y desactivar programas maliciosos, como programas espía o troyanos de puerta trasera, que puedan estar incluidos en mensajes de pesca de información. Actualiza tu navegador de Internet siempre con los parches de seguridad más recientes.
Da parte de cualquier actividad sospechosa Si recibes un email que te parezca sospechoso, reenvíaselo a la empresa suplantada. Muchas empresas cuentan con direcciones de email especiales para ese tipo de denuncias.
92
93
Consejos para: estar seguro en Internet Esta sección ofrece consejos generales para utilizar Internet y el correo electrónico de forma segura. Consulta también el apartado sobre cómo evitar la pesca de información. No hagas clic en mensajes emergentes Si aparecen ventanas emergentes no solicitadas, no hagas clic en los enlaces ni aceptes descargas de software, ya que podrías estar descargando software malicioso.
No hagas clic en enlaces de mensajes no solicitados Dichos enlaces pueden llevarte a sitios web falsos en los que toda la información que introduzcas, como datos de cuentas o contraseñas, pueden ser robados o utilizados de forma indebida. Escribe siempre la dirección web que deseas visitar en la barra de direcciones del navegador.
Utiliza contraseñas distintas en todos los sitios Es aconsejable utilizar una contraseña distinta en cada sitio donde tengas una cuenta de usuario. Si alguna de tus contraseñas está en peligro, sólo afectará a una cuenta.
Contempla la posibilidad de bloquear el acceso a determinados sitios web o tipos de contenido En entornos empresariales, puede ser necesario impedir el acceso de los usuarios a determinados sitios web por no ser apropiados, suponer una amenaza para la seguridad (por ejemplo, instalando software espía) o ser ofensivos. Existen dispositivos de hardware y software para el filtrado web.
Utiliza filtrado por reputación El filtrado por reputación puede comprobar las direcciones de los remitentes de email en una base de datos que muestra la frecuencia con la que esa dirección envía spam, o mensajes con virus o gusanos. El programa le asigna una puntuación "por reputación" que se utiliza para decidir si bloquear el mensaje o retrasar su entrega (dando prioridad a otros con mejor reputación).
Utiliza cortafuegos Los cortafuegos de red se instalan en los límites de la empresa y admiten sólo el tráfico autorizado. Los cortafuegos de usuario se instalan en cada ordenador de la red y también permiten sólo tráfico autorizado, bloqueando así a piratas y gusanos de Internet. Además, evita que el equipo se comunique con Internet a través de programas no autorizados.
Utiliza routers Puedes utilizar un router para limitar la conexión entre Internet y determinados equipos. Muchos routers incluyen también un cortafuegos de red.
Configura las opciones de seguridad de tu navegador de Internet Puedes desactivar los applets de Java o ActiveX, o configurarlo para que se te notifique cuando tal código se ejecute. Por ejemplo, en Microsoft Internet Explorer, configura las opciones en Herramientas|Internet|Opciones|Seguridad|Nivel personalizado.
www.sophos.com
94
95
Consejos para: escoger contraseñas Las contraseñas son una defensa contra fraudes y pérdida de información confidencial, pero poca gente utiliza contraseñas realmente seguras.
Utiliza contraseñas difíciles de averiguar cuando las escribes No utilices caracteres repetidos o que estén cerca en el teclado.
Contempla la posibilidad de utilizar una frase secreta Puedes utilizar una frase en lugar de sólo una palabra. Las combinaciones sin sentido de palabras pueden ser difíciles de adivinar.
Intenta memorizar la contraseña
Escoge contraseñas lo más largas posible
Apréndete la contraseña en lugar de anotarla. Utiliza una combinación de caracteres que signifiquen algo para ti o técnicas de memorización que te ayuden a recordarla.
Cuanto más largas, más difícil será adivinarlas probando todas la combinaciones ("ataque de fuerza bruta"). Utiliza como mínimo 8 caracteres.
No guardes las contraseñas en el equipo o en Internet Los hackers pueden entrar en tu ordenador y encontrarlas.
Utiliza diferentes tipos de caracteres Utiliza números, signos de puntuación, mayúsculas y minúsculas.
Si anotas la contraseña, guárdala en un sitio seguro No guardes las contraseñas cerca del ordenador o en un sitio de fácil acceso.
No utilices palabras que aparezcan en diccionarios No utilices palabras, nombres o nombres de lugares que suelan aparecer en diccionarios. Los hackers pueden utilizar un "ataque de diccionario" (probando todas las palabras del diccionario automáticamente) para averiguar contraseñas.
Utiliza contraseñas distintas para cada cuenta Si un hacker averigua una de tus contraseñas, sólo estará en peligro una de tus cuentas.
No le digas a nadie tu contraseña No utilices información personal Es probable que otras personas sepan la fecha de tu cumpleaños, el nombre de tu marido, de tu mujer o de tu hijo, o tu número de teléfono, y sospechen que los usas como contraseña.
No utilices tu nombre de usuario
Si recibes una solicitud para que "confirmes" tu contraseña, aunque parezca de confianza, no desveles tu contraseña (consulta el apartado Pesca de información).
No utilices tu contraseña en equipos públicos No escribas tu contraseña en equipos de lugares públicos, como hoteles o cibercafés. Podrían no estar protegidos o tener grabadores de pulsaciones del teclado instalados.
No utilices la misma contraseña que tu nombre de usuario o de cuenta.
Cambia tus contraseñas a menudo Cuanto más corta o simple sea tu contraseña, más a menudo deberías cambiarla. www.sophos.com
96
97
Cronografía de virus ¿Cuándo empezaron los virus, troyanos y gusanos a ser una amenaza? La mayoría de historias de virus empiezan con el virus Brain, escrito en 1986, que fue el primer virus para sistemas de Microsoft. Pero los programas con todas las características de los virus surgieron mucho antes. Éstos son los momentos clave en la historia de los virus. 1949 "Robot celular" autoreproductor John von Neumann, el padre de los cibernautas, publicó un ensayo insinuando que un programa informático podría reproducirse.
1959 Core Wars H. Douglas McIlroy, Victor Vysottsky y Robert P. Morris, de los laboratorios de Bell, desarrollaron Core Wars, un juego en el que los programas eran organismos que competían por tiempo de procesador.
1960 Programas "conejo" Aparecen marcadores de posición para servidores mainframe. Si no había trabajos esperando, estos programas añadían una copia de sí mismos a la cola. Se conocían como "programas conejo" porque se multiplicaban utilizando los recursos del sistema.
1971 El primer gusano Bob Thomas, un desarrollador que trabajaba en ARPANET, precursor de Internet, escribió un programa denominado Creeper, que pasaba de equipo en equipo, mostrando un mensaje.
1975 Código que se multiplica A. K. Dewdney escribió Pervade como subrutina de un juego para equipos que utilizaban el sistema UNIVAC 1100. Al jugar, el juego copiaba sigilosamente la última versión de sí mismo en todos los directorios accesibles, incluidos los compartidos, propagándose por la red.
1978 El gusano vampiro John Shoch y Jon Hupp, de Xerox PARC, empezaron a experimentar con gusanos diseñados para realizar tareas útiles. El gusano vampiro estaba parado durante el día, pero por la noche asignaba tareas a equipos poco utilizados.
1981 Virus de Apple Joe Dellinger, alumno de la Texas A&M University, modificó los disquetes del sistema operativo de Apple II para que se comportaran como virus. No se publicó nunca porque provocó efectos secundarios imprevistos, pero se escribieron y propagaron versiones posteriores.
1982 Virus de Apple con efectos secundarios Rich Skrenta, a los 15 años, escribió Elk Cloner para el sistema operativo Apple II. Se ejecutaba cada vez que un equipo se iniciaba desde un disquete, e infectaba todos los disquetes que se introducían en la unidad. Mostraba un mensaje cada 50 inicios del equipo.
1985 Troyano de correo El troyano EGABTR se distribuyó a través del correo, haciéndose pasar por un programa diseñado para mejorar la visualización de gráficos. Sin embargo, al ejecutarlo, eliminaba todos los archivos del disco duro y mostraba un mensaje.
www.sophos.com
98
99
1986 El 1er virus para PC El primer virus para PC de IBM, Brain, lo escribieron, en teoría, dos hermanos de Pakistán, al darse cuenta de que la gente copiaba sus programas. El virus colocaba una copia de sí mismo y un mensaje de copyright en todas las copias de disquetes que hacían los clientes.
1994 El primer bulo de email Advertía sobre un virus que podía borrar un disco duro completo con sólo abrir un mensaje con el asunto "Good Times".
1995 El primer virus de macro Concept fue el primer virus de macro o de documento. Se propagaba aprovechando las macros de Microsoft Word.
1987 El gusano del árbol de Navidad Era una tarjeta de Navidad electrónica que incluía un programa. Al ejecutarlo, dibujaba un árbol de Navidad, pero también se reenviaba a todos los contactos de la libreta de direcciones. El intenso tráfico paralizó la red mundial de IBM.
1988 El gusano de Internet Robert Morris, un estudiante de 23 años, insertó un gusano en la red de defensa americana DARPA que se extendió por miles de equipos y, debido a un error, los seguía infectando varias veces, haciendo que se bloquearan.
1989 Troyano pide rescate El troyano AIDS venía en un disquete que ofrecía información sobre el SIDA y el VIH. El troyano cifraba el disco duro del equipo y pedía un rescate a cambio de la contraseña.
1991 El primer virus polimórfico
1998 El primer virus de hardware CIH o Chernobyl fueron los primeros virus que paralizaron hardware informático. El virus atacaba a la BIOS, que se necesita para arrancar el equipo.
1999 Virus de email Melissa, un virus que se envía a sí mismo por email, se extiende a nivel mundial. Aparece Bubbleboy, el primer virus que se activa con sólo ver el email.
2000 Virus de Palm Aparece el primer virus para sistemas operativos Palm, aunque ningún usuario resulta infectado.
2000 Ataques de denegación de servicio Los "ataques distribuidos de denegación de servicio" dejaron sin conexión sitios web de gran escala, como Yahoo, eBay y Amazon, durante horas. Love Bug se convierte en el virus de email más extendido.
Tequila fue el primer virus polimórfico generalizado. Los virus polimórficos cambian de aspecto en cada infección lo que dificulta su detección.
1992 El pánico a Michelangelo El virus Michelangelo se diseñó para borrar discos duros cada 6 de marzo (cumpleaños de Michelangelo). Después de que dos empresas distribuyeran por equivocación discos y equipos infectados, hubo un pánico generalizado, pero pocos ordenadores se infectaron.
www.sophos.com
2001
Virus se extienden a través de la Web y redes Los virus empezaron a usar vulnerabilidades para propagarse sin intervenir el usuario. Nimda sólo necesitaba que el usuario visitase una web para infectar su equipo. Sircam utilizaba su propio programa de email para propagarse, además de extenderse por la red.
100
101
2003
Zombis, Pesca de información El gusano Sobig conseguía ceder el control de los PC a los piratas, convirtiéndolos en "zombis", que servían para enviar spam. El gusano Mimail se hacía pasar por un email de Paypal, pidiendo a los usuarios que confirmasen información de tarjetas de crédito.
2004
Bots de IRC Se desarrollaron bots de IRC (Internet Relay Chat) maliciosos. Los troyanos podían colocar en un equipo el bot, que se conectaría a un canal IRC sin conocimiento del usuario y ceder el control del equipo al pirata.
2005 Rootkits El sistema de protección anticopia DRM de los CD de música de Sony, instalaba un "rootkit" en el equipo, ocultando los archivos para que no pudieran duplicarse. Los piratas escribieron troyanos para aprovechar el rootkit e instalar una "puerta trasera" oculta.
2006 Timos bursátiles Spam popular utilizado para promocionar de forma exagerada acciones de pequeñas empresas.
2006 Software de secuestro Aparecen los troyanos Zippo y Archiveus, que cifraban archivos de usuarios y pedían un rescate a cambio de la contraseña.
www.sophos.com
Este libro está dirigido tanto a administradores, como a usuarios de oficinas o internautas particulares, y describe las amenazas de seguridad a las que te enfrentas, ofreciendo medidas prácticas para proteger tu equipo.
5,00 £ / 7,50 $ / 7,60 €