2. SEGURIDAD FRENTE A SOFTWARE MALICIOSO

Todos habremos oído alguna vez hablar de virus informáticos, e incluso es probable que tengamos instalado un antivirus en nuestro PC, pero ¿es este el único ataque que puede recibir nuestro equipo?, la respuesta es no. 

Los virus no son más que un tipo (de entre otros) de software malicioso que puede instalarse en nuestro ordenador, tablet o móvil, pero veremos que hay más.

Conocerás también alguno de los diferentes mecanismos usados para atacar nuestros equipos, desde correos, suplantar la identidad de otro, capturas tus contraseñas, etc.

Pero no te desesperes, afortunadamente también hay utilidades para detectar y solventar estos problemas, así como una serie de buenas prácticas. También las veremos.

2.1 Malware (software malicioso)

La palabra malware  proviene de las palabras (en inglés) MALicious softWARE, que se traduce como software malicioso.

Cuando hablamos de malware, no nos referimos a ningún software defectuoso (un bug en una aplicación no es algo que se haga con intencionalidad ni buscando fines dañinos).

Malware engloba todo aquel software creado para infiltrarse en un equipo informático con la finalidad de modificar su funcionamiento o la información que almacena, modificándola, eliminándola o reenviándola a terceros sin el consentimiento de su propietario.

Los efectos de este tipo de software son muy diversos, y pueden ir desde una simple molestia para el usuario a ser muy perjudiciales y dañinos.

Virus, gusanos, troyanos, spyware, adware y otros, no son más que distintos tipos de software malicioso que iremos conociendo a lo largo de este tema.

2.1.1 Virus

Un virus es un programa o fragmento de código, que se carga en un equipo sin consentimiento ni conocimiento del propietario.

Algunos son solo molestos pero otros pueden llegar a ser muy dañinos, destruyendo información o tomando el control del sistema. Sus efectos pueden ir desde rotar la pantalla, cambiar nombres de carpetas, cambiar el puntero del ratón hasta modificar valores en el registro y controlar totalmente el equipo infectado, pudiendo también borrar o modificar la información que contiene.

Este código malicioso puede venir en archivos ejecutables descargados de sitios poco fiables, o que nos ha pasado alguien y ya vienen infectados, o en algún archivo adjunto a un correo, etc...

Cuando ejecutemos el programa infectado, el virus se instalará en memoria RAM (es importante tener en cuenta que para que el virus comience a funcionar y a extenderse, debe haber alguien que ejecute ese código). Una vez en la RAM el virus infectará otros archivos ejecutables y los grabará en disco, de forma que aún después de apagar el ordenador, cuando algunos de estos programas se ejecute, se repetirá la acción.

2.1.2 Gusanos

Los gusanos o worms se diferencian de los virus en su forma de propagarse. Este malware no necesita de la ejecución del programa infectado para su propagación, pues puede autopropagarse sin necesidad de infectar otros archivos.

Sus efectos también suelen ser distintos a los de los virus, mientras que los virus pretenden alterar o destruir archivos los gusanos van encaminados a consumir recursos causando generalmente problemas de saturación en la red.

Las vías más comunes de propagación son:

• A través de correo (SMTP), bien en el mismo mensaje, bien en algún adjunto. Estos mensajes suelen tener un asunto interesante para que el usuario lo abra.

• A través de redes P2P (peer to peer) de compartición de archivos (descargamos archivos de múltiples clientes y a la vez compartimos algunos nuestros). En este caso los ficheros suelen tener el nombre de alguna película de estreno o de vídeos cómicos o incluso porno. 

• A través de programas de chat.

• A través de carpetas compartidas en red.

2.1.3. Troyanos

Los troyanos, toman su nombre del famoso caballo de Troya:

El caballo de Troya fue un artilugio con forma de enorme caballo de madera que se menciona en la historia de la guerra de Troya y que según este relato fue usado por los griegos como una estrategia para introducirse en la ciudad fortificada de Troya.

Al igual que hicieron los griegos para entrar en la ciudad de Troya ocultos en el caballo de madera, los troyanos son un tipo de malware que se introduce en el equipo camuflado en un programa aparentemente inofensivo.

De hecho al ejecutar el programa en cuestión, este parecerá funcionar correctamente, sin embargo en segundo plano, y sin que nos percatemos de ello, se instalará el troyano, cuya misión no es la de infectar ficheros como los virus para propagarse, ni hacerlo de forma autónoma como los gusanos, sino la de realizar distintas acciones y configuraciones con el fin de facilitar el control externo de nuestro equipo sin nuestra autorización.

El troyano tendrá dos partes, un cliente que es el que se instala en el equipo atacante y un servidor que es el instalado en el equipo atacado, que será el que reciba las ordenes del cliente y realice las operaciones oportunas en el equipo en el que se aloja.

Algunos troyanos son:

2.1.4 Grayware

Engloba a aquellos programas malignos que sin llegar a ser dañinos, son bastante molestos o indeseados.

Algunos de sus efectos son:

• Pérdida de privacidad del usuario.

• Reducen el rendimiento del equipo.

• Dificultan el trabajo del usuario.

• Consume de ancho de banda.

2.1.5. Ransomware

Su nombre proviene de ransom (rescate) y software.

Este malware "secuestra" archivos y pide un rescate por liberarlos.

Lo que hace es encriptar archivos (también de le conoce como criptovirus)  y no facilita la clave para su desencriptación hasta que se paga una determinada cantidad de dinero.

Recomendaciones

Para evitar pérdidas asociadas a este tipo de ataque se recomienda:

• Tener instaladas herramientas de detección de malware, si la amenaza se detecta de forma temprana es posible eliminarla antes de que actúe sobre archivos (encriptándolos) o bloquee el acceso a partes del sistema.

• Tener copias de seguridad de los ficheros importantes en algún tipo de almacenamiento externo.

2.1.6 Rootkits

Los rootkits son programas cuya finalidad es ocultar la ejecución de otro, generalmente malware.

Por ejemplo, podría ocultar los puertos por los que se realiza la conexión usando algún backdoor, o no mostrar los procesos reales en ejecución (si no información falsa, ocultando los procesos correspondientes al malware que está protegiendo), o no mostrando sus propios archivos, etc.

Su nombre se debe a que inicialmente eran programas para atacar sistemas Unix, a los que accedían una vez que tenían la clave de root, hoy en día su significado es otro, utilizándose para programas que ocultan rutinas maliciosas.

Este tipo de malware es más difícil de detectar, y un simple antivirus no los detectaría. Las herramienta antirrotkit deberán ir analizando todos los procesos que corren en el equipo, hasta encontrar condiciones sospechosas.

2.2 Correo no deseado y Spam

El correo electrónico también puede ser una vía de acceso para posibles amenazas o usos malintencionados.

Muchos de los correos que recibimos son no deseados y no solicitados. A veces son portadores de algún software malicioso adjunto al correo, o provienen de destinatarios desconocidos o anónimos, o la dirección de correo del remitente es falsa, o es una dirección muy parecida a la de algún organismo o persona a la que se quiere suplantar,etc.

A veces tienen como objetivo el hacerse con direcciones válidas de correo, con bromas o un correo en el que se dice que si no se reenvía a cierto número de personas algo malo sucederá, de forma que con cada reenvío van sumándose nuevas direcciones (de tus amigos o contactos), de forma que cuando el mensaje vuelva al remitente tendrá todas esas direcciones. Para evitar esto se recomienda, en primer lugar, no reenviar este tipo de mensajes, y en segundo, en caso de hacerlo, eliminar las cuentas que aparezcan en el mensaje reenviado y las que añadamos ponerlas como CCO (copia oculta) para que no sean visibles (ninguno de los receptores verá la dirección de correo de los demás).

Otras veces el correo puede incluir algún mensaje indicando que pulses en algún enlace para darte de baja de la lista de distribución. El objetivo de estos correos es obtener cuentas de correo "vivas", y al responder, confirmas que la tuya está activa.

La mayoría de las veces la finalidad de estos correos no deseados es la de publicidad, y suelen enviarse de forma masiva, este tipo de correos recibe el nombre de spam.

Casi todos los servicios de correo incluyen filtros antispam. Puede ocurrir a veces que un correo que no es spam, sea clasificado como tal y movido a la carpeta de correo no deseado, por lo que debes revisarla de vez en cuando. 

2.3 Suplantación de identidad

Con el uso del correo, redes sociales y las compras o gestiones bancarias online, cada vez aparecen nuevas formas de suplantación de identidad.

Entendemos por suplantación de identidad, el uso de técnicas de ingeniería informática haciéndose pasar por alguna persona o entidad de confianza, para obtener datos privados de la víctima y usarlos de forma fraudulenta

RECUERDA QUE PUEDES INFORMAR O DENUNCIAR CUALQUIER DELITO INFORMÁTICO A TRAVÉS DE LA PÁGINA DEL GRUPO DE DELITOS TELEMÁTICOS DE LA GUARDIA CIVIL

2.3.1. Phishing

Toma su nombre del inglés phising (pesca), pues se trata de técnicas para conseguir que la víctima "muerda el anzuelo".

Podría llegarnos un correo o mensaje al móvil de nuestro banco informándonos de que se han detectado problemas de seguridad, o de que necesitan verificar nuestros datos o número de cuenta o tarjeta por mantenimiento de la base de datos de clientes, o cualquier otro motivo, y para ello se nos facilita un enlace. Al hacer click en este enlace nos aparecerá una página, falsa, con el mismo aspecto que la de nuestro banco real. Es complicado darse cuenta de que no es la página verdadera puesto que la interfaz es la misma, tan solo si observamos la url o dirección de la página veremos que aunque muy similar, no es exactamente la de nuestro banco. Pero si no nos percatamos de esto al introducir nuestros datos, el atacante los tendrá en su poder y habremos caído en el engaño.

Puesto que la página es falsa, una vez tengan los datos que buscaban, nos saltará alguna página informándonos de algún error en el servidor o en la conexión, para evitar levantar sospechas.

Recomendaciones

• Sospechar siempre de correos o mensajes en que se nos soliciten datos. Las entidades implicadas deberían tenerlos y en caso de necesitar alguna verificación no sería por este medio.

• Nunca pulsar en un enlace que se nos facilite en correos o mensajes, hacerlo siempre desde la web oficial.

• Verificar la URL antes de introducir datos.

• Sospechar de URL con el carácter @ pues lo que hace es dirigirnos de una página a otra.

• Verificar que la conexión es segura (precedida de https).

• Sospechar de mensajes cuyo remitente no provenga del correo oficial de la entidad.

• Utilizar filtros antispam en el correo.

ATAQUE DE PHISHING CONTRA WHATSAPP (2.016)

Este Malware ataca a dispositivos móviles con Android.

Comienza con la recepción de un SMS de alguna entidad aparentemente fiable como Whatsapp, Mercadona, Zara, etc en el que se nos indica que uno de nuestros mensajes no ha podido ser enviado o que uno de nuestros pedidos tiene algún problema, etc.. y se nos facilita una url para consultar el estado del envío. Al hacer click automáticamente se nos instala el malware, que lo que hace es suplantar a la aplicación Whatsapp (también puede afectar a otras como Uber o Google Play (Play Store).

Cuando abramos Whtasapp, en realidad estaremos ejecutando el malware, con una apariencia tan conseguida que no nos daremos cuenta de que no es la aplicación real.

No sabremos que realmente no hablamos con uno de nuestros contactos y se nos intentará sacar datos personales que permitan el robo de dinero.

En caso de que tu smarthone esté infectado por algún tipo de malware se recomienda ir a las aplicaciones y desinstalar aquellas sospechosas, además de pasar un buen antivirus.

2.3.2. Pharming.

El pharming es otra técnica que al igual que la anterior, nos lleva a páginas web falsas, con apariencia idéntica a las verdaderas.

Es más difícil de detectar porque trabajan modificando DNS, de forma que cuando tecleemos la URL de nuestro banco, en lugar de traducir esa direccción a la IP de la web de la entidad, lo hará a la IP de la web falsa.

Recuerda:

DNS es el sistema que traduce una url o nombre de internet en la dirección IP de una máquina.

Una máquina, para conseguir esta traducción mirara primero en su fichero local HOSTS, en caso de no encontrarla, recurrirá a su DNS primario, y si no obtiene respuesta de este, recurrirá a su DNS secundario.

Para conseguir su propósito se pueden usar diferentes técnicas:

• Atacar directamente a los servidores DNS.

• Hacer uso de algún malware que modifique el fichero hosts para introducir las conversiones falsas.

Recomendaciones:

• Hacer uso de herramientas antimalware.

• Tener actualizados los navegadores.

2.4. Denegación de servicio

Esta técnica conocida como denegación de servicio o DoS (Denial of Service), tiene por objetivo el impedir el correcto funcionamiento de servidores con presencia en Internet con el fin de dañar la reputación de las empresas que ofrecen esos servicios.

No se pretende capturar, borrar ni modificar datos, sino el saturar a los servidores para que no puedan consultarse ni utilizarse.

Para esto aprovechan vulnerabilidades en el protocolo IP y en los propios sistemas, enviado paquetes IP en formatos, tamaño o frecuencia que saturen el ancho de banda de la conexión o al propio servidor, que se ve incapaz de responder.

2.5. Protección frente al malware

Después de conocer algunas de las múltiples amenazas que nos encontramos en la red, podríamos pensar que estamos totalmente desprotegidos, pero no es así, existen multitud de herramientas, que junto con algunas de las buenas prácticas que hemos ido viendo, protegerán a nuestro equipo. Aunque, desgraciadamente, ninguna herramienta protege al 100%, puesto que los desarrolladores de malware están constantemente evolucionando.

Algunas de estas herramientas antimalware son:

• Antivirus: que nos permitirán detectar, eliminar y prevenir virus informáticos. Es importante que la base de datos de virus que usa se actualice frecuentemente.

• Antspyware: eliminan y previenen frente a software espía.

• Antirootkit: estas herramientas van dirigidas a localizar rootkits, que como ya vimos es un tipo de malware que un antivirus no detectaría.

• Filtros antispam: analizan los correos de la bandeja de entrada para localizar publicidad no deseada y correos masivos o sospechosos, que mueven a otra carpeta para su posterior chequeo y borrado por parte del usuario.

• Antiphising: van más allá de los filtros antispam, analizan los correos para detectar links fraudulentos o dominios falsos.

• Filtros de contenido: permiten o deniegan el acceso a páginas en función de su contenido, según reglas previamente establecidas.

• Control parental: con el fin de proteger al menor, es posible instalar filtros que permitan o denieguen el acceso a determinadas páginas o utilidades, según la url, según contenido, etc. Que bloqueen el acceso a redes sociales o registren su actividad o que limiten el tiempo y horarios de uso.

• Firewall: O cortafuegos, nos permite limitar el acceso desde internet a una parte de la red o a nuestro equipo, estableciendo ciertas reglas de filtrado, por paquetes o aplicaciones.

• Suites de seguridad: agrupan todas o varias de las herramientas anteriores con el fin de proteger al equipo.

• Actualizaciones de los navegadores y sistema operativo: es recomendable tener siempre actualizados tanto el S.O. como los navegadores que usemos, pues muchas veces estas actualizaciones resuelven problemas detectados en la seguridad del software.

• Copias de seguridad: copias de los ficheros y datos más importantes en algún soporte externo, de forma que permanezcan intactos tras cualquier ataque a la máquina original que provoque la destrucción, encriptación o modificación no deseada de estos.

Otras precauciones:

• Desconfiar siempre de correos desconocidos.

• No hacer click en URL sospechosas que se nos adjunten en mensajes o correos.

• No abrir ficheros ejecutables que nos lleguen por correo.

• Jamás dar nuestros datos personales a ninguna "supuesta" entidad. La entidad real (banco, policia, etc.) jamás nos pedirá nuestros datos y menos por esas vías.

• Al entrar en páginas de compras, bancos, etc. verificar que la conexión es segura (https://...)

• No descargar software de páginas no confiables. 

• Si vas a instalar un software descargado, lee atentamente todas las pantallas (evita hacer click en siguiente, siguiente). En este tipo de instalaciones suele venir marcada por defecto (hay que desmarcar o elegir instalación personalizada en lugar de típica) la instalación de software adicional, generalmente con fines publicitarios.

2.6.  MALWARE en sitemas GNU/LINUX

Hemos oído muchas veces que los sistemas GNU/Linux están libres de virus. ¿Es esto cierto?.

La respuesta en NO, puesto que existe malware para estos sistemas, ahora bien, la protección de estos sistemas frente a ataques es muchísimo mayor que la de un sistema Windows y el software malicioso desarrollado mucho menor. Veamos todo esto con un poco más de detalle.

• Los sistemas GNU/Linux son sistemas multiusuario, y con un fuerte sistema de permisos. Un software malicioso alojado en un fichero no tendrá posibilidad de ejecutarse si el usuario en cuestión no tiene permisos de ejecución sobre ese fichero. En caso de que si los tuviera, podría dañar datos de ese usuario, siempre dependiendo de los permisos,  pero no el sistema, salvo si el usuario en cuestión fuera el superusuario o root.

• Debido a que son sistemas menos extendidos, el interés de los programadores de software malicioso a la hora de desarrollar código es menor. Además se encuentran con problemas adicionales como que unos sistemas son diferentes de otros (distinto núcleo, aplicaciones instaladas diferentes, características de seguridad específicas, etc.) lo que dificulta el desarrollo del software.

• Como se trata de software abierto las actualizaciones para solventar vulnerabilidades en el  sistema (que pudieran ser aprovechadas para posibles ataques) son relativamente rápidas y eficientes.

• Además, cuenta con un repositorio de software que es verificado por administradores con el fin de verificar que las aplicaciones estén libres de malware.

• Aún así, existen herramientas antimalware para Linux.