Los intrusos, estafadores y ladrones de identidad se las ingenian constantemente para atacar su PC y su privacidad. Estos son los nuevos peligros y cómo defenderse de ellos.
Siempre actualizo mi sistema y realizo inspecciones regulares con programas antivirus y de contraespionaje. Pero mientras investigaba esta historia, fui atacado por un caballo de Troya (Trojan.Winloginhook.Delf.A) que era demasiado nuevo para que mi programa antivirus lo detectara. Ya sea a causa de una nueva variante de un enemigo familiar, como un caballo de Troya, o por un tipo de ataque completamente nuevo, hasta los más precavidos podemos ser vulnerables.
Sin embargo, hay maneras de reducir el riesgo. El primer paso para montar una buena defensa es conocer al adversario; por eso hemos compilado una lista de diez problemas serios de seguridad que usted necesita conocer. Usted sabe de sobra que para protegerse debe mantener su PC actualizada y sus herramientas de protección al corriente. Además, le daré sugerencias para ayudarle a evitar estos nuevos peligros y para contener el daño si le atacan.
Botnets más fáciles
Nivel de peligrosidad: Alto Probabilidad: Alta Objetivo: Usuarios de Windows
Las botnets (o redes de robots) fueron una vez el territorio de criminales con aptitudes técnicas que controlaban remotamente sus ejércitos de PC infectadas para enviar correo indeseado, lanzar ataques en la Internet o diseminar programas espías. Pero ahora hasta los ciberdelincuentes sin muchos conocimientos pueden generar su propia botnet y atacar las PC, gracias a otros bribones más documentados que crean y venden herramientas simples destinadas a ese fin.
Mucha gente ha hecho negocio con la creación y la venta de kits de desarrollo de robots que permiten a los potenciales “herders” o pastores (el nombre común que se da a los individuos que manejan una botnet) dirigir sus propias estafas. Los kits, que cuestan desde US$20 hasta US$3.000, permiten a los criminales crear botnets completas y otro software malicioso, desde gusanos personalizables hasta programas para registrar los golpes de teclas, sin necesidad de tener conocimientos técnicos. “Hay montones de [kits], cincuenta, sesenta o cien diferentes”, dice Eric Sites, vicepresidente de investigación y desarrollo en Sunbelt Software, un productor de programas de contraespionaje.
Controles inteligentes de la Web
La cosa empeora. Después de construir un nuevo robot y enviarlo a las computadoras de usuarios desprevenidos, el aspirante a pirata puede usar herramientas avanzadas de mando y control para dirigir la red resultante con facilidad.
El equipo de Sites en Sunbelt, conjuntamente con el Rapid Response Team de la firma de seguridad iDefense Labs, ha encontrado un nuevo control basado en la Web al que han llamado Metaphisher. En vez de enviar mandos de texto, los pastores pueden usar la interfaz de usuario de ese control, que es muy gráfica y además tiene iconos personales bien diseñados y controles intuitivos. Basta con apuntar, hacer clic… y a piratear.
Según iDefense Labs, los robots controlados por Metaphisher han infectado más de un millón de PC en todo el mundo. El kit de mandos incluso cifra las comunicaciones entre el programa y el pastor de robots, y envía al pirata información sobre casi todos los aspectos de las PC infectadas, incluso la ubicación geográfica de cada PC, los parches de seguridad de Windows que tienen instalados y los navegadores que utiliza, aparte del Internet Explorer.
Todos estos kits y controles fáciles de usar contribuyen indudablemente al gran número de PC infectadas con robots que las agencias policiales han descubierto recientemente en sus investigaciones. Por ejemplo, Jeanson James Ancheta, un hombre de 21 años residente de California, fue sentenciado recientemente a 57 meses de prisión después de declararse culpable de violar la ley federal de abuso y fraude perpetrado por computadora. El reo se dedicaba a operar una empresa lucrativa que usaba ilícitamente una botnet con más de 400.000 sistemas infectados. Y se estima que tres pastores de robots que fueron arrestados en Países Bajos el otoño [boreal] pasado tenían bajo su control la impresionante suma de 1,5 millones de PC zombis.
La facilidad con que ahora cualquiera monta una botnet significa que aunque las agencias policiales detengan a algunos pastores, pronto serán sustituidos por otros. “Es asombroso ver cuántas personas operan estas botnets sólo porque ven que otros lo hacen y se enriquecen con ello”, dice Joe Stewart, un investigador de seguridad de la firma Lurhq de Carolina del Sur, proveedora de servicios de seguridad administrados.
Defensas
1- Evite los sitios desconocidos y no pulse vínculos en el correo electrónico que usted no ha solicitado. Como todos los programas maliciosos, los robots tienden a ser distribuidos de esta manera.
2 -Desconfíe de los archivos adjuntos al correo electrónico, incluso cuando parezcan venir de alguien que usted conoce. A los pillos les encanta usar direcciones genuinas de correo electrónico en misivas “falsas” cargadas de virus.
3- Considere un navegador alterno como Firefox u Opera. IE ha sido el blanco favorito de los piratas.
Cómo lo hacen
Instalación rápida de robots con herramientas simples
-Un criminal potencial compra en Internet un kit de creación de robots por un pequeño costo.
-Aunque su experiencia de programación es nula, el criminal usa su kit para construir un nuevo robot que todavía los fabricantes de herramientas antivirus no conocen.
-El criminal envía su nuevo robot como archivo adjunto al correo electrónico o lo planta en sitios nocivos de la Web.
-La botnet resultante se enriquece con el correo indeseado, programas espías y ataques de negación de servicio.
Sus datos robados gratis en la Web
Nivel de peligrosidad: Alto Probabilidad: Mediana Objetivo: Usuarios de Windows
Que un pillo use un programa que registra los golpes de teclas para robarle su información bancaria y contraseñas ya es bastante malo. Pero mucho peor es ver toda su información confidencial publicada en un sitio FTP sin protección, a la vista de todo el que pase por allí.
Desafortunadamente, eso es exactamente lo que los investigadores de seguridad han comenzado a ver durante el año pasado.
Alex Eckelberry, de la firma de programas de contraespionaje Sunbelt Software, me mostró uno de estos servidores de FTP que su compañía había encontrado mientras le seguía la pista a un software para registrar golpes de teclas que ni siquiera era de los más conocidos. El servidor, basado en Washington, D.C., contenía casi un gigabyte de credenciales robados durante el mes de abril.
Los grabadores de golpes de teclas no solamente captan todo lo que usted escriba, sino que también pueden captar pantallas de su PC y espiar los datos del área de almacenamiento protegido de Windows, donde Internet Explorer almacena sus contraseñas.
Uno de los archivos de registro en el servidor de FTP tenía las contraseñas robadas de varios bancos estadounidenses y de Buy.com, además de contraseñas y nombres de usuario de Yahoo, Hotmail y otras cuentas de correo electrónico, y detalles de cuentas de casinos en línea y un sinfín de otros sitios. El peligro es internacional: los registros contenían información en varios idiomas –alemán, español, húngaro, turco y japonés, entre otros– y direcciones IP que apuntaban a computadoras infectadas en todo el mundo.
Hace más de un año, cuando su compañía descubrió por primera vez la colección de datos recogida por los programas que registran los golpes de teclas, Eckelberry alertó a los bancos y a las compañías cuyos credenciales habían sido hurtados.
Tim Brown, propietario de Kingdom Sewing & Vacuum en Northridge, California, fue uno de los usuarios que recibió la llamada de Sunbelt. Él cree que le robaron su cuenta bancaria con un detector de golpes de teclas cuando estaba de viaje en Costa Rica y utilizó una computadora del hotel para revisar su cuenta. Pero las computadoras de su hogar tampoco estaban seguras: “yo no tenía ningún programa antivirus ni filtro para el correo indeseado en mis computadoras”, dice. “Ahora sí los tengo”.
Brown es relativamente afortunado: se le notificó a tiempo, antes de que alguien hubiera usado los datos robados, y cambió inmediatamente la información de sus cuentas para protegerse.
Millares de víctimas potenciales no serán tan afortunadas. Y hoy en día, Sunbelt está descubriendo tantas bóvedas de datos que no puede manejar el volumen tan grande de credenciales robados, así que ha dejado de llamar a los individuos y simplemente informa lo que encuentra al FBI.
Con tanta información disponible, nadie se ha apresurado a crear nuevos detectores de golpes de teclas, dice Eric Sites de Sunbelt. Según el Anti-Phishing Working Group, una asociación de empresas y agencias para el cumplimiento de la ley, en abril existían 180 programas detectores de golpes de teclas, mucho más de los 77 encontrados en abril del año pasado, pero menos que en los tres meses anteriores.
Sites concluye que el negocio de los programas maliciosos está madurando y enfocando su atención en el procesamiento eficiente de toda la información robada. “La recolección, clasificación y manipulación de los datos obtenidos por los detectores de golpes de teclas [está] siendo procesada en bases de datos SQL”, afirma. “Luego [los criminales] podrán examinar los datos para encontrar lo que buscan. Esos sistemas secundarios son increíblemente complejos”.
Defensas
1-Use un cortafuego que pueda bloquear los programas desconocidos para que no se comuniquen con la Red y evitar así que los detectores de golpes de teclas envíen datos a su servidor. El cortafuego gratuito ZoneAlarm puede hacerlo; el que viene incorporado en Windows XP no.
2-Cambie de contraseñas regularmente y no use el mismo nombre y contraseña en varios sitios. Para más sugerencias de contraseñas, visite find.pcworld.com/54020.
El “phishing” indistinguible de los sitios legítimos
Nivel de peligrosidad: Alto Probabilidad: Alta Objetivo: Todos los usuarios de Internet
El “phishing” es uno de los crímenes de computadora más lucrativos y sigue creciendo rápidamente. En abril de 2006 el número de sitios nuevos dedicado al phishing había establecido el nuevo récord de 11.121, casi cuatro veces más que los 2.854 sitios encontrados en abril de 2005, según el informe más reciente del Anti-Phishing Working Group.
Uno podría esperar que los sitios falsos dedicados a este fraude fueran fáciles de reconocer por las equivocaciones superficiales en la ortografía o por los gráficos incorrectos. Pero hoy en día, pocos creadores de phishing tratan de recrear páginas bancarias enteras a mano. En vez de esto, los ladrones modernos manejan programas avanzados en sus servidores que extraen el texto, los gráficos y los vínculos directamente desde el sitio del banco real. Todo lo que usted escribe va directamente al sitio verdadero, excepto por los datos con que abre la sesión. Esa información preciosa va directamente a los malhechores.
Algunos sitios de phishing han llegado a ser tan perfectos que pueden atrapar hasta los internautas más precavidos y experimentados. En su estudio titulado “Por qué el phishing funciona” publicado en abril, los expertos de UC Berkeley y Harvard presentaron a los participantes varios sitios de la Web y les pidieron que identificaran los sitios falsos. Resultó que “hasta en el mejor de los casos, cuando los usuarios esperan las falsedades y se ven motivados a descubrirlas, muchos no pueden distinguir un sitio Web legítimo de uno falso”, según el informe. “En nuestro estudio, el mejor sitio de phishing fue capaz de engañar a más del 90 por ciento de los participantes”.
El navegador cambia de rumbo por debajo del radar
La clave para el creador de fraudes de phishing es engañarle a usted para que visite el sitio falso. Usted pudiera estar muy condicionado a desconfiar de los mensajes de correo electrónico que dicen proceder de su banco y que le piden que pulse un vínculo para revisar los detalles de su cuenta. Pero los “phishers” de hoy están adoptando medios más enérgicos para empujar su navegador hacia los sitios que ellos preparan.
Una técnica que se emplea en los programas maliciosos, llamada reexpedición inteligente, dirige secretamente su navegador al sitio Web del pirata aun cuando usted escriba manualmente en el navegador la dirección correcta de su banco en la Web. Los programas maliciosos que existen en su máquina vigilan la disponibilidad de docenas o centenares de sitios bancarios falsos, hospedados en computadoras por todo el mundo y reexpiden su navegador al sitio falso cada vez que usted escribe una dirección legítima para llegar a su banco. Y si las autoridades luego cierran un sitio, el software de reexpedición inteligente instalado en una PC infectada simplemente envía la víctima a otro sitio falso que todavía no hayan cerrado.
Mientras puedan ganar dinero, los criminales continuarán optimizando sus habilidades de phishing y desarrollando nuevas técnicas. Y hay mucho dinero que ganar. “La información buena y con credenciales de una tarjeta de crédito se vende por US$70 cada tarjeta”, dice Michael Rothschild, del productor de hardware de seguridad CounterStorm. Los phishers incluso pueden vender sus datos dos veces: &Pueden vender el crédito que queda en la tarjeta y pueden vender la identidad”, asegura él.
Defensas
1- No confíe en los mensajes no solicitados de ninguna compañía, por buenos que parezcan. Los mejores sitios de phishing y mensajes de correo electrónico fraudulentos carecen de defectos obvios.
2- Escriba el URL de su banco usted mismo o use un marcador de página; no pulse nunca un vínculo en un correo electrónico.
3- Fíjese en el icono que representa un candado (lo que significa que el sitio es seguro) en la barra de herramientas del navegador, no en la página de la Web.
4- Use una de las muchas barras de herramientas antiphishing disponibles para que le advierta cuando se encuentra en un sitio de phishing conocido. Netcraft (find.pcworld.com/53700) ofrece una barra de herramientas popular y gratuita; en find.pcworld.com/53738 evaluamos otras opciones.
El agujero de seguridad humano
Nivel de peligrosidad: Alto Probabilidad: Alta Objetivo: Todos
Usted puede actualizar Windows y cada una de sus aplicaciones y usar programas de seguridad para proteger su PC, pero hay una debilidad que los pillos aprovechan constantemente y que nunca se puede corregir: la falibilidad humana.
Los villanos de la Internet cambian contantemente los trucos y las trampas que usan para tentarle a usted y son cada vez más sigilosos.
Una trampa reciente perpetrada con las subastas de eBay destaca la eficacia de un buen diseño social. Según los informes de US-CERT y las compañías de seguridad de Internet, los phishers avanzados usaban una vulnerabilidad en el sitio de eBay para agregar vínculos de subastas a las páginas de eBay. Esos vínculos llevaban a los usuarios confiados hacia un nuevo sitio que les pedía su información de usuario y contraseña de eBay. Usted sin duda sospecha de los mensajes de correo electrónico que le piden que pulse un vínculo y escriba la información de su cuenta. Pero si se lo piden después de pulsar un vínculo en una página legítima de eBay, le atraparán con la guardia baja.
Su correo electrónico recibe la misma atención. Los pillos inteligentes roban o compran direcciones de correo electrónico, no para llenarle el buzón de correo indeseado, sino para enviar mensajes cargados de virus que parecen venir de una dirección genuina, sin jamás infectar al supuesto remitente. Combinados con una lista de direcciones conocidas de correo electrónico en una compañía particular, estos mensajes falsos permiten la creación de ataques cuidadosamente confeccionados y enfocados que son mucho más exitosos que el enfoque generalizado que se utiliza hoy para distribuir casi todos los programas maliciosos. Es más probable que usted pulse sobre un documento de Word o un vínculo de correo electrónico que aparece en una nota bien redactada de alguien@ensucompañía.com.
Las direcciones de correo electrónico falsas también son útiles con ataques como el que recientemente se aprovechó de un nuevo agujero en Microsoft Word. Para verse afectado, todo lo que tenía que hacer era abrir un documento .doc adjunto… y rayos, ¿a qué viene este mensaje de Roberto en la oficina de al lado?
Los criminales saben que si pueden engañarle con un correo electrónico o con un sitio de phishing de alta calidad, estarán casi a punto de poseer su computadora. Pero por otra parte, un usuario bien informado es la mejor defensa contra cualquier ataque de Internet. Manténgase informado para mantenerse seguro.
Defensas
1- Suscríbase a los canales RSS enfocados en la seguridad para mantenerse al tanto de las últimas amenazas. Recomendamos los canales de F-Secure (www.f-secure.com/weblog), Kaspersky (www.viruslist.com/en/feeds) y Sophos (www.sophos.com).
2- Obtenga una gran cantidad de consejos de seguridad, revisiones de productos y consejos en el Spyware InfoCenter de PC World.com dirigiéndose a find.pcworld.com/53748.
Los traductores de direcciones de la Web son adulterados por los criminales
Nivel de peligrosidad: Alto Probabilidad: Alta Objetivo: Las empresas
Es muy probable que usted use servidores del Sistema de nombre de dominio (DNS) todos los días. Estos traducen los nombres fáciles de reconocer por los seres humanos, como “www.pcworld.com”, en direcciones IP numéricas que las computadoras usan para encontrarse unas a las otras en la Internet. Su ISP tiene su propio servidor de DNS, como la mayoría de las compañías. La Internet no puede funcionar sin ellos.
Pero más de un millón de servidores de DNS alrededor del mundo –hasta un 75 por ciento de todos los servidores, según la firma de redes The Measurement Factory– ejecutan programas de DNS viejos o mal configurados. Estos sistemas están sujetos a una amplia gama de ataques serios, tanto que el SANS Institute, una organización dedicada a la educación y a la investigación de seguridad en la computadora, señala el software de DNS como una de las 20 mayores vulnerabilidades de la Internet. Por ejemplo, es de sobra conocido que los piratas cibernéticos usaron servidores de DNS mal configurados en los ataques mortales de negativa de servicio que forzaron a la firma de seguridad Blue Security a cerrar sus puertas permanentemente en mayo.
Los ataques trabajan de varias maneras. Cuando los malhechores envían peticiones falsas a servidores de DNS recurrentes, los servidores responden enviando mensajes de respuesta a la víctima. Las respuestas contienen más datos de los que se pidió, magnificando así el ataque más allá de lo que los propios malhechores podrían enviar. La víctima desafortunada se ve completamente abrumada por el torrente de datos y no puede responder a peticiones genuinas de usuarios regulares.
Otra táctica delictiva es un ataque de “envenenamiento de la memoria temporal”. Con ella, un criminal puede atacar simultáneamente a cualquiera que use el servidor de DNS. Un ataque exitoso de este tipo burla al servidor de una compañía o de un ISP y lo hace enviar a quien lo usa a un sitio de phishing u otro sitio malicioso. Usted pudiera escribir www.americanexpress.com o www.yahoo.com, pero acabará en un sitio de la Web que usa todo el repertorio de trucos nuevos para instalar un arsenal de programas maliciosos en su computadora.
Defensas
1 -Pida al departamento de informática de su compañía que se asegure de que su servidor de DNS no sea recurrente y que su software esté al día. Para más información, vea el informe de US-CERT en find.pcworld.com/53972.
Los rootkits y los virus se asocian
Nivel de peligrosidad: Alto Probabilidad: Alta Objetivo: Usuarios de Windows
Los rootkits son el sueño de los escritores de software malicioso: permiten a los gusanos, robots y otro software malévolo ocultarse a simple vista. Los archivos no aparecen en el Explorador de Windows, los procesos activos no se muestran en el Administrador de tareas y muchos programas antivirus actuales no pueden encontrar los programas maliciosos escondidos por el rootkit; es por eso, precisamente, que los escritores de programas maliciosos los usan cada vez más para ocultar sus aplicaciones.
Cuando se dio a conocer el pasado mes de noviembre que algunos CD de música de Sony habían instalado software de rootkit para ocultar los archivos de protección de copias, los pillos de la Internet alegremente se apresuraron a escribir programas maliciosos que aprovechaban la creación de Sony para ocultar sus propias aplicaciones. El software de Sony escondía todos los archivos o procesos activos que comenzaran con “$sys$”, así que los oportunistas escritores de programas maliciosos cambiaron los nombres de sus archivos.
En marzo, el productor de antivirus Panda Software, que tiene su sede en España, reportó haber encontrado variaciones del virulento gusano Bagle equipadas con la funcionalidad de rootkit. Lo peor del caso es que como los productores de programas de botnet, los fabricantes de software de rootkit venden o regalan las herramientas, lo que hace más fácil para los autores de programas maliciosos construir la funcionalidad de rootkit directamente en las estirpes antiguas como Bagle, o en creaciones maliciosas totalmente nuevas.
Incluso cuando los criminales oportunistas usan los rootkits existentes, están surgiendo nuevas posibilidades para el software realmente escalofriantes. Por ejemplo, la firma de seguridad eEye salió con la idea de BootRoot, que oculta los archivos en el sector de arranque de la unidad de disco duro. Y en enero, John Heasman, consultor de seguridad que trabaja para Next-Generation Software Security, anunció que los rootkits pueden ocultar el código malicioso dentro del BIOS usando funciones en la interfaz del BIOS Advanced Configuration and Power Interface (ACPI).
Un proyecto de los investigadores de Microsoft y de la Universidad de Michigan realmente desató las posibilidades de los rootkits, ya que ideó un método para “levantar” virtualmente el sistema operativo y luego usar un software llamado SubVirt para controlarlo desde abajo. El SO creía que estaba ejecutando normalmente, pero la “máquina virtual” controlaba todo lo que veía el sistema operativo y podía ocultarse a sí misma fácilmente.
Por suerte, esta técnica no puede ser implementada a la ligera y tiende a ofrecer pistas al usuario, como un sistema que funciona más lento de la cuenta y ciertos archivos modificados. Por ahora, este tipo de rootkit extremo solamente existe como demostraciones de conceptos; pasará mucho tiempo antes de que los autores de programas maliciosos puedan lanzar este tipo de ataque.
Juego de escondidas con mucho en juego
Solamente encontrar los rootkits relativamente menos peligrosos de hoy es un serio desafío para el software de seguridad. El arte de detección y extracción es parte ingeniería, parte vudú y siempre difícil.
Detectar un rootkit en una PC de plataforma Windows es parecido a apuntar una linterna sobre los objetos de un cuarto oscuro y luego tratar de identificar cada objeto por la sombra que proyecta sobre la pared. El software especializado, como Blacklight de F-Secure y RootkitRevealer de Sysinternals, revisa el sistema de archivos y la memoria de Windows buscando las irregularidades características que los rootkits dejan detrás.
Pero esas herramientas no pueden trabajar en todos los casos. Recientemente, el programa publicitario Look2Me rompió a Blacklight inutilizando una llamada de sistema crítica. El descubrimiento fue accidental, pero los fabricantes de rootkits indudablemente prestarán atención al acontecimiento en su próxima ronda de programas maliciosos.
Defensas
1- Busque programas antivirus que ofrezcan la detección y extracción de rootkits. Las últimas aplicaciones de Kaspersky y F-Secure ahora la tienen; otros probablemente la agregarán pronto.
2 -Use un detector de rootkits como el RootkitRevealer de SysInternal (find.pcworld.com/53734) y Blacklight de F-Secure (find.pcworld.com/53736), dos programas gratuitas que puede bajar. También considere dos detectores que pronto estarán disponibles en inglés: GMER de Polonia, e IceSword de China.
Cómo lo hacen
Los programas maliciosos disfrazados ocupan su PC
-Un caballo de Troya con funcionalidad de rootkit invade una PC escondido en un programa.
-El programa malicioso hace cambios profundos en el sistema para esconderse de los antivirus.
-El caballo de Troya camuflado instala detectores de golpes de teclas y programas espías en su PC.
Los virus llaman a su teléfono móvil
Nivel de Peligrosidad: Medio Probabilidad: Baja (EE.UU.), media (Europa y Asia) Objetivo: Usuarios de celulares y teléfonos inteligentes
Como si los virus de las PC no fueran suficiente, estos programas ahora ponen la mirilla en los teléfonos móviles. Y al igual que sus parientes en las computadoras, algunos virus móviles hacen estragos bloqueando el teléfono y destrozando su sistema operativo. Otros son meras molestias que cambian iconos y hacen que el dispositivo sea más difícil de usar.
Y, por supuesto, algunos se dedican estrictamente a buscar dinero. Actualmente hay un caballo de Troya que infecta a los teléfonos rusos y envía mensajes de texto a servicios que cobran una tarifa al remitente.
Por ahora estas plagas no son un problema importante en Estados Unidos, pero son amenazas considerables en Europa y Asia. Y muchos expertos creen que es sólo cuestión de tiempo antes de que estas molestias lleguen a los teléfonos estadounidenses.
Como muchos agentes biológicos reales, el virus de los teléfonos móviles por lo general necesita estar físicamente cerca de otro teléfono susceptible para dar el salto. Los expertos de seguridad como Mikko Hyppönen, funcionario principal de investigaciones de la firma de antivirus finlandesa F-Secure, frecuentemente usa teléfonos no seguros a modo de carnada para ver lo que pica. En un viaje por Londres, el teléfono de Hyppönen fue atacado cuatro veces por medio de Bluetooth, que tiene un alcance máximo de 10 metros. Bluetooth es el vector de infección más común, pero no el único. Por ejemplo, el virus Mabir se propaga por medio de mensajes SMS.
La gran mayoría de los virus móviles afecta a los teléfonos que usan el sistema operativo Symbian, pero algunos persiguen a los teléfonos basados en Windows Mobile y Java. Después del descubrimiento de Cabir.A en junio de 2004, el número de virus ha continuado en ascenso. El 15 de mayo de 2006 existían 211 variantes, más de las 156 que había a finales de 2005.
Defensas
1- Desactive el Bluetooth abierto en su teléfono o PDA para cerrar la puerta de infección más común.
2- Busque si hay cargos inesperados en la parte detallada de la factura de su teléfono móvil.
3- Use un programa antivirus para móviles. F-Secure, Trend Micro, McAfee y Kaspersky los tienen.
RFID como posible objetivo
Nivel de peligrosidad: Medio Probabilidad: Baja Objetivo: La mayoría de los consumidores
¿Pudieran su pasaporte, un paquete de hojas de afeitar, o hasta su gato portar un virus de computadora? Aunque le parezca improbable, los hallazgos recientes de un trío de investigadores holandeses sirven para demostrar esa posibilidad.
Los chips RFID (identificación por radiofrecuencia) son pequeños dispositivos baratos que pueden incorporarse en etiquetas y en placas de identificación de mascotas, y que pronto aparecerán en las licencias de conducir y en los pasaportes de EE.UU. Se emplean para transmitir información –por ejemplo, datos de inventario para tarimas de embarque, o el número de su pasaporte– de manera electrónica a cortas distancias.
Aunque son muy útiles, algunas implementaciones de RFID tienen debilidades de seguridad. Por ejemplo, la información en algunas etiquetas puede ser modificada y otras pueden ser leídas desde una distancia extraordinariamente grande.
Sacando provecho de algunas de estas debilidades, los investigadores universitarios holandeses realizaron un polémico estudio para demostrar el concepto usando etiquetas RFID y un mando semejante a un virus para “infectar” la base de datos secundaria que almacenaba los registros de la etiqueta. En teoría, un sistema RFID podría de esta forma ser bloqueado u obligado a ejecutar un código malicioso, lo que representa una perspectiva preocupante para una tecnología que es crítica para el gobierno y las empresas.
Numerosos expertos de seguridad informática han indicado que un sistema razonablemente bien construido con un “middleware” eficaz entre el lector RFID y la base de datos probablemente no sería vulnerable a tal ataque. Y, además, los chips RFID de importancia crítica pueden usar el cifrado y cubiertas protectoras contra la posibilidad de adquirir una carga maliciosa no solicitada. Los futuros pasaportes de EE.UU. usarán ambas medidas.
No obstante, el estudio ilustra un punto básico: casi todos los sistemas tienen defectos que se pueden explotar. Así que no pierda de vista su gato.
Defensas
1- Las señales RFID no pueden traspasar el metal ni las cubiertas forradas en papel de aluminio. Si usted es portador de un pase de seguridad RFID, manténgalo en un estuche de metal para tarjetas de presentación o en un envase similar.
El secuestro de sus datos
Nivel de peligrosidad: Medio Probabilidad: Baja Objetivo: Usuarios de Windows
Suena como algo que hubiera tramado el Dr. Maligno, el enemigo de Austin Powers: entrar en las computadoras de sus víctimas, secuestrar sus archivos y mantenerlos como rehén hasta que paguen por su devolución. Pero estos ataques, aunque raros, han ocurrido en todo el mundo.
Cryzip, uno de los primeros ejemplos de “ransomware” (software de rescate), busca 44 tipos diferentes de archivo (como los de Microsoft Word o Excel) en una unidad de disco duro y los comprime en un archivo zip protegido por contraseña. Entonces instruye a la víctima a que deposite US$300 en una de 99 cuentas e-gold diferentes, seleccionadas al azar. Una vez depositado el dinero, los criminales proveen a la víctima la contraseña necesaria.
En mayo, apareció otra aplicación de ransomware llamada Arhiveus (find.pcworld.com/53740). En vez de enviar los pagos a una cuenta e-gold potencialmente identificable, ordenaba a las víctimas que compraran medicinas por receta en una determinada farmacia en línea y luego enviaran la identificación del pedido al autor del programa malicioso como prueba de pago.
“Parece una farmacia de Rusia que tiene su hospedaje en China”, dice Joe Stewart de Lurhq. “Pegado [al URL] hay algo que parece la identificación de un afiliado, probablemente están recibiendo una tajada”. Tras examinar a Cryzip y Anhiveus, Stewart encontró las contraseñas necesarias para “liberar” los datos intercalados en el propio código del programa malicioso, sin ningún cifrado.
Los usuarios conocedores a veces también se ponen de suerte. Richmond Mathewson, un programador de Plovdiv, Bulgaria, se las arregló para rescatar la mayoría de la información perteneciente a una amiga después que ella encontrara que todo el contenido de su carpeta ‘Mis documentos’ había desaparecido y se había llevado con él todos sus archivos de trabajo, archivos de los cuales no había hecho copias de seguridad. Cuando miró en la computadora, Mathewson encontró la simple pero escalofriante nota de rescate de Arhiveus. Pudo resolver la situación gracias a su Mac Mini, una herramienta gratuita de recuperación de archivos y casi 4 horas de labor. Pero dice él que la recuperación no fue completa: “Hasta la fecha, el 5 por ciento de los archivos no ha podido ser recuperado”.
Actualmente, el ransomware no es muy avanzado y tiene un alcance limitado. Además de incluir la contraseña con el programa, Arhiveus descarga todos los archivos de la víctima en un largo archivo llamado “EncryptedFiles.als”, pero realmente no cifra ni protege el archivo.
“Por el momento, la amenaza es muy pequeña para el usuario medio”, dice Stewart. “Yo diría que el número de infecciones de ransomware a escala mundial sería de unos pocos miles… a estos individuos no les conviene la publicidad. Mientras no hagan mucho ruido y se concentren en personas que no tienen medios de combatirles, tienen más probabilidades de que les paguen”.
Pero “ésta parece ser sólo la fase inicial de la amenaza”, agrega Stewart. Como otros tipos de ataque, el ransomware evolucionará a medida que los criminales se den cuenta de las cosas que funcionan y perfeccionen su enfoque. “Y ya que Arhiveus está probando cómo funcionaría mezclar el ransomware con la compra de productos afiliados en tiendas en línea de poca reputación, éste pudiera ser el comienzo de algo aun mayor”, asegura él.
Defensas
1 -Si usted es una víctima, acuda a la policía. No pague el rescate y no visite ninguno de los vínculos que figuran en la nota de rescate.
2 -Anote los detalles de cualquier nota o mensajes de rescate y apague la PC infectada. Desde una PC que no esté infectada realice una búsqueda en la Web usando los detalles de la nota de rescate. Es posible que pueda encontrar la contraseña en línea.
3 -Trate de usar un programa de recuperación de archivos (vea find.pcworld.com/53976 para algunas opciones gratuitas). Sin embargo, es posible que algunos archivos no se puedan recuperar.
Cómo lo hacen
La extorsión, al estilo de los programas maliciosos
-Un usuario desprevenido navega accidentalmente por un sitio malicioso de la Web y el caballo de Troya con el ransomware se escabulle en la PC.
-El ransomware comprime todo el contenido de la carpeta Mis documentos y lo guarda en un archivo protegido por contraseña.
-El usuario recibe una nota de rescate en la que le exigen dinero, o comprar en una determinada tienda en línea, a cambio de la contraseña.
No hay refugio seguro: las amenazas plagan todas las plataformas
Nivel de peligrosidad: Alto Probabilidad: Alta Objetivo: Usuarios de Windows, Mac y Linux
Los usuarios de Mac y Linux han estado comprensiblemente confiados mientras los usuarios de Windows sufren una serie aparentemente interminable de ataques que aprovechan agujero tras agujero en el sistema operativo de Microsoft. Pero esos sistemas operativos –que una vez fueron considerados refugios seguros para la computación– están cada vez más agobiados por sus propios problemas.
La Mac está siendo asediada por los malhechores que tratan de explotar los más de 70 agujeros de seguridad reportados en el OS X. Una de estas vulnerabilidades fue aprovechada en febrero por el primer programa malicioso en golpear al OS X Tiger: el gusano de mensajes instantáneos llamado Oompa-loompa. Y aunque los usuarios de Internet Explorer probablemente están más que acostumbrados a oír informes de nuevos errores en el navegador que podrían permitir “la ejecución remota de código” (léase: dar el control de su PC a un atacante), los usuarios de Mac ahora también tienen que cuidarse: el más reciente de los tres parches de seguridad de Apple este año cerró uno de esos agujeros en el navegador Safari.
A Linux también le han caído gusanos; el número de programas maléficos que persiguen a ese SO se duplicó entre 2004 y 2005. Los rootkits, la creciente amenaza para las PC de plataforma Windows, realmente se originaron como ataques diseñados para arrebatar el control al usuario administrativo “raíz” (“root”) en los sistemas operativos de Unix. Además, aunque parte del atractivo del código abierto es poder instalar rápidamente su propio servidor personal de correo electrónico o de la Web, hacerlo pudiera traerle un número de riesgos de seguridad nuevos e imprevistos.
La última variante son los programas maliciosos para varias plataformas, es decir, programas individuales que pueden atacar a dos o más tipos de sistemas.
Una demostración de este concepto, un virus que ataca tanto a Windows como a Linux, apareció en abril. El virus, creado por la firma antivirus Kaspersky, no tiene la carga dañina y es inocuo. Llamado Virus.Linux.Bi.a o Virus.Win32.Bi.a, puede infectar un solo tipo de formato de archivo de Linux (ELF) y un tipo de formato de archivo de Windows (PE). Y está basado en elementos antiguos de Linux que ya no forman parte de los sistemas más modernos. No obstante, causó suficiente alarma para que Linus Torvalds, creador de Linux, escribiera una corrección.
La popularidad de Windows significa que los programas maliciosos que atacan sus muchos agujeros de seguridad tienen más oportunidad de infectar la mayor cantidad de PC. Pero a medida que los sistemas operativos alternos crezcan en popularidad, también serán un blanco más atractivo.
Defensas
1- Considere el empleo de un programa antivirus para Mac o Linux, como el Panda Antivirus para Linux y los productos para Mac de marcas como McAfee y Symantec. Como mínimo, será un buen ciudadano y ayudará a paliar la propagación de virus que afecta a Windows.
2- No importa cuál sea su SO, manténgalo completamente actualizado y reparado con sus parches de seguridad.
Recuento de amenazas
Los agujeros del SO abundan
El número de avisos de seguridad emitidos para los sistemas operativos que se relacionan abajo muestra que Microsoft no está solo cuando se trata de vulnerabilidad, pero Apple parece que publica los parches antes que los demás.
Sistema operativo 2004 2005 20061
Windows XP Home 28 37 6
(y siguen sin reparar)2 5 8 1
Windows XP Pro 29 45 10
(y siguen sin reparar)2 5 9 1
Windows 2000 Pro 24 37 5
(y siguen sin reparar)2 2 5 1
Linux (kernel 2.6.x) 30 33 23
(y siguen sin reparar)2 9 4 2
Mac OS X3 15 22 7
Fuente: Secunia.com 1: Hasta el 22 de mayo de 2006. 2: Problemas para los cuales no había ninguna corrección parcial ni parche total disponible el 22 de mayo de 2006. 3: Todas las vulnerabilidades reportadas han sido corregidas o se han emitido parches para ellas.
-Andrew Brandt.