Microsoft.com
Bienvenido Iniciar sesión
Recursos para Profesionales de TI
 Versión imprimible       Enviar     
Evaluar y enviar comentarios
TechNet
Seguridad
 Guía de defensa en profundidad anti...

  Activar vista de ancho de banda bajo
Guía de defensa en profundidad antivirus

Capítulo 2: Amenazas de software malintencionado

Publicado: mayo 20, aaaa

En esta página

Introducción
Evolución de los virus informáticos
Definición del software malintencionado
Características del software malintencionado
¿Qué no se considera software malintencionado?
Software antivirus
Ciclo de vida típico del software malintencionado en circulación
Resumen

Introducción

En este capítulo de la Guía de defensa en profundidad antivirus se describe de forma concisa la evolución de los virus informáticos, desde los primeros virus relativamente simples hasta la gran diversidad de software malintencionado o malware que existe hoy en día. Asimismo, se definen distintos tipos y técnicas comunes de software malintencionado, se proporciona información sobre su propagación y se analizan los riesgos que suponen para cualquier tipo de organización.

Dada la continua evolución de los virus informáticos, sería imposible incluir y explicar en esta guía todos los tipos de software malintencionado junto con sus posibles variaciones. No obstante, este documento constituye un primer paso muy importante hacia el entendimiento de la naturaleza de los distintos elementos que componen este tipo de software. En esta guía también se presentan y definen otros ejemplos que no pertenecen a la categoría de software malintencionado, como spyware (programas espía que realizan ciertas actividades en un equipo determinado sin el consentimiento del usuario), spam (correo electrónico no deseado o solicitado) y adware (publicidad no deseada integrada en software).

Evolución de los virus informáticos

Los primeros virus informáticos aparecieron a principios de los 80. Se trataba, en su mayoría, de archivos relativamente simples de replicación automática que mostraban burlas o bromas cuando se los ejecutaba.

Nota: es necesario señalar que resulta prácticamente imposible ofrecer un historial definitivo de la evolución de los virus informáticos. La propia naturaleza ilegal del software malintencionado hace que los responsables de los ataques intenten ocultar su origen. En esta guía se describe la historia del software malintencionado comúnmente aceptada y avalada por los investigadores de virus informáticos y los proveedores de productos antivirus.

En 1986 aparecieron los primeros casos de ataques de virus informáticos a equipos Microsoft® MS-DOS®, de los cuales se identificó al virus Brain como el primero de todos. Sin embargo, en 1986 aparecieron otros virus: Virdem (el primer virus de archivos) y PC-Write (el primer troyano; un programa aparentemente útil o inofensivo que en realidad contiene código oculto diseñado para dañar o beneficiarse del sistema en el que se ejecuta). En el caso de PC-Write, se trataba de un troyano oculto que utilizaba el mismo nombre que una conocida aplicación de procesamiento de textos que se distribuía como "shareware".

A medida que más usuarios se iniciaban en la tecnología de creación de virus informáticos, comenzó a aumentar considerablemente su número, la complejidad y diversidad de los virus informáticos y las plataformas susceptibles de ser atacadas. Durante un tiempo, los ataques se centraron en los sectores de inicio. Más tarde pasaron a infectar los archivos ejecutables. En 1988 apareció el primer gusano de Internet (un tipo de software malintencionado que utiliza código malintencionado de propagación automática capaz de distribuirse de un equipo a otro a través de las conexiones de red). El gusano Morris, por ejemplo, consiguió ralentizar considerablemente las comunicaciones de Internet. En respuesta a esta situación y al creciente número de ataques de virus registrados, se fundó el Centro de coordinación de CERT: http://www.cert.org/ (en inglés). Su objetivo era garantizar la estabilidad de Internet prestando asistencia para coordinar las respuestas a ataques de virus y otro tipo de incidencias.

En 1990 apareció en Internet la primera BBS de intercambio de virus, que utilizaban los creadores de virus para colaborar y compartir sus conocimientos. También en esta época se publicó el primer libro sobre creación de virus y se desarrolló el primer virus polimórfico (conocido comúnmente como Camaleón o Casper). Un virus polimórfico es un tipo de software malintencionado que utiliza un número ilimitado de rutinas de cifrado para evitar ser detectado. Este tipo de virus tiene la capacidad de modificarse cada vez que se replica, lo que dificulta su detección mediante programas antivirus basados en firmas, diseñados para "reconocer" virus. Poco después hizo su aparición Tequila, el primer gran virus polimórfico. En 1992 apareció el primer motor de virus polimórficos y los primeros kits de herramientas para la creación de virus.

Desde entonces, el nivel de sofisticación de los virus ha aumentado considerablemente: aparecieron virus informáticos capaces de obtener acceso a las libretas de direcciones de correo electrónico y enviarse a sí mismos a los contactos; virus de macro que se adjuntaban por sí solos y atacaban distintos archivos de aplicaciones tipo Office; y virus creados específicamente para aprovechar las vulnerabilidades de los sistemas operativos y aplicaciones. Los virus informáticos aprovechan las vulnerabilidades del correo electrónico, de las redes de uso compartido de archivos de igual a igual (P2P), de los sitios Web, de las unidades compartidas y de los productos para replicarse y atacar. Asimismo, crean puertas traseras (puntos de entrada de red secretos u ocultos a través de los cuales penetra el software malintencionado) en los sistemas infectados para permitir a los creadores de virus, o intrusos, regresar y ejecutar el software que deseen. En el contexto de esta guía, un intruso es un programador o usuario de un equipo que intenta obtener acceso a un sistema o una red informática de forma ilegal. En la sección siguiente de este capítulo se trata el software malintencionado en profundidad.

Determinados virus informáticos incorporan su propio motor de correo electrónico incrustado, a través del cual pueden propagarse directamente por correo electrónico desde un sistema infectado, obviando la configuración del cliente o servidor de correo electrónico del usuario. Los creadores de virus también han comenzado a estructurar cuidadosamente sus ataques y a utilizar la ingeniería social para desarrollar mensajes de correo electrónico con aspecto y diseño auténticos. Con ello se pretende engañar a los usuarios para que abran el archivo con el virus adjunto, aumentando, de este modo, la posibilidad de que tenga lugar una infección a gran escala.

Al tiempo que el software malintencionado ha evolucionado, se ha desarrollado también software antivirus para contrarrestarlo. No obstante, la mayoría del software antivirus actual se basa casi por completo en las firmas de virus (características de identificación de software malintencionado) para detectar el código potencialmente dañino. Esto beneficia a los creadores de virus en tanto que aprovechan el período que va desde el lanzamiento del virus hasta que los proveedores de software antivirus distribuyen a gran escala los archivos de firma. Por ello la norma general es que la tasa de infección del virus sea tremendamente elevada durante los primeros días, y que se produzca un declive pronunciado una vez que se distribuyen los archivos de firma.

Definición del software malintencionado

En esta guía se utiliza el término software malintencionado o malware (procedente del término inglés "malicious software") como denominación colectiva para hacer referencia a los virus, gusanos y troyanos que realizan tareas malintencionadas en un sistema informático con total premeditación.

Por tanto, ¿qué es exactamente un virus o un gusano informático? ¿En qué se diferencian de los troyanos? ¿Actúan las aplicaciones antivirus sólo frente a gusanos y troyanos, o sólo ante virus?

Estas preguntas surgen dada la gran confusión, y a menudo la distorsión, que acompaña al concepto de código malintencionado. La gran cantidad y variedad de código malintencionado existente hace difícil proporcionar una definición exacta de cada una de sus categorías.

A continuación se muestran varias definiciones simples de carácter general de categorías de software malintencionado:

  • Troyano. Programa aparentemente útil o inofensivo que en realidad contiene código oculto diseñado para dañar o beneficiarse del sistema en el que se ejecuta. Los troyanos se envían normalmente a través de mensajes de correo electrónico que falsean el objetivo y la función del programa. También se denominan códigos troyanos. El troyano deja una carga o realiza una tarea malintencionada cuando se ejecuta.

  • Gusano. Los gusanos utilizan código malintencionado de propagación automática capaz de distribuirse de un equipo a otro a través de las conexiones de red. Los gusanos pueden realizar acciones dañinas, como consumir los recursos de la red o del sistema local, dando lugar probablemente a un ataque de denegación de servicio. Determinados tipos de gusanos se pueden ejecutar y propagar sin la intervención del usuario, mientras que otros requieren que éste ejecute directamente el código para su propagación. Además de replicarse, los gusanos también pueden dejar una carga.

  • Virus. Los virus ejecutan código escrito con la intención expresa de replicarse. Se intentan propagar de un equipo a otro adjuntándose a un programa host. Pueden dañar elementos de hardware, software o datos. Cuando el host se ejecuta, también lo hace el código del virus, infectando nuevos hosts y, en ocasiones, dejando una carga adicional.

A efectos de esta guía, carga es un término colectivo que hace referencia a las acciones que realiza el software malintencionado en un equipo infectado. Estas definiciones de las distintas categorías de software malintencionado permiten presentar las diferencias entre ellas en un simple gráfico de flujo. En la ilustración siguiente se muestran los elementos que permiten determinar si un programa o una secuencia de comandos se incluye dentro de alguna de las categorías:

Figura 2.1 Árbol de decisión para determinar si se trata de código malintencionado

Figura 2.1 Árbol de decisión para determinar si se trata de código malintencionado

La ilustración nos permite distinguir las categorías de código malintencionado más comunes según se presentan en esta guía. No obstante, es importante señalar que un mismo ataque puede introducir código que se ajuste a varias de estas categorías. Estos tipos de ataque (conocidos como amenazas mixtas porque constan de más de un tipo de software malintencionado y utilizan varios vectores de ataque) se pueden propagar muy rápidamente. Un vector de ataque es la ruta que el software malintencionado puede utilizar para realizar un ataque. Por ello, la defensa frente a las amenazas mixtas puede resultar especialmente difícil.

En las secciones siguientes se ofrece una explicación más detallada de cada categoría de software malintencionado y de algunos de los elementos clave que lo componen.

Troyanos

Los troyanos no se consideran virus informáticos ni gusanos porque no se pueden propagar por sí mismos. No obstante, se puede utilizar un virus o un gusano para copiar un troyano en el sistema que se desea atacar como parte de una carga de ataque. Este proceso se denomina colocación. Normalmente, los troyanos tienen como objetivo interrumpir el trabajo del usuario o el funcionamiento normal del sistema. Por ejemplo, los troyanos pueden crear una puerta trasera en el sistema para que los atacantes puedan robar datos o cambiar la configuración.

Hay otros dos términos que se suelen utilizar al hablar de troyanos o actividades troyanas; se identifican y explican a continuación:

  • Troyanos de acceso remoto. Algunos programas troyanos permiten al atacante o ladrón de datos hacerse con el control de un sistema de forma remota. Estos programas se denominan troyanos de acceso remoto (RAT) o puertas traseras. Varios ejemplos de RAT son: Back Orifice, Cafeene y SubSeven.

    Para obtener una explicación detallada de este tipo de troyano, consulte el artículo "Danger: Remote Access Trojans" en Microsoft TechNet:
    http://www.microsoft.com/technet/security/topics/virus/virusrat.mspx (en inglés).

  • Rootkits. Se trata de colecciones de programas de software que los atacantes utilizan para obtener acceso remoto no autorizado a un equipo y ejecutar ataques adicionales. Pueden utilizar varias técnicas diferentes, entre las que se incluyen el seguimiento de las pulsaciones de teclas, el cambio de los archivos de registro o de las aplicaciones existentes en el sistema, la creación de puertas traseras y el ataque a otros equipos de la red. Por lo general, los rootkits se organizan como un conjunto de herramientas que se adaptan específicamente para atacar a un sistema operativo determinado. Los primeros aparecieron a principios de los 90, siendo sus principales objetivos los sistemas operativos Sun y Linux. Actualmente son muchos los sistemas operativos objetivo, entre ellos la plataforma Microsoft® Windows®.

    Nota: no hay que olvidar que tanto los RAT como determinadas herramientas que forman los rootkits pueden tener usos legítimos de control remoto y seguimiento. No obstante, se trata de herramientas que pueden suponer problemas para la seguridad y privacidad, lo que aumenta los riesgos globales de los entornos en los que se utilizan.

Gusanos

Si el código malintencionado se replica, no se trata de un troyano. Por tanto, la cuestión que debe plantearse para definir más claramente el software malintencionado es la siguiente: "¿Puede el código replicarse sin necesidad de un portador?". Es decir, ¿puede replicarse sin necesidad de infectar un archivo ejecutable? Si la respuesta a esta pregunta es "Sí", el código se considera un tipo de gusano.

La mayoría de los gusanos intentan copiarse a sí mismos en un equipo host para, a continuación, utilizar sus canales de comunicación y replicarse. El gusano Sasser, por ejemplo, se aprovecha inicialmente de la vulnerabilidad de un servicio para infectar un sistema y, a continuación, utiliza la conexión de red del mismo para intentar replicarse. Si ha instalado las últimas actualizaciones de seguridad (para detener la infección) o ha habilitado los servidores de seguridad de su entorno para bloquear los puertos de red utilizados por el gusano (para detener la replicación), el ataque no tendrá éxito.

Virus

Si el código malintencionado agrega una copia de sí mismo a un archivo, documento o sector de inicio de una unidad de disco con el fin de replicarse, estaremos frente a un virus. Puede ser una copia directa del virus original o una versión modificada del mismo. Para obtener información más detallada al respecto, consulte la sección "Mecanismos de defensa" que aparece más adelante en este capítulo. Como se mencionó anteriormente, los virus contienen a menudo cargas que pueden colocar en un equipo local, por ejemplo, un troyano, que realizará una o varias acciones malintencionadas, como la eliminación de datos del usuario. No obstante, aunque el virus sólo se replique y no contenga carga, seguimos estando frente a un problema de software malintencionado, ya que el virus es capaz de dañar datos, utilizar recursos del sistema y consumir ancho de banda de red a medida que se replica.

Características del software malintencionado

Las características de las distintas categorías de software malintencionado son a menudo muy similares. Por ejemplo, los virus y los gusanos pueden utilizar la red como mecanismo de transporte. No obstante, mientras que el virus buscará archivos que infectar, el gusano sólo intentará copiarse a sí mismo. En la sección siguiente se explican las características típicas del software malintencionado.

Entornos objetivo

Para que el ataque del software malintencionado a un sistema host tenga éxito, es necesario que disponga de una serie de componentes específicos. A continuación se muestran varios ejemplos típicos de componentes que requiere el software malintencionado para lanzar un ataque a un sistema host:

  • Dispositivos. Ciertos tipos de software malintencionado se dirigen específicamente a un tipo de dispositivo determinado, como un PC, un equipo Apple Macintosh o incluso un dispositivo PDA, aunque este último caso es muy poco común en la actualidad.

  • Sistemas operativos. En determinadas ocasiones, el software malintencionado requiere un sistema operativo determinado para ser efectivo. Por ejemplo, los virus CIH o Chernobyl de finales de los 90 sólo podían atacar equipos Microsoft Windows® 95 o Windows® 98.

  • Aplicaciones. También puede que el software malintencionado requiera que en el equipo al que va a atacar esté instalada una aplicación determinada para poder dejar una carga o replicarse. Por ejemplo, el virus LFM.926 de 2002 sólo podía atacar si los archivos Shockwave Flash (.swf) se ejecutaban en el equipo local.

Portadores

Cuando el software malintencionado es un virus, intenta atacar a un portador (también conocido como host) e infectarlo. El número y tipo de portadores susceptibles de ser atacados varía considerablemente, no obstante, en la lista siguiente se muestran algunos ejemplos de los portadores que suelen ser objeto de ataques con mayor frecuencia:

  • Archivos ejecutables. Se trata del objetivo del virus "clásico", que se replica adjuntándose a un programa host. Además de los archivos ejecutables típicos que utilizan la extensión .exe, también pueden ser objeto de ataques archivos con las siguientes extensiones: .com, .sys, .dll, .ovl, .ocx y .prg.

  • Secuencias de comandos. Los ataques que utilizan secuencias de comandos como portadores se dirigen a archivos que utilizan un lenguaje de secuencias de comandos como Microsoft Visual Basic® Script, JavaScript, AppleScript o Perl Script. Entre las extensiones de este tipo de archivos se encuentran: .vbs, .js, .wsh y .prl.

  • Macros. Estos portadores son archivos que admiten el lenguaje de secuencias de comandos con macros de una aplicación determinada, como una aplicación de procesamiento de textos, de hoja de cálculo o de base de datos. Por ejemplo, los virus pueden utilizar los lenguajes de macro de Microsoft Word y Lotus Ami Pro para producir una serie de efectos, desde pequeñas malas pasadas (cambio de palabras en el documento o de colores) hasta acciones malintencionadas (formateo del disco duro del equipo).

  • Sector de inicio. Otras áreas específicas del disco del equipo (discos duros y medios extraíbles de inicio), como el registro de inicio maestro (MBR) o el registro de inicio de DOS, también se pueden considerar portadores, dada su capacidad de ejecutar código malintencionado. Una vez que el disco se ha infectado, la replicación tiene lugar cuando éste se utiliza para iniciar otros sistemas.

    Nota: si el virus intenta infectar tanto a archivos como a sectores de inicio, hablamos de un virus multipartite.

Mecanismos de transporte

La replicación de los ataques de virus en distintos sistemas informáticos se puede llevar a cabo a través de uno o varios métodos diferentes. En esta sección se proporciona información sobre algunos de los mecanismos de transporte más comunes utilizados por el software malintencionado.

  • Medios extraíbles. La transferencia de archivos es el primer y probablemente más utilizado método de transmisión de virus informáticos y otro tipo de software malintencionado (al menos, hasta el momento). Se inició con los disquetes, luego pasó a las redes y, en la actualidad, utiliza nuevos medios, como los dispositivos de bus serie universal (USB) y los servidores de seguridad. Aunque la tasa de infección no es tan alta como la del software malintencionado transmitido a través de redes, la amenaza siempre está presente. Resulta difícil de erradicar completamente dada la necesidad de intercambiar datos entre sistemas.

  • Recursos compartidos de red. Cuando los equipos dispusieron de un método que les permitía conectarse entre sí directamente a través de una red, se abrió ante los creadores de software malintencionado un nuevo mecanismo de transporte que superaba a los medios extraíbles en cuanto a capacidad de propagar código malintencionado. Cuando el sistema de seguridad de los recursos compartidos de red está mal implementado, se obtiene como consecuencia un entorno apto para la replicación de software malintencionado a un gran número de equipos conectados. El uso de los recursos compartidos ha reemplazado en gran medida al de los medios extraíbles.

  • Exploración de la red. Los creadores de software malintencionado utilizan este mecanismo para explorar redes en busca de equipos vulnerables o para atacar de forma aleatoria direcciones IP. Con este mecanismo, por ejemplo, se puede enviar un paquete utilizando un puerto de red específico a un intervalo determinado de direcciones IP en busca de un equipo vulnerable al que poder atacar.

  • Redes de igual a igual (P2P). Para que tenga lugar una transferencia de archivos P2P, es necesario que el usuario instale previamente un componente cliente de la aplicación P2P que utilice uno de los puertos autorizados en el servidor de seguridad de la organización, por ejemplo, el puerto 80. Las aplicaciones utilizan este puerto para atravesar el servidor de seguridad y transferir archivos directamente de un equipo a otro. Estas aplicaciones se pueden obtener fácilmente en Internet y proporcionan un mecanismo de transporte que los creadores de software malintencionado utilizan directamente para propagar un archivo infectado en el disco duro de un cliente.

  • Correo electrónico. El correo electrónico se ha convertido en el mecanismo de transporte utilizado por muchos creadores de software malintencionado. La facilidad con la que se puede llegar a cientos de miles de personas a través del correo electrónico sin necesidad de que los responsables del ataque abandonen sus equipos ha hecho de este mecanismo un método de transporte muy efectivo. Resulta relativamente sencillo engañar a los usuarios para que abran archivos adjuntos al correo electrónico (utilizando técnicas de ingeniería social). No es de extrañar, por tanto, que muchos de los ataques de software malintencionado más prolíficos hayan utilizado el correo electrónico como transporte. Existen dos tipos básicos de software malintencionado que lo utilizan de forma específica:

    • Servicio de envío de correo. Este tipo de software malintencionado se envía a sí mismo por correo a un número limitado de direcciones, bien utilizando el software de correo instalado en el host (por ejemplo, Microsoft Outlook® Express), bien empleando su propio motor integrado de protocolo simple de transferencia de correo (SMTP).

    • Servicio de envío de correo masivo. Este tipo de software malintencionado busca en el equipo infectado direcciones de correo electrónico y, a continuación, se envía a sí mismo de forma masiva a dichas direcciones, utilizando el software de correo instalado en el host o su propio motor integrado SMTP.

  • Aprovechamiento remoto. El software malintencionado puede intentar aprovechar una vulnerabilidad determinada de un servicio o aplicación para replicarse. Este comportamiento se observa a menudo en los gusanos; por ejemplo, el gusano Slammer aprovechó una de las vulnerabilidades de Microsoft SQL Server™ 2000 para generar una saturación de búfer que permitió que se sobrescribiera una parte de la memoria del sistema con código que se podía ejecutar en el mismo contexto de seguridad que el servicio SQL Server. Las saturaciones de búfer se producen al agregar una cantidad de información superior a la que el búfer es capaz de contener. Se trata de una vulnerabilidad muy aprovechada por los atacantes para hacerse con un sistema. Aunque Microsoft ya había identificado y solucionado esta vulnerabilidad meses antes de que apareciera Slammer, pocos sistemas se habían actualizado, por lo que el gusano se pudo propagar.

Cargas

Una vez el software malintencionado ha alcanzado el equipo host a través del transporte, generalmente realizará una acción denominada carga, que puede adoptar diferentes formas. En esta sección se identifican algunos de los tipos de carga más habituales:

  • Puerta trasera. Este tipo de carga permite el acceso no autorizado a un equipo. Aunque puede proporcionar acceso completo, también se puede limitar, por ejemplo, a habilitar el acceso mediante el protocolo de transferencia de archivos (FTP) a través del puerto 21 del equipo. Si el ataque se produjo para habilitar Telnet, un intruso podría utilizar el equipo infectado como área de almacenamiento temporal para los ataques a través de Telnet en otros equipos. Como se ha mencionado anteriormente, una puerta trasera en ocasiones se conoce como troyano de acceso remoto.

  • Daños o eliminación de datos. Uno de los tipos de carga más destructivos puede ser un código malintencionado que daña o elimina los datos, y deja inservible la información del equipo del usuario. El creador del software malintencionado tiene dos opciones: la primera consiste en crear la carga de modo que se ejecute con rapidez. Aunque es potencialmente desastroso para el equipo que infecta, el diseño del software malintencionado permite descubrirlo antes y esto favorece que se reduzcan las posibilidades de que se replique sin ser detectado. La otra opción consiste en dejar la carga en el sistema local (a modo de troyano) durante un período de tiempo (consulte la sección "Mecanismos de activación" más adelante en este capítulo para ver ejemplos) para que el software malintencionado se extienda antes de que se intente entregar la carga y, por lo tanto, se alerte al usuario de su presencia.

  • Robo de información. Un tipo de carga de software malintencionado especialmente preocupante es el que se ha diseñado para robar información. Si una carga compromete la seguridad de un equipo host, podrá proporcionar un mecanismo para pasar información a los atacantes. Esto puede ocurrir de diferentes formas; por ejemplo, la carga de software malintencionado puede automatizar una transferencia con el objetivo de capturar archivos locales o información tal como las teclas que el usuario presiona (con el fin de intentar obtener el nombre y la contraseña del usuario). Otro mecanismo consiste en proporcionar un entorno en el host local que permita al atacante controlarlo de forma remota u obtener acceso a los archivos del sistema directamente.

  • Denegación de servicio (DoS). Uno de los tipos de carga de aplicación más sencilla es el ataque de denegación de servicio, que consiste en un asalto computerizado que inicia un atacante para sobrecargar o detener un servicio de red, por ejemplo un servidor Web o de archivos. El objetivo de los ataques DoS es simplemente dejar inutilizable un servicio determinado durante un período de tiempo.

    • Denegación de servicio distribuida (DDoS). Estos tipos de ataques utilizan habitualmente clientes infectados que desconocen por completo que participan en el ataque. Un ataque DDoS es un tipo de denegación de servicio en el que un usuario utiliza código malintencionado instalado en varios equipos para alcanzar un único objetivo. Con este método se puede conseguir un efecto mayor en el objetivo de lo que se podría obtener si se usara un único equipo. La semántica del ataque varía de unos a otros, si bien generalmente implica el envío de grandes cantidades de datos a un host o un sitio Web específico, que hacen que éste deje de responder (o se vuelva incapaz de responder) al tráfico legítimo. De este modo, inunda el ancho de banda disponible en el sitio de la víctima y hace que se quede sin conexión.

      Puede resultar extremadamente difícil defenderse de este tipo de ataque, puesto que los hosts responsables son de hecho víctimas involuntarias. Los ataques DDoS generalmente se llevan a cabo mediante bots (programas que realizan tareas repetitivas), como Eggdrop de Internet Relay Chat (IRC), que un intruso puede utilizar para controlar los equipos "víctimas" a través de un canal IRC. Una vez que esos equipos quedan bajo el control del intruso, se convierten en zombies que pueden atacar a un objetivo bajo las órdenes del intruso y sin el conocimiento de sus propietarios.

    Los ataques DoS y DDoS pueden implicar distintas técnicas, entre las que se incluyen:

    • Cierres del sistema. Si el software malintencionado consigue apagar o bloquear el sistema host, puede ocasionar problemas en uno o varios servicios. Para poder atacar el sistema host y hacer que se apague, el software malintencionado debe encontrar un punto débil en una aplicación o en el sistema operativo.

    • Inundación del ancho de banda. La mayor parte de los servicios que se proporcionan en Internet están vinculados a través de una conexión de red de banda ancha limitada que los conecta a sus clientes. Si un creador de software malintencionado puede entregar una carga que ocupe este ancho de banda con tráfico de red falso, puede producir una denegación de servicio simplemente impidiendo que los clientes puedan conectarse directamente al mismo.

    • Denegación de servicio de red. Este tipo de carga intenta sobrecargar los recursos disponibles para el host local. Recursos como el microprocesador y la capacidad de la memoria quedan saturados por los ataques del tipo inundación de paquetes SYN, en los que un atacante utiliza un programa para enviar múltiples solicitudes de SYN de TCP con el fin de llenar la cola de conexión pendiente en el servidor e impedir el tráfico de red legítimo a y desde el host. Los ataques del tipo bomba de correo también saturan los recursos de almacenamiento para crear un ataque DoS, en el que se envía a una dirección una cantidad excesiva de datos de correo electrónico en un intento de ocasionar problemas en el programa de correo electrónico o de impedir que el destinatario reciba otros mensajes legítimos.

    • Problemas en los servicios. Este tipo de carga también puede ocasionar una denegación de servicio. Por ejemplo, esta técnica de ataque DoS tiene éxito cuando el ataque en un servidor de Sistema de nombres de dominio (DNS) deshabilita el servicio DNS. Sin embargo, puede que todos los demás servicios del sistema no resulten afectados.

Mecanismos de activación

Los mecanismos de activación son una característica que el software malintencionado utiliza para iniciar la replicación o la entrega de la carga. Entre los mecanismos de activación típicos se encuentran los siguientes:

  • Ejecución manual. Consiste simplemente en la ejecución del software malintencionado por parte de la propia víctima.

    • Ingeniería social. El software malintencionado utilizará con frecuencia alguna forma de ingeniería social para tratar de engañar a una víctima y conseguir que ejecute manualmente el código malintencionado. El enfoque puede resultar relativamente sencillo, como el de los gusanos de correo masivo, en los que el elemento de ingeniería social se centra en seleccionar el texto del campo Asunto del mensaje de correo electrónico que tenga más posibilidades de ser abierto por una víctima potencial. Los creadores de software malintencionado pueden utilizar asimismo la suplantación de correo electrónico para intentar hacer creer a la víctima que un mensaje proviene de un remitente de confianza. La suplantación es el acto de imitar un sitio Web o una transmisión de datos para hacer que parezcan auténticos. Por ejemplo, el gusano Dumaru original que apareció por primera vez en 2003 modificaba el campo De: de los mensajes de correo electrónico para hacer creer que se enviaban desde security@microsoft.com. (Consulte la sección "Mensajes de virus falsos" en el siguiente apartado de este capítulo para obtener más información sobre esta característica.)

  • Ejecución semiautomática. Este tipo de mecanismo de activación lo inicia primero la propia víctima y a partir de ahí se ejecuta automáticamente.

  • Ejecución automática. Este mecanismo de activación no requiere de ninguna ejecución manual. El software malintencionado lleva a cabo su ataque sin necesidad de que la víctima ejecute un código malintencionado en el equipo de destino.

  • Bomba de tiempo. Este tipo de mecanismo realiza una acción tras un determinado período de tiempo. Este período puede ser un retraso desde la primera ejecución de la infección o una fecha o intervalo de fechas previamente establecidos. Por ejemplo, el gusano MyDoom.B únicamente inició sus rutinas de carga contra el sitio Web de Microsoft.com el día 3 de febrero de 2004, e hizo lo propio contra el sitio Web del grupo SCO el 1 de febrero de 2004. Después, detuvo toda replicación el 1 de marzo de ese mismo año, aunque el componente de puerta trasera de la bomba de tiempo continuaba activo después de esta fecha.

  • Activación condicional. Este mecanismo utiliza alguna condición predeterminada para entregar la carga. Por ejemplo, un archivo con un nombre nuevo, una serie de pulsaciones de teclas o el inicio de una aplicación. El software malintencionado que emplea esta activación se denomina en ocasiones bomba lógica.

Mecanismos de defensa

Numerosos ejemplos de software malintencionado utilizan algún tipo de mecanismo de defensa para reducir la probabilidad de ser detectados y eliminados. En la siguiente lista se ofrecen algunos ejemplos de las técnicas empleadas:

  • Armadura. Este tipo de mecanismo de defensa emplea técnicas que intentan impedir el análisis del código malintencionado, por ejemplo, detectar cuándo se ejecuta un depurador e intentar evitar que funcione correctamente, o agregar grandes cantidades de código sin sentido para ocultar el objetivo del código malintencionado.

  • Ocultación. El software malintencionado utiliza esta técnica para ocultarse mediante la interceptación de solicitudes de información y la devolución de datos falsos. Por ejemplo, un virus puede almacenar una imagen del sector de inicio no infectado y mostrarla cuando se intente visualizar el sector de inicio afectado. El virus informático más antiguo conocido, denominado “Brain”, utilizó esta técnica en 1986.

  • Cifrado. El software malintencionado que utiliza este mecanismo de defensa realiza un cifrado de sí mismo o de la carga (y en ocasiones incluso de otros datos del sistema) para evitar la detección o la recuperación de datos. El software malintencionado cifrado contiene una rutina de descifrado estática, una clave de cifrado y el código malintencionado cifrado (que incluye una rutina de cifrado). Cuando se ejecuta, utiliza la rutina de descifrado y la clave para descifrar el código malintencionado. A continuación, crea una copia del código y genera una nueva clave de cifrado. Emplea esa clave y la rutina de cifrado para cifrar la copia nueva de sí mismo, agregando la clave nueva con la rutina de descifrado al inicio de la copia nueva. A diferencia de los virus polimórficos, el software malintencionado de cifrado utiliza siempre las mismas rutinas de descifrado, así que aunque el valor de la clave (y, por tanto, la firma de los códigos malintencionados cifrados) generalmente cambia de una infección a otra, los programas antivirus pueden buscar la rutina de descifrado estática para detectar el software malintencionado que utiliza este mecanismo de defensa.

  • Software malintencionado oligomórfico. Se trata de software que utiliza el cifrado como mecanismo para defenderse y puede cambiar la rutina de cifrado únicamente un número determinado de veces (generalmente una cantidad reducida). Por ejemplo, un virus que puede generar dos rutinas de descifrado diferentes se clasificaría como oligomórfico.

  • Software malintencionado polimórfico. Utiliza el cifrado como mecanismo de defensa para cambiarse con el fin de evitar ser detectado, generalmente mediante el cifrado del propio software malintencionado con una rutina de cifrado para, a continuación, proporcionar una clave de descifrado diferente para cada mutación. De este modo, el software malintencionado polimórfico utiliza un número ilimitado de rutinas de cifrado para evitar la detección. Cuando el software se replica, una parte del código de descifrado se modifica. En función del tipo específico de código, la carga u otras acciones llevadas a cabo pueden utilizar o no el cifrado. Generalmente existe un motor de mutación, que es un componente incorporado del código malintencionado de cifrado que genera rutinas de cifrado aleatorias. Este motor y el software malintencionado quedan cifrados y la nueva clave de descifrado se pasa con ellos.

¿Qué no se considera software malintencionado?

Existe una serie de amenazas que no se consideran software malintencionado puesto que no son programas informáticos escritos con intención de hacer daño. No obstante, estas amenazas pueden afectar a la seguridad y a los aspectos financieros de una organización. Por estos motivos se recomienda que conozca las amenazas que representan para la infraestructura de TI de su organización y para la productividad de los usuarios de TI.

Software de humor

Las aplicaciones de humor están diseñadas para conseguir una sonrisa o, en el peor de los casos, una pérdida de tiempo para el usuario. Estas aplicaciones son tan antiguas como los propios equipos informáticos. Como no se han creado con una intención maliciosa y se pueden identificar fácilmente como bromas, no se consideran software malintencionado en esta guía. Existen numerosos ejemplos de aplicaciones de humor, que ofrecen desde interesantes efectos de pantalla hasta divertidas animaciones o juegos.

Mensajes de virus falsos

Generalmente, resulta más sencillo engañar a alguien para que realice la acción que uno desea que escribir software que la lleve a cabo sin que éste lo advierta. Por lo tanto, en la comunidad de TI existe una gran cantidad de mensajes de virus falsos.

Al igual que otras formas de software malintencionado, un mensaje de virus falso utiliza la ingeniería social con el fin de intentar engañar a los usuarios de los equipos para que realicen una acción. No obstante, en el caso de un mensaje de virus falso, no se ejecuta ningún código; su creador habitualmente sólo intenta engañar a la víctima. A lo largo de los años, estos mensajes han adoptado formas muy diversas. Sin embargo, un ejemplo muy común consiste en un mensaje de correo electrónico en el que se anuncia la aparición de un nuevo tipo de virus y se aconseja reenviar el mensaje a los contactos para ponerles sobre aviso. Estos mensajes de virus falsos suponen una pérdida de tiempo, ocupan los recursos de los servidores de correo electrónico y consumen ancho de banda de red.

Fraudes

Prácticamente toda forma de comunicación se ha utilizado en algún momento por parte de delincuentes para intentar engañar a sus víctimas y conseguir que realicen acciones que les reporten un beneficio económico. Internet, los sitios Web y los mensajes de correo electrónico no son una excepción. Un ejemplo típico consiste en un mensaje de correo electrónico que intenta engañar al destinatario para que revele información personal que se pueda utilizar con objetivos ilegales (por ejemplo, información sobre cuentas bancarias). Un tipo especial de fraude es el denominado phishing, que se pronuncia igual que “fishing”, ("pesca", en inglés) y que también se conoce como suplantación de marca o carding.

Como ejemplos de "phishing" se pueden mencionar los casos en los que los remitentes suplantan a compañías de gran prestigio, como por ejemplo eBay, para intentar obtener acceso a la información de la cuenta del usuario. Este tipo de mensajes utiliza con frecuencia un sitio Web que imita el aspecto del sitio Web oficial de una compañía. El mensaje de correo electrónico se utiliza para redirigir al usuario al sitio Web falso y conseguir que escriba la información de su cuenta de usuario, que se guarda y usa con fines ilícitos. Estos casos se deben tratar con total seriedad y poner en conocimiento de las autoridades legales.

Correo no deseado

También conocido como spam, se trata de correo electrónico no deseado que se genera para hacer publicidad de un servicio o producto. Aunque generalmente se considera una molestia, no se trata de software malintencionado. Sin embargo, el enorme incremento en la cantidad de mensajes de este tipo constituye un problema para la infraestructura de Internet, con el resultado de pérdida de productividad para los empleados, que se ven obligados a descartar y eliminar estos mensajes a diario.

Aunque no existe acuerdo sobre el origen del término "spam", no hay duda de que éste se ha convertido en una de las molestias más constantes en las comunicaciones basadas en Internet. Muchos consideran que constituye un problema de tal gravedad que actualmente representa una amenaza para el funcionamiento de las comunicaciones a través de correo electrónico en el mundo. Sin embargo, es preciso mencionar que salvo por la carga que soportan los servidores de correo electrónico y los programas anti-spam, los mensajes no deseados no se pueden replicar o amenazar el correcto estado y funcionamiento de los sistemas de TI de una organización.

Los creadores de correo no deseado (conocidos con el término inglés spammers) han utilizado a menudo software malintencionado para instalar un servicio de servidor de correo electrónico SMTP de pequeño tamaño en un equipo host que, a continuación, utilizan para enviar este tipo de mensajes a otros destinatarios de correo electrónico.

Programas espía

Este tipo de software se denomina en ocasiones spybot o software de seguimiento. Los programas espía utilizan otras formas de software y programas engañosos que realizan algunas acciones en un equipo sin el consentimiento del usuario. Entre ellas se incluyen la recopilación de información personal y el cambio de los parámetros de configuración del explorador de Internet. Además de ser una molestia, los programas espía pueden causar problemas que abarcan desde la reducción del rendimiento general del equipo hasta la violación de la privacidad personal.

Los sitios Web que distribuyen estos programas utilizan una gama de trucos para conseguir que los usuarios los descarguen e instalen en sus equipos. Entre estos trucos se incluye la creación de experiencias de usuario engañosas y la inclusión de programas espía junto con otro software en el que los usuarios pueden estar interesados, por ejemplo los programas gratuitos para compartir archivos.

Publicidad no deseada

La publicidad no deseada se combina con frecuencia con una aplicación host que se ofrece de modo gratuito a condición de que el usuario acepte dicha publicidad. Como las aplicaciones de publicidad no deseada generalmente se instalan después de que el usuario haya aceptado un contrato de licencia en el que se advierte del objetivo de la aplicación, no se comete ningún delito. No obstante, los mensajes de publicidad emergentes se pueden convertir en una molestia y, en algunos casos, afectar al rendimiento del sistema. Asimismo, la información que recopilan algunas de estas aplicaciones puede plantear problemas de privacidad a los usuarios que no eran totalmente conscientes de los términos del contrato de licencia.

Nota: aunque los términos spyware (programa espía) y adware (publicidad no deseada) se utilizan con frecuencia como sinónimos, únicamente la publicidad no deseada que el usuario no ha autorizado se puede equiparar a los programas espía. La publicidad no deseada que advierte a los usuarios y les ofrece la posibilidad de elección y el control no es engañosa y no se debe clasificar como programa espía. Por otra parte se debe tener en cuenta que una aplicación espía que afirma realizar una función específica y que, en realidad, lleva a cabo otra diferente, actúa como un troyano.

Cookies de Internet

Las cookies de Internet son archivos de texto que los sitios Web colocan en el equipo de un usuario cuando éste los visita. Contienen y proporcionan información de identificación acerca del usuario a los sitios Web que las han colocado en su equipo, además de otra información que los sitios deseen conservar acerca de su visita.

Son herramientas legales que numerosos sitios Web utilizan para realizar un seguimiento de la información de los visitantes. Por ejemplo, un usuario adquiere un artículo en una tienda en línea, pero una vez que ha colocado el producto en su carro de la compra, puede que desee visitar otro sitio Web por alguna razón. La tienda en línea puede elegir guardar en una cookie en el equipo del usuario la información de los productos seleccionados, para que, cuando éste vuelva al sitio, sigan en el carro de la compra listos para que el usuario los adquiera si así lo decide.

Los desarrolladores de sitios Web sólo deberían poder recuperar la información almacenada en las cookies que ellos han creado. Este enfoque debería garantizar la privacidad evitando que otras personas que no sean los desarrolladores de estos sitios puedan tener acceso a las cookies que se han dejado en los equipos de los usuarios.

Por desgracia, se sabe que algunos desarrolladores de sitios Web utilizan cookies para recopilar información sin el conocimiento del usuario. Algunos pueden engañar a los usuarios o no respetar las directivas que han establecido. Por ejemplo, pueden realizar un seguimiento de los hábitos de visita a diferentes sitios Web sin informar al usuario y utilizar esta información para personalizar la publicidad que éste ve en un sitio Web, algo que se considera una invasión de la privacidad. Resulta difícil identificar esta forma de publicidad orientada al usuario y otras formas de "uso indebido de las cookies", con lo que es complicado decidir si se deben bloquear las cookies en el equipo y cuándo y cómo hacerlo. Además, el nivel aceptable de información compartida varía de unos usuarios a otros, por lo que también resulta complicado crear un programa "anti-cookies" que satisfaga las necesidades de todos los usuarios informáticos de un entorno.

Software antivirus

El software antivirus se crea específicamente para defender un sistema frente a las amenazas del software malintencionado. Microsoft recomienda encarecidamente el uso de este tipo de programas para proteger el equipo de cualquier forma de software malintencionado, no únicamente de los virus.

El software antivirus utiliza diferentes técnicas para detectar el software malintencionado. En esta sección se explicará el funcionamiento de algunas de ellas, entre las que se incluyen:

  • Análisis de firma. La mayor parte de los programas antivirus utilizan actualmente esta técnica, que se centra en analizar el objetivo (equipo host, unidad de disco o archivos) en busca de un patrón que pueda tratarse de software malintencionado. Estos patrones se almacenan generalmente en archivos denominados archivos de firma, que los proveedores del software actualizan con regularidad con el fin de garantizar que los escáneres antivirus reconocen todos los ataques de código malintencionado posibles. El principal problema de esta técnica radica en que el software antivirus ya debe estar actualizado para que el escáner lo pueda reconocer.

  • Análisis heurístico. Esta técnica intenta detectar las variantes nuevas y conocidas de software malintencionado mediante la búsqueda de características generales en dicho software. La principal ventaja de esta técnica consiste en que no depende de los archivos de firma para identificar y hacer frente al software malintencionado. No obstante, el análisis heurístico muestra una serie de problemas específicos, entre los que se incluyen los siguientes:

    • Positivos falsos. Esta técnica utiliza características generales y, por tanto, es susceptible de confundir el software legítimo con el malintencionado si una característica fuera similar en ambos.

    • Lentitud del análisis. El proceso de búsqueda de características resulta una tarea más laboriosa que la de buscar un patrón de software malintencionado ya conocido. Por este motivo, el software antivirus puede tardar más tiempo en realizar un análisis heurístico que un análisis de firma.

    • Es probable que se pasen por alto características nuevas. Si el ataque de un nuevo software malintencionado presenta una característica que no se ha identificado previamente, probablemente el analizador heurístico no la detecte hasta que se actualice.

  • Bloqueo del comportamiento. Esta técnica se centra en el comportamiento de un ataque en lugar de en el propio código. Por ejemplo, si una aplicación intenta abrir un puerto de red, un programa antivirus de bloqueo del comportamiento podría detectarlo como una acción típica de software malintencionado y, a continuación, clasificar este comportamiento como posible ataque.

Numerosos proveedores de antivirus utilizan actualmente una combinación de estas técnicas en sus soluciones antivirus en un intento de mejorar el nivel de protección general de los equipos informáticos de sus clientes.

Muchos socios de Microsoft ofrecen programas antivirus. Para obtener una lista completa y actualizada, consulte la página "Microsoft Antivirus Partners" en Microsoft.com: http://www.microsoft.com/security/partners/antivirus.asp (en inglés).

Ciclo de vida típico del software malintencionado en circulación

Se ha establecido un patrón que define el ciclo de vida de los nuevos ataques de software malintencionado presente en las redes públicas o que está actualmente en circulación o in the Wild. El examen de este patrón ayuda a comprender el riesgo que representan los nuevos ataques tras su aparición.

Un nuevo ciclo de vida se inicia con el desarrollo del software malintencionado y finaliza cuando se elimina por completo de las redes supervisadas. Las etapas del ciclo de vida son las siguientes:

  1. Creación. El desarrollo del software malintencionado se inicia con frecuencia cuando se sugiere y comparte entre las comunidades de piratas informáticos la posibilidad de una nueva forma de ataque o aprovechamiento. Durante un tiempo, se estudian y analizan estos métodos hasta que se descubre un enfoque que se puede convertir en ataque.

  2. Desarrollo. Anteriormente, la creación de software malintencionado requería un conocimiento del lenguaje del ensamblado del equipo así como del complejo funcionamiento del sistema contra el que se dirigía el ataque. Sin embargo, la aparición de los kits de herramientas y de los salones de chat de Internet ha hecho posible que casi cualquier persona que lo desee pueda crear software malintencionado.

  3. Replicación. Una vez que el nuevo software se ha desarrollado y puesto en circulación, normalmente busca replicarse en los dispositivos host potenciales durante un tiempo antes de poder llevar a cabo su función principal o entregar su carga.

    Nota: aunque existen decenas de miles de programas de software malintencionado conocidos, únicamente una pequeña parte está en circulación actualmente. La mayor parte de estos programas nunca se han expuesto al público y a menudo se conocen como virus de zoo.

  4. Entrega de la carga. Una vez el software malintencionado ha infectado un host, puede entregar una carga. Si el código contiene una activación condicional para su carga, es en este momento cuando se cumplen las condiciones para el mecanismo de entrega. Por ejemplo, algunas cargas se activan cuando un usuario realiza determinada acción o cuando el reloj del equipo host llega a una fecha específica. Si el software malintencionado contiene una activación de acción directa, simplemente comenzará a entregar la carga en el momento en que se complete la infección. Por ejemplo, en el caso de las cargas de registro de datos, el programa de software malintencionado simplemente comenzará a registrar los datos requeridos.

  5. Identificación. En este momento de su ciclo de vida, las comunidades antivirus identifican el software malintencionado. En la mayor parte de los casos, este paso ocurrirá antes de la etapa 4 o incluso antes de la 3, aunque no siempre es así.

  6. Detección. Una vez identificada la amenaza, los desarrolladores de software antivirus deben analizar el código para hallar un método de detección apropiado. Cuando han determinado el método, pueden actualizar los archivos de firma antivirus para permitir que las aplicaciones antivirus existentes detecten el nuevo software malintencionado. La duración de este proceso es fundamental para controlar un ataque.

  7. Eliminación. Cuando la actualización está disponible para el público, es responsabilidad de los usuarios de las aplicaciones antivirus aplicar la actualización periódicamente para proteger sus equipos del ataque (o limpiar los equipos ya infectados).

    Nota: si no se actualizan los archivos de firma locales con regularidad los riesgos pueden ser muy altos, ya que los usuarios creen que están protegidos mediante sus productos antivirus, cuando en realidad no lo están.

Cuantos más usuarios actualicen sus programas antivirus, el software malintencionado irá dejando de constituir una amenaza. Este proceso en pocas ocasiones elimina todas las instancias del software en circulación, puesto que éste puede seguir residiendo en los equipos conectados a Internet con escasa o nula protección antivirus. No obstante, se reduce la amenaza de un ataque generalizado.

Aunque este ciclo de vida se repite con cada nuevo ataque diseñado, no es típico de todos los ataques. Muchos de ellos son simplemente versiones modificadas de una parte de un código malintencionado original. Por lo tanto, el código básico y el enfoque del software malintencionado son idénticos, pero se realizan pequeñas modificaciones para impedir que se detecte y elimine. Típicamente, un ataque que haya tenido éxito generará diferentes versiones durante las semanas y meses siguientes. Esta situación lleva a una especie de "carrera armamentística" en la que los creadores de este tipo de software intentan evitar la detección para su propio provecho, ya se trate de obtener beneficio económico, fama o simplemente satisfacer su curiosidad. Las defensas antivirus se actualizan de nuevo, se revisan o modifican según sea necesario para reducir la renovada amenaza.

Resumen

El software malintencionado es un área compleja y en constante evolución dentro del ámbito de la tecnología informática. De todos los problemas que se encuentran en la TI, pocos están tan extendidos y resultan tan engorrosos como los ataques de este tipo de software y los costes derivados de su tratamiento. Comprender su funcionamiento, el modo en que evolucionan a lo largo del tiempo y los vectores de ataque que aprovechan, puede ayudar a tratar este asunto de un modo activo. Este conocimiento puede, a su vez, propiciar un proceso de reacción más efectivo cuando afecten a su organización.

Como este tipo de software utiliza tantas técnicas para generarse, distribuirse y explotar los equipos informáticos, puede resultar difícil saber cómo se puede asegurar un equipo lo suficiente como para resistir a tales ataques. No obstante, una vez se conocen los riesgos y vulnerabilidades, se puede administrar un sistema de modo que la posibilidad de que un ataque tenga éxito se reduzca en gran medida.

El siguiente paso consiste en analizar los riesgos en diferentes puntos de la infraestructura de TI con el fin de diseñar una defensa eficaz, cuestión que se tratará en el siguiente capítulo. El diseño de un plan de recuperación eficaz es el tema principal en el que se centra el último capítulo de esta guía.


Descargar la solución completa

Guía de defensa en profundidad antivirus

  • En esta guía



© 2009 Microsoft Corporation. Reservados todos los derechos. Aviso legal | Marcas registradas | Privacidad
Page view tracker