3/3/11

Malware: definiciones, aclaraciones y variantes


¿Por qué existen tantas variantes de malware? Básicamente, esto se debe a que poseen características diferentes, ya sea en sus formas de propagación o en las estrategias para hacer daño. Dependiendo del tipo de malware, existirá alguna característica particular que lo diferencie de otras variantes aunque, como también se suele mencionar, muchos códigos maliciosos pueden tener características de más de un tipo, aunque las compañías antivirus terminan utilizando alguna característica predominante para identificarlos.

A continuación se detallan las características más importantes de los tipos de malware más populares en la actualidad:

- Virus: es un código malicioso creado con la finalidad de producir algún daño en el sistema. Posee dos características particulares: pretende actuar de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo. El daño que puede causar en un sistema es muy variado.

- Gusano: pueden reproducirse utilizando diferentes medios de comunicación como las redes locales o el correo electrónico. El archivo malicioso puede copiarse de una carpeta a otra o enviarse a toda la lista de contactos del correo electrónico, citando sólo algunos ejemplos. Los gusanos aprovechan las vulnerabilidades para propagarse, tanto de sistemas operativos como de aplicaciones.

- Troyano: simulan ser archivos benignos para engañar al usuario pero en realidad buscan infectar al sistema, por lo que suelen utilizar técnicas de Ingeniería Social. No se pueden replicar por sí mismos y entre sus categorías se encuentran los backdoors, keyloggers, banker, donwloader, botnets y otros tantos.

- Adware: este malware normalmente se instala en el sistema sin que el usuario tome conciencia de ello y su principal finalidad es mostrar o descargar anuncios publicitarios en la pantalla. No produce algún daño directo en el sistema y afecta más al usuario por la publicidad mostrada que por afectar la información contenida en el equipo.

- Spyware: su objetivo es recopilar información del usuario sin el consentimiento del mismo, lo cual atenta contra la privacidad del mismo. El uso más común es la obtención de información respecto a los accesos del usuario a Internet y el posterior envío de la información recopilada a entes externos.

- Rogue: son aplicaciones que simulan ser soluciones antivirus, cuando en realidad lo que hacen es infectar al sistema mediante la instalación de malware y modificaciones al sistema operativo. Dan la falsa impresión de que el sistema se encuentra infectado y normalmente ofrecen la venta de un software.

- Ransomware: es un código malicioso que cifra la información del ordenador e ingresa en él una serie de instrucciones para que el usuario pueda recuperar sus archivos. La víctima, para obtener la contraseña que libera la información, debe pagar al atacante una suma de dinero, según las instrucciones que este disponga. Normalmente afecta más a los archivos de ofimática.

Para crear una firma de identificación antivirus se suele nombrar siguiendo la nomenclatura recomendada por el CARO (Computer Antivirus Research Organization), la cual consta del formato Prefijo.Nombre.Variante. Por ejemplo, una firma del gusano Conficker que afecta las plataformas Windows es la siguiente: Win32/Conficker.AA.

20/1/11

Trivia No. 26: Seguridad en el uso del chat


La palabra "chat" proviene del idioma inglés y significa "conversación" o "ciber-charla". Generalmente hace referencia a la posibilidad de establecer una comunicación escrita, entre dos o más personas, a través de Internet, y por supuesto, es una actividad que también requiere la toma de ciertas precauciones de seguridad por parte del usuario.

En la actualidad, y teniendo en cuenta que las personas son cada vez más dependientes de las tecnologías y medios de comunicación a través de Internet, es difícil encontrar un usuario que no haya utilizado en algún momento este servicio, ya sea para contactar amigos, familiares o bien, por cuestiones educativas, laborales, entre otras.

La característica más relevante de este medio de comunicación y su principal diferencia con el correo electrónico, radica en la posibilidad de interacción en tiempo real que logran sus usuarios. Además, desde el punto de vista social, el chat ofrece otros beneficios tales como:

• Ahorro en costo de llamadas telefónicas
• Comunicación más estrecha con la persona que se tiene contacto
• Comunicación permanente e instantánea (sólo se necesita estar conectado)
• Mayor percepción de cercanía
Sin embargo, desde el punto de vista de la seguridad, las características que posee el servicio de chat se transforman también en potenciales ventajas para un atacante y por lo tanto, en riesgos de seguridad para los usuarios.

El uso del chat abre nuevas alternativas para la propagación de amenazas. Éstas pueden dividirse en tres grandes grupos:

• La posibilidad de recibir archivos conlleva al riesgo de ejecutar algún tipo de código malicioso, generalmente del tipo troyanos y/o gusanos.

• La posibilidad de establecer una comunicación “no visible” puede llevar a que personas maliciosas se hagan pasar por quienes no son, con el objetivo de obtener algún beneficio, generalmente, haciendo uso de la Ingeniería Social.

• Interceptar una comunicación por este medio es una tarea relativamente sencilla. Esto significa que un atacante podría robar información apropiándose de los datos emitidos por el usuario antes de que lleguen a su destino original, lo que puede llevar a la revelación de secretos o información confidencial.

En definitiva, la mensajería instantánea se encuentra entre las tecnologías más populares y, por ende, actualmente es muy utilizada.

Paralelamente a ello, constituye uno de los vectores de ataque y canal de propagación de malware más empleado en los últimos tiempos.

Teniendo en cuenta lo anteriormente mencionado, a continuación se detallan ciertas pautas de prevención para obtener un mayor nivel de seguridad:

• Una regla de seguridad fundamental y recomendada para todo medio de comunicación, consiste en no enviar información privada a través de este medio (claves, números de tarjeta de crédito, datos personales, secretos comerciales, entre muchos otros).

• También es importante confirmar, de alguna manera, que la persona con la que se está entablando la comunicación es quien dice ser.

• Cuando se accede al chat desde lugares públicos, una vez finalizada la conversación, es importante tener la precaución de eliminar los archivos temporales, la información almacenada en caché, las cookies, etc. De esta manera se evita que la información quede almacenada en esa computadora.

• Otro consejo sumamente útil luego de entablar conversaciones desde lugares públicos, consiste en cambiar la contraseña desde otra computadora que no se encuentre en el lugar público.

• También es recomendable no utilizar la misma contraseña del cliente de mensajería instantánea en sistemas que requieran mayor nivel de seguridad como por ejemplo, home-banking y compras online. Como regla general se deberían utilizar claves distintas para servicios distintos.

• Evitar hacer clic sobre los enlaces incrustados en el cuerpo de mensajes escritos en idiomas diferentes a los utilizados habitualmente por el usuario, ya que generalmente redireccionan hacia sitios web con contenido malicioso. Este tipo de mensajes suelen ser producto de una infección y enviados de manera automática por parte del malware.

• Del mismo modo, también es importante evitar la descarga y ejecución de archivos no solicitados y ofrecidos a través de este mismo canal, sin antes verificar su integridad con una solución de seguridad antivirus con capacidades proactivas como las que ofrece ESET NOD32.

Por otro lado, en entornos corporativos, se torna fundamental poseer niveles adecuados de seguridad, por ende, también es deseable seguir los siguientes consejos:

• Se pueden utilizar clientes de mensajería instantánea corporativos que sólo permiten comunicación con otros miembros de la organización (red privada de chat).

• Regular el uso de estas aplicaciones contemplando los diferentes escenarios en la Política de Seguridad de la Información.

• Crear conciencia en cada uno de los empleados sobre los riesgos de seguridad generados por amenazas que se propagan a través de estos canales de comunicación.

• Prohibir el uso de aplicaciones destinadas a interceptar (escuchar) la información que se transmite por la red. Este ataque es conocidos como Man-In-The-Middle y los programas empleados reciben el nombre de sniffers.

Siguiendo estos consejos se obtiene un mayor grado de seguridad en el uso del chat. Por último, se considera adecuado no mirar las sesiones de chat de otras personas ya que, si bien no es un requisito de seguridad indispensable, responde a una cuestión ética de todo buen usuario.

Publicado por ESET Latinoamerica

16/12/10

Trivia 25: Recursos compartidos y seguridad en red



Un hábito común en redes de cualquier índole es compartir información. Para ello, se habilitan determinados recursos (unidades, carpetas, impresoras, etc.) que permiten a los usuarios acceder a su contenido.

Esta forma de compartir información posee innumerables ventajas dentro de una red LAN, por ejemplo. Sin embargo, cuando éstas acciones son realizadas sin contar con las medidas de control necesarias, se transforman en puntos débiles que fácilmente pueden ser explotados por códigos maliciosos, con consecuencias negativas para la organización víctima del incidente.

Para utilizar recursos compartidos no existen plataformas ni sistemas pre-establecidos. Por ello, es un factor fundamental que los usuarios conozcan la forma de hacerlo correctamente.

Actualmente, es común encontrar en muchos ambientes corporativos nodos dentro de una LAN e incluso redes completas conectadas a Internet en donde cada uno de sus recursos pueden ser visualizados y accedidos por cualquier usuario que tenga el interés de hacerlo.

Por otro lado, el problema se complica en extremo con los códigos maliciosos que aprovechan estas posibilidades para infectar los sistemas a través de los recursos compartidos. Existen casos en que se explotan las debilidades en éstos, un objetivo particular de los gusanos que utilizan este canal para infectar toda la red.

En consecuencia, es sumamente importante controlar y restringir de manera eficaz los recursos compartidos de cualquier tipo de red, por más pequeña que sea.

En este sentido, cada sistema dispone de sus propias herramientas y configuraciones, siendo responsabilidad del administrador o del departamento IT configurar correctamente cada uno de los recursos en todos los nodos que forman parte de la red.

Para ello se deberán tener en cuenta los siguientes puntos:

• Compartir sólo lo necesario para realizar las tareas diarias. De esta manera se garantiza la confidencialidad, la integridad y la disponibilidad de la información alojada en el recurso compartido.

• Asignar permisos a los recursos en función de la necesidad que cada persona tenga de acceder. Esto permite que no todos los usuarios puedan manipular la información almacenada en el mismo.

• Utilizar claves para los recursos compartidos. Esto disminuye el riesgo de que un atacante acceda a recursos críticos y además evita la propagación de códigos maliciosos. Existen algunos gusanos que prueban la existencia de claves sencillas como “1234” ó “qwerty” por lo que también es recomendable utilizar claves más seguras.

• Si se utilizan redes P2P, es importante verificar que sólo se estén compartiendo los archivos y carpetas que se desea compartir. De esta manera se previene que otras personas puedan acceder a la información almacenada en el sistema.

• Para proteger aún más el entorno de información, es fundamental implementar un firewall personal como el que incorpora ESET Smart Security para controlar y, en su defecto, bloquear el ingreso y salida de información desde y hacia el sistema.

• Del mismo modo, también es sumamente importante instalar y configurar correctamente una solución de seguridad con capacidades proactivas como ESET NOD32 Antivirus y verificar con la misma toda la información alojada en los recursos compartidos.

Siguiendo estos consejos se logrará minimizar los potenciales riesgos de infección y, sobre todo, propagación de códigos maliciosos diseñados para explotar las debilidades en recursos compartidos.

Fuente: eset-la.com

25/11/10

Trivia 24: Consejos de seguridad a la hora de usar el correo electrónico



El correo electrónico es uno de los medios de comunicación por excelencia ya que permite enviar mensajes de forma casi instantánea a cualquier persona que utilice la misma tecnología. Paralelamente, esta característica hace que también sea aprovechado por personas mal intencionadas para propagar todo tipo de amenazas que atentan contra la seguridad de los usuarios.

Casos como los mensajes en cadena (hoax), correos electrónicos no deseados (spam), fraudes en línea a través de scam y/o ataques de phishing, además de la propagación de malware a través de enlaces maliciosos o en forma de archivos adjuntos, son ejemplos concretos que dejan en evidencia la necesidad de proteger la información, sus medios de almacenamiento y canales de transmisión.

Por tal motivo a continuación se propone una serie de medidas de seguridad tendientes a reforzar los niveles de prevención durante el uso del correo electrónico:

• En lo posible, se debe evitar el envío de mensajes en cadena. Muchos de ellos suelen emplear Ingeniería Social para engañar al receptor del correo.

• En caso de ser necesario el envío de un mensaje en cadena, se recomienda hacerlo copiando a sus destinatarios en el campo CCO (Con Copia Oculta). Esto significa que la dirección de correo de los destinatarios no podrá ser visualizada.

• Se debe evitar publicar la dirección de correo privada en sitios web como foros, conversaciones online, formularios, blogs y demás páginas que la soliciten,. De esta manera, se evita que la dirección caiga en manos de spammers (personas que envían spam).

• Si debe registrarse en sitios de baja confianza y reputación, es recomendable hacerlo utilizando cuentas de correo alternativas y creadas para esta finalidad. De esta manera, se evita la recepción de un mayor volumen de spam en su cuenta privada.

• Es aconsejable no responder a los correos del tipo spam, ya que esta acción permite confirmar al spammer que la dirección de correo se encuentra activa. Este mecanismo es empleado para asegurar que la publicidad, o un código malicioso, llegara a un destino real.

• Si se utilizan servicios de webmail (Gmail, Hotmail y Yahoo, entre otros), es recomendable crear claves seguras y configurar la pregunta secreta de una forma que no sea fácilmente adivinable.

• Es recomendable cambiar periódicamente las contraseñas ya que de esta manera se obtiene un mayor nivel de seguridad.

• Si por algún motivo se debe acceder a las cuentas de correo desde espacios públicos (hoteles, ciber-cafés, aeropuertos, bares, entre otros), es aconsejable eliminar la información almacenada en caché, archivos temporales y cookies cuando se concluya la navegación.

• Se debe evitar la descarga de archivos adjuntos si no se está seguro de su procedencia. En caso de hacerlo, es necesario explorar el mismo de modo previo a su ejecución con una solución de seguridad antivirus proactiva, como ESET NOD32 Antivirus, para garantizar que no se trate de un código malicioso.

• En este sentido, también es recomendable configurar el cliente de correo electrónico con un filtro anti-spam como el que incorpora ESET Smart Security para bloquear la recepción de estos correos indeseados.

• En torno a los archivos adjuntos, una importante medida de prevención es verificar las extensiones de los archivos adjuntos ya que el código malicioso suele hacer uso de Ingeniería Social aplicada a los archivos.

• Es fundamental tener en cuenta que las empresas y organizaciones bancarias o financieras no solicitan información a través del correo electrónico ni adjuntan archivos de ningún tipo. Este tipo de e-mails suele tratarse de ataques de phishing. Por tal motivo, es recomendable no abrir estos archivos sin antes verificar su integridad ni hacer clic sobre los enlaces incrustados en el cuerpo de los mensajes.

• Otra medida de seguridad importante es bloquear la apertura de imágenes en los correos (algunos clientes y servicios webmail permiten esta configuración) y descargarlas cuando se asegure que su contenido no es dañino. De esta forma también se logra ahorrar ancho de banda al no descargar imágenes que no desea recibir. Además, las imágenes son un recurso muy utilizado por los spammers para propagar publicidad evitando los filtros anti-spam.

Atendiendo a estas recomendaciones de seguridad, se logrará mitigar el impacto negativo generado por el importante volumen de amenazas que cotidianamente se propagan a través de diferentes canales, entre los cuales el correo electrónico es uno de los más populares y explotados.

Fuente: eset-la.com

18/11/10

Trivia 23: Cómo navegar por Internet en forma segura



Navegar de manera segura significa tener en cuenta aspectos de prevención que harán de la navegación cotidiana por Internet una experiencia lo menos accidentada posible, evitando ser víctima de muchas de las amenazas tan comunes hoy en día. A continuación destacamos las situaciones de amenaza más relevantes:

• Instalación subrepticia de malware del tipo adware y Spyware que genera la apertura constante de ventanas emergentes desplegando publicidad no deseada.

• Los ataques llevados a cabo explotando vulnerabilidades en los sistemas operativos y aplicaciones instaladas en éste, como por ejemplo los navegadores.

• Descarga e infección automática de troyanos u otro tipo de malware.

Teniendo en cuenta este panorama, se torna fundamental atender a buenas prácticas de seguridad. En consecuencia, se propone a continuación una serie de recomendaciones que ayudan a mejorar la navegación y a prevenir potenciales ataques a través de malware, así como también colaboran a un uso más cuidadoso y responsable de datos privados o confidenciales.

• Las plataformas Windows constituyen los sistemas operativos más utilizados y, por lo tanto, los más atacados a nivel global, destacándose un importante volumen de códigos maliciosos desarrollados exclusivamente para éstos. En consecuencia, se recomienda utilizar un usuario con privilegios restringidos y no el que por defecto es creado al momento de la instalación del sistema operativo, que cuenta con privilegios de administración, dado que este factor uno de los más relevantes y más explotados por los códigos maliciosos.

• Otro problema subyacente son los ActiveX, Windows Scripting Host (WSH) (propios de Microsoft) y los JavaScripts. Estas pequeñas aplicaciones incluidas dentro de páginas web sirven para realizar acciones de diversa índole. Muchos códigos maliciosos aprovechan estas tecnologías para infectar los equipos de los usuarios. Por ese motivo se recomienda configurar los navegadores para evitar la apertura automática de estos complementos.

• Evitar la instalación de aplicaciones no conocidas que prometen ser soluciones de seguridad (rogue). Se recomienda descargar las aplicaciones de seguridad desde los sitios web oficiales y con buena reputación.

• Del mismo modo, si algún sitio web ofrece la descarga de aplicaciones que no se solicitaron, no deben ser aceptadas sin antes verificar la integridad del mismo con una solución de seguridad antivirus como ESET NOD32 Antivirus.

• Es recomendable instalar un firewall personal, como el que incorpora ESET Smart Security. Esto ayuda a disminuir el riesgo de infección y ataques externos que intenten conectarse desde y hacia el sistema, sin consentimiento previo.

• Es fundamental contar con protección contra códigos maliciosos conocidos y desconocidos en todo momento, por lo tanto, también es altamente recomendable la instalación de una solución de seguridad antivirus con capacidades de detección proactiva como ESET NOD32 Antivirus. En este sentido, la protección heurística cobra un papel relevante.

• Se debe evitar la navegación por sitios web que requieran un nivel alto de seguridad, como por ejemplo las páginas de entidades bancarias y financieras, desde lugares públicos- cybers, bibliotecas, cafés, aeropuertos y hoteles, entre otros.

• En este sentido, si es totalmente necesario navegar desde lugares públicos, se deben tomar todos los recaudos de seguridad necesarios, entre los que se destacan: eliminar los archivos temporales, la información almacenada en caché, las cookies y nunca almacenar las direcciones URL, contraseñas y demás información critica.

• Evitar el almacenamiento por defecto de información critica en el navegador, ya que esta información puede ser fácilmente robada a través de códigos maliciosos.

• Es fundamental tener presente que no existe ningún programa exento de ser utilizado como vector de ataque a través de la explotación de vulnerabilidades, por lo tanto, es importante actualizar el sistema operativo y las aplicaciones instaladas para evitar el riesgo de infección al navegar.

Fuente: eset-la.com

11/11/10

Trivia No. 22: Prevención de incidentes generados por malware



Uno de los problemas más preocupantes en materia de seguridad lo representan los códigos maliciosos. Actualmente existe un importante volumen de programas dañinos que día a día inundan Internet desplegando estrategias maliciosas que buscan comprometer la información privada de las personas.

Por otro lado, cualquier tipo de tecnología que sea popular y masivamente utilizada, se transformará en un vector de ataque mediante el cual se intentará propagar todo tipo de malware. El correo electrónico no deseado (spam), los ataques de phishing, redes P2P, mensajería instantánea y redes sociales son ejemplos concretos.

En consecuencia, es sumamente importante atender a buenas prácticas de seguridad, ya que el objetivo que se persigue con ello es aumentar los niveles de seguridad al utilizar las tecnologías y prevenir los potenciales riesgos de infección.

Sin embargo, antes de abordar algunos puntos relevantes para prevenir posibles infecciones, es necesario tener presente cuáles son los vectores de ataque más comunes por los cuales habitualmente se propagan códigos maliciosos; entre ellos se destacan:

• El correo electrónico en forma de spam donde generalmente el malware se propaga a través de archivos adjuntos.

• Programas de mensajería instantánea aprovechados para propagar malware a través de enlaces o archivos ejecutables incrustados en el mensaje.

• Web en diversas formas, mediante los que se llevan a cabo ataques del tipo Drive-by-Download y Multi-Stage.

• Redes P2P, canales IRC y el protocolo http son actualmente empleados para la administración de redes zombis (botnets).

• Redes sociales, donde la primera fase de propagación de malware se lleva a cabo empleando estrategias de Ingeniería Social.

En resumen los códigos maliciosos pueden propagarse por cualquiera de los medios de comunicación que actualmente se emplean.

Previniendo infecciones de malware

Los códigos maliciosos en forma genérica (gusanos, troyanos, rogue, adware, spyware, entre muchos otros) son un problema constante para cualquier usuario y organización. Algunas de las medidas de prevención son:

• Evite la descarga de archivos adjuntos del spam, ya que es uno de los principales medios de propagación de cualquier tipo de malware, de esta manera se corta la vía más probable de infección.

• En la medida de lo posible, se debe tratar de evitar hacer clic sobre los enlaces incrustados en el cuerpo de los mensajes del tipo spam y de los clientes de mensajería instantánea.

• Actuar con sumo cuidado al descargar archivos desde redes P2P, ya que es habitual “mimetizar” un código malicioso para que parezca ser un programa benigno y buscado a través de estas redes.

• En relación con el punto anterior, cuando se desea descargar programas desde Internet, se recomienda hacerlo desde los sitios oficiales de estos.

• También es importante ser cuidadoso al navegar por sitios de crack o pornográficos, ya que también representan canales muy explotados para la propagación de malware.

• Asimismo, mantener actualizado el sistema operativo y las aplicaciones instaladas en este es sumamente importante; ya que actualmente un alto índice de códigos maliciosos se propaga explotando vulnerabilidades y aprovechando Internet como plataforma de ataque.

• Controlar el tráfico entrante y saliente a través de la implementación de un firewall personal como el que incorpora ESET Smart Security.

• Otro punto importante de prevención radica en no utilizar perfiles de usuario con privilegios de administración, siendo lo recomendable emplear un usuario con privilegios restringidos para las tareas cotidianas. Esto disminuye notablemente el campo de acción de un posible intruso (virus, gusanos, troyanos, usuario no autorizado, entre otros).

• La instalación de una solución de seguridad antivirus con capacidades proactivas como ESET NOD32 es fundamental para mantener el sistema libre de códigos maliciosos.

Prevención de spam

Se estima que casi el 90% del correo electrónico que circula por Internet es del tipo spam. Considerando, además de este aspecto, que el spam constituye uno de los vectores más empleados para la propagación de malware, es fundamental atender buenas prácticas de seguridad tendientes a disminuir el porcentaje de correos de este estilo que diariamente inundan las casillas.

• Es recomendable poseer varias cuentas de correo y utilizar cada una en función de las actividades cotidianas. De esta manera, por ejemplo, para todos aquellos sitios que requieran registración se puede utilizar la cuenta que no se utilice con fines privados.

• Relacionado a este punto, es recomendable evitar publicar las direcciones de correo en sitios web de dudosa reputación. En caso de necesitar hacerlo, se puede utilizar una de las cuentas alternativas.

• Otro factor importante para evitar el spam es no responderlos. Es recomendable ignorarlos y/o borrarlos, ya que al responder a estos se confirma la existencia de la dirección de correo para que el spammer (persona que envía spam) continúe con el envío de este tipo de correos.

• Es importante instalar una aplicación antispam configurable como el que incorpora ESET Smart Security que permita bloquear el correo SPAM a través de un mecanismo de filtrado.

Prevención de phishing

El phishing responde a una modalidad delictiva que pretende, a través de un engaño, recolectar información confidencial de los usuarios. En este sentido, si bien es habitual que los ataques de phishing busquen como blanco a los usuarios de entidades bancarias y financieras, ningún servicio que se ofrezca a través de Internet y que requiera un nombre de usuario y contraseña para acceder se encuentra exento.

Entre las medidas de seguridad que se pueden considerar para evitar ser víctimas de ataques de phishing son:

• Al igual que para la prevención de infecciones generadas por malware, es recomendable evitar el spam ya que es a través de este canal donde los ataques de phishing poseen su mayor actividad.

• Asimismo, se debe evitar hacer clic sobre los enlaces incrustados en el cuerpo del mensaje, ya que suelen redirecciones a páginas web clonadas muy similares a la real. En este sentido hay que tener presente que ninguna entidad financiera o bancaria solicita información confidencial a través del correo electrónico.

• También se debe evitar descargar archivos adjuntos de correos que buscan simular haber sido emitidos por entidades financieras y/o bancarias, ya que la entidad bancaria o financiera jamás ofrece la descarga de programas a través de este medio.

Es fundamental que estas recomendaciones tendrán un mayor efecto positivo en materia de prevención cuando son atendidas conjuntamente, minimizando notablemente la seguridad del sistema.

Fuente: eset-la.com

8/11/10

Trivia No. 21: Keyloggers: registro silencioso de la información

La captura de información a través de distintos sistemas parecería ser, como en las películas, un asunto ligado y limitado únicamente a los servicios secretos que buscan obtener información a través de diferentes métodos.

Sin embargo, en la vida no real existen aplicaciones y dispositivos físicos que, al ser instalados en un sistema, poseen la capacidad de monitorear y guardar archivos de registro con la información que ingresa por los dispositivos de entrada, típicamente teclado y/o mouse, para luego enviar los datos obtenidos a un atacante.

Este tipo de aplicaciones y/o dispositivos físicos recibe el nombre de keylogger, acrónimo constituido por la conjunción de key y logger, que en castellano quieren decir tecla y registrador respectivamente.

Los keyloggers son aplicaciones cuya principal función es registrar todo lo que se escribe a través del teclado y actualmente son ampliamente utilizados junto a metodologías de engaño (Ingeniería Social) y otras técnicas ataques como el phishing para el robo de información e identidad que suelen derivar en fraudes y estafas.

Entre los focos más perjudicados por estos ataques se encuentran las entidades bancarias y financieras de todo el mundo, ya que los atacantes buscan obtener información sobre los datos de acceso al Home-Banking de sus clientes, siempre con fines económicos.

Buscando brindar un mayor grado de seguridad, las entidades bancarias implementaron teclados virtuales en sus sitios web para hacer frente a los graves problemas ocasionados por las aplicaciones keylogger.



Estos teclados virtuales permiten que el usuario ingrese la información de autenticación para acceder a la zona de Home-Banking a través de un pequeño teclado que aparece en pantalla. De esta manera, se evita la utilización del teclado físico y la potencial captura de la información que se escribe a través del mismo.

En un principio, esta implementación representó una solución eficaz ante el robo de información, pero poco tiempo después, los creadores de malware comenzaron a incorporar en los keyloggers, la capacidad de, no sólo capturar la información que ingresa a través del teclado sino también la de capturar imágenes de pantalla y la posición del puntero del mouse al hacer clic.

En este caso, las entidades bancarias debieron modificar nuevamente la estrategia de seguridad cambiando la disposición de cada una de las teclas que conforman el teclado virtual a una posición aleatoria.

Esta nueva estrategia, no dio frutos positivos debido a que, una vez más, los desarrolladores de programas maliciosos encontraron una manera de “escapar” a su seguridad a través de una técnica que, si bien es muy poco utilizada, posee el mismo nivel de peligrosidad y consecuencia: la captura de videos.

Por lo que, sin lugar a dudas, el único nivel de protección con el que se puede contar ante este tipo de amenazas, es la implementación de un programa de seguridad antivirus y firewall cuyos mecanismos de protección brinden el suficiente grado de seguridad para mantener las amenazas lejos de los sistemas, como es el caso de ESET NOD32 Antivirus.

Bajo esta perspectiva, existe una llamativa controversia en torno a las actividades realizadas a través de este tipo de componentes donde muchos de sus fabricantes aseguran que son herramientas útiles que sirven para prevenir algún daño mayor y que, incluso, pueden ser utilizados para realizar auditorias y monitoreos generales por algunas personas u organizaciones.

Actividades como el control de menores por parte de sus padres y el monitoreo hacia cualquier persona, no sólo a nivel personal sino también a nivel corporativo, son algunas de las justificaciones empleadas. Pero sin escatimar en detalles controversiales, lo cierto es que más allá del uso que se le pueda dar a estas aplicaciones, siempre podrían ser utilizadas con fines maliciosos.

Por este motivo, muchos programas antivirus como ESET NOD32, detectan esta amenaza bajo el concepto de Grayware, aplicaciones potencialmente indeseadas, ofreciendo la posibilidad de no detectarlas como amenaza en caso que los usuarios lo consideren necesario.

Protección ante este tipo de amenazas

Si bien la incorporación de un componente keylogger en el proceso de propagación de códigos maliciosos, en general, esta pensado principalmente con fines de robo de información, el mismo debe ser tratado con el mismo rigor que a cualquier otro malware; del mismo modo, las buenas prácticas tendientes a su prevención.

Algunos de los hábitos a tener en cuenta son:

• Instalación de un programa antivirus con capacidades de detección proactiva.
• Actualización permanente del programa antivirus, sistema operativo y otras aplicaciones instaladas en el equipo.
• Si bien existen programas keylogger cuyas funcionalidades les permiten capturar imágenes, siempre es conveniente utilizar el teclado virtual al momento de escribir contraseñas e información similar. En este aspecto, los sistemas operativos Microsoft Windows poseen un teclado virtual que puede ser accedido a través del comando osk desde Inicio „³ Ejecutar.



Lamentablemente, los programas keylogger combinados con otras técnicas maliciosas, constituyen uno de los mayores problemas para la seguridad de la información de los usuarios y de las organizaciones de cualquier índole, por lo que se deben extremar las medidas defensivas a fin de mantener el sistema protegido.

Fuente: eset-la.com
MYA Systems on Facebook