La Red bajo control

Los atacantes descubren cada día nuevas formas de rentabilizar sus conocimientos mediante el diseño de nuevas amenazas. Y como sucede con cualquier enemigo, el primer paso es conocer todas sus técnicas y artimañas. Así, con unos sencillos consejos nuestros PC estarán a salvo de las amenazas

La Red bajo control

23 enero 2008

En primer lugar hay que aclarar que aunque los expertos de seguridad han creado distintas categorías para organizar el estudio de las distintas amenazas, las técnicas se entremezclan creando a su vez distintas subcategorias. Sin embargo, al estudiar estas categorías se conocerán las distintas formas que un atacante tiene de infectar un ordenador o robar información personal. En las siguientes páginas repasaremos una a una las principales amenazas de la actualidad y las soluciones más apropiadas para protegerse de cada una de ellas. Hay que advertir de que los diseñadores de malware no paran de buscar nuevas técnicas sobre las que apoyarse, por lo que lo que puede valer hoy puede quedarse desfasado en meses, semanas o, incluso, días.
Los virus, la gran amenaza
Desde los principios de la informática personal los virus han sido la mayor amenaza para todos los usuarios de ordenador. Aunque en un principio su expansión era lenta debido a que las infecciones se realizaban a través de soportes magnéticos como los olvidados disquetes, con la llegada de las comunicaciones aumentaron su actividad a casi todos los equipos informáticos. Aunque continúan siendo el principal caballo de batalla para los fabricantes de software de seguridad y existen más de 100.000 versiones distintas, cada vez resulta más complicado que uno de estos virus se extienda por los equipos con cierta facilidad y, en realidad, sólo unas pocas variantes son los responsables del 99% de las infecciones.
Los virus tienen la particularidad de que deben ser ejecutados para dañar un equipo o los datos que contiene. Sus diseñadores aprovechan todo tipo de engaños para obligar al usuario o al sistema a que ejecute el virus. Se apoyan en técnicas como las dobles extensiones o macros contenidas en todo tipo de documentos (DOC, JPG…). Para evitar infecciones hay que ser muy cuidadoso con los programas que se instalan y se ejecutan en un ordenador, pero también con abrir cualquier documento o correo electrónico de procedencia dudosa. En cualquier caso, la única barrera realmente eficaz es un buen programa antivirus.
Muchos usuarios consideran que todos los programas son prácticamente iguales. Simplemente esperan a que el software actúe de forma transparente al usuario con la máxima eficacia con sólo instalarlo. Sin embargo, existen grandes diferencias entre productos. Prestigiosos laboratorios especializados en seguridad informática realizan test a los distintos programas de seguridad y ponen sus datos a disposición de todo el público. Por ejemplo, AV Comparatives (www.av-comparatives.org) publica análisis comparativos de los principales programas de seguridad y en sus páginas se puede observar grandes diferencias de seguridad, pero también de rendimiento.
Si los conocimientos de informática del usuario final son escasos, lo más recomendable es recurrir a una suite de seguridad que garantice la máxima protección desde el primer momento, como pueda ser el software español Panda Internet Security 2008.
Spyware: infecciones con segunda intención
Mientras que los diseñadores de virus suelen buscar grandes titulares y fama internacional gracias a la «hazaña» de infectar cientos de millones de ordenadores, los delincuentes que dan forma al spyware tienen siempre una intención oculta. Puede que quieran utilizar el ordenador infectado para enviar correo basura o quizás busquen información privada o quieran controlar el equipo para realizar ataques masivos a servidores en Internet. Lo que está claro es que el spyware está diseñado para quedarse en el equipo, no llamar la atención y realizar su tarea con la mayor eficacia y sigilo. Por esta razón, principalmente, los fabricantes de software de seguridad han decidido crear una aplicación específica para eliminar esta amenaza en lugar de aumentar las funciones del tradicional antivirus.
El spyware llega por todo los caminos posibles y aprovecha hasta la mínima vulnerabilidad del sistema para infiltrarse. Si se navega por una página web infectada sin la protección adecuada, si se leen correos basura sospechosos o si se instalan aplicaciones de dudosa procedencia lo más fácil es acabar infectado con alguna de estas amenazas. Pero el spyware también puede tomar el control de un ordenador realizando un ataque a las comunicaciones de éste; por tanto, aunque no se realicen acciones arriesgadas las posibilidades de infección siempre son altas. De hecho, se estima que más de la mitad de los ordenadores del mundo son huésped de algún programa spyware.
Por todo ello es más que recomendable instalar un software específico para proteger el equipo de estas amenazas, normalmente integrado en una suite más completa. Pero si se tiene la sospecha de que el equipo está infectado (procesos en el sistema desconocidos, equipo ralentizado…) se pueden recurrir a un análisis de spyware basado en web. Eso sí, ojo porque muchas páginas que ofrecen este servicio no son más que una tapadera para infectar más, por lo que hay que elegir siempre fabricantes con cierto prestigio.
Actualmente el análisis basado en web más popular es NanoScan (www.nanoscan.com), de los ya mencionados Panda Software. Su funcionamiento es muy sencillo: basta descargar un pequeño control ActiveX o un plug-in (depende de si utilizas Internet Explorer o Firefox) y el sitio web te guía a través de todo el proceso de análisis del sistema. Si el ordenador está infectado con alguna de las más de dos millones y medio de amenazas, este pequeño programa lo detectará. Sin embargo, NanoScan no elimina las amenazas, sólo las detecta por lo que habrá que registrarse en Panda para utilizar su programa TotalScan. El registro es gratuito y ofrece una solución de garantías para librarse del spyware, aunque no es una solución de seguridad efectiva a largo plazo.
Cortafuegos, la primera barrera
Todo el mundo tiene claro que debe proteger su ordenador frente a los virus con un buen programa antivirus, pero muy pocos saben que un cortafuegos, o firewall, es imprescindible para completar la seguridad de cualquier equipo. Los cortafuegos simplemente definen normas de seguridad para impedir que posibles intrusos tengan acceso al equipo a través de las comunicaciones. Simplemente, mientras que un antivirus o antispyware detecta y elimina las amenazas, el firewall reduce al mínimo las posibilidades de infección. Su función principal es la de proteger las comunicaciones. Para conseguirlo, bloquea todos los puertos que no se utilizan normalmente y los oculta para que no estén siquiera al alcance de posibles ataques. Algunos como el 80 o el 21 se mantienen por defecto abiertos, ya que se utilizan para navegar por Internet y para realizar transferencias de archivos FTP (respectivamente).
Existen dos tipos fundamentales de cortafuegos. Los primeros, servidores proxy, se utilizan en grandes redes empresariales y analizan todo el tráfico en busca de patrones de todo tipo de amenazas. Así, este software decide qué información puede ser peligrosa y la bloquea. El otro tipo, el firewall personal, es el más utilizado. Su funcionamiento se basa en una serie de filtros diseñados para analizar todas las comunicaciones en función de la fuente, los puertos de destino y el protocolo utilizado. A menudo estos filtros están presentes en los routers que se utilizan para crear las pequeñas redes o acceder a Internet y se conocen como Seguridad NAT. Puede resultar complicado para algunos usuarios domésticos definir las reglas de seguridad de su router, pero merece la pena el esfuerzo, ya que de este modo ocultará a posibles atacantes la dirección IP de cada uno de los ordenadores conectado al router.
 
Los cortafuegos personales basados exclusivamente en software no son capaces de ocultar las direcciones IP de manera eficaz, pero sí de analizar toda la información enviada o recibida en el ordenador y bloquear la mayoría de las amenazas de seguridad antes de que se internen en el equipo. Las últimas versiones de Windows incluyen un firewall personal que ofrecen un nivel de protección mínimo contra los ataques más habituales. Para conseguir un nivel de seguridad alto es necesario recurrir a productos especializados y leer cuidadosamente el manual de usuario para ser capaces de configurar eficazmente el programa.
El reinado del correo basura
El spam, nombre con el que se conoce a todos los correos no solicitados, o «correo basura», se ha convertido en la principal plaga de un ordenador personal. Sobre el 95% del correo electrónico recibido en una cuenta es spam, cuando en el año 2003 sólo era del 40%. Este malware está pensado para la infiltración en los sistemas de otras amenazas como puede ser todo tipo de spyware y virus, pero por sí solo supone un grave problema ya que provoca que el usuario pierda gran cantidad de tiempo mientras intenta identificar los mensajes válidos dentro de su normalmente abarrotada bandeja de entrada.
 
Existen buenos sistemas antispam capaces de mantener alejados de la bandeja de entrada la mayor parte de los correos basura sin eliminar casi ningún correo real. Sin embargo, aún no tienen un índice de eficacia alto. Así, un programa que elimine el 80% del spam se puede considerar excelente siempre que apenas descarte un 3% de los mensajes válidos. Esto es debido a que el spam no para de evolucionar con nuevas técnicas como la utilización de imágenes, audio y todo tipo de archivos cuyo análisis informático resulta muy complejo como para determinar si se trata o no de correo deseado. Por ejemplo, a un ordenador le resulta casi imposible determinar si una imagen es una fotografía familiar o un bote de las famosas píldoras azules.

Sin llegar a ser demasiado catastrofistas, hay que reconocer que eliminar el 80% del spam facilita la lectura del correo. Por lo tanto, si se utiliza algún programa de lectura de correo como Outlook o Eudora es casi obligatorio recurrir a un programa antispam. De hecho, la mayoría de éstos ya disponen de su propio sistema de protección, pero si no se está contento con los resultados se puede recurrir a aplicaciones de terceros fabricantes.
Todas las empresas de software de seguridad tienen diseñados sistemas de este tipo, aunque rara vez se venden como un producto aislado ya que suelen incluirse en suites de seguridad junto a antivirus, firewall y demás soluciones software. También se puede encontrar algunas aplicaciones gratuitas que realizan esta tarea, como SpamExperts (www.spamexperts.com), pero su eficacia y, sobre todo, su manejo no están a la altura de soluciones más profesionales como las proporcionadas en las mejores suites de seguridad.
Phishing: estafa a domicilio
Una de las mayores amenazas actuales en Internet es el phishing. Esta práctica consiste en el envío de correos electrónicos a víctimas potenciales suplantando la identidad de su banco, su proveedor de Internet o un establecimiento comercial con el objetivo de conseguir información personal del destinatario. Por supuesto, estos datos son utilizados posteriormente para realizar estafas como la extracción de dinero de las cuentas bancarias o la compra de todo tipo de productos con cargo a los incautos estafados.
El cebo es el correo que imita a la perfección el estilo de la entidad suplantada e incita a conectarse a una página web a través de un enlace contenido en el cuerpo del mensaje. Sin embargo, el enlace es falso y dirige al usuario en cuestión a una copia fraudulenta de la web de la entidad de la que los estafadores obtendrán los datos personales, lo que les permitirá suplantar la personalidad del estafado. En realidad, el cebo se envía de manera masiva con la esperanza de que un mínimo porcentaje de usuarios caigan en la trampa. Un índice de éxito de menos del 0,5% puede proporcionar información suficiente para conseguir una importante suma de dinero.
Existe una variante más personal y dirigida, en la que el atacante manda mensajes de correo a un grupo definido de personas suplantando la personalidad de un individuo importante de su organización, como el responsable de recursos humanos o el administrador de su red. Si alguno de los receptores del mensaje cae en el engaño, el atacante puede conseguir un mayor acceso dentro de la organización o directamente información privada potencialmente valiosa. La mayoría de las suites de seguridad incluyen una aplicación especializada en bloquear estas amenazas. Su funcionamiento se basa en avisar al usuario del acceso a páginas web sin certificado de seguridad válido y en contar con una base de datos con todas las páginas detectadas como fraudulentas. Sólo así se consigue el máximo de protección ante esta peligrosísima amenaza.
Datos personales protegidos
Mientras que en nuestra vida real somos muy celosos de nuestra identidad y no proporcionamos nuestros datos privados a la primera persona que los pregunta, en Internet sí solemos rellenar cientos de formularios con todo tipo de información de carácter privado. Es de vital importancia proteger estos datos y ponerlos a disposición solamente de aquellos que conozcamos personalmente o con los que queramos iniciar una relación empresarial. En primer lugar, al rellenar un formulario lo recomendable es rellenar sólo los cuadros que sean imprescindibles y siempre asegurarse de que las casillas de verificación relacionadas con la distribución de los datos están siempre activadas para que la empresa receptora no pueda distribuirlos en función de sus intereses. En nuestro país estas casillas deben estar activadas por defecto, pero en otros países la normativa es diferente. Hay que tener en cuenta que aunque la página parezca realizada en España en realidad podría estar alojada en cualquier otro lugar.
Algunas páginas requieren registrarse para acceder a contenidos adicionales. Si no hay un especial interés por mantener una relación duradera con estas web lo más lógico es mentir. También es recomendable crear una cuenta de correo «paralela» para utilizarla en estos casos, ya que normalmente la activación del registro se realiza a través de mail. Por otro lado, hay que evitar cuentas de los principales proveedores de correo web (como Hotmail), ya que muchas páginas de registro rechazan estas direcciones. Algunos programas del mercado están especializados en proteger la información personal. Por ejemplo, IdentityFinder (www.identityfinder.com) asegura toda la información personal y la gestiona de modo que tareas como rellenar formularios resultan más sencillas y, sobre todo, más seguras.
Qué hacen nuestros hijos cuando navegan por la Red
Para casi cualquier niño la palabra «prohibido» resulta más tentadora que cualquier contenido de Internet por lo que, en la mayoría de los casos, prohibir a tu hijo navegar por páginas web de contenido violento o pornográfico puede resultar una tarea inútil. Además, la supervisión continua por parte de un adulto parece una tarea imposible, ya que pueden tener ordenador en su habitación, o un portátil con conexión WiFi, o llegar a casa antes de que lo hagan los padres…
Por lo tanto, una solución puede ser utilizar uno de los programas que proporcionan control sobre el tipo de páginas web que se pueden visitar. Tras asociar una de estas aplicaciones a un perfil de usuario, se puede determinar el nivel de seguridad para restringir el acceso a determinados contenidos e incluso limitar el tiempo de uso y los horarios aceptables. Estas aplicaciones basan su funcionamiento en dos tipos de bases de datos. La primera contiene todas las palabras o frases que se quieren censurar. Así, si por ejemplo el niño quiere acceder a un contenido sexual identificará palabras claves de la web como «sexo» o «tetas» y bloqueará la página. La segunda determina directamente las páginas web que contienen estos contenidos. Esta base de datos se actualiza periódicamente desde el servidor del proveedor de software de modo que bloquea gran cantidad de páginas antes incluso de descargarlas.
Rootkit de derechos de autor
Aunque aún no sean todo lo populares que deberían, hay que decir que los rootkits son un tipo de troyano que se mantiene oculto frente a detecciones y, a su vez, oculta otros archivos, entradas de registro o conexiones de red. Este tipo de aplicaciones permite al atacante tener acceso completo al ordenador, lo cual significa que puede manejar el equipo a su antojo. Es capaz de bloquear las peticiones de visualización de un archivo por parte de cualquier programa o incluso proporcionar datos incorrectos al sistema.
Por otro lado, estos rootkits se están utilizando actualmente para otros propósitos que algunos vendedores consideran totalmente legítimos. Por ejemplo, si se instala software compatible con DRM (gestión de derechos digitales) y se mantiene oculto, puede controlar el uso de programas bajo licencia o contenidos protegidos bajo copyright. Sin embargo, este software DRM se protege a sí mismo frente a una desinstalación y, en el fondo, no es mejor visto que un spyware que ataca al sistema y utiliza técnicas de rootkits para ocultarse frente a análisis.