Comienzo:
Virus:
Existe cierta controversia sobre la definición de virus informático. Quizás la más aceptada pertenece a Fred B. Cohen, quien en 1984 escribió su tesis doctoral acerca de los virus, definiéndolos como «un programa de ordenador que puede infectar otros programas modificándolos para incluir una copia de sí mismo».
Los virus informáticos tienen básicamente la función de propagarse, replicándose, pero algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es conceptualmente simple: ejecutando un programa infectado (normalmente por desconocimiento del usuario) el código del virus queda almacenado (residente) en la memoria RAM del ordenador, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando los posteriores ficheros ejecutables que sean abiertos o ejecutados, añadiendo su propio código al del programa infectado y grabándolo en disco, con lo cual el proceso de replicado se completa.
Tabla de contenidos [ocultar]
1 Clasificación
1.1 Según lo infectado
1.2 Según su comportamiento
2 Historia
3 Virus informáticos y Sistemas Operativos
4 Daños
5 Métodos de contagio
6 Métodos de protección
6.1 Activos
6.2 Pasivos
7 Referencias
8 Enlaces externos
Clasificación
Según lo infectado
Según algunos autores, fundamentalmente existen dos tipos de virus:
Aquellos que infectan archivos. A su vez, estos se clasifican en:
Virus de acción directa. En el momento en el que se ejecutan, infectan a otros programas.
Virus residentes. Al ser ejecutados, se instalan en la memoria del ordenador. Infectan a los demás programas a medida que se accede a ellos. Por ejemplo, al ser ejecutados.
Los que infectan el sector de arranque (virus de boot). Recordemos que el sector de arranque es lo primero que lee el ordenador cuando es encendido. Estos virus residen en la memoria.
Existe una tercera categoría llamada multipartite, pero corresponde a los virus que infectan archivos y al sector de arranque, por lo que se puede decir que es la suma de las dos categorías anteriores.
Para otros autores, la clasificación de los virus también se divide en dos categorías, pero el método de clasificación utilizado es diferente:
Virus de archivos, que modifican archivos o entradas de las tablas que indican el lugar donde se guardan los directorios o los archivos.
Virus de sistema operativo, cuyo objetivo consiste en infectar aquellos archivos que gobiernan el ordenador.
Existe una tercera clasificación, promovida por CARO, para unificar la forma de nombrar a los virus. En esta clasificación se atiende a la plataforma en la que actúa el virus y a algunas de sus características más importantes.
Por ejemplo, el W32/Hybris.A-mm es un virus que funciona en la plataforma win32 en su variante A (primera) que tiene capacidad mass mailing o de envío masivo de correo electrónico infectado.
Según su comportamiento
En función de su comportamiento, todos los virus anteriores pueden a su vez clasificarse en otros subgrupos:
Virus uniformes, que producen una replicación idéntica a sí mismos.
Virus encriptados, que cifran parte de su código para que sea más complicado su análisis. A su vez pueden emplear:
Encriptación fija, empleando la misma clave.
Encriptación variable, haciendo que cada copia de sí mismo esté encriptada con una clave distinta. De esta forma reducen el tamaño del código fijo empleable para su detección.
Virus oligomórficos, que poseen un conjunto reducido de funciones de encriptación y eligen una de ellas aleatoriamente. Requieren distintos patrones para su detección.
Virus polimórficos, que en su replicación producen una rutina de encriptación completamente variable, tanto en la fórmula como en la forma del algoritmo. Con polimorfismos fuertes se requiere de emulación, patrones múltiples y otras técnicas antivirus avanzadas.
Virus metamórficos, que reconstruyen todo su cuerpo en cada generación, haciendo que varíe por completo. De esta forma se llevan las técnicas avanzadas de detección al límite. Por fortuna, esta categoría es muy rara y sólo se encuentran en laboratorio.
Sobreescritura, cuando el virus sobreescribe a los programas infectados con su propio cuerpo.
Stealth o silencioso, cuando el virus oculta síntomas de la infección.
Existen más clasificaciones según su comportamiento, siendo las citadas parte de las más significativas y reconocidas por la mayoría de los fabricantes de antivirus.
Virus informáticos y Sistemas Operativos
Los virus informáticos afectan en mayor o menor medida a casi todos los sistemas más conocidos y usados en la actualidad.
Las mayores incidencias se dan en el sistema operativo Windows debido, entre otras causas, a:
Su gran popularidad entre los computadores de escritorio (por lo menos un 90% de ellos usa Windows).
La tradicional poca seguridad de esta plataforma (situación a la que, según Microsoft, está dando en los últimos años mayor prioridad e importancia que en el pasado) al ser muy permisivo en la instalación de programas ajenos al sistema, sin requerir alguna autentificación de parte del usuario o pedirle algún permiso especial para ello (en los Windows basados en NT se ha mejorado en parte este problema).
Software como Internet Explorer y Outlook Express, desarrollados por Microsoft e incluidos en forma predeterminada en las últimas versiones de Windows, son conocidos por ser vulnerables a los virus ya que éstos aprovechan la ventaja de que dichos programas están fuertemente integrados en el sistema operativo dando acceso completo y prácticamente sin restricciones a los archivos del sistema.
La poca información y toma de medidas preventivas por parte de los usuarios de Windows ya que este sistema está dirigido mayormente a los usuarios no expertos en Informática, situación que es aprovechada por los programadores de virus.
En otros sistemas operativos como Mac OS X, Linux y otros basados en Unix las incidencias y ataques existen pero en mucha menor cantidad. Son prácticamente inexistentes. (Totalmente inexistentes en el caso de Mac OS X) Esto se debe principalmente a:
Tradicionalmente los programadores y usuarios de sistemas basados en Unix/BSD han considerado la seguridad como una prioridad por lo que hay mayores medidas frente a virus tales como la necesidad de autenficación por parte del usuario como administrador o root para poder instalar cualquier programa adicional al sistema.
Los directorios o carpetas que contienen los archivos vitales del sistema operativo cuentan con permisos especiales de acceso por lo que no cualquier usuario y/o programa puede acceder fácilmente a ellos para modificarlos o borrarlos. Existe una jerarquía de permisos y accesos para los usuarios.
Relacionado al punto anterior, a diferencia de los usuarios de Windows, la mayoría de los usuarios de sistemas basados en Unix no inician sesiones como usuarios Administradores o root excepto para instalar o configurar software, dando como resultado que si incluso un usuario no administrador ejecuta un virus o algún software malicioso pues este no dañaría completamente el sistema operativo ya que Unix limita el entorno de ejecución a un espacio o directorio reservado llamado comúnmente home.
Estos sistemas son mucho menos populares y usados que Windows, razón que los hace menos atractivos para un desarrollo de virus o software malicioso.
Daños
Dado que una característica de los virus es el consumo de recursos, los virus ocasionan problemas tales como pérdida de productividad, cortes en los sistemas de información o daños a nivel de datos.
Otra de las características es la posibilidad que tienen de ir replicándose. Las redes en la actualidad ayudan a dicha propagación.
Otros daños que los virus producen a los sistemas informáticos son la pérdida de información, horas de parada productiva, tiempo de reinstalación, etc.
Hay que tener en cuenta que cada virus plantea una situación diferente.
Métodos de contagio
Existen dos grandes grupos de contaminaciones, los virus donde el usuario en un momento dado ejecuta o acepta de forma inadvertida la instalación del virus, o los gusanos donde el programa malicioso actúa replicándose a través de las redes.
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o no previstos. Dichos comportamientos pueden dar la traza del problema y permitir la recuperación del mismo.
Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:
Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto)
Ingeniería social, mensajes como ejecute este programa y gane un premio.
Entrada de información en discos de otros usuarios infectados.
Instalación de software pirata o de baja calidad.
En el sistema Windows existe el caso único de que el computador pueda infectarse sin ningún tipo de intervención del usuario (versiones Windows 2000, XP y Server 2003) por virus como Blaster, Sasser y sus variantes, por el simple acto de conectar el computador a la red Internet. Este tipo de virus aprovechan una vulnerabilidad de desbordamiento de búfer y puertos de red para infiltrarse y contagiar el equipo, causar inestabilidad en el sistema, mostrar mensajes de error y hasta reinicios involuntarios, reenviarse a otras máquinas mediante la red local o Internet, entre otros daños. En las últimas versiones de Windows 2000, XP y Server 2003 se ha corregido este problema en mayoría. Adicionalmente el usuario deberá descargar actualizaciones y parches de seguridad.
Métodos de protección
Los métodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.COMPRAR UN ANTIVIRUS Y ESO ES TODO
Activos
Antivirus: los llamados programas antivirus tratan de descubrir las trazas que ha dejado un software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación. Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad.
Filtros de ficheros: consiste en generar filtros de ficheros dañinos si el ordenador está conectado a una red. Estos filtros pueden usarse por ejemplo en el sistema de correos o usando técnicas de firewall.
En general este sistema proporciona una seguridad donde el usuario no requiere de intervención, puede ser más tajante, y permitir emplear únicamente recursos de forma más selectiva.
Pasivos
Copias de seguridad: mantener una política de copias de seguridad garantiza la recuperación de los datos y la respuesta cuando nada de lo anterior ha funcionado.
Amenazas y Malware
No solo los virus suponen una amenaza para nuestro ordenador.
Hasta hace unos años, los virus constituían la principal amenaza para los equipos informáticos. Los virus son programas que se reproducen infectando otros ficheros o aplicaciones y realizan acciones perjudiciales para el usuario.
Con posterioridad aparecieron los gusanos, programas que no necesitan infectar otros ficheros para reproducirse, y que se propagan realizando copias de sí mismos, con el fin de colapsar las redes en las que se infiltran. Y los troyanos y backdoors, aparentemente inofensivos, pero que buscan introducirse en el ordenador para capturar contraseñas y pulsaciones del teclado, permitir el acceso remoto a la información almacenada, etc.
Sin embargo, en los últimos tiempos, y debido principalmente a la generalización del uso de la informática y del acceso a Internet entre el gran público, han aparecido otras amenazas capaces de resultar muy dañinas y que obligan a redefinir el concepto de amenaza, también denominada como malware.
La palabra malware proviene de la composición de las palabras inglesas malicious software, es decir, programas maliciosos. Se entiende por malware cualquier programa, documento o mensaje que puede resultar perjudicial para un ordenador, tanto por pérdida de datos como por pérdida de productividad.
Así, aparte de los ya conocidos virus, gusanos, troyanos y backdoors cabe incluir dentro del malware:
Dialer: tratan de establecer conexión telefónica con un número de tarificación especial.
Joke: gasta una broma informática al usuario.
Riesgo de Seguridad: son herramientas legales que pueden ser empleadas de forma malintencionada.
Herramienta de Hacking: permite a los hackers realizar acciones peligrosas para las víctimas de los ataques.
Vulnerabilidad: es un fallo en la programación de una aplicación, a través del cual se puede vencer la seguridad del ordenador y realizar intrusiones en el mismo.
Programa Espía: recoge datos acerca de hábitos de uso de Internet y los envía a empresas de publicidad.
Hoax: son mensajes de correo electrónico con advertencias sobre falsos virus.
Spam: es el envío indiscriminado de mensajes de correo no solicitados, generalmente publicitarios.
Todos ellos configuran el panorama del malware en la actualidad.
Virus, gusanos, troyanos y backdoors
Los "parientes" más cercanos de los virus.
Virus
Gusanos
Troyanos
Backdoors
Además de los virus, existen otros tres enemigos de gran parecido: los gusanos, los troyanos y los backdoors. Aunque a efectos prácticos se suelen considerar también como virus, tienen alguna diferencia con ellos.
Virus
Los virus son programas con unas características muy peculiares que se introducen en los ordenadores de formas muy diversas: a través del correo electrónico, Internet, disquetes, etc. Tienen dos características diferenciales:
Se reproducen infectando otros ficheros o programas.
Al ejecutarse, realizan acciones molestas y/o dañinas para el usuario.
El término virus informático se debe a su enorme parecido con los virus biológicos.
Del mismo modo que los virus biológicos se introducen en el cuerpo humano e infectan una célula, que a su vez infectará nuevas células al inyectar su contenido en ellas, los virus informáticos se introducen en los ordenadores e infectan ficheros insertando en ellos su "código". Cuando el programa infectado se ejecuta, el código entra en funcionamiento y el virus sigue extendiéndose.
Además, ambos tipos de virus presentan síntomas que avisan de su presencia y, mientras que los virus biológicos son micro-organismos, los virus informáticos son micro-programas.
Gusanos
Los gusanos son programas muy similares a los virus, ya que también se autoreplican y tienen efectos dañinos para los ordenadores, pero se diferencian en que no necesitan infectar otros ficheros para reproducirse.
Básicamente, los gusanos se limitan a realizar copias de sí mismos, sin tocar ni dañar ningún otro fichero, pero se reproducen a tal velocidad que pueden colapsar por saturación las redes en las que se infiltran. Principalmente se extienden a través del correo electrónico, como los conocidos I Love You, Navidad, Pretty Park, Happy99, ExploreZip.
Troyanos
Un troyano o caballo de Troya es un programa que se diferencian de los virus en que no se reproduce infectando otros ficheros. Tampoco se propaga haciendo copias de sí mismo como hacen los gusanos.
Su nombre deriva del parecido en su forma de actuar con los astutos griegos de la mitología: llegan al ordenador como un programa aparentemente inofensivo. Sin embargo, al ejecutarlo instalará en nuestro ordenador un segundo programa, el troyano.
Los efectos de los troyanos pueden ser muy peligrosos. Permiten realizar intrusiones o ataques contra el ordenador afectado, realizando acciones tales como capturar todos los textos introducidos mediante el teclado o registrar las contraseñas introducidas por el usuario.
Algunos ejemplos de troyanos son Autorooter, Zasi y Webber.
Backdoors
Un backdoor es un programa que se introduce en el ordenador de manera encubierta, aparentando ser inofensivo. Una vez es ejecutado, establece una "puerta trasera" a través de la cual es posible controlar el ordenador afectado. Esto permite realizar en el mismo acciones que pueden comprometer la confidencialidad del usuario o dificultar su trabajo.
Las acciones permitidas por los backdoors pueden resultar muy perjudiciales. Entre ellas se encuentran la eliminación de ficheros o la destrucción de la información del disco duro. Además, pueden capturar y reenviar datos confidenciales a una dirección externa o abrir puertos de comunicaciones, permitiendo que un posible intruso controle nuestro ordenador de forma remota.
Algunos ejemplos de backdoors son: Orifice2K.sfx, Bionet.318, Antilam y Subseven.213.
Si desea ampliar esta información, consulte el apartado Tipos de virus.
Spyware, Adware y Dialers
La nueva generación de malware.
Hoy en día han surgido una nueva generación de malware que espían, roban información, actúan sobre programas, desvían conexiones, realizan seguimientos de usuarios no solicitados, etc. Para poder luchar contra ellos, hay que conocerlos y saber en que consisten.
Spyware o programas espías
Adware
Dialer
Cookie
Programas espía o spyware
Los programas espía, también conocidos como spyware, son aplicaciones informáticas que recopilan datos sobre los hábitos de navegación, preferencias y gustos del usuario. Los datos recogidos son transmitidos a los propios fabricantes o a terceros, bien directamente, bien después de ser almacenados en el ordenador.
El spyware puede ser instalado en el sistema a través de numerosas vías, entre las que se encuentran: troyano, que los instalan sin consentimiento del usuario; visitas a páginas web que contienen determinados controles ActiveX o código que explota una determinada vulnerabilidad; aplicaciones con licencia de tipo shareware o freeware descargadas de Internet, etc. El spyware puede ser instalado solicitando previamente o no el consentimiento del usuario, así como con plena conciencia o falta de ella acerca de la recopilación de datos y/o del uso que se va a realizar de los mismos.
El spyware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es así. Lo mismo ocurre con el conocimiento de la recogida de datos y la forma en que son posteriormente utilizados.
Adware
Adware es una palabra inglesa que nace de la contracción de las palabras Advertising Software, es decir, programas que muestran anuncios. Se denomina adware al software que muestra publicidad, empleando cualquier tipo de medio: ventanas emergentes, banners, cambios en la página de inicio o de búsqueda del navegador, etc. La publicidad está asociada a productos y/o servicios ofrecidos por los propios creadores o por terceros.
El adware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es así. Lo mismo ocurre con el conocimiento o falta del mismo acerca de sus funciones.
Dialer
Es un programa que, sin el consentimiento del usuario, cuelga la conexión telefónica que se está utilizando en ese momento (la que permite el acceso a Internet, mediante el marcado de un determinado número de teléfono) y establece otra, marcando un número de teléfono de tarificación especial. Esto supondrá un notable aumento del importe en la factura telefónica.
Cookie
Las cookies son pequeños archivos de texto que el navegador almacena en el ordenador del usuario, cuando se visitan páginas web.
Las cookies almacenan información que se utiliza con varios fines:
Para personalizar la página web y su navegación para cada usuario.
Para recoger información demográfica sobre cuántos usuarios visitan la página y su tiempo de estancia en ella.
Para realizar un seguimiento de qué banners se muestran al usuario, y durante cuánto tiempo.
Estos usos no tienen un carácter malicioso, al menos en principio.
Sin embargo, es necesario tener en cuenta que toda información personal que se introduzca en una página web se puede almacenar en una cookie, incluyendo el número de la tarjeta de crédito.
Además, las cookies también se pueden utilizar para formar un perfil del usuario, con información que éste no controla, y que después puede ser enviada a terceros, con la consiguiente amenaza para la privacidad.
Spam
mensajes de correo no solicitados
El spam es el correo electrónico no solicitado, normalmente con contenido publicitario, que se envía de forma masiva.
El término spam tiene su origen en el jamón especiado (SPiced hAM), primer producto de carne enlatada que no necesitaba frigorífico para su conservación. Debido a esto, su uso se generalizó, pasando a formar parte del rancho habitual de los ejércitos de Estados Unidos y Rusia durante la Segunda Guerra Mundial.
Posteriormente, en 1969, el grupo de actores Monthy Python protagonizó una popular escena, en la cual los clientes de una cafetería intentaban elegir de un menú en el que todos los platos contenían… jamón especiado, mientras un coro de vikingos canta a voz en grito "spam, spam, spam, rico spam, maravilloso spam". En resumen, el spam aparecía en todas partes, y ahogaba el resto de conversaciones.
Haciendo un poco de historia, el primer caso de spam del que se tiene noticia es una carta enviada en 1978 por la empresa Digital Equipment Corporation. Esta compañía envió un anuncio sobre su ordenador DEC-20 a todos los usuarios de ArpaNet (precursora de Internet) de la costa occidental de los Estados Unidos. Sin embargo, la palabra spam no se adoptó hasta 1994, cuando en Usenet apareció un anuncio del despacho de los abogados Lawrence Cantera y Martha Siegel. Informaban de su servicio para rellenar formularios de la lotería que da acceso a un permiso para trabajar en Estados Unidos. Este anuncio fue enviado mediante un script a todos los grupos de discusión que existían por aquel entonces.
Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son:
La dirección que aparece como remitente del mensaje no resulta conocida para el usuario, y es habitual que esté falseada.
El mensaje no suele tener dirección Reply.
Presentan un asunto llamativo.
El contenido es publicitario: anuncios de sitios web, fórmulas para ganar dinero fácilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en promoción.
La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o Asia, pero empieza a ser común el spam en español.
Aunque el método de distribución más habitual de este tipo de malware es el correo electrónico, existen diversas variantes, cada cual con su propio nombre asociado en función de su canal de distribución:
Spam: enviado a través del correo electrónico.
Spim: específico para aplicaciones de tipo Mensajería Instantánea (MSN Messenger, Yahoo Messenger, etc).
Spit: spam sobre telefonía IP. La telefonía IP consiste en la utilización de Internet como medio de transmisión para realizar llamadas telefónicas.
Spam SMS: spam destinado a enviarse a dispositivos móviles mediante SMS (Short Message Service).
El spam es un fenómeno que va en aumento día a día, y representa un elevado porcentaje del tráfico de correo electrónico total.
Además, a medida que surgen nuevas soluciones y tecnologías más efectivas para luchar contra el spam, los spammers (usuarios maliciosos que se dedican profesionalmente a enviar spam) se vuelven a su vez más sofisticados, y modifican sus técnicas con objeto de evitar las contramedidas desplegadas por los usuarios.
Phishing
Robo de datos personales
El phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.
Existe un amplio abanico de software y aplicaciones de toda índole que quedan clasificados dentro de la categoría de robo de información personal o financiera, algunas de ellas realmente complejas, como el uso de una ventana Javascript flotante sobre la barra de direcciones del navegador con el fin de confundir al usuario.
Algunas de las características más comunes que presentan este tipo de mensajes de correo electrónico son:
Uso de nombres de compañías ya existentes. En lugar de crear desde cero el sitio web de una compañía ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una empresa existente, con el fin de confundir aún más al receptor del mensaje.
Utilizar el nombre de un empleado real de una empresa como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compañía, desde ésta le podrán confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma.
Direcciones web con la apariencia correcta. Como hemos visto, el correo fraudulento suele conducir al lector hacia sitios web que replican el aspecto de la empresa que está siendo utilizada para robar la información. En realidad, tanto los contenidos como la dirección web (URL) son falsos y se limitan a imitar los contenidos reales. Incluso la información legal y otros enlaces no vitales pueden redirigir al confiado usuario a la página web real.
Factor miedo. La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compañía de que sus clientes están siendo objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de información se cierra en el intervalo de unos pocos días. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una pérdida, ya sea económica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido, y que usualmente están relacionadas con nuevas medidas de seguridad recomendadas por la entidad.
Para lograr su objetivo, este tipo de malware, además de la ocultación de la URL fraudulenta en un correo electrónico aparentemente real, también utiliza otras técnicas más sofisticadas:
Man-in-the-middle (hombre en el medio). En esta técnica, el atacante se sitúa entre el usuario y el sitio web real, actuando a modo de proxy. De esta manera, es capaz de escuchar toda la comunicación entre ambos. Para que tenga éxito, debe ser capaz de redirigir al cliente hacia su proxy en vez de hacia el servidor real. Existen diversas técnicas para conseguirlo, como por ejemplo los proxies transparentes, el DNS Cache Poisoning (Envenenamiento de Caché DNS) y la ofuscación del URLs.
Aprovechamiento de vulnerabilidades de tipo Cross-Site Scripting en un sitio web, que permiten simular una página web segura de una entidad bancaria, sin que el usuario pueda detectar anomalías en la dirección ni en el certificado de seguridad que aparece en el navegador.
Aprovechamiento de vulnerabilidades de Internet Explorer en el cliente, que permiten mediante el uso de exploits falsear la dirección que aparece en el navegador. De esta manera, se podría redirigir el navegador a un sitio fraudulento, mientras que en la barra de direcciones del navegador se mostraría la URL del sitio de confianza. Mediante esta técnica, también es posible falsear las ventanas pop-up abiertas desde una página web auténtica.
Algunos ataques de este tipo también hacen uso de exploits en sitios web fraudulentos que, aprovechando alguna vulnerabilidad de Internet Explorer o del sistema operativo del cliente, permiten descargar troyanos de tipo keylogger que robarán información confidencial del usuario.
Otra técnica más sofisticada es la denominada Pharming. Se trata de una táctica fraudulenta que consiste en cambiar los contenidos del DNS (Domain Name Server, Servidor de Nombres de Dominio) ya sea a través de la configuración del protocolo TCP/IP o del archivo lmhost (que actúa como una caché local de nombres de servidores), para redirigir los navegadores a páginas falsas en lugar de las auténticas cuando el usuario accede a las mismas a través de su navegador. Además, en caso de que el usuario afectado por el pharming navegue a través de un proxy para garantizar su anonimato, la resolución de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legítimo .
¿Qué es una vulnerabilidad?
Algunos programas poseen "agujeros" que pueden facilitar la infección de nuestro ordenador.
Como en el mito griego del famoso héroe Aquiles, una vulnerabilidad representa un punto a través del cual es posible vencer la seguridad de un ordenador. Una vulnerabilidad es un fallo en la programación de una aplicación cualquiera, y que puede ser aprovechado para llevar a cabo una intrusión en el ordenador que tenga instalado dicho programa.
Generalmente, dicho fallo de programación se refiere a operaciones que provocan un funcionamiento anormal de la aplicación. Esta situación anómala puede ser producida artificialmente por una persona maliciosa para poder introducirse en un ordenador sin el consentimiento del usuario. En ocasiones, es suficiente con abrir un documento creado "artesanalmente" con ese fin específico.
Esto le permitirá al usuario malicioso realizar un gran abanico de acciones en el ordenador vulnerable, desde ejecutar ficheros hasta borrarlos, introducir virus, acceder a información, etc.
Aunque son más conocidas las vulnerabilidades asociadas a sistemas operativos, navegadores de Internet y programas de correo electrónico, cualquier programa puede presentar vulnerabilidades: procesadores de textos, bases de datos, aplicaciones de reproducción de archivos de sonido, etc.
Una vulnerabilidad no representa un peligro inmediato para el ordenador. Sin embargo, es una vía de entrada potencial para otras amenazas, tales como virus, gusanos, troyanos y backdoors, que sí pueden tener efectos destructivos.
Por ello, es altamente recomendable estar informado acerca de las vulnerabilidades descubiertas en los programas instalados y aplicar los parches de seguridad más recientes proporcionados por la empresa fabricante, accesibles a través del sitio web de la misma.
Algunos ejemplos de gusanos que aprovechan vulnerabilidades para llevar a cabo sus acciones son: Blaster, Bugbear.B, Klez.I y Nachi.A.
Hoaxes y jokes
Virus falsos y bromas pesadas que pueden confundir al usuario.
Hoaxes
Jokes
Existen ciertos tipos de mensajes o de software que a veces son confundidos con virus, pero que no lo son en ningún sentido. Es muy importante conocer las diferencias para no sufrir las consecuencias negativas de una confusión.
Hoaxes
Los hoaxes no son virus, sino mensajes de correo electrónico engañosos, que se difunden masivamente por Internet sembrando la alarma sobre supuestas infecciones víricas y amenazas contra los usuarios.
Los hoaxes tratan de ganarse la confianza de los usuarios aportando datos que parecen ciertos y proponiendo una serie de acciones a realizar para librarse de la supuesta infección.
Si se recibe un hoax, no hay que hacer caso de sus advertencias e instrucciones: lo más aconsejable es borrarlo sin prestarle la más mínima atención y no reenviarlo a otras personas.
Mensaje de presentación del hoax SULFNBK.EXE.
Jokes
Un joke tampoco es un virus, sino un programa inofensivo que simula las acciones de un virus informático en nuestro ordenador. Su objetivo no es atacar, sino gastar una broma a los usuarios, haciéndoles creer que están infectados por un virus y que se están poniendo de manifiesto sus efectos. Aunque su actividad llega a ser molesta, no producen realmente efectos dañinos.
¿Qué elementos infectan los virus?
Los virus pueden introducirse en muchas partes, pero aún no infectan los monitores.
Los objetivos de los virus suelen ser los programas que se pueden ejecutar (ficheros con extensión EXE o COM ). Sin embargo, y cada vez más, también pueden infectar otros tipos de ficheros, como páginas Web (HTML), documentos de Word (DOC), hojas de cálculo (XLS), etc.
La infección de un fichero puede provocar la modificación en su comportamiento y funcionamiento o incluso su eliminación. Esto se traduce en consecuencias que, en mayor o menor medida, afectan al sistema informático.
Por otro lado, los ficheros se alojan o almacenan en unidades de disco (disco duro, CD-ROM, DVD, disquete, etc) que también pueden verse afectadas por la infección.
Medios de entrada más habituales
¿Pueden entrar por el ratón? Descubra cómo llegan los virus y las amenazas.
Internet
Redes de ordenadores
Discos extraíbles
Las amenazas entran en los ordenadores a través de los distintos medios utilizados para intercambiar información. Básicamente, estos medios se dividen en tres grupos: Internet, redes de ordenadores y unidades de disco extraíbles.
Internet
Internet se ha convertido en el mayor medio de transferencia de información entre ordenadores, y en consecuencia, hoy es la mayor y más rápida vía de propagación de virus y demás amenazas.
Sin embargo, Internet posibilita numerosas formas de intercambiar información, y cada una de ellas tiene unas características y un potencial de riesgo distinto.
Básicamente, hay que distinguir entre correo electrónico, navegación por páginas Web, transferencia de ficheros por FTP, descarga de programas y comunicaciones a través de chat y grupos de noticias.
Redes de ordenadores
Las redes de ordenadores consisten en un conjunto de ordenadores conectados físicamente entre sí (a través de cable, módem, routers, etc.), para poder compartir información (programas, Intranet, etc.) y recursos entre ellos (acceso a impresoras, escáner, etc), sin necesidad de recurrir a las unidades de disco extraíbles.
Esto es positivo y facilita el trabajo, pero también facilita la transmisión de virus: la probabilidad de infección en una red es mayor que si el ordenador no está conectado en red.
Si uno de los ordenadores de una red contiene información con virus, cuando los demás accedan a ella serán infectados a su vez, cayendo todos en cadena y paralizando la actividad de la toda red.
Discos extraíbles
Los discos extraíbles son unidades físicas y externas a nuestro ordenador, que se utilizan para guardar e intercambiar información, como los disquetes, CD-ROMs, DVDs, discos duros extraíbles, etc.
Si uno de los programas, ficheros, mensajes de correo, etc. guardados en una unidad de disco está infectado, al introducirla en otro ordenador podría infectarlo también.
Tradicionalmente, esta era la mayor fuente de infecciones. Hoy en día, los discos han retrocedido en importancia frente a la expansión de Internet, pero todavía continúan representando un riesgo considerable.
Si desea ampliar esta información, consulte el apartado Vías de entrada.
¿Dónde se esconden?
Los virus y las amenazas emplean numerosos medios para intentar pasar desapercibidos.
Los escondites más usados por las distintas amenazas son los siguientes:
Las páginas Web están escritas en un determinado lenguaje y pueden contener elementos (Applets Java y controles ActiveX) que permiten a los virus esconderse en ellos. Al visitar la página, se produce la infección.
Los mensajes de correo electrónico son los escondites preferidos de los virus, pues se trata del medio de propagación más rápido. Estos mensajes pueden contener ficheros infectados o incluso producir la infección con su simple lectura y apertura.
La memoria principal del ordenador (memoria RAM). Los virus y las amenazas se colocan y quedan residentes en ella, esperando a que ocurra algo que les permite entrar en acción.
El sector de arranque es un área especial de un disco, que almacena información sobre sus características y su contenido. Los virus, concretamente los de boot, se alojan en ella para infectar el ordenador.
Los ficheros con macros son un escondite interesante para los virus. Las macros son pequeños programas que ayudan a realizar ciertas tareas y están incorporados dentro de documentos Word (ficheros con extensión DOC), hojas de cálculo Excel (extensión XLS) o presentaciones PowerPoint (extensión PPT o PPS). Al ser programas, las macros pueden ser infectadas por los virus.
Para ampliar esta información, consulte el apartado Técnicas de propagación y camuflaje.
Página anterior | Volver al principio del trabajo | Página siguiente |