Diapositiva 1

Ataques y contramedidas en sistemas personalesTema 2 SAD

Vicente Snchez Patn

I.E.S Gregorio PrietoClasificacin de los ataques en sistemas personales Digamos que se entiende por amenaza una condicin del entorno del sistema de informacin (persona, mquina, suceso o idea) que, dada una oportunidad, podra dar lugar a que se produjese una violacin de la seguridad (confidencialidad, integridad, disponibilidad o uso legtimo). La poltica de seguridad y el anlisis de riesgos habrn identificado las amenazas que han de ser contrarrestadas, dependiendo del diseador del sistema de seguridad especificar los servicios y mecanismos de seguridad necesarios. Las amenazas a la seguridad en una red pueden caracterizarse modelando el sistema como un flujo de informacin desde una fuente, como por ejemplo un fichero o una regin de la memoria principal, a un destino, como por ejemplo otro fichero o un usuario. Un ataque no es ms que la realizacin de una amenaza. Las cuatro categoras generales de amenazas o ataques son las siguientes:

Clasificacin de los ataques en sistemas personales 1. Interrupcin: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destruccin de un elemento hardware, como un disco duro, cortar una lnea de comunicacin o deshabilitar el sistema de gestin de ficheros.

2. Intercepcin: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podra ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una lnea para hacerse con datos que circulen por la red y la copia ilcita de ficheros o programas (intercepcin de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o ms de los usuarios implicados en la comunicacin observada ilegalmente (intercepcin de identidad).

Clasificacin de los ataques en sistemas personales 3. Modificacin: una entidad no autorizada no slo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que estn siendo transferidos por la red.

4. Fabricacin: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la insercin de mensajes espurios en una red o aadir registros a un archivo. Estos ataques se pueden asimismo clasificar de forma til en trminos de ataques pasivos y ataques activos.

Clasificacin de los ataques en sistemas personalesAtaques pasivos En los ataques pasivos el atacante no altera la comunicacin, sino que nicamente la escucha o monitoriza, para obtener informacin que est siendo transmitida. Sus objetivos son la intercepcin de datos y el anlisis de trfico, una tcnica ms sutil para obtener informacin de la comunicacin, que puede consistir en: Obtencin del origen y destinatario de la comunicacin, leyendo las cabeceras de los paquetes monitorizados. Control del volumen de trfico intercambiado entre las entidades monitorizadas, obteniendo as informacin acerca de actividad o inactividad inusuales. Control de las horas habituales de intercambio de datos entre las entidades de la comunicacin, para extraer informacin acerca de los perodos de actividad. Los ataques pasivos son muy difciles de detectar, ya que no provocan ninguna alteracin de los datos. Sin embargo, es posible evitar su xito mediante el cifrado de la informacin y otros mecanismos que se vern ms adelante.

Clasificacin de los ataques en sistemas personalesAtaques activos Estos ataques implican algn tipo de modificacin del flujo de datos transmitido o la creacin de un falso flujo de datos, pudiendo subdividirse en cuatro categoras:

a. Suplantacin de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticacin pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contrasea de acceso a una cuenta.

Clasificacin de los ataques en sistemas personales b. Repeticin: uno o varios mensajes legtimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.

Clasificacin de los ataques en sistemas personales c. Modificacin de mensajes: una porcin del mensaje legtimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje "Ingresa un milln de pesos en la cuenta A" podra ser modificado para decir "Ingresa un milln de pesos en la cuenta

Clasificacin de los ataques en sistemas personales d. Interrupcin: o degradacin fraudulenta del servicio, impide o inhibe el uso normal o la gestin de recursos informticos y de comunicaciones. Por ejemplo, el intruso podra suprimir todos los mensajes dirigidos a una determinada entidad o se podra interrumpir el servicio de una red inundndola con mensajes espurios. Entre estos ataques se encuentran los de denegacin de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.

Anatoma de ataquesAnatoma de un ataque informtico

Conocer las diferentes etapas que conforman un ataque informtico brinda la ventaja de aprender a pensar como los atacantes y a jams subestimar su mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para comprender y analizar la forma en que los atacantes llevan a cabo un ataque.

La siguiente imagen muestra las cinco etapas por las cuales suele pasar un ataque informtico al momento de ser ejecutado:

Anatoma de ataques

Anatoma de ataquesFase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtencin de informacin (Information Gathering) con respecto a una potencial vctima que puede ser una persona u organizacin, utilizando diferentes recursos. Algunas de las tcnicas utilizadas en este primer paso son: diferentes estrategias de Ingeniera social como el Dumpster diving (buscar informacin del objetivo en la basura), el sniffing (interceptar informacin). Fase 2: Scanning (Exploracin). En esta segunda etapa se utiliza la informacin obtenida en la fase 1 para sondear el blanco y tratar de obtener informacin sobre el sistema vctima como direcciones IP, nombres de host, datos de autenticacin, entre otros. Algunas de las herramientas de esta fase son: Network mappers, Port mappers, Network scanners, Port scanners y Vulnerability scanners

Anatoma de ataquesFase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a travs de la explotacin de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploracin. Algunas de las tcnicas que el atacante puede utilizar son: Buffer Overflow, Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking

Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder al sistema, buscar implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a recursos como: Backdoors, Rootkits y Troyanos

Anatoma de ataquesFase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logr obtener y mantener el acceso al sistema, intentar borrar todas las huellas que fue dejando durante la intrusin para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscar eliminar los archivos de registro (log) o alarmas del Sistema de Deteccin de Intrusos (IDS).

Anlisis del software malicioso o malware Malware (del ingls malicious software, tambin llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y daar la computadora sin el conocimiento de su dueo, con finalidades muy diversas, ya que en esta categora encontramos desde un troyano a un spyware. Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son: Tener el sistema operativo y el navegador web actualizados. Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automticamente de forma regular ya que cada da aparecen nuevas amenazas.18 Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cundo sea necesario cambiar la configuracin o instalar un nuevo software. Tener precaucin al ejecutar software procedente de Internet o de medios extrables como CD o memorias USB. Es importante asegurarse de que proceden de algn sitio de confianza. Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia. Desactivar la interpretacin de Visual Basic Script y permitir JavaScript, ActiveX y cookies slo en pginas web de confianza. Utilizar contraseas de alta seguridad para evitar ataques de diccionario.

Anlisis del software malicioso o malwareHistoria del Malware Fue en 1949 cuando Von Neumann estableci la idea de programa almacenado y expuso La Teora y Organizacin de Autmatas Complejos, donde presentaba por primera vez la posibilidad de desarrollar pequeos programas replicantes y capaces de tomar el control de otros programas de similar estructura. Si bien el concepto tiene miles de aplicaciones en la ciencia, es fcil apreciar una aplicacin negativa de la teora expuesta por Von Neumann: los virus informticos, programas que se reproducen a s mismos el mayor nmero de veces posible y aumentan su poblacin de forma exponencial. En 1959, en los laboratorios de Bell Computer, tres jvenes programadores: Robert Thomas Morris, Douglas Mcllroy y Victor Vysottsky crean un juego denominado CoreWar basado en la teora de Von Neumann y en el que el objetivo es que programas combatan entre s tratando de ocupar toda la memoria de la mquina eliminando as a los oponentes. Este juego es considerado el precursor de los virus informticos.

Anlisis del software malicioso o malware Fue en 1972 cuando Robert Thomas Morris cre el que es considerado cmo el primer virus propiamente dicho: el Creeper era capaz de infectar mquinas IBM 360 de la red ARPANET (la precedente de Internet) y emita un mensaje en pantalla que deca Soy una enredadera (creeper), atrpame si puedes. Para eliminarlo, se cre otro virus llamado Reaper (segadora) que estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus. En la dcada de los 80 los PC ganaban popularidad y cada vez ms gente entenda la informtica y experimentaba con sus propios programas. Esto dio lugar a los primeros desarrolladores de programas dainos y en 1981, Richard Skrenta escribe el primer virus de amplia reproduccin: Elk Cloner, que contaba el nmero de veces que arrancaba el equipo y al llegar a 50 mostraba un poema.

Anlisis del software malicioso o malware En 1984, Frederick B. Cohen acua por primera vez el trmino virus informtico en uno de sus estudios definindolo como Programa que puede infectar a otros programas incluyendo una copia posiblemente evolucionada de s mismo. En 1987 hace su aparicin el virus Jerusaln o Viernes 13, que era capaz de infectar archivos .EXE y .COM. Su primera aparicin fue reportada desde la Universidad Hebrea de Jerusaln y ha llegado a ser uno de los virus ms famosos de la historia. En 1999 surge el gusano Happy desarrollado por el francs Spanska que crea una nueva corriente en cuanto al desarrollo de malware que persiste hasta el da de hoy: el envo de gusanos por correo electrnico. Este gusano estaba encaminado y programado para propagarse a travs del correo electrnico.

Anlisis del software malicioso o malware En el ao 2000 hubo una infeccin que tuvo muchsima repercusin meditica debido a los daos ocasionados por la infeccin tan masiva que produjo. Fuel el gusano I Love You o LoveLetter, que, basndose en tcnicas de ingeniera social infectaba a los usuarios a travs del correo electrnico. Comenzaba aqu la poca de grandes epidemias masivas que tuvieron su punto lgido en el 2004. Fue en ese ao cuando aparecieron gusanos como el Mydoom, el Netsky, el Sasser, o el Bagle, que alarmaron a toda la sociedad y lo que buscaban era tener la mayor repercusin y reconocimiento posible. Ese fue el ao ms duro de este tipo epidemias y curiosamente el ltimo. Los creadores de malware se dieron cuenta de que sus conocimientos serviran para algo ms que para tener repercusin meditica para ganar dinero.

Anlisis del software malicioso o malware En cuanto a las amenazas para mviles, no cabe duda de que la llegada de las tecnologas, mviles e inalmbricas, y su constante evolucin han revolucionado en los ltimos aos la forma en la que nos comunicamos y trabajamos. Sin embargo, la expansin del uso de esta tecnologa ha hecho que tambin se convierta en un vector de ataque importante para la industria del malware. Fue durante el ao 2004 cuando se inform de la existencia del primer cdigo malicioso para plataformas mviles: Cabir. A siendo, junto al ComWar.A, los mas conocidos, este ltimo no solo por su capacidad de replicarse a travs de Bluetooth sino tambin a travs de mensajes de texto con imgenes y sonido (MMS), envindose a las direcciones y nmeros de la agenda de sus vctimas. Actualmente existe malware para las plataformas ms comunes, como pueden ser Symbian, PocketPC, Palm, etc, siendo el mtodo de propagacin tan diverso como las posibilidades que nos ofrecen estos avances tecnolgicos: SMS, MMS, IrDA, Bluetooth, etc.

Anlisis del software malicioso o malwareClasificacin del Malware Virus es una secuencia de cdigo que se inserta en un fichero ejecutable (denominado husped), de forma que cuando el archivo se ejecuta, el virus tambin lo hace, insertndose a s mismo en otros programas. Algunas acciones que puede realizar un virus son: - Mostrar en la pantalla mensajes o imgenes humorsticas, generalmente molestas. - Ralentizar o bloquear el ordenador. - Destruir la informacin almacenada en el disco, en algunos casos vital para el sistema, que impedir el funcionamiento del equipo. - Reducir el espacio en el disco. - Molestar al usuario cerrando ventanas, moviendo el ratn.

Anlisis del software malicioso o malware Gusano (tambin llamados IWorm por su apocope en ingls, I de Internet, Worm de gusano) es un malware que tiene la propiedad de duplicarse a s mismo. Los gusanos utilizan las partes automticas de un sistema operativo que generalmente son invisibles al usuario. A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a s mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan. Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicacin, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.

Anlisis del software malicioso o malware Los gusanos se basan en una red de computadoras para enviar copias de s mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervencin del usuario propagndose, utilizando Internet, basndose en diversos mtodos, como SMTP, IRC, P2P entre otros. Troyanos o caballos de Troya son instrucciones escondidas en un programa de forma que ste parezca realizar las tareas que un usuario espera de l, pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario. Evitar la infeccin de un troyano es difcil, algunas de las formas ms comunes de infectarse son:

Anlisis del software malicioso o malware- Descarga de programas de redes p2p y sitios web que no son de confianza. - Pginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o aplicaciones Java). - Exploits para aplicaciones no actualizadas (navegadores, reproductores multimedia, clientes de mensajera instantnea). - Ingeniera social (por ejemplo un cracker manda directamente el troyano a la vctima a travs de la mensajera instantnea). - Archivos adjuntos en correos electrnicos y archivos enviados por mensajera instantnea.

Anlisis del software malicioso o malware Stealer (en espaol "ladrn de informacin") es el nombre genrico de programas informticos maliciosos del tipo troyano, que se introducen a travs de internet en un ordenador con el propsito de obtener de forma fraudulenta informacin confidencial del propietario, tal como su nombre de acceso a sitios web, contrasea o nmero de tarjeta de crdito. Infostealer puede afectar tambin al servicio de correo electrnico MSN Messenger, enviando mensajes falsos e incluso introduciendo en ellos datos incluidos por los usuarios en sus mensajes a travs de dicho servicio. Otro problema causado por stealer puede ser la desconexin involuntaria de un sitio web. Estos programas pueden detectarse y eliminarse mediante software antivirus, aunque la mejor forma de evitarlos consiste en no abrir documentos anexos a correos electrnicos enviados por remitentes desconocidos o dudosos.

Anlisis del software malicioso o malware Crimeware es un tipo de software que ha sido especficamente diseado para la ejecucin de delitos financieros en entornos en lnea. El trmino fue creado por Peter Cassidy, Secretario General del Anti-Phishing Working Group para diferenciarlo de otros tipos de software malicioso. El crimeware (que debe ser diferenciado del spyware, adware) ha sido diseado, mediante tcnicas de ingeniera social u otras tcnicas genricas de fraude en lnea, con el fin de conseguir el robo de identidades para acceder a los datos de usuario de las cuentas en lnea de compaas de servicios financieros (tpicamente clnicas) o compaas de venta por correo, con el objetivo de obtener los fondos de dichas cuentas, o de completar transacciones no autorizadas por su propietario legtimo, que enriquecern al ladrn que controla el crimeware. El crimeware puede, de forma subrepticia, instalar un keylogger con el objetivo de obtener los datos (logins, passwords, etc.) que permitirn al ladrn, acceder a cuentas bancarias accesibles a travs de Internet.

Anlisis del software malicioso o malware Un software de tipo crimeware (generalmente un troyano) tambin podra conseguir redirigir el navegador web utilizado por el usuario, a una rplica del sitio web original, estando ste controlado por el ladrn. Esta redireccin se podra dar incluso cuando el usuario teclee correctamente la URL del sitio web al que deseaba acceder, ya que si el troyano ha completado su trabajo, podra haber modificado el conjunto de direcciones DNS que asocian el nombre de dominio introducido por el usuario, con su direccin IP original. Ahora la informacin DNS contenida en la mquina infectada por el crimeware, indicar al navegador la direccin IP del sitio replicado y controlado por el ladrn. Grayware es un tipo de programa maligno que involucra aquellos programas que se comportan de forma molesta o indeseada. Los grayware abarcan otros tipos de malwares (programas malignos) como espas, adwares, dialers, etc. Grayware no incluye virus o troyanos. Suelen afectar el rendimiento de la computadora. Tambin a menudo los grayware suelen realizar acciones que son molestas para los usuarios, como ventanas pop-up con publicidad, entre otras.

Anlisis del software malicioso o malwarePosibles problemas que acarrean los graywares: - Reduccin del rendimiento de la computadora. - Incremento de los cuelgues en aplicaciones y errores fatales. - Reducen la eficiencia del usuario. - Degradan el ancho de banda de la red o de internet. - Pueden producir prdida de informacin. - Prdida de privacidad del usuario que emplea la computadora infectada.

Anlisis del software malicioso o malwareMtodos de infeccin MalwareEntre los canales ms usados por malware son: Internet. La red global es el origen principal de distribucin de todos tipos de malware. En general, los virus y otros programas maliciosos se colocan en unas pginas Web populares pretendindose algn software til y gratis. Muchos de los scripts que se ejecutan automticamente al abrir las pginas Web tambin pueden contener programas maliciosos. Correo electrnico. Los emails en los buzones privados y las bases de correo pueden contener virus. Los archivos adjuntos y el cuerpo de email pueden contener malware. Los tipos principales de malware distribuido por correo electrnico son virus y gusanos. Puede infectar su equipo cuando abre un email o guarda un archivo adjunto. El correo electrnico es tambin un fuente de spam y phishing. Mientras spam es generalmente una perdida de tiempo, phishing es un mtodo de robar sus datos confidenciales (el nmero de su tarjeta de crdito, p.e.).

Anlisis del software malicioso o malwareVulnerabilidades de software. Explotacin de vulnerabilidades de software instalado en el sistema es el mtodo preferido por los hackers. Las vulnerabilidades permiten a un hacker establecer una conexin remota a su equipo, y consecuentemente a sus datos, los datos de su red, etc. Todos tipos de unidades de almacenamiento porttiles. Discos externos, discos compactos y disquetes, unidades flash. Al conectar una unidad porttil a su equipo o iniciar algn archivo de all, puede infectar su equipo con malware y empezar distribuirlo involuntariamente.

Anlisis del software malicioso o malwareExplotacin de vulnerabilidades Existen varios factores que hacen a un sistema ms vulnerable al malware: homogeneidad, errores de software, cdigo sin confirmar, sobre-privilegios de usuario y sobre-privilegios de cdigo. Una causa de la vulnerabilidad de redes, es la homogeneidad del software multiusuario. La mayora del software y de los sistemas operativos contienen bugs que pueden ser aprovechados por el malware. Las memorias USB infectadas pueden daar la computadora durante el arranque.

Anlisis del software malicioso o malwareIngeniera Social En el campo de la seguridad informtica, ingeniera social es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener informacin, acceso o privilegios en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Anlisis del software malicioso o malwarePropagacin de malware a travs de dispositivos USB En lo particular, los medios de almacenamiento masivo a travs de conexiones del tipo USB, como lo son los PenDriver (o flashdrive, memorias USB, etc.), representan un punto vulnerable para cualquier sistema informtico. Debido a la masividad de uso y facilidad de conexin, se convierten en un medio comn utilizado para transportar archivos y tambin todo tipo de malware.

Anlisis del software malicioso o malware Algunos ejemplos de malware que se diseminan aprovechndose de estos dispositivos son:

RJUMP: este gusano posee caractersticas de troyano y abre una puerta trasera en el sistema infectado. Fujacks: esta familia de gusanos no slo se propaga a travs de dispositivos de almacenamiento masivo sino que tambin infecta archivos ejecutables y recursos compartidos que existen en la red configurados con contraseas dbiles (o sin ellas). AutoRun.C (tambin conocido como Zayle): es un gusano de Internet que aprovecha la conexin a los dispositivos USB para propagarse e infectar las computadoras. Para lograr ejecutarse en forma automtica, se vale de un archivo autorun.inf. Adems posee la capacidad de deshabilitar la opcin de abrir las unidades con doble clic.

Anlisis del software malicioso o malwareQu son las cookies? Las cookies son ficheros de texto que se crean al visitar una pgina web, y que sirven para almacenar informacin de diversos tipos que no debera afectar a tu privacidad, algunas pginas web utilizan la informacin recogida en estas cookies para recopilar informacin del usuario y seguidamente enviarle publicidad, por lo que se consideran un tipo de spyware. Cmo s si un sitio tiene cookies maliciosas? Cuando se navega por internet, se debe hacer de una manera responsable: debe primar la desconfianza. Generalmente, las pginas que aparentan tener un contenido de dudosa legalidad, material pornogrfico e incluso que ofrecen descargas de programas de pago de forma gratuita, suelen ser los principales focos de cookies maliciosas

Anlisis del software malicioso o malwareCmo configuro mi navegador para gestionar cookies? Todos los navegadores actuales permiten gestionar las cookies a distintos niveles de seguridad. Por ejemplo, en Internet Explorer, se puede elegir el nivel de seguridad moviendo una barra deslizante. Cuanto ms arriba est dicha barra, mayor seguridad y privacidad tendremos, y, cuanto ms abajo est, ms cookies y menos seguridad tendremos.

Aunque parezca lo contrario, no siempre resulta mejor tener la barra deslizante en lo ms alto, ya que hay numerosas pginas web (Por ejemplo los bancos) que requieren tenerlas activadas.

Anlisis del software malicioso o malware

Panel de configuracin de cookies de Internet Explorer 7

Anlisis del software malicioso o malwareLeyendas Urbanas de las cookies Las cookies son similares a gusanos y virus en que pueden borrar datos de los discos duros de los usuarios. Las cookies son un tipo de spyware porque pueden leer informacin personal almacenada en el ordenador de los usuarios. Las cookies generan popups. Las cookies se utilizan para generar spam. Las cookies slo se utilizan con fines publicitarios.

Herramientas paliativasAntivirus Aplicacin o aplicaciones que previenen, detectan, buscan, y eliminan virus, utilizando bases de datos de nombres, y diversas tcnicas heursticas de deteccin. La base fundamental de un programa antivirus es su capacidad de actualizacin de la base de datos. A mayor frecuencia de actualizacin, mejor proteccin contra nuevas amenazas. Dentro de los antivirus encontramos diversas subcategoras: antivirus activo, antivirus pasivo, antivirus online, antivirus offline y antivirus gratuito.

Herramientas paliativasTipos de antivirus Los programas antivirus pueden dividirse en 4 tipos : Detectores: Detectan la presencia de virus conocidos y avisan al usuario para que tome medidas contra ellos. Este es el tipo de antivirus ms simple. Eliminadores/Reparadores: Tambin conocidos como "mata-virus". Adems de detectar la presencia de un virus, pueden eliminarlo de los ficheros contaminados o la zona de arranque del disco, dejando los programas ejecutables en su estado original. Esto no siempre es posible, ya ya que algunos virus sobrescriben parte del cdigo original del programa infectado.

Herramientas paliativasProtectores: Tambin conocidos como "programas preventivos" o "inmunizadores". Se anticipan a la infeccin de cualquier virus, caballo de Troya o accin voluntaria involuntaria de destruccin de datos (por ejemplo, un FORMAT C:), permaneciendo residentes en la memoria del ordenador y vigilando las operaciones de ejecucin de programa, copia ficheros, formateado de discos, etc. Suelen ser programas muy seguros que generalmente pueden detectar nuevos virus y evitar la accin de los caballos de Troya y bombas lgicas. Programas de Vacuna: Aaden cdigo a un fichero ejecutable de modo que ste se autochequee al ejecutarse, o calculan y guardan una lista de sumas de control en cierta parte del disco. Los programas de este tipo suelen presentar problemas de compatibilidad.

Herramientas paliativas-Antivirus online Tipos: Un antivirus en lnea, es un programa antivirus que se ofrece, por lo general, de forma gratuita para "escanear" y en algunos casos desinfectar los archivos infectados por virus. La caracterstica principal de este tipo de programa es que se distribuyen a travs de Internet, basta con tener un navegador Web (Internet Explorer) y acceso a la red para poder utilizarlo.

-Antivirus de escritorio Los antivirus de escritorio se suelen utilizar en modo residente para proteger al ordenador en todo momento de cualquier posible infeccin, ya sea al navegar por Internet, recibir algn correo infectado o introducir en el equipo algn dispositivo extrable que est infectado. No necesitan que el ordenador est conectado a Internet para poder funcionar, pero s que es necesario actualizarlos frecuentemente para que sean capaces de detectar las ltimas amenazas de virus. Recomendamos tener slo un antivirus de escritorio en el ordenador, ya que tener varios antivirus puede ocasionar problemas de incompatibilidad entre ellos.

Herramientas paliativas-Antivirus Live CD: Muchas veces se meten virus en el Windows y son difciles de quitar si estamos desde el mismo sistema infectado. Para solventarlo existen los Antivirus LiveCD, que son distribuciones de Linux, con un motor antivirus que se ejecutan desde el CD y por tanto no hay necesidad de instalar antivirus. Esto nos ayudar a limpiar nuestro Windows de virus, troyanos y otras bestias.

Herramientas paliativasANTISPYWARE Cul es la naturaleza del Spyware? El Spyware es software espa. Son programas que se instalan en su PC de modo automtico o que vienen camuflados en la instalacin de programas ms respetables, es frecuente que en los programas freeware que uno instala, que los mismos tengan algn componente espa. Sin ir ms lejos, la versin standard del Kazaa y otros programas de intercambios de archivos, los packs de emoticones para MSN Messenger y otros servicios de mensajera - que no sean los oficiales de Microsoft, por ejemplo -, bastantes programas aceleradores de downloads, juegos gratis, y en general todo caballo regalado que hay por Internet tiene un componente Spyware. ANTISPYWARE Aplicacin que busca, detecta y elimina programas espas (spyware) que se instalan ocultamente en el ordenador. Los antiespas pueden instalarse de manera separada o integrado con paquete de seguridad (que incluye antivirus, cortafuegos, etc).

Herramientas paliativasHerramientas de bloqueo web Este tipo de programas limita el acceso en funcin de un listado de pginas negativas o positivas.

En el primer caso, listas negativas, se bloquean una serie de pginas por considerarlas ofensivas para los menores. El principal problema de estas listas es que pronto se quedan obsoletas debido a la rpida creacin de nuevas pginas Web. Por ello, los productores de este tipo de filtros han optado por la configuracin de listas positivas. Esto significa que cuando los nios navegan por Internet slo pueden consultar las pginas incluidas en esta lista. Actualmente es una solucin ms eficaz y segura que las listas negativas y se ha acuado el trmino navegador infantil (walled garden) para denominar a los programas que utilizan listas positivas

Herramientas preventivasIncluyen: Encriptado de informacin en disco Antivirus Sistemas de deteccin de intrusos (IDS) Sistemas de prevencin de intrusos (IPS) BackupControl de acceso lgico Control de acceso lgico (poltica de contraseas seguras, control de acceso en la BIOS y gestor de arranque, control de acceso en el sistema operativo, poltica de usuarios y grupos, actualizacin de sistemas y aplicaciones) El acceso lgico incluye una serie de aplicaciones para PC y redes, incluyendo autentificacin y/o acceso a la PC o red, email seguro, encriptacin de datos, encriptacin de archivo/carpetas, acceso remoto VPN, entre otros. Medidas de control de acceso lgico:

Herramientas preventivasSeguridad del BIOS y del gestor de arranque La proteccin con contraseas para el BIOS (o equivalentes al BIOS) y el gestor de arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan acceso fsico a sus sistemas, arranquen desde medios removibles u obtengan acceso como root a travs del modo monousuario. Pero las medidas de seguridad que uno debera tomar para protegerse contra tales ataques dependen tanto de la confidencialidad de la informacin que las estaciones tengan como de la ubicacin de la mquina.Contraseas del BIOS Las siguientes son las dos razones bsicas por las que proteger la BIOS de una computadora con una contrasea 1. Prevenir cambios a las configuraciones del BIOS Si un intruso tiene acceso a la BIOS, puede configurarlo para que arranque desde un diskette o CD-ROM. Esto les permite entrar en modo de rescate o monousuario, lo que a su vez les permite plantar programas dainos en el sistema o copiar datos confidenciales. 2. Prevenir el arranque del sistema Algunas BIOSes le permiten proteger el proceso de arranque con una contrasea. Cuando est funcionalidad est activada, un atacante esta forzado a introducir una contrasea antes de que el BIOS lanze el gestor de arranque.

Herramientas preventivas Si olvida su contrasea del BIOS, usualmente esta se puede reconfigurar bien sea a travs de los jumpers en la tarjeta madre o desconectando la batera CMOS. Por esta razn, es una buena idea bloquear el chasis del computador si es posible. Sin embargo, consulte el manual del computador o tarjeta madre antes de proceder a desconectar la batera CMOS. Contraseas del gestor de arranque A continuacin se muestran las razones principales por las cuales proteger el gestor de arranque Linux: 1. Previene el acceso en modo monousuario Si un atacante puede arrancar en modo monousuario, se convierte en el superusuario de forma automtica sin que se le solicite la contrasea de acceso. 2. Previene el acceso a la consola de GRUB Si la mquina utiliza GRUB como el gestor de arranque, un atacante puede usar la interfaz del editor para cambiar su configuracin o para reunir informacin usando el comando cat. 3. Previene el acceso a sistemas operativos inseguros Si es un sistema de arranque dual, un atacante puede seleccionar un sistema operativo en el momento de arranque, tal como DOS, el cual ignora los controles de acceso y los permisos de archivos.

Herramientas preventivasProtegiendo GRUB con contraseas Puede configurar GRUB aadiendo una directiva de contrasea a su archivo de configuracin. Para hacer esto, primero seleccione una contrasea, luego abra un indicador de comandos del shell, conctese como root y escriba:

Cuando se le pida, escriba la contrasea GRUB y presione [Intro]. Esto retornar un hash MD5 para la contrasea. Luego, modifique el archivo de configuracin GRUB /boot/grub/grub.conf. Abra el archivo y debajo de la lnea timeout en la seccin principal del documento, aada la siguiente lnea:

Herramientas preventivas Reemplace con el valor retornado por /sbin/grub-md5-crypt La prxima vez que el sistema arranque, el men de GRUB no le permitir accesar el editor o la interfaz de comandos sin primero presionar [p] seguido por la contrasea de GRUB. Lamentablemente, esta solucin no previene a un atacante de arrancar en un sistema operativo inseguro, si se est en un ambiente de arranque dual. Para esto, necesita editar una parte diferente del archivo /boot/grub/grub.conf. Busque la lnea title del sistema operativo inseguro y aada una lnea que diga lock directamente debajo de ella. Para un sistema DOS, la estrofa debera comenzar con algo similar a:

Herramientas preventivas Para crear una contrasea diferente para un kernel o sistema operativo particular, aada una lnea lock a la estrofa, seguido por una lnea de contrasea. Cada estrofa que usted proteja con una contrasea nica debera comenzar con lneas similares a las del ejemplo siguiente:

Herramientas preventivasCONTROL DE ACCESO AL SISTEMA OPERATIVO Objetivo: evitar el acceso no autorizado a los sistemas operativos. Se recomienda utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los sistemas operativos. Tales medios deberan tener la capacidad para: a) autenticar usuarios autorizados, de acuerdo con una poltica definida de control de acceso; b) registrar intentos exitosos y fallidos de autenticacin del sistema; c) registrar el uso de privilegios especiales del sistema; d) emitir alarmas cuando se violan las polticas de seguridad del sistema; e) suministrar medios adecuados para la autenticacin; f) cuando sea apropiado, restringir el tiempo de conexin de los usuarios.

Herramientas preventivasConfigurar la seguridad de usuarios y grupos Para proteger un equipo y sus recursos, debe decidir qu tareas y acciones pueden realizar los usuarios o grupos de usuarios. Las tareas y acciones que un usuario o un grupo de usuarios pueden realizar dependen de los derechos de usuario que les asigne. Por ejemplo, si un miembro de confianza del grupo Usuarios necesita supervisar el registro de seguridad, puede concederle el derecho "Administrar auditora y registro de seguridad" en lugar de agregar el usuario a un grupo con ms privilegios, como el grupo Administradores. De la misma forma, puede proteger un objeto, como un archivo o una carpeta, si asigna permisos. Algunas de las tareas ms comunes son asignar derechos de usuario en el equipo local, asignar derechos de usuario en toda la organizacin y establecer permisos de archivos y carpetas. Para obtener ms informacin acerca de otras tareas para configurar la seguridad de usuarios y grupos, vea Procedimientos de control de acceso.

Herramientas preventivasACTUALIZACIONES DE SW Y SO Mientras hacemos uso de Internet y sus servicios, los ciberdelincuentes- de forma anloga a como hara un ladrn al intentar entrar a robar a una casa desarrollan software malicioso para aprovechar cualquier vulnerabilidad en el sistema a travs del cual infectarlo. Suelen aprovechar las vulnerabilidades ms recientes que tienen tanto el sistema operativo como los dems programas, y que requieren una actualizacin inmediata de los sistemas. Hay que tener en cuenta que cuanto ms tiempo tardemos en actualizar nuestros equipos ms tiempo estaremos expuestos a que cualquier tipo de malware pueda explotar alguna vulnerabilidad y nuestro equipo quede bajo el control del atacante. Para facilitar esta tarea, la mayora de aplicaciones y sistemas operativos tienen la opcin de actualizar el sistema automticamente, lo que permite tener los programas actualizados sin la necesidad de comprobar manual y peridicamente si la versin utilizada es la ltima disponible, y por tanto la ms segura.

Herramientas preventivas Estas actualizaciones de software vienen justificadas por diferentes motivos: Corregir las vulnerabilidades detectadas. Proporcionar nuevas funcionalidades o mejoras respecto a las versiones anteriores. Aunque es posible hacer la actualizacin de forma manual, lo ms sencillo es hacerlo de forma automtica. De esta forma el propio sistema busca las actualizaciones, las descarga e instala sin que nosotros tengamos que intervenir en el proceso.ACTUALIZACIONES EN LOS SO Generalmente los sistemas operativos vienen configurados de forma predeterminada con la opcin de Actualizaciones Automticas por lo que no es necesario habilitarla manualmente. A continuacin se explicarn donde y como se activan estas directivas de seguridad en los sistemas operativos ms comunes.

Herramientas preventivasMicrosoft El ciclo habitual de actualizaciones de Microsoft se realiza los segundos martes de cada mes, salvo casos en los que el problema sea crtico y requiera de una actualizacin ms inminente; este es uno de los motivos por el que se desaconseja totalmente no tener las actualizaciones automticas habilitadas ya que nuestro equipo podra encontrarse desprotegido en situaciones en las que se liberara un 0-day. Las actualizaciones no interferirn con otras descargas y se descargarn de forma transparente al usuario siempre y cuando est conectado a Internet. Para comprobar que tenemos configurado nuestro equipo correctamente siga los siguientes pasos.

Herramientas preventivasWindows XP: Haga clic en Inicio Panel de control Centro de seguridad

Herramientas preventivas Haga clic en Actualizaciones automticas. Seleccione la opcin Automticas (recomendado) haga clic en el botn Aceptar

Herramientas preventivasUbuntu Ubuntu tambin permite configurar actualizaciones automticamente sin intervencin del usuario o bien comprobar manualmente las actualizaciones disponibles. Para ello se seguirn los siguientes pasos: 1. La configuracin de las actualizaciones se encuentra en " Sistema" "Administracin" "Gestor de Actualizaciones."

Herramientas preventivas 2. La ventana nos mostrar la opcin de comprobar manualmente si existen actualizaciones y en caso de ser as instalarlas (botn Instalar Actualizaciones).

Herramientas preventivas 3. Desde aqu tambin podremos acceder a la configuracin de las actualizaciones mediante el botn Configuracin, desde donde podremos seleccionar el tipo de actualizaciones (importantes, recomendadas, an no publicadas, no soportadas), el intervalo de las mismas (diariamente, semanalmente, etc) y si deseamos instalar las actualizaciones de seguridad sin confirmacin (opcin recomendada) o bien manualmente.

Herramientas preventivasActualizaciones de la distribucin: Adems de las actualizaciones de determinados programas y las actualizaciones circunstanciales que solventan problemas de seguridad, Ubuntu publica una versin estable de la distribucin cada 6 meses proporcionando cambios importantes mediante la instalacin de nuevos paquetes y actualizaciones para los componentes de nuestro sistema operativo. Adems, Canonical proporciona soporte tcnico y actualizaciones de seguridad durante 18 meses excepto para las versiones Long Term Support (versiones que se liberan cada cuatro versiones de Ubuntu) a las que proporcionan tres aos para la versin de escritorio y cinco para la versin servidor. Cuando exista una versin disponible para descargar, el gestor de actualizaciones nos avisar con un mensaje del siguiente tipo:

Herramientas preventivasACTUALIZACIONES SW Dale a tu sistema la mejor proteccin para que puedas hacer frente a los nuevos virus y amenazas. Instalando las actualizaciones que publican los fabricantes, conseguiremos estar mucho ms seguros al navegar por la red de una manera rpida y cmoda. Cuando un desarrollador/fabricante publica un programa pueden aparecen fallos de seguridad. Estos fallos de seguridad, a los que denominaremos vulnerabilidades, son aprovechados por los cibercriminales para tratar de infectar nuestro equipo con software malicioso para robar nuestros datos, usar nuestro equipo para su trabajo, etc. Desde INTECO-CERT siempre hemos hecho hincapi en la constante atencin sobre las actualizaciones de nuestro sistema operativo as como aquellos programas que puedan implicar un agujero de seguridad en caso de ser explotados por un atacante o cualquier tipo de malware.