Historia y evolucion de los virus informaticos

14
Historia y Evolución de los virus informáticos Por Jesús Saavedra V lchez í Clase Grupo 1 1

description

Los virus informaticos

Transcript of Historia y evolucion de los virus informaticos

Historia y Evolución de los virus informáticos

Por Jesús Saavedra V lchezí

Clase 4º Grupo 1

1

Índice

Introducción.............................................................................. 3

Tipos de virus............................................................................ 4

Clases de virus........................................................................... 6

- Caballos de troya................................................... 6

- Worm..................................................................... 9

- Spywares, keyloggers y hijackers......................... 9

Antivirus................................................................................... 10

2

1 - IntroducciónEs una necesidad antropológica del hombre encontrar siempre quién fue el fundador o creador de las cosas que nos rodean sean estas animadas o no. Esto sucede en todos los ámbitos de la vida tal como lo demuestran las distintas ramas de la ciencia y la tecnología, cuyas investigaciones más avanzadas llegan a lugares insospechados y crean un sin fin de controversias según el punto de vista de científicos y críticos.

La informática no escapa a esta necesidad y a la controversia, si bien por la conjunción de inventos o desarrollos se llega a veces a los orígenes y se la da parternidad a una determinada persona en otros casos no sucede lo mismo y cada cual apoya la que considera más razonable.

Para algunos el "padre" de los virus fue John Von Newman, un matemático brillante que realizó importantes contribuciones a la física cuántica, la lógica y la teoría de las computadoras y que en 1949 publica "Theory and Organization of Complicated Automata". En dicho libro, John da la idea de una porción de código capaz de reproducirse a sí mismo.

Si tomamos esta teorización como argumento para asignarle la parternidad de los virus a John, con el mismo criterio deberíamos darle a Julio Verne la paternidad del submarino. Sin embargo sí que es más importante en este campo A. K. Dewdney, articulista experto en informática de la revista "Scientific American", quien en 1984 publicó una serie de artículos que revelaron que durante dos años se había estado trabajando en un juego de alta tecnología, desarrollado por los investigadores de inteligencia artificial de los laboratorios Bell de la AT&T. En dicho juego, denominado "Core Wars", dos programadores debián escribir sendos programas hostiles en un lenguaje pseudo-ensamblador denominado RedCode con la capacidad de crecer en la memoria y enzarzarse en una lucha contra su adversario. Para poner en marcha ambos programas se usaba un programa ejecutor llamado MARS (Memory Array Redcode Simulator), que iba ejecutando alternativamente las instrucciones de ambos programas.

Ya avanzado el año 1984, por fin se define la forma pública del término "virus de computadora", durante la conferencia de IFIC/SEC'84. El doctor Fred Cohen define un virus como "software maligno capaz de reproducirse a sí mismo" y establece paralelismos entre los virus biológicos y los informáticos para justificar la adopción de dicha terminología.

El segundo artículo de Dewdney en Scientific American, en marzo de 1985 se titula "Juegos de Ordenador: virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la memoria de los ordenadores". En el Dewdney pone de manifiesto las consecuencias que puede acarrear su juego gracias a los testimonios escritos de sus lectores.

En el tercer artículo en enero de 1987, Dewdney abandona completamente cualquier relación de su juego con los virus y se dedica a narrar el primer campeonato del polémico juego <Guerra Nuclear>.

Posteriormente retoma el tema en marzo de 1989 con un artículo titulado "Juegos de computadoras: sobre gusanos, virus y Guerra Nuclear" donde el autor se defiende de las reiteradas insinuaciones sobre la presunta relación existente entre <Guerra Nuclear> y los programas víricos. Recrimina a la prensa sensacionalista que por medio de artículos incompletos y distorsionados, escritos por columnistas que desconocen el funcionamiento interno de la computadora, han conducido al desconcierto. Utiliza además otro argumento de peso:

"Las descripciones de un virus, incluso las más detalladas, no pueden utilizarse para la reconstrucción de un programa nocivo, excepto por un experto. Una persona con tal nivel de conocimientos no necesita de la lectura de revistas para crear un código que destruya los programas y los datos de otros."

3

Después de sentar estas bases y sin encontrar un motivo para no hacerlo, Dewdney realiza una detallada explicación del funcionamiento de los programas víricos y afirma que no es posible escribir un programa que detecte todo tipo de virus. Concluye el artículo con esta frase:

"El virus no es la obra de un profesional de la informática, sino la de un vándalo de la computadora. Permitamos que aquellos que pudieran contemplar actos similares prueben en vez de eso a participar en la Guerra Nuclear".

Además de estas dos teorías sobre la paternidad de los virus, existen otras. Una de ellas dice que fueron las casas fabricantes de software para evitar la copia ilegal de sus programas. Sin embargo esto es contradictorio puesto que de ser así tendrían que reponer miles de copias de sus propios productos atentando contra su propio negocio.

Otra teoría juega con la vieja paradoja del huevo y la gallina. ¿Qué fue primero, el virus o el antivirus? Se dice que los que empezaron los virus fueron los mismos que desarrollan software antivíricos ya que son los que más tenían para ganar con su proliferación. Si bien esta teoría no es tan descabellada no se puede asegurar al día de hoy que esto haya sido de esa forma ni tampoco que lo sea puesto que ya tienen demasiado trabajo detectando y elminando los que crean los demás.

La conclusión más sincera de todas estas teorías y sin pensar en nombres es imaginar que algunos programadores expertos empezaron en cierto momento a hacer sus pruebas y a desarrollar sus primeros programas víricos basados en las teorías del momento, y que luego esos primeros programas se fueron perfeccionando por otros creadores y mejorando las técnicas hasta llegar a los modernos y potentes virus de hoy día.

2 - Tipos de virus informáticosSabemos que un virus informático es un tipo de malware que se caracteriza por poder auto-reproducirse, intentando ocultar su presencia hasta el momento de su puesta en actividad alterando el comportamiento del ordenador. Para saber más sobre su comportamiento y peligrosidad es conveniente conocer los distintos tipos de virus.

Virus de sector de arranque: Los virus del sector de arranque se implantan antes del propio sector de arranque en un medio de datos, lo que asegura que el sistema lea primero el código del virus y, a continuación, el sector de arranque original cuando el ordenador se inicia desde este medio.

De esta manera el virus se puede instalar en el sistema sin ser notado y desde ese momento es ejecutado también por el disco duro durante el arranque. Con frecuencia el código del virus permanece en la memoria después de la infección. A este tipo de virus se le denomina residente en memoria. El virus se propaga al formatear disquetes, lo que permite que se pueda extender a otros ordenadores. Pero no sólo durante las operaciones de formateo se puede activar el virus de sector de arranque. También mediante el comando DIR de DOS se puede poner en marcha la transmisión del virus desde un disquete infectado. Según la secuencia maliciosa de que se trate, los virus de sector de arranque pueden ser sumamente peligrosos o, simplemente, quedarse en puramente molestos. El virus de esta clase más antiguo y difundido ostenta el nombre de Form.

Virus de archivo: Muchos virus aprovechan la ocasión de esconderse en archivos ejecutables. Con

4

este fin el virus puede borrar o sobrescribir el archivo huésped o bien puede acoplarse a él. En este último caso, el código ejecutable del archivo sigue estando operativo. Si se abre el archivo ejecutable, primero se ejecuta el código del virus, generalmente escrito en ensamblador, y después arranca el programa original (si es que no lo ha borrado el virus).

Virus multipartitos: Este tipo de virus es particularmente peligroso ya que infecta no sólo los archivos ejecutables sino también el sector de arranque (o las tablas de partición).

Virus acompañantes:En DOS se ejecutan los archivos COM antes que los archivos EXE de igual denominación. En los tiempos en que el ordenador se operaba, exclusivamente o con frecuencia, mediante líneas de comando, este mecanismo era una forma muy eficaz de ejecutar subrepticiamente código malicioso en un ordenador.

Virus de macro: También los virus de macro se acoplan a archivos existentes. Pero ellos mismos no son ejecutables. Además, los virus de macro no están escritos en Assembler, sino en un lenguaje macro como por ejemplo Visual Basic. Los virus necesitan un intérprete de lenguaje macro, como se puede encontrar en Word, Excel, Access y PowerPoint, para poder ejecutarse. Por lo demás, en los virus de macro pueden actuar los mismos mecanismos que en los virus de archivo. También pueden camuflarse, infectar adicionalmente el sector de arranque o crear virus acompañantes.

Virus stealth: Los virus stealth o virus invisibles contienen dispositivos especiales de protección para evitar ser detectados por los programas antivirus. Para ello asumen el control a través de distintas funciones del sistema. Cuando esto ocurre, estos virus ya no se pueden detectar al acceder normalmente a los archivos o sectores del sistema. Hacen creer al programa antivirus que no está infectado un archivo que en realidad sí lo está. Los mecanismos de camuflaje de estos virus sólo tienen efecto cuando el virus se ha convertido en residente de la memoria de trabajo.

Virus polimórficos: Los virus polimórficos contienen mecanismos que les permiten cambiar de aspecto en cada infección. Para ello se codifican partes del virus. La rutina de codificación integrada en el virus genera un nuevo código para cada copia y, algunas veces, incluso nuevas rutinas de codificación. Adicionalmente puede cambiar o diseminar aleatoriamente secuencias de comandos que no se requieran para el funcionamiento del virus. Por lo tanto, estos virus pueden resultar en miles de millones de variaciones de un mismo virus. La utilización de las descripciones de virus tradicionales (también llamadas firmas), a menudo no es suficiente para detectar y eliminar con fiabilidad virus polimórficos codificados. Normalmente tienen que crearse programas especiales. El tiempo invertido en el análisis y la preparación de los medios adecuados para combatirlos puede ser extremadamente alto. Por eso, los virus polimórficos son, sin exagerar, los reyes entre los virus.

Intento de virus: Intento de virus se denomina a un virus parcialmente defectuoso que consigue llevar a cabo una primera infección de un archivo, pero que a partir de este punto ya no puede reproducirse.

Virus de correo electrónico: Los virus de correo electrónico pertenecen a la categoría blended threats (= amenazas compuestas). Estos programas maliciosos combinan las propiedades de los troyanos, gusanos y virus. Con ocasión de un virus Bubbleboy se ha sabido que es posible introducir subrepticiamente un virus en un ordenador simplemente mediante la vista preliminar de un correo en HTML. El código peligroso del virus se esconde en los correos HTML y se sirve de un agujero de seguridad de Microsoft Internet Explorer. El peligro de estos virus combinados no debe infravalorarse.

Mitos Es importante desmentir algunos mitos: los eventos que no ejecutan el programa que contiene el virus "pegado" no lo van a accionar. Así, si un programa contaminado que este grabado en un disco rigido o disquete , no va a ejecutarse el ataque del virus. Por eso, si el evento que activa el virus no

5

fuere accionado nunca por el usuario, el virus se quedará "dormido" hasta el día en que el programa fuera ejecutado.

Otra cosa que debe ser desmentida es la creencia de que los virus pueden dañar el hardware del ordenador. Los virus son programas y por lo tanto no hay forma que ellos quemen o rompan dispositivos de la computadora. Lo que si, existen virus que borran la BIOS de la placa-madre, dejándola sin capacidad para ser usada, dando la impresión de que fue rota. Sin embargo, con equipamiento especial utilizado en laboratorios o con un software especial, es posible recuperar la BIOS y ahí se constatará que la placa-madre funciona con sus componentes de hardware como estaban antes del ataque. Las BIOS actuales están mejor protegidos de este peligro y son más fácilmente recuperables en casos de problemas.

3 - Otros tipos de virus

Existe una variedad de programas maliciosos llamadas "plagas digitales", que no son exactamente virus. La definición lo que una plaga es o no es depende de sus acciones y formas de contaminación. Aún teniendo esa distinción, es común darle el nombre de virus para generalizar todos los tipos de plagas.

3.1 - Caballo de troya

En informática, se denomina troyano o caballo de Troya (traducción literal del inglés Trojan horse) a un software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo ocasiona daños.

Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado.

Un troyano no es estrictamente un virus informático, y la principal diferencia es que los troyanos no propagan la infección a otros sistemas por sí mismos.

Evolución históricaLos troyanos se concibieron como una herramienta para causar el mayor daño posible en el equipo infectado. En los últimos años y gracias al mayor uso de Internet esta tendencia ha cambiado hacia el robo de datos bancarios o información personal.

Desde sus orígenes, los troyanos han sido utilizados como arma de sabotaje por los servicios de inteligencia como la CIA, cuyo caso más emblemático fue el Sabotaje al Gasoducto Siberiano en 1982. La CIA instaló un troyano en el software que se ocuparía de manejar el funcionamiento del gasoducto, antes de que la URSS comprara ese software en Canadá.

De acuerdo con un estudio de la empresa responsable del software de seguridad BitDefender desde enero hasta junio de 2009, "El número de troyanos está creciendo, representan el 83% del malware detectado".

Propósitos de los troyanos

6

Los troyanos están diseñados para permitir a un individuo el acceso remoto a un sistema. Una vez ejecutado el troyano, el individuo puede acceder al sistema de forma remota y realizar diferentes acciones sin necesitar permiso. Las acciones que el individuo puede realizar en el equipo remoto dependen de los privilegios que tenga el usuario en el ordenador remoto y de las características del troyano.

Algunas de las operaciones que se pueden llevar a cabo en el ordenador remoto son:

• Utilizar la máquina como parte de una botnet (por ejemplo para realizar ataques de denegación de servicio o envío de spam).

• Instalación de otros programas (incluyendo otros programas maliciosos). • Robo de información personal: información bancaria, contraseñas, códigos de seguridad. • Borrado, modificación o transferencia de archivos (descarga o subida). • Ejecutar o terminar procesos. • Apagar o reiniciar el equipo. • Monitorizar las pulsaciones del teclado. • Realizar capturas de pantalla. • Ocupar el espacio libre del disco duro con archivos inútiles.

Características de los troyanosLos troyanos están compuestos principalmente por tres programas: un cliente, dividuo, que envía las órdenes que se deben ejecutar en la computadora infectada, un servidor situado en la computadora infectada, que recibe las órdenes del cliente, las ejecuta y casi siempre devuelve un resultado al programa cliente y, por último, un editor del servidor, el cual sirve para modificarlo, protegerlo mediante contraseñas, unirlo a otros programas para que, al abrir el programa también se ejecute el servidor, configurar en que puerto deseamos instalar el servidor, etc. Atendiendo a la forma en la que se realiza la conexión entre el cliente y el servidor se pueden clasificar en:

• Conexión directa (el cliente se conecta al servidor). • Conexión inversa (el servidor se conecta al cliente).

La conexión inversa tiene claras ventajas sobre la conexión directa, esta traspasa algunos firewalls (la mayoría de los firewall no analizan los paquetes que salen de la computadora, pero que sí analizan los que entran), pueden ser usados en redes situadas detrás de un router sin problemas (no es necesario redirigir los puertos) y no es necesario conocer la dirección IP del servidor.

Cabe destacar que existen otro tipo de conexiones, que no son de equipo víctima a equipo atacante, sino que utilizan un servidor intermedio, normalmente ajeno a ambos, para realizar el proceso de control. Se suele utilizar para este propósito el protocolo IRC o incluso FTP, HTTP u otros.

Formas de infectarse con troyanosLa mayoría de infecciones con troyanos ocurren cuando se ejecuta un programa infectado con un troyano. Estos programas pueden ser de cualquier tipo, desde instaladores hasta presentaciones de fotos. Al ejecutar el programa, este se muestra y realiza las tareas de forma normal, pero en un segundo plano y al mismo tiempo se instala el troyano. El proceso de infección no es visible para el usuario ya que no se muestran ventanas ni alertas de ningún tipo. Evitar la infección de un troyano es difícil, algunas de las formas más comunes de infectarse son:

• Descarga de programas de redes p2p y sitios web que no son de confianza.

7

• Páginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o aplicaciones Java).

• Exploits para aplicaciones no actualizadas (navegadores, reproductores multimedia, clientes de mensajería instantánea).

• Ingeniería social (por ejemplo un cracker manda directamente el troyano a la víctima a través de la mensajería instantánea).

• Archivos adjuntos en correos electrónicos y archivos enviados por mensajería instantánea.

Debido a que cualquier programa puede realizar acciones maliciosas en un ordenador hay que ser cuidadoso a la hora de ejecutarlos. Estos pueden ser algunos buenos consejos para evitar infecciones:

• Disponer de un programa antivirus actualizado regularmente para estar protegido contra las últimas amenazas.

• Disponer de un firewall correctamente configurado, algunos antivirus lo traen integrado. • Tener instalados los últimos parches y actualizaciones de seguridad del sistema operativo. • Descargar los programas siempre de las páginas web oficiales o de páginas web de

confianza.• No abrir los datos adjuntos de un correo electrónico si no conoces al remitente. • Evitar la descarga de software de redes p2p, el contenido multimedia no es peligroso.

Eliminación de troyanosUna de las principales características de los troyanos es que no son visibles para el usuario. Un troyano puede estar ejecutándose en un ordenador durante meses sin que el usuario perciba nada. Esto hace muy difícil su detección y eliminación de forma manual. Algunos patrones para identificarlos son: un programa desconocido se ejecuta al iniciar el ordenador, se crean o borran archivos de forma automática, el ordenador funciona más lento de lo normal, errores en el sistema operativo.

Por otro lado los programas antivirus están diseñados para eliminar todo tipo de software malicioso, además de eliminarlos también previenen de nuevas infecciones actuando antes de que el sistema resulte infectado. Es muy recomendable tener siempre un antivirus instalado en el equipo y a ser posible también un firewall.

Troyanos más famososNombre Autor Año Conexión Lenguaje

NetBus Carl-Fredrik Neikter 1997 DirectaBack Orifice Sir Dystic 1998 DirectaBack Orifice 2000 Dildog 1999 DirectaSub7 MobMan 1999 DirectaNuclear RAT Caesar2k 2003 Directa / Inversa DelphiBifrost KSV 2004 Directa / InversaBandook Princeali 2005 Directa / Inversa C++Poison Ivy Shapeless 2007 Inversa

8

3.2 - Worm Un gusano (también llamados IWorm por su apocope en inglés, I de Internet, Worm de gusano) es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.

A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.

Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.

Los gusanos se basan en una red de computadoras para enviar copias de sí mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P entre otros.

Origen de la palabraEl nombre proviene de The Shockwave Rider, una novela de ciencia ficción publicada en 1975 por John Brunner. Los investigadores John F. Shoch y John A. Hupp de Xerox PARC eligieron el nombre en un artículo publicado en 1982; The Worm Programs, Comm ACM, 25(3):172-180

Nótese que el término inglés worm también tiene otra acepción dentro del mundo de la informática: Worm (acrónimo inglés: "write once, read many"), perteneciente a las tecnologías de almacenamiento de datos. No debe ser confundido con el de gusano informático.

HistoriaEl primer gusano informático de la historia data de 1988, cuando el gusano Morris infectó una gran parte de los servidores existentes hasta esa fecha. Su creador, Robert Tappan Morris, fue sentenciado a tres años de libertad condicional, 400 horas de servicios a la comunidad y una multa de 10.050 dólares. Fue este hecho el que alertó a las principales empresas involucradas en la seguridad de tecnologías de la información a desarrollar los primeros cortafuegos.

3.3 Spywares, keyloggers y hijackers A pesar de que no fueran necesariamente virus, estos tres nombres también representan peligro. Spywares son programas que se estan "espiando" las actividades de los internautas o capturan informacion de ellos. Para contaminar un ordenador, los spywares pueden estar metidos en softwares desconocidos o que sean bajados automáticamente cuando el internauta visita sitios webs de contenido dudoso.

Los keyloggers son pequeños aplicativos que pueden venir incrustados en virus, spywares o softwares sospechosos, destinados a capturar todo lo que es tecleado en el teclado. El objetivo principal, en estos casos, es capturar contraseñas.

9

Hijackers son programas o scripts que "secuestran" navegadores de Internet, principalmente al Internet Explorer. Cuando eso ocurre, el hijacker altera la página inicial del browser e impide al usuario poder cambiarla, exhíbe propagandas en pop-ups o ventanas nuevas, instala barras de herramientas en el navegador y puede impedir acceso a determinados sitios webs (como webs de software antivírus, por ejemplo).

Los spywares y los keyloggers pueden ser identificados por programas anti-spywares. Sin embargo, algunas de estas plagas son tan peligrosas que algunos antivírus pueden ser preparados para identificarlas, como si fueran virus. En el caso de hijackers, muchas veces es necesario usar una herramienta desarrollada especialmente para combatirlos. Eso porque los hijackers pueden infiltrarse en el sistema operativo de una forma que ni los antivírus ni anti-spywares consiguen "atrapar".

4 - Antivirus

Los antivirus son una herramienta simple cuyo objetivo es detectar y eliminar virus informáticos. Nacieron durante la década de 1980.

Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, ha hecho que los antivirus hayan evolucionado hacia programas más avanzados que no sólo buscan detectar virus informáticos, sino bloquearlos, desinfectarlos y prevenir una infección de los mismos, y actualmente ya son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.

FuncionamientoEl funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador.

Adicionalmente, muchos de los antivirus actuales han incorporado funciones de detección proactiva, que no se basan en una lista de malware conocido, sino que analizan el comportamiento de los archivos o comunicaciones para detectar cuáles son potencialmente dañinas para el ordenador, con técnicas como heurística, HIPS, etc.

Usualmente, un antivirus tiene uno o varios componentes residentes en memoria que se encargan de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real, es decir, mientras el ordenador está en uso.

Asimismo, cuentan con un componente de análisis bajo demanda (los conocidos scanners, exploradores, etc.) y módulos de protección de correo electrónico, Internet, etc.

El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infección.

Actualmente hay una gran variedad de antivirus, pero no todos se asemejan al pretendido por todos: un antivirus eficaz en todos los sentidos.

Daños y perjuiciosDado que una característica de los virus es el consumo de recursos, los virus ocasionan problemas

10

tales como pérdida de productividad, baja en el rendimiento del equipo, cortes en los sistemas de información o daños a nivel de datos.

Otra de las características es la posibilidad que tienen de ir replicándose en otras partes del sistema de información. Las redes, en la actualidad, ayudan a dicha propagación.

Los daños que los virus causan a los sistemas informáticos son:

• Pérdida de información (evaluable y actuable según el caso). • Horas de contención (técnicos de SI, horas de paradas productivas, pérdida productiva,

tiempos de contención o reinstalación, cuantificables según el caso y horas de asesoría externa).

• Pérdida de imagen (valor no cuantificable).

Hay que tener en cuenta que cada virus es una situación nueva, por lo que es difícil cuantificar en una primera valoración lo que puede costar una intervención.

Métodos de contagioExisten dos grandes grupos de propagación: los virus cuya instalación el usuario en un momento dado ejecuta o acepta de forma inadvertida, o los gusanos, con los que el programa malicioso actúa replicándose a través de las redes.

En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o no previstos. Dichos comportamientos son los que dan la traza del problema y tienen que permitir la recuperación del mismo.

Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:

• Mensajes que ejecutan automáticamente programas (como el programa de correo que abre directamente un archivo adjunto).

• Ingeniería social, mensajes como: «Ejecute este programa y gane un premio». • Entrada de información en discos de otros usuarios infectados. • Instalación de software que pueda contener uno o varios programas maliciosos. • Unidades extraíbles de almacenamiento (USB).

Seguridad y métodos de protecciónExisten numerosos medios para combatir el problema; Sin embargo, a medida que nuevos programas y sistemas operativos se introducen en el mercado, más difícil es tener controlados a todos y más sencillo va a ser que a alguien se le ocurran nuevas formas de infectar sistemas.

Ante este tipo de problemas, están los softwares llamados antivirus. Estos antivirus tratan de descubrir las trazas que ha dejado un software malicioso para detectarlo o eliminarlo, y en algunos casos contener o parar la contaminación (cuarentena).

Los métodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos.

Antivirus (activo)

Estos programas, como se ha mencionado, tratan de encontrar la traza de los programas maliciosos mientras el sistema esté funcionando.

Tratan de tener controlado el sistema mientras funciona parando las vías conocidas de infección y

11

notificando al usuario de posibles incidencias de seguridad.

Como programa que esté continuamente funcionando, el antivirus tiene un efecto adverso sobre el sistema en funcionamiento. Una parte importante de los recursos se destinan al funcionamiento del mismo. Además, dado que están continuamente comprobando la memoria de la máquina, dar más memoria al sistema no mejora las prestaciones del mismo.

Otro efecto adverso son los falsos positivos; es decir, notificar al usuario de posibles incidencias en la seguridad. De esta manera, el antivirus funcionando da una sensación de falsa seguridad.

Filtros de ficheros (activo)

Otra aproximación es la de generar filtros dentro de la red que proporcionen un filtrado más selectivo. Desde el sistema de correos, hasta el empleo de técnicas de firewall, proporcionan un método activo y eficaz de eliminar estos contenidos.

En general este sistema proporciona una seguridad donde el usuario no requiere de intervención, puede ser más tajante, y permitir emplear únicamente recursos de forma más selectiva.

Copias de seguridad (pasivo)

Mantener una política de copias de seguridad garantiza la recuperación de los datos y la respuesta cuando nada de lo anterior ha funcionado.

Así mismo las empresas deberían disponer de un plan y detalle de todo el software instalado para tener un plan de contingencia en caso de problemas.

PlanificaciónLa planificación consiste en tener preparado un plan de contingencia en caso de que una emergencia de virus se produzca, así como disponer al personal de la formación adecuada para reducir al máximo las acciones que puedan presentar cualquier tipo de riesgo. Cada antivirus puede planear la defensa de una manera, es decir, un antivirus puede hacer un escaneado completo, rápido o de vulnerabilidad según elija el usuario.

Consideraciones de software

El software es otro de los elementos clave en la parte de planificación. Se debería tener en cuenta la siguiente lista de comprobaciones:

1. Tener el software imprescindible para el funcionamiento de la actividad, nunca menos pero tampoco más. Tener controlado al personal en cuanto a la instalación de software es una medida que va implícita. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (no debería permitirse software pirata o sin garantías). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre.

2. Disponer del software de seguridad adecuado. Cada actividad, forma de trabajo y métodos de conexión a Internet requieren una medida diferente de aproximación al problema. En general, las soluciones domésticas, donde únicamente hay un equipo expuesto, no son las mismas que las soluciones empresariales.

3. Métodos de instalación rápidos. Para permitir la reinstalación rápida en caso de contingencia.

4. Asegurar licencias. Determinados softwares imponen métodos de instalación de una vez,

12

que dificultan la reinstalación rápida de la red. Dichos programas no siempre tienen alternativas pero ha de buscarse con el fabricante métodos rápidos de instalación.

5. Buscar alternativas más seguras. Existe software que es famoso por la cantidad de agujeros de seguridad que introduce. Es imprescindible conocer si se puede encontrar una alternativa que proporcione iguales funcionalidades pero permitiendo una seguridad extra.

Consideraciones de la red

Disponer de una visión clara del funcionamiento de la red permite poner puntos de verificación filtrado y detección ahí donde la incidencia es más claramente identificable. Sin perder de vista otros puntos de acción es conveniente:

1. Mantener al máximo el número de recursos de red en modo de sólo lectura. De esta forma se impide que computadoras infectadas los propaguen.

2. Centralizar los datos. De forma que detectores de virus en modo batch puedan trabajar durante la noche.

3. Realizar filtrados de firewall de red. Eliminar los programas que comparten datos, como pueden ser los P2P; Mantener esta política de forma rigurosa, y con el consentimiento de la gerencia.

4. Reducir los permisos de los usuarios al mínimo, de modo que sólo permitan el trabajo diario. 5. Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de recuperación

cómo se ha introducido el virus, y así determinar los pasos a seguir.

Antivirus

Es conveniente disponer de una licencia activa de antivirus. Dicha licencia se empleará para la generación de discos de recuperación y emergencia. Sin embargo no se recomienda en una red el uso continuo de antivirus.

El motivo radica en la cantidad de recursos que dichos programas obtienen del sistema, reduciendo el valor de las inversiones en hardware realizadas.

Aunque si los recursos son suficientes. Este extra de seguridad puede ser muy útil.

Sin embargo los filtros de correos con detectores de virus son imprescindibles, ya que de esta forma se asegurará una reducción importante de decisiones de usuarios no entrenados que pueden poner en riesgo la red.

Firewall

Filtrar contenidos y puntos de acceso. Eliminar programas que no estén relacionados con la actividad. Tener monitorizado los accesos de los usuarios a la red, permite asimismo reducir la instalación de software que no es necesario o que puede generar riesgo para la continuidad del negocio. Su significado es barrera de fuego y no permite que otra persona no autorizada tenga acceso desde otro equipo al tuyo.

Reemplazo de software

Los puntos de entrada en la red son generalmente el correo, las páginas WEB, y la entrada de ficheros desde discos, o de PC que no están en la empresa (portátiles...)

Muchas de estas computadoras emplean programas que pueden ser reemplazados por alternativas

13

más seguras.

Es conveniente llevar un seguimiento de cómo distribuyen bancos, y externos el software, valorar su utilidad e instalarlo si son realmente imprescindibles.

Centralización y backup

La centralización de recursos y garantizar el backup de los datos es otra de las pautas fundamentales en la política de seguridad recomendada.

La generación de inventarios de software, centralización del mismo y la capacidad de generar instalaciones rápidas proporcionan métodos adicionales de seguridad.

Es importante tener localizado donde tenemos localizada la información en la empresa. De esta forma podemos realizar las copias de seguridad de forma adecuada.

Control o separación de la informática móvil, dado que esta está más expuesta a las contingencias de virus.

Empleo de sistemas operativos más seguros

Para servir ficheros no es conveniente disponer de los mismos sistemas operativos que se emplean dentro de las estaciones de trabajo, ya que toda la red en este caso está expuesta a los mismos retos. Una forma de prevenir problemas es disponer de sistemas operativos con arquitecturas diferentes, que permitan garantizar la continuidad de negocio.

Sistemas operativos mas atacadosLas plataformas mas atacadas por virus informáticos son la línea de sistemas operativos Windows de Microsoft. Respecto a los sistemas derivados de Unix como GNU/Linux, BSD, Solaris, MacOS, éstos han corrido con mejor suerte debido en parte al sistema de permisos. No obstante en las plataformas derivadas de Unix han existido algunos intentos que más que presentarse como amenazas reales no han logrado el grado de daño que causa un virus en plataformas Windows.

Algunos antivirusExiste una variedad enorme de software antivirus en el mercado. Independiente de cual usa, manténgalo siempre actualizado. Eso es necesario porque nacen virus nuevos todos los días y su antivirus necesita saber de la existencia de ellos para proteger su sistema operativo. La mayoría de los software antivirus poseen servicios de actualización automática. Abajo hay una lista con los antivirus más conocidos:

- Norton Antivirus - Symantec - www.symantec.com - Posee versión de prueba. - McAfee - McAfee - http://www.mcafee.com - Posee versión de prueba. AVG - Grisoft - www.grisoft.com - Posee versión paga y otra gratuita para uso no-comercial (con menos funcionalidades). Panda Antivirus - Panda Software - www.pandasoftware.com - Posee versión de prueba.

Avast! Free Antivirus – Avast! Antivirus – www.avast.com/es

14