Tabla de contenido

INTRODUCCIN OBJETIVOS 1. LOS VIRUS INFORMTICOS 1.1 HISTORIA DE LOS VIRUS INFORMTICOS 1.2 DEFINICIN DE LOS VIRUS INFORMTICOS 1.3 CARACTERSTICAS DE LOS VIRUS INFORMTICOS 1.4 CLASIFICACIN DE LOS VIRUS INFORMTICOS 1.4.1 SEGN LO INFECTADO: 1.4.2 SEGN SU COMPORTAMIENTO: 1.4.3 SEGN SUS ACCIONES Y/O MODO DE ACTIVACIN 1.5 FUNCIONAMIENTO DE LOS VIRUS INFORMTICOS 1.6 CMO SE TRANSMITEN LOS VIRUS? 1.7 MTODOS DE DETECCIN DE LOS VIRUS INFORMTICOS 1.8 DAOS QUE OCASIONAN LOS VIRUS INFORMTICOS DAOS MENORES DAOS MODERADOS: DAOS MAYORES: DAOS SEVEROS: DAOS ILIMITADOS: 1.9 LISTADO DE LOS VIRUS INFORMTICOS MS POPULARES 1.10 QU NO ES UN VIRUS INFORMTICOS? PROGRAMAS CORRUPTOS: 2 ANTIVIRUS 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 HISTORIA DE LOS ANTIVIRUS DEFINICIN DE LOS ANTIVIRUS CARACTERSTICAS DE LOS ANTIVIRUS ELEMENTOS QUE COMPONEN LOS ANTIVIRUS TIPOS DE ANTIVIRUS MODELO DE ANTIVIRUS CMO FUNCIONAN LOS ANTIVIRUS? TCNICAS DE DETECCIN DE VIRUS INFORMTICOS? MTODOS DE SEGURIDAD PARA EVITAR CONTAGIOS LISTA DE ANTIVIRUS MS POPULARES I II 1 1 4 4 6 6 7 8 10 13 14 15 15 15 15 16 16 16 20 21 21 21 1 1 3 6 7 9 11 13 15

2.10.1 ANTIVIRUS DE ESCRITORIO 2.10.2 ANTIVIRUS EN LNEA 3 FIREWALL 3.2 DEFINICIN DE LOS FIREWALL 3.3 TIPOS DE FIREWALL 3.4 FUNCIONES DE LOS FIREWALL 3.4.1 LOS ATAQUES EXTERNOS 3.5 POLTICAS DE DISEO DE LOS FIREWALL 3.6 POLTICAS INTERNAS DE SEGURIDAD 3.7 FIREWALLS PERSONALES 3.8 BENEFICIOS DE LOS FIREWALLS 3.9 LIMITACIONES DE UN FIREWALLS 3.10 EJEMPLOS DE FIREWALLS 4 ADWARE 4.1 4.2 4.3 4.4 4.5 4.6 DEFINICIN DE LOS ADWARE TIPOS DE ADWARE FUNCIONES DE LOS ADWARE CMO LLEGAN A NUESTRAS COMPUTADORAS LOS ADWARE? CMO EVITAR LOS ADWARE? LISTA DE LOS ADWARE MS COMUNES

15 17 20 21 23 23 25 27 28 29 30 32 34 34 34 35 36 36 37 38 39 39 40 40 40 41 41 43 44 45 46 46 46 47

5 SPYWARE 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 DEFINICIN DE LOS SPYWARE CARACTERSTICAS DE LOS SPYWARE CMO SE PROPAGAN LOS SPYWARE? VULNERABILIDADES QUE OCASIONA EL SPYWARE PRINCIPALES SNTOMAS DE INFECCIN CMO EVITAR EL SPYWARE? CMO ELIMINAR O REMOVER UN SPYWARE? LISTA DE LOS MEJORES ANTISPYWARE DIFERENCIAS ENTRE ADWARE Y SPYWARE

6 ROOTKIT 6.1 ORGENES DE LOS ROOTKIT 6.2 DEFINICIN DE LOS ROOTKIT 6.3 CLASIFICACIN DE LOS ROOTKIT

6.4 FUNCIONES DE LOS ROOTKIT 6.5 DETECCIONES DE LOS ROOTKIT 6.5.1 MTODOS DE OCULTAMIENTO DE DETECCIN 6.6 CUL ES EL PELIGRO DE LOS ROOTKIT? 6.7 FORMAS DE PROTECCIN DE LOS ROOTKIT 6.8 DESINFECCIN DE LOS ROOTKIT 7 HOAX 7.1 7.2 7.3 7.4 7.5 DEFINICIN DE LOS HOAX CARACTERSTICAS DE LOS HOAX TIPO DE HOAX FUNCIONES DE LOS HOAX ACCIONES QUE SE DEBEN TOMAR CON LOS HOAX

49 50 50 51 53 54 55 55 55 57 57 58 58 58 59 59 61 62 62 63 64 64 66 67 68 69

8 FISHING 8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 ORGENES DEL PHISHING DEFINICIN DE PHISHING CARACTERSTICAS DE PHISHING TCNICAS MS SOFISTICADAS DEL PHISHING ELEMENTOS DEL PHISHING FUNCIONES DEL PHISHING VAS DE DISTRIBUCIN DEL PHISHING. DAOS CAUSADOR POR EL PHISHING LISTA DE EJEMPLOS DE PHISHING

CONCLUSIONES RECOMENDACIONES BIBLIOGRAFA NDICE

Introduccin

En nuestra moderna era ciberntica, tenemos toda la informacin que necesitemos al alcance de un clic. La informtica ha simplificado la vida de investigadores, estudiantes y trabajadores proveyendo un medio rpido, confiable efectivo y eficaz de procesar grandes cantidades de informacin con un costo accesible a buena parte de la poblacin. De igual manera, la informtica ha abierto una inmensa gama de oportunidades de estafar a las personas honradas y trabajadoras que la utilizan. Cada da, los amigos de lo ajeno, van innovando los mtodos de invadir la privacidad de los cibernautas. Las consecuencias de dicha invasin pueden ser desde la prdida del lbum fotogrfico familiar, hasta el robo de los ahorros el uso abusivo de tarjetas de crdito. Se han dado casos extremos de suplantacin de la informacin personal de un individuo, utilizando dicha informacin para sacar grandes cantidades de dinero en concepto de prstamos personales, dejando a la vctima, sumida en deudas. La importancia de conocer los ms comunes medios de invadir nuestra privacidad, con el consecuente riesgo de ser vctimas de una estafa, es muy grande, pues es cada vez mayor la frecuencia de estos casos. El presente trabajo de investigacin tiene por objetivo conocer, sobre el funcionamiento del software conocido como virus y antivirus, as como tambin aprender sobre otros tipos de software que se caracterizan por ser perjudiciales para nuestro ordenador, y nuestra privacidad. Adems identificar los medios mayormente conocidos para prevenir la infeccin de nuestro ordenador, con estos tipos de malware nocivo.

Objetivos

Objetivos generales Dar a conocer todo acerca de los virus informticos desde su origen hasta los virus ms populares y destructivos que existen actualmente

Objetivos especficos Conocer los distintos tipos de virus que existen. Analizar el impacto de los virus en el mundo informtica y como contrarrestar cada uno de ellos.

ii

1. Los Virus Informticos

1.1 Historia de los Virus Informticos Hacia finales de los aos 60, Douglas McIlory, Vctor Vysottsky y Robert Mors idearon un juego al que llamaron Core War 1, que se convirti en el pasatiempo de algunos de los programadores de los laboratorios Bell de AT&T. En l, cada jugador presenta cierto nmero de programas en leguaje ensamblador que se les dio el nombre de organismos, que conviven en la memoria del ordenador con los organismos de los dems participantes. Los programas de cada jugador tratan de aniquilar a los organismos oponentes, ganando el juego el participante que conserve ms organismos al acabar el tiempo de combate. A pesar de todos estos antecedentes el verdadero origen de los virus informticos es muy confuso, pero muy probablemente, una serie de artculos publicados en 1984 por A. K. Dewdney en la revista Scientific American. En estos artculos Dewney desarrolla un juego de ordenador llamado Core Wars o guerra de ncleos. En l dos programas hostiles se enzarzan en una lucha por el control de la memoria, atacando abiertamente al contrario. Los dos programas se ponen en marcha mediante otro programa que se encarga de ejecutar alternativamente las instrucciones de que constan los dos programas, llamado Gemini2, produca una copia de s mismo en otra casilla de la memoria y transfera el control a la nueva copia, que as poda repetir la operacin. Jams podra haber imaginado el autor lo que iba a suceder. Algunas personas con ideas destructivas extrajeron del inocente y creativo juego de Dewdney las pautas necesarias para crear todo tipo de programas con
1

Core War

Guerra a la memoria de la computadora

Gemini

uno de los primeros programas de saturacin de memoria

1 17/03/2013 17:27

capacidad para daar los sistemas informticos. En el mismo ao de 1984, Fred Cohen define por primera vez el trmino virus de ordenador como un software maligno capaz de reproducirse a s mismo. Se cree que los virus tienen la misma edad que las computadoras, ya que John Von Neumann describe programas que se reproducen solos en su libro "Teora y Organizacin de Autmatas Complicados". Pero las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) emple una subrutina para proteger su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco. Uno de los primeros registros que se tienen de una infeccin data del ao 1987, cuando en la Universidad estadounidense de Delaware notaron que tenan un virus porque comenzaron a ver " Brain" como etiqueta de los disquetes.

La causa de ello era Brain Computer Services, una casa de computacin paquistan que, desde 1986, venda copias ilegales de software comercial infectadas para, segn los responsables de la firma, dar una leccin a los piratas. Ellos haban notado que el sector de booteo de un disquete contena cdigo ejecutable, y que dicho cdigo se ejecutaba cada vez que la mquina se inicializaba desde un disquete. Lograron reemplazar ese cdigo por su propio programa, residente, y que este instalara una rplica de s mismo en cada disquete que fuera utilizado de ah en ms.

Tambin en 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo poda ser creado para copiarse a s mismo, adosando una copia de l a otros archivos. Escribi una demostracin de este efecto a la que llam VIRDEM, que poda infectar cualquier archivo con extensin .COM. Esto atrajo tanto inters que se le pidi que escribiera un libro, pero, puesto que l desconoca lo que estaba ocurriendo en Paquistn, no 2 17/03/2013 17:27

mencion a los virus de sector de arranque (boot sector). Para ese entonces, ya se haba empezado a diseminar el virus Vienna.

En Resumen se reconoce el Origen de los Virus de la siguiente manera:

Aos 60's

Juego "Core War", se reproduca cada vez que se ejecutaba.

"Reeper", programa que destrua las copias hechas por Core War (antivirus)

1982 "Cloner" presentaba un mensaje en forma de poema

La revista Scientific America publica informacin completa sobre los virus y guas para la creacin de los mismos. 1984 El Dr. Cohen de la Universidad de California, hace una demostracin de un virus residente en una PC. Se le conoce como "El Padre de los Virus".

1986 Brain, primer virus destructor y daino. Creado en Pakistn

1987

IBM Christmas Card, enviaba mensajes navideos que se multiplicaban rpidamente

1988

Jerusalem, apareca el 13 de mayo de 1988. Programa que destrua otros programas.

3 17/03/2013 17:27

1.2

Definicin de los Virus Informticos

Los virus informticos son programas diseados expresamente para interferir en el funcionamiento de una computadora, registrar, daar o eliminar datos, o bien para propagarse a otras computadoras y por Internet, a menudo con el propsito de hacer ms lentas las operaciones y provocar otros problemas en los procesos.

Al igual que hay virus humanos con niveles de gravedad muy distintos (desde un resfriado leve hasta el virus bola), los efectos de los virus informticos pueden ser desde ligeramente molestos hasta autnticamente devastadores. Adems, cada da se presentan nuevas variantes. Por suerte, con precaucin y algunos conocimientos, es menos probable convertirse en vctima de los virus y se puede reducir su impacto. Algunos autores definen los virus como un programa parsito porque el programa ataca a los archivos o sector es de "boteo" y se replica a s mismo para continuar su esparcimiento. Algunos se limitan solamente a replicarse, mientras que otros pueden producir serios daos que pueden afectar a los sistemas. Se ha llegado a un punto tal, que un nuevo virus llamado W95/CIH-10xx. O tambin como CIH.Spacefiller (puede aparecer el 26 de cada mes, especialmente 26 de Junio y 26 de Abril) ataca al BIOS de la PC husped y cambiar su configuracin de tal forma que se requiere cambiarlo. Nunca se puede asumir que un virus es inofensivo y dejarlo "flotando" en el sistema.

1.3 Caractersticas de los Virus Informticos

La definicin ms simple y completa que hay de los virus corresponde al modelo D. A. S., y se fundamenta en tres caractersticas, que se refuerzan y

4 17/03/2013 17:27

dependen mutuamente. Segn ella, un virus es un programa que cumple las siguientes pautas: Es daino Es autor reproductor Es subrepticio Segn sus caractersticas un virus puede contener tres mdulos principales: el mdulo de ataque, el mdulo de reproduccin, y el mdulo de defensa.

Mdulo de ataque. Es el mdulo que contiene las rutinas de dao adicional o implcito. El mdulo puede ser disparado por distintos eventos del sistema: una fecha, hora, el encontrar un archivo especfico (COMMAND.COM), el encontrar un sector especfico (MBR), una determinada cantidad de booteos desde que ingreso al sistema, o cualquier otra cosa a la que el programador quisiera atacar.

Mdulo de reproduccin. Es el encargado de manejar las rutinas para infectar entidades ejecutables que asegurarn la subsistencia del virus. Cuando toma el control del sistema puede infectar otras entidades ejecutables. Cuando estas entidades sean trasladadas a otras computadoras se asegura la dispersin del virus.

Mdulo de defensa. Su principal objetivo es proteger el cuerpo del virus. Incluir rutinas que disminuyan los sntomas que delaten su presencia e intentarn que el virus permanezca invisible a los ojos del usuario y del antivirus. Las tcnicas incluidas en este mdulo hoy en da resultan ser muy sofisticadas logrando dar informacin falsa al Sistema Operativo -y en consecuencia al usuario- y localizndose en lugares poco comunes para el registro de los antivirus, como la memoria FlashROM.

5 17/03/2013 17:27

1.4 Clasificacin de los Virus Informticos 1.4.1 Segn lo infectado: Segn algunos autores, fundamentalmente existen dos tipos de virus: Aquellos que infectan archivos. A su vez, stos se clasifican en Virus de accin directa: En el momento en el que se ejecutan, infectan a otros programas.

Virus residente: Al ser ejecutados, se instalan en la memoria de la computadora. Infectan a los dems programas a medida que se accede a ellos. Por ejemplo, al ser ejecutados. Virus de boot: Los que infectan el sector de arranque. Recordemos que el sector de arranque es lo primero que lee el ordenador cuando es encendido. Estos virus residen en la memoria. Virus multipartite: Estos corresponden a los virus que infectan archivos y al sector de arranque, por lo que se puede decir que es la suma de las dos categoras anteriores. Para otros autores, la clasificacin de los virus tambin se divide en dos categoras, pero el mtodo de clasificacin utilizado es diferente: Virus de archivos: Son los que modifican archivos o entradas de las tablas que indican el lugar donde se guardan los directorios o los archivos. Virus de sistema operativo: Son aquellos que tienen como objetivo consiste en infectar aquellos archivos que gobiernan la computadora.

6 17/03/2013 17:27

1.4.2 Segn su comportamiento: En funcin de su comportamiento, todos los virus anteriores pueden a su vez clasificarse en otros subgrupos: Virus uniformes: Son aquellos que producen una replicacin idntica a s mismos. Virus encriptados: Estos son aquellos que cifran parte de su cdigo para que sea ms complicado su anlisis. A su vez pueden emplear: Encriptacin fija, empleando la misma clave. Encriptacin variable, haciendo que cada copia de s mismo est encriptado con una clave distinta. De esta forma reducen el tamao del cdigo fijo empleable para su deteccin. Virus oligomrficos: Son aquellos que poseen un conjunto reducido de funciones de encriptacin y eligen una de ellas aleatoriamente. Requieren distintos patrones para su deteccin. Virus polimrficos: Que en su replicacin producen una rutina de encriptacin completamente variable, tanto en la frmula como en la forma del algoritmo. Con polimorfismos fuertes se requiere de emulacin, patrones mltiples y otras tcnicas antivirus avanzadas.

Virus metamrficos: Son aquellos que reconstruyen todo su cuerpo en cada generacin, haciendo que vare por completo. De esta forma se llevan las tcnicas avanzadas de deteccin al lmite. Por fortuna, esta categora es muy rara y slo se encuentran en laboratorio. Sobrescritura:

7 17/03/2013 17:27

Es cuando el virus sobrescribe a los programas infectados con su propio cuerpo. Stealth o silencioso: Es cuando el virus oculta sntomas de la infeccin. Existen ms clasificaciones segn su comportamiento, siendo las citadas parte de las ms significativas y reconocidas por la mayora de los fabricantes de antivirus.

1.4.3 Segn sus acciones y/o modo de activacin Bombas: Se denominan as a los virus que ejecutan su accin daina como si fuesen una bomba. Esto significa que se activan segundos despus de verse el sistema infectado o despus de un cierto tiempo (bombas de tiempo) o al comprobarse cierto tipo de condicin lgica del equipo. (bombas lgicas). Ejemplos de bombas de tiempo son los virus que se activan en una determinada fecha u hora determinada. Ejemplos de bombas lgicas son los virus que se activan cuando al disco rgido solo le queda el 10% sin uso. Camaleones: Son una variedad de virus similares a los caballos de Troya que actan como otros programas parecidos, en los que el usuario confa, mientras que en realidad estn haciendo algn tipo de dao. Cuando estn correctamente programados, los

camaleones pueden realizar todas las funciones de los programas legtimos a los que sustituyen (actan como programas de demostracin de productos, los cuales son simulaciones de programas reales). Un software camalen podra, por ejemplo, emular un programa de acceso a sistemas remotos realizando todas las acciones que 8 17/03/2013 17:27

ellos realizan, pero como tarea adicional (y oculta a los usuarios) va almacenando en algn archivo los diferentes logins y password para que posteriormente puedan ser recuperados y utilizados ilegalmente por el creador del virus camalen. Reproductores: Los reproductores (tambin conocidos como conejos-rabbits) se reproducen en forma constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el espacio de disco o memoria del sistema. La nica funcin de este tipo de virus es crear clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propsito es agotar los recursos del sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema principal no puede continuar con el procesamiento normal. Gusanos (Worms): Los gusanos son programas que constantemente viajan a travs de un sistema informtico interconectado, de PC a PC, sin daar necesariamente el hardware o el software de los sistemas que visitan. La funcin principal es viajar en secreto a travs de equipos anfitriones recopilando cierto tipo de informacin programada (tal como los archivos de passwords) para enviarla a un equipo determinado al cual el creador del virus tiene acceso. Backdoors: Son tambin conocidos como herramientas de administracin remotas ocultas. Son programas que permiten controlar

remotamente la PC infectada. Generalmente son distribuidos como troyanos. 9 17/03/2013 17:27

Cuando un virus de estos es ejecutado, se instala dentro del sistema operativo, al cual monitorea sin ningn tipo de mensaje o consulta al usuario. Incluso no se lo v en la lista de programas activos. Los Backdoors permiten al autor tomar total control de la PC infectada y de esta forma enviar, recibir archivos, borrar o modificarlos, mostrarle mensajes al usuario. 1.5 Funcionamiento de los Virus Informticos

Los virus informticos estn hechos en Assembler, un lenguaje de programacin de bajo nivel. Las instrucciones compiladas por Assembler trabajan directamente sobre el hardware, esto significa que no es necesario ningn software intermedio segn el esquema de capas entre usuario y hardware- para correr un programa en Assembler (opuesto a la necesidad de Visual Basic de que Windows 9x lo secunde). No solo vamos a poder realizar las cosas tpicas de un lenguaje de alto nivel, sino que tambin vamos a tener control de cmo se hacen. Para dar una idea de lo poderoso que puede ser este lenguaje, el sistema operativo Unix est programado en C y las rutinas que necesitan tener mayor profundidad para el control del hardware estn hechas en Assembler. Por ejemplo: los drivers que se encargan de manejar los dispositivos y algunas rutinas referidas al control de procesos en memoria.

10 17/03/2013 17:27

Sabiendo esto, el virus puede tener control total de la mquina -al igual que lo hace el Sistema Operativo- si logra cargarse antes que nadie. La necesidad de tener que "asociarse" a una entidad ejecutable viene de que, como cualquier otro programa de computadora, necesita ser ejecutado y teniendo en cuenta que ningn usuario en su sano juicio lo har, se vale de otros mtodos furtivos. Ahora que marcamos la importancia para un virus el ser ejecutado, podemos decir que un virus puede encontrarse en una computadora sin haber infectado realmente algo. Es el caso de personas que pueden coleccionar virus en archivos comprimidos o encriptados.

Normalmente este tipo de programas se pega a alguna entidad ejecutable que le facilitar la subida a memoria principal y la posterior ejecucin (mtodos de infeccin). Como entidades ejecutables podemos reconocer a los sectores de arranque de los discos de almacenamiento magnticos, pticos o magneto-pticos (MBR, BR), las libreras o mdulos de programas (.dll, .lib, .ovl, .bin, .ovr). Los sectores de arranque son fundamentales para garantizar que el virus ser cargado cada vez que se encienda la computadora.

Segn la secuencia de booteo de las PCs, el microprocesador tiene seteada de fbrica la direccin de donde puede obtener la primera instruccin a ejecutar. Esta direccin apunta a una celda de la memoria ROM donde se encuentra la subrutina POST (Power On Self Test), encargada de varias verificaciones y de comparar el registro de la memoria CMOS con el hardware instalado (funcin checksum). En este punto sera imposible que el virus logre cargarse ya que la memoria ROM viene grabada de fbrica y no puede modificarse (hoy en da las memorias FlashROM podran contradecir esto ltimo). Luego, el POST pasa el control a otra subrutina de la ROM BIOS llamada "bootstrap ROM" que copia el MBR3 (Master Boot Record) en memoria
3

MBR Master Boot Record

11 17/03/2013 17:27

RAM. El MBR contiene la informacin de la tabla de particiones, para conocer las delimitaciones de cada particin, su tamao y cul es la particin activa desde donde se cargar el Sistema Operativo. Vemos que en este punto el procesador empieza a ejecutar de la memoria RAM, dando la posibilidad a que un virus tome partida.

Hasta ac el Sistema Operativo todava no fue cargado y en consecuencia tampoco el antivirus. El accionar tpico del virus sera copiar el MBR en un sector alternativo y tomar su posicin. As, cada vez que se inicie el sistema el virus lograr cargarse antes que el Sistema Operativo y luego, respetando su deseo por permanecer oculto har ejecutar las instrucciones del MBR.

Con la informacin del MBR sabremos qu particin es la activa y en que sector se encuentra su sector de booteo (boot record o BR). El BR contiene una subrutina que se ocupar de cargar los archivos de arranque del Sistema Operativo. Los dems pasos de la carga del Sistema Operativo son irrelevantes, pero es importante recordar que el Sistema Operativo es el ltimo en cargarse en la secuencia de booteo antes de que el usuario pueda introducir comandos en la shell. El antivirus es cargado por los archivos de configuracin del Sistema Operativo personalizables por el usuario.

Cuando un virus infecta un archivo ejecutable .EXE, por ejemplo, intenta rastrear en el cdigo los puntos de entrada y salida del programa. El primer punto sealado es en donde, dentro del archivo, se iniciar la ejecucin de instrucciones. El segundo punto resulta ser lo opuesto. Cuando un virus localiza ambos puntos escribe su propio cdigo antes de cada uno. Segn el tipo de virus, este cdigo cargar el virus en memoria si es que no lo estaba- y apuntar a esa zona infectada con el virus.

12 17/03/2013 17:27

A partir de ah el programa virsico determinar cules son las acciones a seguir: puede continuar infectando archivos que sean cargados en memoria, ocultarse si es que detecta la presencia de un antivirus o ejecutar el contenido de su mdulo de ataque. El virus puede infectar tambin las copias de los archivos cargados en memoria que estn en la unidad de almacenamiento. As se asegura que ante un eventual apagado de la computadora su cdigo igualmente se encuentra en los archivos de la unidad.

Es importante comprender que la computadora no estar infectada hasta que ejecutemos algo parasitado previamente con el virus. Veamos un ejemplo sencillo: nosotros bajamos de Internet un archivo comprimido (con la extensin .ZIP segn el uso popular) sabiendo que es un programa de prueba que nos gustara instalar.

Lo que no sabemos es que uno de los archivos dentro del .ZIP es un virus informtico, y lo peor de todo es que viene adosado al archivo Install.exe. Al momento de descomprimir el contenido, el virus todava no fue ejecutado (ya que la informacin dentro del .ZIP no puede ser reconocida como instrucciones por el procesador). Luego identificamos el archivo Install.exe como el necesario para instalar el programa y lo ejecutamos. Recin en este momento el virus se cargar en memoria y pasar a hacer las cosas para lo que fue programado.

1.6

Cmo se transmiten los virus?

La forma ms comn en que se transmiten los virus es por transferencia de archivos, descarga o ejecucin de archivos adjuntos a correos. Tambin usted puede encontrarse con un virus simplemente visitando ciertos tipos de pginas web que utilizan un componente llamado ActiveX o Java Applet. Adems, usted puede ser infectado por un virus simplemente leyendo un e-

13 17/03/2013 17:27

mail dentro de ciertos tipos de programas de e-mail como Outlook u Outlook Express.

1.7

Mtodos de deteccin de los Virus Informticos

El sistema operativo o un programa toma mucho tiempo en cargar sin razn aparente. El tamao del programa cambia sin razn aparente. El disco duro se queda sin espacio o reporta falta de espacio sin que esto sea necesariamente as. Si se corre el CHKDSK no muestra "655360 bytes available". En Windows aparece "32 bit error". La luz del disco duro en la CPU continua parpadeando aunque no se est trabajando ni haya protectores de pantalla activados. (Se debe tomar este sntoma con mucho cuidado, porque no siempre es as). No se puede "bootear" desde el Drive A, ni siquiera con los discos de rescate. Aparecen archivos de la nada o con nombres y extensiones extraas. Suena "clicks" en el teclado (este sonido es particularmente aterrador para quien no esta advertido). Los caracteres de texto se caen literalmente a la parte inferior de la pantalla (especialmente en DOS). En la pantalla del monitor pueden aparecen mensajes absurdos tales como "Tengo hambre. Introduce un Big Mac en el Drive A". En el monitor aparece una pantalla con un fondo de cielo celeste, unas nubes blancas difuminadas, una ventana de vidrios repartidos de colores y una leyenda en negro que dice Windows 98 (No puedo evitarlo, es ms fuerte que yo...). Una infeccin se soluciona con las llamadas "vacunas" (que impiden la infeccin) o con los remedios que desactivan y eliminan, (o tratan de hacerlo) a los virus de los archivos infectados. Hay cierto tipo de virus que

14 17/03/2013 17:27

no son desactivadles ni removibles, por lo que se debe destruir el archivo infectado

1.8 Daos que ocasionan los Virus Informticos Definiremos dao como accin una indeseada, y los clasificaremos segn la cantidad de tiempo necesaria para reparar dichos daos. Existen seis categoras de daos hechos por los virus, de acuerdo a la gravedad. Daos Triviales: Si tomamos como ejemplo la forma de trabajo del virus FORM (el ms comn): En el da 18 de cada mes cualquier tecla que presionemos hace sonar el bel. Deshacerse del virus implica, generalmente, segundos o minutos. Daos Menores Un buen ejemplo de este tipo de dao es el JERUSALEM. Este virus borra, los viernes 13, todos los programas que uno trate de usar despus de que el virus haya infectado la memoria residente. En el peor de los casos, tendremos que reinstalar los programas perdidos. Esto nos llevar alrededor de 30 minutos. Daos Moderados: Cuando un virus formatea el disco rgido, mezcla los componentes de la FAT4, o sobrescribe el disco rgido. En este caso, sabremos inmediatamente qu es lo que est sucediendo, y podremos reinstalar el sistema operativo y utilizar el ltimo Backus. Esto quizs nos lleve una hora. Daos Mayores: Algunos virus, dada su lenta velocidad de infeccin y su alta capacidad de pasar desapercibidos, pueden lograr que ni an restaurando un
4

FAT

Tabla de Ubicacin de Archivos

15 17/03/2013 17:27

Backus volvamos al ltimo estado de los datos. Un ejemplo de esto es el virus DARK AVENGER, que infecta archivos y acumula la cantidad de infecciones que realiz. Cuando este contador llega a 16, elige un sector del disco al azar y en l escribe la frase: " Eddie lives somewhere in time" (Eddie vive en algn lugar del tiempo). Esto puede haber estado pasando por un largo tiempo sin que lo notemos, pero el da en que detectemos la presencia del virus y queramos restaurar el ltimo Backus notaremos que tambin l contiene sectores con la frase, y tambin los backups anteriores a ese. Puede que lleguemos a encontrar un Backus limpio, pero ser tan viejo que muy probablemente hayamos perdido una gran cantidad de archivos que fueron creados con posterioridad a ese Backus. Daos Severos: Los daos severos son hechos cuando un virus realiza cambios mnimos, graduales y progresivos. No sabemos cundo los datos son correctos o han cambiado, pues no hay pistas obvias como en el caso del DARK AVENGER5 Daos Ilimitados: Algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre otros, obtienen la clave del administrador del sistema y la pasan a un tercero. Cabe aclarar que estos no son virus sino troyanos. En el caso de CHEEBA, crea un nuevo usuario con los privilegios mximos, fijando el nombre del usuario y la clave. El dao es entonces realizado por la tercera persona, quien ingresar al sistema y hara lo que quisiera.

1.9 Listado de los Virus Informticos ms populares

DARK AVENGER

virus altamente letal

16 17/03/2013 17:27

En

este listado figuran nicamente los virus que por sus sofisticadas de programacin, nivel de propagacin o efectos

caractersticas

destructivos han tenido una gran trascendencia a nivel mundial.

Fecha

ltimos virus nocivos reportados en el mundo NEERIS.L gusano de la web infecta unidades de disco fijas lgicas

27/05/09 removibles y diskets descraga malware. AGENT.JZD troyano/backdoor MultiSPAM y del IRC ejecuta acciones 26/05/09 y comandos arbitrarios en forma remota. SIMOUK gusano infecta todos los archivos ejecutables descarga 25/05/09 malwares deja inoperativo al sistema. KORRON.B gusano infecta archivos, unidades de disco, deshabilita 22/05/09 funciones Explorador del sistema, etc. KIDKITI troyano MultiSPAM simula ser enviado por Symantec roba 21/05/09 informacin la enva a web de autor. SMALL.UY troyano de websites afecta al Adobe Flash Player, 20/05/09 desinstala programas descarga malwares. XPAntivirus familia de falsos antivirus con atractivas ventanas alteran 18/05/09 el sistema infectan archivos, etc. Microsoft emite Boletin de Seguridad de emergencia para corregir 13/05/09 vulnerabilidades en MS Office Power Point XF_HELPOPY.AW macro infector de MS Office Excel propagado en 13/05/09 webs maliciosamente acondicionadas. A1a6bc2e troyano ocasiona lentitud en sistema impide acceder a 11/05/09 webs de antivirus o actualizar sus registros.

17 17/03/2013 17:27

BLOODHOUND.236 vulnerabilidad de funcin de Adobe Acrobat 09/05/09 Reader que permite ejecucin remota. QUABOT gusano roba informacin sensible y enva a una web que ha 08/05/09 sido vulnerada descarga malwares. OSCARBOT.gen gusano/backdoor de IRC, P2P y recursos

06/05/09 compartidos infecta almacenamientos removibles. SENS gusano de Internet infecta archivos los inutiliza roba 04/05/09 informacin sensible descarga malwares. BLOODHOUND.PDF.12 virus ofuscados explotan vulnerabilidad de 01/05/09 archivos PDF de Acrobat Reader. SILLYFDC.BBR gusano de Internet infecta unidades de disco 30/04/09 descarga de la web una copia de s mismo. ENSEAN A DESARROLLAR VIRUS LETALES EN PORTALES DE 28/04/09 INTERNET EN AGRAVIO DE LOS USUARIOS!! BLOODHOUND.PDF.11 troyanos explotan vulnerabilidad de archivos 28/04/09 PDF de Acrobat Reader. MOCON gusano de Internet infecta unidades de disco roba 27/04/09 informacin la enva a web controlada por el autor. REGSUBDAT troyano/backdoor MultiSPAM deshabilita DEP de 24/04/09 Windows infecta procesos y descarga malwares. NEPRODOOR.B troyano/backdoor roba informacin sensible y la 21/04/09 enva al atacante remoto va chat. SALITY.AM gusano detiene servicios y procesos borra archivos 20/04/09 deshabilita antivirus descarga malwares.

18 17/03/2013 17:27

RANSOMLOCK destructivo troyano bloquea Escritorio de Windows 17/04/09 impide re-instalar el sistema operativo. NEERIS gusano de recursos compartidos Messenger explota 16/04/09 vulnerabilidad descarga Rootkit y malwares. DIZAN.F gusano de Internet HTTP infecta ejecutables evade Firewall 15/04/09 de Windows deshabilita sistema. PREAVI gusano de Internet y unidades de disco removibles infecta 14/04/09 ejecutables deshabilita Windows. ADGUNBE!INF destructivo troyano sobre-escribe el WS2_32.dll y 06/04/09 parcha importantes API's del sistema. MEBROOT.BD destructivo troyano sobre-escribe el MBR ser 02/04/09 necesario formatear el disco y reinstalar Windows. XANIB gusano infecta archivos ejecutables y multimedia deshabilita 31/03/09 funciones del EXPLORER.EXE, etc. FIDAMEG gusano destructivo infecta archivos ejecutables y otros de 30/03/09 determinadas extensiones. BLOODHOUND.PDF.8 archivos PDF explotan vulnerabilidad de 25/03/09 software Foxit Reader PDF ejecucin remota. TIDSERV.G gusano destructivo sofisticadas acciones afecta Windows 24/03/09 descarga archivos maliciosos, etc.

19 17/03/2013 17:27

1.10 Qu no es un Virus Informticos? Existen algunos programas que, sin llegar a ser virus, ocasionan problemas al usuario. Estos no-virus carecen de por lo menos una de las tres caractersticas identificatorias de un virus (daino, autorreproductor y subrepticio). Veamos un ejemplo de estos no - virus: "Hace algunos aos, la red de I. B. M., encargada de conectar ms de 130 pases, fue virtualmente paralizada por haberse saturado con un correo electrnico que contena un mensaje de salutacin navidea que, una vez ledo por el destinatario, se enviaba a s mismo a cada integrante de las listas de distribucin de correo del usuario. Al cabo de un tiempo, fueron tantos los mensajes que esperaban ser ledos por sus destinatarios que el trfico se volvi demasiado alto, lo que ocasion la cada de la red". Asimismo, es necesario aclarar que no todo lo que altere el normal funcionamiento de una computadora es necesariamente un virus. Por ello, dar algunas de las pautas principales para diferenciar entre qu debe preocuparnos y qu no. BUGS . Los bugs6 no son virus, y los virus no son bugs. Todos usamos programas que tienen graves errores (bugs). Si se trabaja por un tiempo largo con un archivo muy extenso, eventualmente algo puede comenzar a ir mal dentro del programa, y este a negarse a grabar el archivo en el disco. Se pierde entonces todo lo hecho desde la ltima grabacin. Esto, en muchos casos, se debe a ERRORES del programa. Todos los programas lo

suficientemente complejos tienen bugs. FALSA ALARMA: Algunas veces tenemos problemas con nuestro hardware o software y, luego de una serie de verificaciones, llegamos a la
6

Bugs errores de programa. 20

17/03/2013 17:27

conclusin de que se trata de un virus, pero nos encontramos con una FALSA ALARMA luego de correr nuestro programa antivirus. Desafortunadamente no hay una regla estricta por la cual guiarse, pero contestarse las siguientes preguntas puede ser de ayuda: Es slo un archivo el que reporta la falsa alarma (o quizs varios, pero copias del mismo)? Solamente un producto antivirus reporta la alarma? (Otros productos dicen que el sistema est limpio). Se indica una falsa alarma despus de correr mltiples productos, pero no despus de bootear, sin ejecutar ningn programa? Si al menos una de nuestras respuestas fue afirmativa, es muy factible que efectivamente se trate de una falsa alarma. PROGRAMAS CORRUPTOS: A veces algunos archivos son accidentalmente daados, quizs por problemas de hardware. Esto quiere decir que no siempre que encontremos daos en archivos deberemos estar seguros de estar infectados.

Antivirus 2.1 Historia de los Antivirus Desde la aparicin de los virus informticos en 1984 y tal como se les concibe hoy en da, han surgido muchos mitos y leyendas acerca de ellos. Esta situacin se agrav con el advenimiento y auge de

resumen historia infectan

de de los

la los

verdadera virus que y

archivos

sistemas de las computadoras. Como bien lo mencionamos en la historia de los Virus (seccin anterior). En 1949, en los laboratorios de la Bell

Computer, subsidiaria de la AT&T, 21 3 jvenes

Internet. A continuacin, un

17/03/2013 17:27

programadores: Thomas Morris,

Robert Douglas

Sin embargo durante muchos aos el CoreWar fue

McIlory y Victor Vysottsky, a manera crearon de un entretenimiento juego al que

mantenido en el anonimato, debido a que por aquellos aos la computacin era manejada por una pequea lite de

denominaron CoreWar, inspirados en la

intelectuales A pesar de muchos aos de clandestinidad, existen del virus

teora de John Von Neumann, escrita y publicada en 1939. Robert Thomas Morris fue el padre de Robert Tappan

reportes

acerca

Creeper, creado en 1972 por Robert Thomas Morris, que atacaba a las famosas IBM 360, emitiendo peridicamente en la pantalla el mensaje: "I'm

Morris, quien en 1988 introdujo un virus en ArpaNet, la

precursora de Internet. Puesto en la prctica, los contendores ejecutaban iban del CoreWar que

a creeper... catch me if you can!" (soy una enredadera, agrrenme si pueden). Para eliminar este problema se cre el primer programa antivirus denominado REAPER , ya que por aquella poca se

programas

paulatinamente

disminuyendo la memoria del computador y el ganador era el que finalmente consegua Este

eliminarlos

totalmente.

desconoca el concepto de los software antivirus y de ah aun surgido una serie de antivirus que su nico fin ha sido combatir todos los virus y cdigos malicioso y mal

juego fue motivo de concursos en importantes centros de

investigacin como el de la Xerox en California y el

Massachussets

Technology

Institute (MIT), entre otros.

intencionados que se han ido creado a travs del tiempo. 2

17/03/2013 17:27

2.2 Definicin de los Antivirus Es un programa creado para prevenir o evitar la activacin de los virus, as como su propagacin y contagio. Cuenta adems con rutinas de detencin, eliminacin y reconstruccin de los archivos y las reas infectadas del sistema. Debemos tener claro que segn en la vida humana hay virus que no tienen cura, esto tambin sucede en el mundo digital y hay que andar con mucha precaucin. Un antivirus es una solucin para minimizar los riesgos y nunca ser una solucin definitiva, lo principal es mantenerlo actualizado. Para mantener el sistema estable y seguro el antivirus debe estar siempre actualizado, tomando siempre medidas preventivas y correctivas y estar constantemente leyendo sobre los virus y nuevas tecnologas. 2.3 Caractersticas de los Antivirus El anti-virus debe actualizar los patrones o firmas, por lo menos una vez por semana, es decir, que yo como usuario final pueda mantener al da el anti-virus para detectar nuevos virus.

Debe contar con un equipo de soporte tcnico con acceso a un laboratorio especializado en cdigos maliciosos y un tiempo de respuesta no mayor a 48 horas, el cual me pueda orientar, en mi idioma, en caso de que yo contraiga una infeccin.

Debe contar con distintos mtodos de escaneo y anlisis de posibles cdigos maliciosos, para que sea capaz de detectar virus desconocidos.

El producto debe ser modular y personalizable, no todos somos iguales, razn por la cual este se debe poder adaptar a las necesidades de diferentes usuarios. 1 17/03/2013 17:27

Debe permitir la instalacin remota tanto en una red LAN como en una WAN,

Debe constar de una administracin centralizada, en donde se puedan recibir reportes de virus, mandar actualizaciones y personalizar a distintos usuarios.

Estas son las caractersticas principales con las que debe contar un anti-virus para resolver los problemas que yo pueda tener, al enfrentar a esos bichos malignos que puedan perjudicar y alterar el funcionamiento adecuado de mi computadora.

Debemos estar conscientes que la creacin de virus es exponencial y que estamos expuestos a un contagio en cualquier momento , a travs del intercambio de informacin, ya sea va discos, correo electrnico o Internet.

No obstante todo lo anterior: La preocupacin fundamental de los usuarios es que el producto elegido sea verdaderamente efectivo para efectos de deteccin y eliminacin correcta y exacta de los distintos virus que puedan amenazar a los sistemas. De nada sirve tener consolas que faciliten el trabajo al realizar instalaciones eficientes y rpidas en un entorno corporativo, si la calidad de la limpieza deja mucho que desear. Y en esto las certificaciones Checkmark y Virus Bulletin no constituyen ninguna garanta, ya que tradicionalmente slo han servido para garantizar al usuario final que de una manera u otra dichos productos cumplen las normas que les permiten considerarlos como anti-virus. No hay nada mejor que ponerlos uno mismo a prueba y de acuerdo con nuestras prioridades establecer nuestras propias conclusiones.

2 17/03/2013 17:27

2.4 Elementos que componen los Antivirus Un antivirus tiene tres principales funciones y componentes: VACUNA es un programa que instalado residente en la memoria, acta como "filtro" de los programas que son ejecutados, abiertos para ser ledos o copiados, en tiempo real. DETECTOR que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los cdigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rpida desarman su estructura. ELIMINADOR es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente despus a reparar o reconstruir los archivos y reas afectadas. Es importante aclarar que todo antivirus es un programa y que, como todo programa, slo funcionar correctamente si es adecuado y est bien configurado. Adems, un antivirus es una herramienta para el usuario y no slo no ser eficaz para el 100% de los casos, sino que nunca ser una proteccin total ni definitiva. La funcin de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informtico en una computadora. Este es el aspecto ms importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informtico, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daos posibles. Adicionalmente, un antivirus puede dar la opcin de erradicar un virus informtico de una entidad infectada. El modelo ms primario de las funciones de un programa antivirus es la deteccin de su presencia y, en lo posible, su identificacin. La primera tcnica que se Populariz para la deteccin de virus informticos, y que 3 17/03/2013 17:27

todava se sigue utilizando (aunque cada vez con menos eficiencia), es la tcnica de scanning. Esta tcnica consiste en revisar el cdigo de todos los archivos contenidos en la unidad de almacenamiento -

fundamentalmente los archivos ejecutables- en busca de pequeas porciones de cdigo que puedan pertenecer a un virus informtico. Este procedimiento, denominado escaneo, se realiza a partir de una base de datos que contiene trozos de cdigo representativos de cada virus conocido, agregando el empleo de determinados algoritmos que agilizan los procesos de bsqueda. La tcnica de scanning fue bastante eficaz en los primeros tiempos de los virus informticos, cuando haba pocos y su produccin era pequea. Este relativamente pequeo volumen de virus informticos permita que los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus, extraer el pequeo trozo de cdigo que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una nueva versin. Sin embargo, la obsolescencia de este mecanismo de identificacin como una solucin antivirus completa se encontr en su mismo modelo. El primer punto grave de este sistema radica en que siempre brinda una solucin a posteriori: es necesario que un virus informtico alcance un grado de dispersin considerable para que sea enviado (por usuarios capacitados, especialistas o distribuidores del producto) a los

desarrolladores de antivirus. Estos lo analizarn, extraern el trozo de cdigo que lo identificar, y lo incluirn en la prxima versin de su programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a tener una dispersin considerable, lapso en el cual puede causar graves daos sin que pueda ser identificado. Adems, este modelo consiste en una sucesin infinita de soluciones parciales y momentneas (cuya sumatoria jams constituir una solucin definitiva), que deben actualizarse peridicamente debido a la aparicin de nuevos virus. 4 17/03/2013 17:27

En sntesis, la tcnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite identificar rpidamente la presencia de los virus ms conocidos y, como son estos los de mayor dispersin, permite una importante gama de posibilidades. Un ejemplo tpico de un antivirus de esta clase es el Viruscan de McAfee. En virtud del pronto agotamiento tcnico de la tcnica de scanning, los desarrolladores de programas antivirus han dotado a sus creaciones de mtodos para bsquedas de virus informticos (y de sus actividades), que no identifican especficamente al virus sino a algunas de sus caractersticas generales y comportamientos universalizados. Este tipo de mtodo rastrea rutinas de alteracin de informacin que no puedan ser controladas por el usuario, modificacin de sectores crticos de las unidades De almacenamiento (master boot record, boot sector, FAT, entre otras), etc. Un ejemplo de este tipo de mtodos es el que utiliza algoritmos heursticos. De hecho, esta naturaleza de procedimientos busca, de manera bastante eficiente, cdigos de instrucciones potencialmente pertenecientes a un virus informtico. Resulta eficaz para la deteccin de virus conocidos y es una de las soluciones utilizadas por los antivirus para la deteccin de nuevos virus. El inconveniente que presenta este tipo de algoritmo radica en que puede llegar a sospecharse de muchisimas cosas que no son virus. Esto hace necesario que el usuario que lo utiliza conozca un poco acerca de la estructura del sistema operativo, a fin de poseer herramientas que le faciliten una discriminacin de cualquier falsa alarma generada por un mtodo heurstico. Algunos de los antivirus de esta clase son: F-Prot, Norton Anti Virus y Dr. Solomon's Toolkit. Ahora bien, otra forma de detectar la presencia de un virus informtico en un sistema consiste en monitorear las actividades de la 5 17/03/2013 17:27

PC sealando si algn proceso intenta modificar los sectores crticos de los dispositivos de almacenamiento o los archivos ejecutables. Los programas que realizan esta tarea se denominan chequeadores de integridad. Sobre la base de estas consideraciones, podemos consignar que un buen sistema antivirus debe estar compuesto por un programa detector de virus, que siempre est residente en memoria y un programa que verifique la integridad de los sectores crticos del disco rgido y sus archivos ejecutables. Existen productos antivirus que cubren los dos aspectos, o bien pueden combinarse productos diferentes configurados de forma que no se produzcan conflictos entre ellos.

2.5 Tipos de Antivirus Un antivirus es una aplicacin o grupo de aplicaciones dedicadas a la prevencin, bsqueda, deteccin y eliminacin de programas malignos en los sistemas informticos, como las computadoras. Inicialmente los antivirus se encargaban de eliminar los diferentes tipos de virus, sin mayores complicaciones en el vocabulario. A medida que fueron crendose ms y ms tipos de virus, cambiando las tcnicas de difusin/ataque/ocultacin, comenzaron a salir antivirus especializados en determinados tipos de virus o en determinados medios de difusin, diversificando el vocabulario. Actualmente la mejor forma de clasificar a todos los cdigos malignos es con el nombre de malware o programas malignos, trmino que incluye virus, espas, troyanos, gusanos, dialers, etc.

Tambin la mejor forma de llamar genricamente a los antivirus, antiespas, antiintrusos, cortafuegos, etc. es: herramientas, aplicaciones o sistemas de seguridad informtica.

Tipos o clases de antivirus 6 17/03/2013 17:27

Por lo tanto, qu tipo de herramientas de seguridad informtica existen?: sencillamente, todas las aplicaciones "anti", como ser: Antivirus Cortafuegos Antiespas Antipop-ups Antispam

2.6 Modelo de Antivirus La estructura de un programa antivirus, est compuesta por dos mdulos principales: el primero denominado de control y el segundo denominado de respuesta. A su vez, cada uno de ellos se divide en varias partes:

Mdulo de control: Posee la tcnica verificacin de integridad que posibilita el registro de cambios en los archivos ejecutables y las zonas crticas de un disco rgido. Se trata, en definitiva, de una herramienta preventiva para mantener y controlar los componentes de informacin de un disco rgido que no son modificados a menos que el usuario lo requiera. Otra opcin dentro de este mdulo es la identificacin de virus, que incluye diversas tcnicas para la deteccin de virus informticos.

Las formas ms comunes de deteccin son el scanning y los algoritmos, como por ejemplo, los heursticos. Asimismo, la identificacin de cdigo daino es otra de las herramientas de deteccin que, en este caso, busca instrucciones peligrosas incluidas en programas, para la integridad de la informacin del disco rgido. Esto implica descompilar (o desensamblar) en forma automtica los archivos almacenados y ubicar sentencias o grupos de instrucciones peligrosas.

Finalmente, el mdulo de control tambin posee una administracin de recursos para efectuar un monitoreo de las rutinas a travs de las cuales se 7 17/03/2013 17:27

accede al hardware de la computadora (acceso a disco, etc.). De esta manera puede limitarse la accin de un programa restringindole el uso de estos recursos, como por ejemplo impedir el acceso a la escritura de zonas crticas del disco o evitar que se ejecuten funciones de formato del mismo.

Mdulo de respuesta: La funcin alarma se encuentra incluida en todos los programas antivirus y consiste en detener la accin del sistema ante la sospecha de la presencia de un virus informtico, e informar la situacin a travs de un aviso en pantalla. Algunos programas antivirus ofrecen, una vez detectado un virus informtico, la posibilidad de erradicarlo. Por consiguiente, la funcin reparar se utiliza como una solucin momentnea para mantener la operatividad del sistema hasta que pueda instrumentarse una solucin adecuada.

Por otra parte, existen dos tcnicas para evitar el contagio de entidades ejecutables: evitar que se contagie todo el programa o prevenir que la infeccin se expanda ms all de un mbito fijo. Aunque la primera opcin es la ms adecuada, plantea grandes problemas de implementacin.
7

La A.V.P.D.

es una asociacin formada por las principales empresas

informticas del sector, entre las que se cuentan: Cheyenne Software B. M. Intel McAfee Associates ON Technology Stiller Research Inc S&S International Symantec Corp. ThunderByte

A.V.P.D.

Desarrolladores de Productos Antivirus

8 17/03/2013 17:27

2.7 Cmo funcionan los Antivirus? El antivirus normalmente escanea cada archivo en la computadora y lo compara con las tablas de virus que guarda en disco. Esto significa que la mayora de los virus son eliminados del sistema despus que atacan a ste. Por esto el antivirus siempre debe estar actualizado, es recomendable que se actualice una vez por semana para que sea capaz de combatir los virus que son creados cada da. Tambin, los antivirus utilizan la tcnica heurstica que permite detectar virus que aun no estn en la base de datos del antivirus. Es sumamente til para las infecciones que todava no han sido actualizadas en las tablas porque trata de localizar los virus de acuerdo a ciertos comportamientos ya preestablecidos. El aspecto ms importante de un antivirus es detectar virus en la computadora y tratar de alguna manera de sacarlo y eliminarlo de nuestro sistema. Los antivirus, no del todo facilitan las cosas, porque ellos al estar todo el tiempo activos y tratando de encontrar un virus, al instante esto hace que consuman memoria de la computadora y tal vez la vuelvan un poco lentas o de menos desempeo. Las funciones presentes en un antivirus son: a) Deteccin: se debe poder afirmar la presencia y/o accionar de un VI en una computadora. Adicionalmente puede brindar mdulos de

identificacin, erradicacin del virus o eliminacin de la entidad infectada. b) Identificacin de un virus: existen diversas tcnicas para realizar esta accin: Scanning : tcnica que consiste en revisar el cdigo de los archivos (fundamentalmente archivos ejecutables y de documentos) en busca de pequeas porciones de cdigo que puedan pertenecer a un virus 9 17/03/2013 17:27

(sus huellas digitales). Estas porciones estn almacenadas en una base de datos del antivirus. Su principal ventaja reside en la rpida y exacta que resulta la identificacin del virus. En los primeros tiempos (cuando los virus no eran tantos ni su dispersin era tan rpida), esta tcnica fue eficaz, luego se comenzaron a notar sus deficiencias. El primer punto desfavorable es que brinda una solucin a posteriori y es necesario que el virus alcance un grado de dispersin considerable para que llegue a mano de los investigadores y estos lo incorporen a su base de datos (este proceso puede demorar desde uno a tres meses). Este modelo reactivo jams constituir una solucin definitiva. Heurstica : bsqueda de acciones potencialmente dainas

perteneciente a un virus informtico. Esta tcnica no identifica de manera certera el virus, sino que rastrea rutinas de alteracin de informacin y zonas generalmente no controlada por el usuario (MBR, Boot Sector, FAT, y otras). Su principal ventaja reside en que es capaz de detectar virus que no han sido agregados a las base de datos de los antivirus (tcnica proactiva). Su desventaja radica en que puede "sospechar" de demasiadas cosas y el usuario debe ser medianamente capaz de identificar falsas alarmas. c) Chequeadores de Integridad :

Consiste en monitorear las actividades de la PC sealando si algn proceso intenta modificar sectores crticos de la misma. Su ventaja reside en la prevencin aunque muchas veces pueden ser vulnerados por los virus y ser desactivados por ellos, haciendo que el usuario se crea protegido, no siendo as. Es importante diferencia los trminos detectar: determinacin de la presencia de un virus e identificar: determinacin de qu virus fue el 10 17/03/2013 17:27

detectado. Lo importante es la deteccin del virus y luego, si es posible, su identificacin y erradicacin. 2.8 Tcnicas de deteccin de Virus Informticos? Teniendo en cuenta los puntos dbiles de la tcnica de scanning surgi la necesidad de incorporar otros mtodos que complementaran al primero. Como ya se mencion la deteccin consiste en reconocer el accionar de un virus por los conocimientos sobre el comportamiento que se tiene sobre ellos, sin importar demasiado su identificacin exacta. Este otro mtodo buscar cdigo que intente modificar la informacin de reas sensibles del sistema sobre las cuales el usuario convencional no tiene control y a veces ni siquiera tiene conocimiento-, como el master boot record, el boot sector, la FAT, entre las ms conocidas.Otra forma de deteccin que podemos mencionar adopta, ms bien, una posicin de vigilancia constante y pasiva. Esta, monitorea cada una de las actividades que se realizan intentando determinar cundo una de stas intenta modificar sectores crticos de las unidades de almacenamiento, entre otros. A esta tcnica se la conoce como chequear la integridad. ANLISIS HEURSTICO La tcnica de deteccin ms comn es la de anlisis heurstico. Consiste en buscar en el cdigo de cada uno de los archivos cualquier instruccin que sea potencialmente daina, accin tpica de los virus informticos. Es una solucin interesante tanto para virus conocidos como para los que no los son. El inconveniente es que muchas veces se nos presentarn falsas alarmas, cosas que el scanner heurstico considera peligrosas y que en realidad no lo son tanto. Por ejemplo: tal vez el programa revise el cdigo del comando DEL (usado para borrar archivos) de MS-DOS y determine que puede ser un virus, cosa que en la realidad resulta bastante improbable. Este tipo de cosas hace que el usuario deba tener algunos 11 17/03/2013 17:27

conocimientos precisos sobre su sistema, con el fin de poder distinguir entre una falsa alarma y una deteccin real. ELIMINACIN La eliminacin de un virus implica extraer el cdigo del archivo infectado y reparar de la mejor manera el dao causado en este. A pesar de que los programas antivirus pueden detectar miles de virus, no siempre pueden erradicar la misma cantidad, por lo general pueden quitar los virus conocidos y ms difundidos de los cuales pudo realizarse un anlisis profundo de su cdigo y de su comportamiento. Resulta lgico entonces que muchos antivirus tengan problemas en la deteccin y erradicacin de virus de comportamiento complejo, como el caso de los polimorfos, que utilizan mtodos de encriptacin para mantenerse indetectables. En muchos casos el procedimiento de eliminacin puede resultar peligroso para la integridad de los archivos infectados, ya que si el virus no est debidamente identificado las tcnicas de erradicacin no sern las adecuadas para el tipo de virus. Hoy da los antivirus ms populares estn muy avanzados pero cabe la posibilidad de que este tipo de errores se de en programas ms viejos. Para muchos el procedimiento correcto sera eliminar completamente el archivo y restaurarlo de la copia de respaldo. Si en vez de archivos la infeccin se realiz en algn sector crtico de la unidad de disco rgido la solucin es simple, aunque no menos riesgosa. Hay muchas personas que

recomiendan reparticionar la unidad y reformatearla para asegurarse de la desaparicin total del virus, cosa que resultara poco operativa y fatal para la informacin del sistema. Como alternativa a esto existe para el sistema operativo MS-DOS / Windows una opcin no documentada del comando FDISK que resuelve todo en cuestin de segundos. El parmetro /MBR se encarga de restaurar el registro maestro de booteo (lugar donde suelen situarse los virus) impidiendo as que este vuelva a cargarse en el inicio del 12 17/03/2013 17:27

sistema. Vale aclarar que cualquier dato que haya en ese sector ser sobrescrito y puede afectar mucho a sistemas que tengan la opcin de bootear con diferentes sistemas operativos. Muchos de estos programas que permiten hacer la eleccin del sistema operativo se sitan en esta rea y por consiguiente su cdigo ser eliminado cuando se usa el parmetro mencionado. Para el caso de la eliminacin de un virus es muy importante que el antivirus cuente con soporte tcnico local, que sus definiciones sean actualizadas peridicamente y que el servicio tcnico sea apto para poder responder a cualquier contingencia que nos surja en el camino. 2.9 Mtodos de seguridad para evitar contagios Preparacin y prevencin Los usuarios pueden prepararse frente a una infeccin viral creando regularmente copias de seguridad del software original legtimo y de los ficheros de datos, para poder recuperar el sistema informtico en caso necesario. Puede copiarse en un disco flexible el software del sistema operativo y proteger el disco contra escritura, para que ningn virus pueda sobrescribir el disco. Las infecciones virales se pueden prevenir obteniendo los programas de fuentes legtimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible. Copias de seguridad

Realice copias de seguridad de sus datos. stas pueden realizarlas en el soporte que desee, disquetes, unidades de cinta, etc. Mantenga esas copias en un lugar diferente del ordenador y protegido de campos magnticos, calor, polvo y personas no autorizadas. 13 17/03/2013 17:27

Copias de programas originales

No instale los programas desde los disquetes originales. Haga copia de los discos y utilcelos para realizar las instalaciones. No acepte copias de origen dudoso Evite utilizar copias de origen dudoso, la mayora de las infecciones provocadas por virus se deben a discos de origen desconocido. Utilice contraseas Ponga una clave de acceso a su computadora para que slo usted pueda acceder a ella.

Antivirus

Tenga siempre instalado un antivirus en su computadora, como medida general analice todos los discos que desee instalar. Si detecta algn virus elimine la instalacin lo antes posible. Actualice peridicamente su antivirus Un antivirus que no est actualizado puede ser completamente intil. Todos los antivirus existentes en el mercado permanecen residentes en la computadora para controlar todas las operaciones de ejecucin y transferencia de ficheros analizando cada fichero para determinar si tiene virus, mientras el usuario realiza otras tareas.

14 17/03/2013 17:27

2.10 Lista de Antivirus ms populares 2.10.1 Antivirus de escritorio NOMBRE DESCRIPCION Plataformas

Grisoft ofrece AVG Antivirus Windows Free edicin un antivirus 98/2000/NT/XP/Vista.

completo para PC de escritorio, con las funciones habituales de proteccin exploracin electrnico y de residente, correo

actualizacin

peridica de los patrones de virus. Es gratuito slo para usuarios domsticos. La empresa ofrece alemana Avira Avira Windows Antivir 98/2000/NT/XP/Vista.

GmbH

Personal Edition, un antivirus de escritorio gratuito para fines personales. Incluye escudo

residente, deteccin de virus de macro y asistente Disponible en de en

actualizacin. Ingls y

Alemn.

15 17/03/2013 17:27

Clam AntiVirus es un escner Linux,

Solaris,

anti-virus escrito desde cero. FreeBSD, OpenBSD, Se distribuye con licencia GNU NetBSD, AIX, Mac GPL2 (gratuito, cdigo abierto). OS X, y en Windows Est escrito en C y cumple con (98/2000/NT/XP) con la norma POSIX. Funciona en Cygwin B20 mltiples Intel, arquitecturas Sparc, como Cobalt

Alpha,

MIPS boxes, PowerPC, RISC 6000. En Linux se puede correr como un demonio, proteccin

proporcionando permante. Instalacin algo

compleja.

BitDefender Free Edition v8, Windows antivirus para ordenadores con 98/2000/NT/XP. S.O. Windows con todas las funciones habituales excepto el servicio de proteccin

residente. Esto implica que el usuario debe explorar

manualmente cualquier archivo sospechoso (basta con hacer clic derecho con el ratn sobre el archivo y seleccionar la opcin de exploracin con el antivirus).

16 17/03/2013 17:27

Alwil Software ofrece la versin Windows domstica de su antivirus, 98/2000/NT/XP/Vista

Avast Home, gratuito para uso domstico sin nimo de lucro. Est disponible en espaol, aunque en la versin analizada aqu, la ayuda en lnea estaba en ingls. Dispone residente, y de su

proteccin

caracterstica ms relevante es que el filtrado es de correo

electrnico

independiente

del cliente de correo, ya que implementa un servidor de

correo SMTP, donde realiza la exploracin Simplemente el hay correo. que

configurar cliente de correo para que use como servidor de correo entrante y saliente el del antivirus. dispone Como de un curiosidad, interfaz

personalizable mediante pieles (skins).

2.10.2 Antivirus en lnea

17 17/03/2013 17:27

Estos antivirus no se instalan en el PC como un programa convencional, sino que se accede mediante un navegador web. El tiempo de escaneo vara en funcin de la velocidad de su conexin, la carga momentnea de los servidores o el volumen de datos que usted quiera rastrear. La mayora de estos servicios descargan un subprograma (ActiveX o Java), por lo que la primera vez que se accede tardan unos minutos en arrancar. Descarga un control ActiveX y realiza el escaneo, desinfeccin y eliminacin de virus, gusanos y troyanos por todas las unidades del sistema,

incluyendo los ficheros comprimidos y el correo electrnico y realiza la deteccin actualizado de software espa. Es

diariamente.

Utiliza un applet de Java, lo que permite que sea soportado por todos los navegadores. Presenta una

estructura de rbol de directorios con las unidades del sistema, para

escoger aquellas de las que se desea realizar el escaneo de virus. La pgina de descarga de Internet est en ingls, pero el producto est en castellano y tiene incorporada una herramienta de chequeo de puertos.

18 17/03/2013 17:27

Tras aceptar la descarga de un control ActiveX, comienza el escaneo de la parte del sistema elegida: unidad de disco duro, directorio "Mis documentos" o ficheros de Windows. Al finalizar el proceso, se muestra un listado con los ficheros infectados y el virus que los afecta.

Tras la descarga de un subprograma ActiveX, se puede seleccionar las opciones de configuracin del anlisis del sistema, permite escanear la memoria de su sistema, todos los archivos, carpetas, discos y sectores de arranque, ofrecindole no slo la opcin de detectar infecciones, sino tambin de desinfectar o, incluso, eliminar los archivos infectados.

19 17/03/2013 17:27

Tras la instalacin de unos ficheros, nos ofrece la posibilidad de realizar tres chequeos diferentes del sistema. Escaneo total de la mquina, escaneo rpido (solamente examina los

ficheros que son objetivo frecuente de virus: sector de arranque, directorio raz,...) o escaneo de los directorios y ficheros que se le sean especificados.

Descarga un subprograma ActiveX y realiza el escaneo de todas las unidades del sistema sin dar opcin a elegir un subconjunto. La bsqueda no se realiza en ficheros comprimidos.

Descarga un subprograma ActiveX y realiza el escaneo de todo el equipo sin ofrecer la posibilidad de

seleccionar un subconjunto o unos ficheros concretos. Permite eliminar los archivos que haya detectado como maliciosos.

Firewall 20

17/03/2013 17:27

3.1 Historia de los firewall El concepto de firewall proviene de la mecnica automotriz, donde se lo considera una lmina protectora / separadora entre el habitculo de un vehculo y las partes combustibles del motor, que protege a sus pasajeros en caso de incendio. Anlogamente, un firewall, en un sentido ms informtico, es un sistema capaz de separar el habitculo de nuestra red, o sea, el rea interna de la misma, del posible incendio de crackers que se producira en ese gran motor que es internet. La cronologa de la proteccin se desarrollo de la siguiente manera: Fines de los 80: routers que separan redes Principios de los 90: ACLs Bastion Hosts 13 de Junio de 1991: primer venta 1993: FWTK Stateful Inspection 1994: Interfaces amigables

3.2 Definicin de los Firewall Un firewall es software o hardware que comprueba la informacin procedente de Internet o de una red y, a continuacin, bloquea o permite el paso de sta al equipo, en funcin de la configuracin del firewall.

Un firewall es un dispositivo (software o hardware), es decir, un aparatito que se conecta entre la red y el cable de la conexin a Internet, o bien un programa que se instala en la mquina que tiene el MODEM que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con software; especficos que lo nico que hacen es monitorizar las comunicaciones entre redes.

21 17/03/2013 17:27

Un firewall puede ayudar a impedir que piratas informticos o software malintencionado (como gusanos) obtengan acceso al equipo a travs de una red o Internet. Un firewall tambin puede ayudar a impedir que el equipo enve software malintencionado a otros equipos. Un sistema de firewall tambin llamado: Corta Fuego filtra paquetes de datos que se intercambian a travs de Internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes interfaces de red:

Una interfaz para la red protegida (red interna) Una interfaz para la red externa.

Dependiendo del firewall que tengamos tambin podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.

Un sistema de firewall puede instalarse en ordenadores que utilicen cualquier sistema siempre y cuando: La mquina tenga capacidad suficiente como para procesar el trfico El sistema sea seguro No se ejecute ningn otro servicio ms que el servicio de filtrado de

paquetes en el servidor 22 17/03/2013 17:27

3.3 Tipos de Firewall Filtrado de Paquetes Proxy-Gateways de Aplicaciones Dual-Homed Host Screened Host Screened Subnet Inspeccin de Paquetes Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, as como tambin su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas. Firewalls Personales Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infeccin de virus hasta la prdida de toda su informacin almacenada.

3.4 Funciones de los Firewall Un firewall sirve para impedir el acceso no autorizado a Internet (u otra red) por parte de programas malignos que estn instalados en nuestro equipo, o de programas o intrusos que intentan atacar nuestra computadora desde el exterior.

23 17/03/2013 17:27

En esta parte es cuando los usuarios de PC hogareas dicen, " Pero a m, qu me pueden sacar?", "yo no tengo nada importante en mi equipo", y aqu es cuando se comete el primer error, ya que no siempre los curiosos estn buscando obtener informacin de otros equipos, sino simplemente experimentar, o en algunos casos, causar daos por el simple hecho de que conocen como hacerlo. Los firewalls deben primero que nada crear una base de datos sobre los programas que necesitarn el acceso a Internet en nuestra computadora. Estos seran los programas seguros o permitidos. Por eso es importante que el equipo se encuentre libre de todo tipo de virus, Spyware u otros malwares. La mejor forma de garantizar esto ltimo, es que el equipo est recin formateado. Si bien no todos estn dispuestos a realizar este trabajo (por resultar un poco tedioso), resulta muy til para poder generar una base de datos limpia para nuestro firewall. Una vez formateado nuestro equipo, comenzaremos a instalar todos los programas que necesitemos, el antivirus que nosotros creamos ms conveniente y por ltimo el firewall. Si instalamos un firewall cuando ya existen programas malignos en el sistema, hay que tener en cuenta que estos podran alterar el firewall (e incluso no permitir instalarlo), para evitar as ser detectados. Es por esto que siempre es conveniente tener un antivirus y un firewall luego de una instalacin limpia (de cero) de Windows. En general, a medida que los distintos programas comiencen a querer "conectarse" a Internet, el firewall nos ir alertando, y as empezaremos a crear los distintos permisos para cada uno de estos. Si es un programa sospechoso, no debera permitirle conectarse.

As que slo nos bastar con aceptar o cancelar, para que el firewall interprete que queremos qu suceda con el programa. Muchas veces este proceso se hace de forma automtica (depende del firewall), de todas maneras, siempre podremos acceder de forma "manual" a la base de datos y seleccionar qu programas permitir. 24 17/03/2013 17:27

3.4.1 Los ataques externos Los firewalls tambin nos informan sobre los "ataques" que recibimos desde afuera. Estos programas suelen monitorear tambin la entrada de datos desde Internet (u otra red), pudiendo detectar posibles intentos de ingresos no autorizados o ataques externos. Tambin suelen crear registros o "logs", guardando toda la informacin importante sobre los ataques y su procedencia (la direccin IP por ejemplo).

Claro, ahora uno se pregunta, "Y de qu me sirve a m tener el nmero IP?" Con una direccin IP, en general, podremos saber quin es el equipo atacante y su ubicacin. Si los daos que generan esos ataques te perjudican de alguna manera, podras iniciar acciones legales. En todos los pases hay leyes que sancionan la violacin de la privacidad, el robo de informacin personal, etc. Dependiendo del firewall que estemos utilizando, tambin podremos aprobar algunos accesos a la red local desde Internet, si el usuario se ha validado como usuario de la red local. ESQUEMA DEL FUNCIONAMIENTO DE UN FIREWALL POR HARDWARE Y POR SOFTWARE

25 17/03/2013 17:27

Un sistema firewall contiene un conjunto de reglas predeterminadas que le permiten al sistema:

Autorizar la conexin (permitir) Bloquear la conexin (denegar) Rechazar el pedido de conexin sin informar al que lo envi (negar)

Todas estas reglas implementan un mtodo de filtrado que depende de la poltica de seguridad adoptada por la organizacin. Las polticas de seguridad se dividen generalmente en dos tipos que permiten: La autorizacin de slo aquellas comunicaciones que se autorizaron explcitamente: "Todo lo que no se ha autorizado explcitamente est prohibido" El rechazo de intercambios que fueron prohibidos explcitamente El primer mtodo es sin duda el ms seguro. Sin embargo, impone una definicin precisa y restrictiva de las necesidades de comunicacin. En caso de que el sistema de firewall venga en una caja negra (llave en mano), se aplica el trmino "aparato".

En la siguiente ilustracin se muestra el funcionamiento de un firewall:

26 17/03/2013 17:27

3.5 Polticas de diseo de los Firewall Tan discutidamente escuchada, un firewall de Internet no esta solo - es parte de la poltica de seguridad total en una organizacin -, la cual define todos los aspectos en competentes al permetro de defensa. Para que esta sea exitosa, la organizacin debe de conocer que es lo se esta protegiendo. La poltica de seguridad se basara en una conduccin cuidadosa analizando la seguridad, la asesora en caso riesgo, y la situacin del negocio.

Si no se posee con la informacin detallada de la poltica a seguir, aun que sea un firewall cuidadosamente desarrollado y armado, estar exponiendo la red privada a un posible atentado. La Poltica De Seguridad Crea Un Permetro De Defensa Esto es importante, ya que se debe de notar que un firewall de Internet no es justamente un ruteador, un servidor de defensa, o una combinacin de elementos que proveen seguridad para la red.

El firewall es parte de una poltica de seguridad completa que crea un permetro de defensa diseada para proteger las fuentes de informacin. Esta poltica de seguridad podr incluir publicaciones con las guas de ayuda donde se informe a los usuarios de sus responsabilidades, normas de acceso a la red, poltica de servicios en la red, poltica de autenticidad en acceso remoto o local a usuarios propios de la red, normas de dial-in y dial27 17/03/2013 17:27

out, reglas de encriptacin de datos y discos, normas de proteccin de virus, y entrenamiento. Todos los puntos potenciales de ataque en la red podrn ser protegidos con el mismo nivel de seguridad. Un firewall de Internet sin una poltica de seguridad comprensiva es como poner una puerta de acero en una tienda. Bases para el diseo decisivo del firewall Cuando se disea un firewall de Internet, se tiene que tomar algunas decisiones que pueden ser asignadas por el administrador de red: Posturas sobre la poltica del Firewall. La poltica interna propia de la organizacin para la seguridad total. El costo financiero del Proyecto "Firewall". Los componentes o la construccin de secciones del Firewall.

3.6 Polticas internas de Seguridad Las posturas del sistema firewall describen la filosofa fundamental de la seguridad en la organizacin. Estas son dos posturas diametralmente opuestas que la poltica de un firewall de Internet puede tomar:

a) "No todo lo especficamente permitido esta prohibido" llamada: Poltica restrictiva, es decir, Se deniega todo el trfico excepto el que est explcitamente permitido. El cortafuegos obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten.

b) "Ni todo lo especficamente prohibido esta permitido" llamada: Poltica permisiva: ya que se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso

necesitar ser aislado bsicamente caso por caso, mientras que el resto del trfico no ser filtrado. La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trfico potencialmente peligroso, mientras que en la poltica permisiva es 28 17/03/2013 17:27

posible que no se haya contemplado algn caso de trfico peligroso y sea permitido por defecto.

La primera postura asume que un firewall puede obstruir todo el trafico y cada uno de los servicios o aplicaciones deseadas necesariamente para ser implementadas bsicamente caso por caso.

Esta propuesta es recomendada nicamente a un limitado numero de servicios soportados cuidadosamente seleccionados en un servidor. La desventaja es que el punto de vista de "seguridad" es ms importante que - facilitar el uso - de los servicios y estas limitantes numeran las opciones disponibles para los usuarios de la comunidad. Esta propuesta se basa en una filosofa conservadora donde se desconocen las causas acerca de los que tienen la habilidad para conocerlas.

La segunda postura asume que el firewall puede desplazar todo el trfico y que cada servicio potencialmente peligroso necesitara ser aislado bsicamente caso por caso. Esta propuesta crea ambientes ms flexibles al disponer ms servicios para los usuarios de la comunidad. La desventaja de esta postura se basa en la importancia de "facilitar el uso" que la propia - seguridad - del sistema. Tambin adems, el administrador de la red esta en su lugar de incrementar la seguridad en el sistema conforme crece la red. Desigual a la primer propuesta, esta postura esta basada en la generalidad de conocer las causas acerca de los que no tienen la habilidad para conocerlas

3.7 Firewalls Personales El trmino firewall personal se utiliza para los casos en que el rea protegida se limita al ordenador en el que el firewall est instalado. Un firewall personal permite controlar el acceso a la red de aplicaciones instaladas en el ordenador y prevenir notablemente los ataques de 29 17/03/2013 17:27

programas como los troyanos, es decir, programas dainos que penetran en el sistema para permitir que un hacker controle el ordenador en forma remota. Los firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas a conectarse a su ordenador. Existen tres tipos de firewalls:
a)

Firewalls de software: Tienen un costo pequeo y son una buena eleccin cuando slo se utiliza una PC. Su instalacin y actualizacin es sencilla, pues se trata de una aplicacin de seguridad, como lo sera un antivirus; de hecho, muchos antivirus e incluso el propio Windows poseen firewalls para utilizar.

b)

Enrutadores de hardware: Su principal funcin es la de disfrazar la direccin y puertos de la PC a los intrusos. Suelen tener cuatro puertos de red para conexin mediante cableado.

c)

Firewalls de hardware: Son ms caros y complejos de manejar en el mantenimiento y actualizacin. Los firewalls de hardware son ms indicados en empresas y grandes corporaciones que tienen mltiples computadoras conectadas. Tambin suelen utilizarse en aquellas empresas que prestan servicios de hosting y necesitan seguridad en los servidores. 3.8 Beneficios de los firewalls Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se exponen al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red privada depende de la "Dureza" con que cada uno de los servidores cuenta y es nicamente seguro tanto como la seguridad en la fragilidad posible del sistema. El firewall permite al administrador de la red definir un "choke point" (envudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crakers, vndalos, y espas) fuera de la red, prohibiendo 30

17/03/2013 17:27

potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la proteccin para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administracin, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada.

El firewall ofrece un punto donde la seguridad puede ser monitoreada y si aparece alguna actividad sospechosa, este generara una alarma ante la posibilidad de que ocurra un ataque, o suceda algn problema en el transito de los datos. Esto se podr notar al acceder la organizacin al Internet, la pregunta general es "si" pero "cuando" ocurrir el ataque. Esto es extremadamente importante para que el administrador audite y lleve una bitcora del trfico significativo a travs del firewall. Tambin, si el administrador de la red toma el tiempo para responder una alarma y examina regularmente los registros de base. Esto es innecesario para el firewall, desde que el administrador de red desconoce si ha sido exitosamente atacado! Adems concentra la seguridad Centraliza los accesos, genera alarmas de seguridad Traduce direcciones (NAT), monitorea y registra el uso de Servicios de WWW y FTP.

31 17/03/2013 17:27

3.9 Limitaciones de un Firewalls Un firewall no puede protegerse contra aquellos ataques que se efecten fuera de su punto de operacin.

Por ejemplo, si existe una conexin dial-out sin restricciones que permita entrar a nuestra red protegida, el usuario puede hacer una conexin SLIP o PPP al Internet. Los usuarios con sentido comn suelen "irritarse" cuando se requiere una autenticacin adicional requerida por un Firewall Proxy Server (FPS) lo cual se puede ser provocado por un sistema de seguridad circunvecino que esta incluido en una conexin directa SLIP o PPP del ISP.

Este tipo de conexiones derivan la seguridad provista por firewall construido cuidadosamente, creando una puerta de ataque. Los usuarios pueden estar consientes de que este tipo de conexiones no son permitidas como parte de integral de la arquitectura de la seguridad en la organizacin. Ineficiente: El firewall se convierte en un cuello de botella de toda la estructura y debe poseer por lo tanto una eficiencia en la manipulacin de los streams de paquetes que sea igual o superior a la del enrutador que maneja tal enlace. Normalmente la experiencia y conocimiento de los fabricantes de firewalls no se acerca siquiera a la tradicin y conocimiento de los fabricantes tradicionales de enrutadores, por ello rara vez pueden cumplir el requisito anterior y lo que se consigue en la prctica es un cuello de botella, as como enrutadores sub utilizados debido a la situacin anterior. Este factor tambin nos conduce a que los costos para maquina de firewall que cumplan tales requisitos sean bastante altos ya que su volumen de produccin (numero de unidades vendidas) no se acerque a la produccin tpica de los enrutadores correspondientes para ese nivel de procesamiento de paquetes por segundo. 32 17/03/2013 17:27

No tan seguro: Los firewall son tpicamente implementados en un sistema UNIX lo que los hace bastante vulnerables para los ataques de seguridad, ya que de tal sistema existe mayor conocimiento del pblico en general, y son bastante publicadas las posibles brechas de seguridad en ese sistema operativo, por ello es el blanco tpico de ataque para los programas especializados de scanning de los hackers (estudian "pacientemente" mltiples opciones del sistema, hasta encontrar un punto de acceso o modificacin).estos programas son en un 99% desarrollados para sistemas UNIX. Si mi seguridad esta sustentada en una maquina cuyo ncleo est apoyada en el sistema UNIX (el cual es precisamente el ms conocido por los enemigos de mi seguridad), entonces mi sistema no es realmente tan seguro. Muchas veces no son transparentes a la operacin del usuario: Debido a su diseo, algunos de estos modelos no son tan transparentes a la operacin del sistema, complican la administracin del sistema de comunicacin (usualmente tienen interfaces de manejo propietarias). Algunos modelos basados en "proxies" pueden ser muy seguros, pero algunos de ellos requieren versiones modificadas de los aplicativos, llevando los a ser poco deseables para montajes masivos. Son inapropiados para montajes mixtos: Por su misma concepcin el montaje solicitado por las compaas cuenta con dos niveles de VPNs (la intranet corporativa y luego las intranet de cada empresa), los cuales deben ser interrrelacionados de manera armoniosa para flujo de informacin y control de acceso. Este tipo de montaje seria bastante costoso, dificil de implementar y de administrar con dos niveles de firewalls.

33 17/03/2013 17:27

3.10 Ejemplos de Firewalls ZoneAlarm: Permite bloquear trfico no deseado y restringuir el acceso no deseado de aplicaciones a Internet. Diferencia entre zona local y zona Internet a la hora de establecer restricciones de accesos. Por defecto, bloquea el acceso externo a todos los servicios del sistema (y a todos los puertos, por lo tanto) permitiendo solamente el acceso a aquellos explcitamente indicados. Outpost Firewall Free: Proporciona proteccin bsica frente para navegar por Internet. Soporta plug-ins de modo que su funcionalidad puede ampliarse. Ofrece muchas posibilidades con sus plug-ins, pero se echa en falta el que se puedan crear reglas sobre direcciones IP exclusivamente, para definir mquinas de confianza. 4 Adware 4.1 Definicin de los Adware Adware es una palabra inglesa que nace de la contraccin de las palabras Advertising Software, es decir, programas que muestran anuncios. Se denomina adware al software que muestra publicidad, empleando cualquier tipo de medio: ventanas emergentes, banners, cambios en la pgina de inicio o de bsqueda del navegador, etc. La publicidad est asociada a productos y/o servicios ofrecidos por los propios creadores o por terceros. El adware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es as. Lo mismo ocurre con el conocimiento o falta del mismo acerca de sus funciones.

34 17/03/2013 17:27

Es todo aquel software que incluye publicidad, como banners, mientras se est ejecutando. Normalmente se confunde este trmino con el de Spyware; la diferencia es que el Adware no recolecta informacin del equipo donde est instalado, sino que se limita a mostrar publicidad mientras que el usuario est utilizando una aplicacin.

Como siempre, y en todos los casos, hay que tener cuidado de toda la informacin y archivos que bajemos a la computadora, de los links a los que ingresemos y por supuesto, mantener la actualizacin constante de los antivirus y las herramientas que tengamos para prevenir estas irrupciones maliciosas. Adware es un pariente cercano de software espa. Adware es un software que est instalado en su ordenador para mostrar publicidad. 4.2 Tipos de Adware Existen muchos y diversos tipos de Adware, claro, con el mismo objetivo. aqu pondr diferentes tipos de Adware y sus desusos a) De esos que vienen con los programas P2P >>>> LimeWire, Shareaza, etc... los cuales no son tan usados sin embargo los Hack si. b) Los de las ventanas Emergentes (Pop-up) Estos son loa mas comunes puesto que son los que salen con anuncios de buscar pareja o cosas similares. Los que se pueden catalogar en el grupo de los Adware, son aquellos que generan un torrente de publicidad no deseada, en forma de banners, popUPS, y todo tipo de ventana emergente. Tambin existen los que se conocen como Scumware, que son los que agregan enlaces a pginas web comerciales, por las que el verdadero autor de la pgina no cobra nada, literalmente asaltando a quienes de buena fe

35 17/03/2013 17:27

creen estar inscribindose en dichos sitios. Scum en ingls significa canalla, o gente de muy baja calaa.

Y finalmente los llamados Spyware, son aquellos que controlan todo lo que el usuario hace en lnea, los sitios que visita, los enlaces que prefiere, etc., y transmite esa informacin a compaas especializadas en marketing u otros interesados en esta informacin para beneficio personal. Podra decirse que es una especie de "estudio de mercado" para saber que prefiere el usuario y ofrecerle la mejor opcin, solo que lo hace sin que el usuario sepa que est siendo vigilado.

Muchos de estos spywares, estn construidos explotando conocidos agujeros en los programas, lo que implica un grave problema para el usuario, que muchas veces sufre una notoria degradacin en el rendimiento de su computadora o de su navegacin por Internet, e inclusive bloqueos y cuelgues inesperados, sin sospechar la verdadera causa, pero

provocndole grandes molestias y muchas veces prdidas econmicas, por culpa, por ejemplo, de una navegacin ms lenta. 4.3 Funciones de los Adware La funcin de ellos es robar informacin y tener acceso por ejemplo a cuentas de correo electrnico y el password, direccin IP y DNS, telfono, pas, paginas que visitas y de que temas te interesan, que tiempos estas en ellas y con que frecuencia regresas, que software tienes y cuales descargas, que compras haces por Internet y datos mas importantes como tu tarjeta de crdito y cuentas de banco.

4.4 Cmo llegan a nuestras Computadoras los Adware? Estando ocultos en un programa gratuitos (Freeware) los cuales al aceptar sus condiciones de uso (casi siempre en ingles y que no solemos leer) estamos aceptando que cumplan sus funciones de mostrarnos su publicidad. 36 17/03/2013 17:27

4.5 Cmo evitar los Adware? Una de las razones por las que les denomina parsitos, es porque viven del trabajo de otros. Pero la otra razn, es porque llegan a nuestra computadora como "parsitos" a su vez de otro software, a menudo instalado intencionalmente, ya que puede ser un programa que realmente se piensa pueda ser til.

Los "parsitos", son aplicaciones comerciales que se instalan en nuestra computadora, sin nuestro consentimiento, y sin ser solicitadas. Este tipo de cdigo, es muchas veces catalogado dentro de lo que se conoce como Spyware (software que recoge informacin de nuestros hbitos de navegacin, por ejemplo), o Adware (agrega publicidad a los programas, generalmente como forma de pago por el uso del software).

Los parsitos trabajan a travs de nuestro navegador, asaltndonos con publicidad no pedida, espiando nuestros hbitos de navegacin, y comprometiendo la seguridad y estabilidad de nuestro sistema. Muchas veces, tambin modifica el contenido y los enlaces al visitar otras pginas web.

Para quien posea una pgina web comercial de cualquier tipo, esto tambin implica una prdida importante en sus legtimas ganancias, que generalmente son a travs de banners publicitarios. Existen parsitos que una vez instalados en el equipo del usuario, capturan todos los enlaces a estos banners, o a mquinas de bsqueda, para redirigirlos a otros sitios controlados por quienes enviaron el parsito.

Muy pocos de estos parsitos proporcionan algn "beneficio" al propio usuario, porque adems la mayora de los usuarios ignoran que tienen instalado ese software en su sistema. 37 17/03/2013 17:27

Deteccin de los Adware Los Adwares se dedican a mostrarnos publicidades en los programas que estos vienen incluidos por medios de banners en estos, pero ya los mas peligrosos nos van a abrir ventanitas pop-ups por todas partes, van a agregar direcciones en los favoritos del IE y van a instalarnos barras de herramientas con el nico objetivo de que naveguemos siempre dentro de sus redes de publicidad.

4.6 Lista de los Adware ms comunes Algunas aplicaciones adware ClipGenie

populares son: TopMoxie 180 Solutions Comet Cursor

180SearchAssistant

Cydoor

Zango

Daemon

Bonzi Buddy

Tools

ErrorSafe

Gator Hotbar

PornDigger!

Smiley Central

WeatherBug

WhenU

WinFixer

KaZaa

Muchas de estas consideradas tambin espas como Gator Hotbar. 38 17/03/2013 17:27

El adware puede ser instalado con el consentimiento del usuario y su plena conciencia, pero en ocasiones no es as. Lo mismo ocurre con el conocimiento o falta del mismo acerca de sus funciones.

Spyware 5.1 Definicin de los Spyware Spyware es software de ordenador que se instala subrepticiamente en un ordenador personal para interceptar o tomar control parcial sobre la interaccin del usuario con el ordenador, sin el consentimiento informado del usuario. Si bien el trmino software espa sugiere que secretamente controla el comportamiento del usuario, las funciones de ampliar los programas espa y ms all de la simple supervisin. Programas de software espa puede recoger diversos tipos de informacin personal, tales como hbitos de navegacin de Internet, los sitios que se han visitado, sino que tambin pueden interferir con el control de usuario de la computadora de otras maneras, tales como la instalacin de software adicional, la reorientacin de la actividad del navegador Web, el acceso a sitios web a ciegas que har que los virus ms dainos, o el desvo de los ingresos por publicidad a un tercero. El software espa puede incluso cambiar la configuracin del equipo, lo que resulta en velocidades de conexin lenta, diferentes pginas, y la prdida de Internet u otros programas. En un intento de aumentar la comprensin de los programas espa, ms una clasificacin formal de sus tipos de software incluido es capturado en el trmino de privacidad software invasivo. En respuesta a la aparicin de spyware, una pequea industria ha surgido ocupan en la lucha contra el software espa. Atletismo antisoftware espa se ha convertido en un elemento ampliamente reconocido de las mejores prcticas de seguridad de Microsoft Windows para computadoras de escritorio. Una serie de jurisdicciones han pasado antispyware leyes, que suelen ser objetivo de cualquier software que se instala subrepticiamente para controlar la computadora de un usuario. 39

17/03/2013 17:27

Los EE.UU. Comisin Federal de Comercio ha puesto en Internet una pgina de asesoramiento a los consumidores acerca de cmo reducir el riesgo de infeccin de spyware, incluida una lista de "dos" y "no hacer".

5.2 Caractersticas de los Spyware Los Spyware pueden recolectar varios tipos de informacin personal, pero tambin pueden interferir con el control que tiene el usuario sobre su computadora, como lo es la instalacin de programas adicionales, redireccionando las pginas Web del navegador de Internet e ingresando a pginas secretamente, que descargaran Virus ms dainos, o mostrando ventanas emergentes con Anuncios engaosos. Tambin pueden cambiar la configuracin de su computadora, resultando en conexiones a Internet ms lentas.

5.3 Cmo se propagan los Spyware? Cuando se accesa a una pgina Web y esta ejecuta comandos mediante un control ActiveX. Se aade a la instalacin de un programa al ejecutarse. Cuando se descargan e instalan por otros programas maliciosos. Se propaga por boletines, Blogs y programas P2P.

5.4 Vulnerabilidades que ocasiona el Spyware Est claro que algunas clases de spyware representan algo ms que una molestia. Sin embargo, eso no significa que sus parientes ms benignos no representen tambin un problema grave. Los programas que emiten ventanas emergentes en forma permanente son molestos. Asimismo, algunos programas de spyware y adware que funcionan activamente en segundo plano pueden dominar los recursos del sistema y, a veces, reducir la capacidad de todo el sistema.

Si bien a cualquier persona le resulta molesto un equipo lento, es especialmente difcil para los usuarios de algunas oficinas, ya que se 40 17/03/2013 17:27

generan problemas de rendimiento que las pequeas empresas no pueden afrontar. Por lo tanto, ya sea que presenten riesgos a la seguridad o dolores de cabeza a causa del rendimiento, es

imprescindible mantener estos programas no deseados alejados de su equipo.

5.5 Principales Sntomas de infeccin Cuando se re-direcciona a una pgina Web particular. Cambia la pgina de inicio de Internet. En ocasiones se abren ventanas emergentes. Cambia la configuracin del usuario sin su consentimiento. Auto-ejecucin de un programa desconocido. Recopila informacin personal, del sistema y la enva. En ocasiones hace lento el sistema. Engaa a los usuarios y los induce a realizar pagos o comprar Software. Pide realizar un falso registro de usuario. Los usuarios eliminan o finalizan el programa y este sigue apareciendo. Oculta archivos ejecutables o crea procesos imborrables.

5.6 Cmo evitar el Spyware? Las recomendaciones para evitar la instalacin de este tipo de software son las siguientes: a) Verifique cuidadosamente los sitios por los que navega, ya que es muy comn que estas aplicaciones auto-ofrezcan su instalacin o que la misma sea ofrecida por empresas de dudosa reputacin. b) Si es posible, lea atentamente las polticas de privacidad de estas aplicaciones. Generalmente incluyen puntos como "recolectamos la siguiente informacin del usuario" o "los daos que causa la

41 17/03/2013 17:27

aplicacin no es nuestra responsabilidad" o "al instalar esta aplicacin ud. autoriza que entreguemos sus datos a...". c) Estas aplicaciones normalmente prometen ser barras con

funcionalidades extras que se instalan sobre el explorador. d) Actualmente, se nota una importante aparicin de aplicaciones que simulan ser software anti-Spyware que en realidad contiene Spyware. Una lista de los mismos puede ser encontrada en la direccin que se detalla al pie del presente. e) Cuando una aplicacin intente instalarse sin que ud. lo haya solicitado, desconfe y verifique la lista anterior. f) Es comn que los sitios dedicados al underground o pornogrficos, contengan un alto contenido de programas dainos que explotando diversas vulnerabilidades del sistema operativo o del explorador, le permiten instalarse. g) Verificar los privilegios de usuarios. Es comn que todos los usuarios que hacen uso de la computadora lo hagan con permisos administrativos. Esto no necesariamente debe ser as, es recomendable que cada usuario tenga su propio perfil, slo con los permisos necesarios para realizar sus tareas. Ya que esto disminuye el campo de accin de un posible intruso (virus, backdoor, usuario no autorizado, etc.). h) Estas aplicaciones evolucionan continuamente por lo que contar con un antivirus actualizado y con capacidades proactivas es fundamental para detectar estas aplicaciones y evitar su instalacin. Los programas espas son aplicaciones informticas que recopilan datos sobre los hbitos de navegacin, preferencias y gustos del usuario. Los datos recogidos son transmitidos a los propios fabricantes o a terceros, bien directamente, bien despus de ser almacenados en el ordenador.

42 17/03/2013 17:27

El Spyware puede ser instalado en el sistema a travs de numerosas vas, entre las que se encuentran: troyano, que los instalan sin consentimiento del usuario; visitas a pginas web que contienen determinados controles ActiveX o cdigo que explota una determinada vulnerabilidad; aplicaciones con licencia de tipo shareware o freeware descargadas de Internet, etc. 5.7 Cmo eliminar o remover un Spyware? Los spyware son aplicaciones que recopilan de tu computadora informacin sin tu conocimiento o consentimiento con la intencin de pasarla al fabricante del spyware o a terceras personas, estos archivos espas recopilan informacin sobre tus hbitos de navegacin en la internet ,gustos, preferencias, datos personales y de esta manera el espa que por lo general es una empresa publicitaria tiene el conocimiento para enviarte publicidad que se adapten a tus preferencias y gustos. Sin darnos cuenta nosotros mismo somos los responsables de que estos spyware se instalen en nuestra computadora , ya que estos normalmente vienen en algunos programas que son gratuitos o shareware y de los cuales hay miles en la internet . Tambin pueden ser instalados por troyanos o pginas web que piden instalar controles ActiveX. El spyware ya instalado desestabiliza nuestra computadora a tal grado que puede controlar fcilmente nuestra navegacin por internet nos redirige a pginas de internet, cambia tu pgina principal de inicio y no puedes cambiarla, puede controlar tu teclado, bombardean tu computadora de anuncios de productos mayormente pornogrficos, te pone lenta tu computadora evitando que puedas procesar algn programa de tu preferencia. Para eliminar el spyware existen herramientas muchas de ellas gratis y muy buenas que puedes descargar de internet algunas de estas son: a) SpyBot Search & Destroy 1.4 43 17/03/2013 17:27

b) Spy Sweeper 5.0 c) Ad-Aware 1.06 SE Personal Despus de descargar las aplicaciones mencionadas o la de tu preferencia. Ejectala para que comience a eliminar los intrusos que se encuentren en tu computadora. Cuando el programa termine, comprueba que el spyware fue eliminado, te recomiendo volver a correr el programa antyspyware para mayor seguridad y siempre mantener tu programa antivirus actualizado.

5.8 Lista de los Mejores Antispyware NOMBRE DEL ANTISPYWARE DESCRIPCIN Una excelente utilidad gratuita para que busca, detecta y eliminar todo tipo de Malware, desarrollado por la gente de Malwarebytes Anti-malware MalwareBytes (creadores de about: Buster, FileASSASSIN programas). Detecta y elimina ms de un millar de spywares y malwares, incluye proteccin en tiempo SpyBot Search & Destroy 1.6 real (TeaTimer) para prevenir y otros tantos buenos

infecciones. SuperAntiSpyware analiza tu sistema en busca de cualquier tipo de amenaza que pueda colarse en tu PC.: Spyware,

44 17/03/2013 17:27

troyanos,

dialers,

rootkits,

gusanos,

adware, malware y cualquier otro tipo de SUPERAntiSpyware Free edition elemento de software malintencionado. Una herramienta fundamental para la

prevencin de ataques de spywares. No los elimina SpywareBlaster 4.1 simplemente deshabilita los

controles ActiveX de los ms conocidos spywares. Lo recomienda Spybot para inmunizar el sistema. Nueva versin de esta poderosa de e

indispensable Ad-Aware 2008 Free

herramienta,

fcil

utilizacin, diseada para eliminar todo tipo de Spywares/Adwares, con total seguridad y garanta. Se actualiza casi semanalmente aadiendo remedio a cuanto nuevo

Spyware es detectado. Uno de los mas completos Antispyware que si bien es de pago permite su uso gratuito Spy Sweeper 5 por 14 das y vale la pena invertir en el por la seguridad del PC. Es una pequea herramienta que nos permite detectar y, eventualmente, eliminar HijackThis 2.0.2 las modificaciones hechas por programas de terceros en nuestro navegador Explorer. (Toolbars, Paginas de Inicio, Paginas de bsqueda, etc) Hay que tener mucho cuidado con los cambios en el Registro. selo bajo su responsabilidad.

5.9 Diferencias entre Adware y Spyware 45 17/03/2013 17:27

La diferencia est en que suelen venir incluido en programas Shareware y por tanto, al aceptar los trminos legales durante la instalacin de dichos programas, estamos consintiendo su ejecucin en nuestros equipos y afirmando que estamos informados de ello. Un ejemplo de esto pueden ser los banners publicitarios que aparecen en software diverso y que, en parte, suponen una forma de pago por emplear dichos programas de manera pseudo gratuita.

Rootkit 6.1 Orgenes de los Rootkit El trmino "rootkit" (tambin se puede escribir "root kit") en sus orgenes haca referencia a un grupo de herramientas recompiladas de Unix como ps, netstat, w o passwd que habiendo sido debidamente modificadas, ocultaban cualquier actividad del cracker. De este modo, el intruso podra mantener el control del sistema con privilegios de supe usuario, pero quedando oculto a los ojos de los usuarios y administradores. Actualmente, el trmino no est restringido a los sistemas operativos basados en Unix, ya que existen herramientas similares para otros sistemas como Windows (incluso para los sistemas operativos que no utilizan cuentas de root.

6.2 Definicin de los Rootkit Los rootkits son una amenaza de Internet de la que ltimamente viene hablndose mucho, fundamentalmente desde que se ha hecho pblico que una gran empresa ha distribuido un rootkit con sus productos. Pero, qu es exactamente un rootkit? Por qu es tan peligroso? Es cierto que no pueden eliminarse de los sistemas? Vamos a intentar responder a estas preguntas y aclarar algunos mitos.

46 17/03/2013 17:27

Los rootkits, en la prctica, son programas que una vez instalados en un sistema, efectan las modificaciones necesarias para poder llevar a cabo las tareas que tiene programadas sin que su presencia pueda ser detectada. Fundamentalmente, los rootkits tratan de encubrir a otros procesos que estn llevando a cabo acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta trasera para llevar a cabo tareas de espionaje, el rootkit ocultar los puertos abiertos que delaten la comunicacin; o si hay un sistema para enviar spam, ocultar la actividad del sistema de correo. La nica limitacin es la imaginacin del creador. Los temibles Rootkit, adems de terribles amenazas son armas de " doble filo". Los Rootkit ocultan los inicios de sesin (logins), procesos, archivos, creacin o modificacin de llaves de registro, etc. Pueden interceptar datos contenidos en un sistema, conexiones de red y hasta digitaciones del teclado (Keyloggers). Los rootkits, al estar diseados para pasar desapercibidos, no pueden ser detectados. Si un usuario (o incluso el usuario root) intenta analizar el sistema para ver qu procesos estn ejecutndose, el rootkit mostrar informacin falsa, mostrando todos los procesos excepto l mismo y los que est ocultando. O si se intenta ver un listado de los ficheros de un sistema, el rootkit har que se muestre esa informacin pero ocultando la existencia del propio fichero del rootkit y de los procesos que esconde. 6.3 Clasificacin de los Rootkit Existen varias clasificaciones de rootkits que dependen de si el cdigo mal intencionado sobrevive el reinicio o si se ejecutan de modo de usuario o modo ncleo. RootkitRevealer v1.71 RootkitRevealer es una utilidad avanzada de deteccin de rootkits. Se ejecuta en Windows NT 4 y versiones posteriores y su salida incluye una 47 17/03/2013 17:27

lista de discrepancias entre el Registro y la API del sistema de archivos que puede indicar la presencia de un rootkit de modo de usuario o de modo ncleo. RootkitRevealer detecta correctamente todos los rootkits persistentes publicados en www.rootkit.com, que incluyen AFX, Vence y HackerDefender (Nota: RootkitRevealer no est destinado a detectar rootkits como Fu que no intentan ocultar sus archivos ni sus claves del registro). Si lo usa para identificar la presencia de un rootkit, comunquenoslo. a) Rootkits persistentes Un rootkit persistente est asociado con cdigo mal intencionado que se activa cada vez que se inicia el sistema. Debido a que dicho cdigo mal intencionado contiene cdigo que se debe ejecutar automticamente en cada inicio del sistema o cuando un usuario inicia sesin, debe almacenar cdigo en un almacenamiento persistente. b) Rootkits basados en memoria

Los rootkits basados en memoria son cdigo mal intencionado que no contienen cdigo persistente y por tanto no sobreviven un reinicio.

c) Rootkits de modo de usuario

Existen muchos mtodos por los cuales los rootkits intentan evadir la deteccin. Por ejemplo, es posible que un rootkit de modo de usuario intercepte todas las llamadas a las API de Windows

FindFirstFile/FindNextFile, usadas por utilidades de exploracin del sistema de archivos, que incluyen Explorador y el smbolo del sistema, para enumerar el contenido de los directorios del sistema de archivos. Cuando una aplicacin realiza una lista de directorios que normalmente devolvera resultados que contienen entradas identificando archivos

48 17/03/2013 17:27

asociados con el rootkit, el rootkit intercepta y modifica la salida para eliminar las entradas. La API nativa de Windows sirve como interfaz entre clientes de modo de usuario y servicios de modo ncleo y los rootkits ms sofisticados de modo de usuario interceptan funciones de enumeracin del sistema de archivos, Registro y procesos de la API nativa. Esto evita su deteccin por parte de analizadores, que comparan los resultados de la enumeracin de una API de Windows con los devueltos por la enumeracin de una API nativa.

d) Rootkits de modo ncleo

Los rootkits de modo ncleo pueden ser an ms eficaces, debido a que no slo pueden interceptar la API nativa de modo ncleo, sino que tambin pueden manipular directamente estructuras de datos de modo ncleo. Una tcnica frecuente para ocultar la presencia de un proceso de cdigo mal intencionado es quitar el proceso de la lista de procesos activos del ncleo. Dado que las API de administracin de procesos dependen del contenido de la lista, el proceso de cdigo mal intencionado no se mostrar en herramientas de administracin de procesos como el administrador de tareas o el explorador de procesos.

6.4 Funciones de los Rootkit Dado que los rootkits persistentes funcionan cambiando los resultados de la API para que la vista de sistema que usan las API difiera de la vista real en almacenamiento, RootkitRevealer compara los resultados de un anlisis de sistema en el nivel ms alto con los del nivel ms bajo. El nivel ms alto es la API de Windows y el nivel ms bajo son los contenidos sin procesar de un volumen del sistema de archivos o de un subrbol del Registro (un archivo de subrbol es el formato de almacenamiento del 49 17/03/2013 17:27

registro en disco). As, los rootkits, sean de modo de usuario o de modo ncleo, que manipulan la API de Windows o la API nativa para eliminar su presencia de una lista de directorios, sern vistos por ejemplo por RootkitRevealer como una discrepancia entre la informacin devuelta por la API de Windows y la obtenida por el anlisis de nivel bajo de las estructuras del sistema de archivos del volumen FAT o NTFS. 6.5 Detecciones de los Rootkit

6.5.1 Mtodos de ocultamiento de Deteccin Existen muchas metodologas para que los Rootkit logren evadir su deteccin u ocultar su presencia y accionar. Un ejemplo simple, consiste en interceptar todas las llamadas a las API FindFirstFile/FindNextFile, las cuales son usadas por las herramientas de exploracin de los sistemas de archivos, incluyendo el Windows Explorer y el comando prompt, para listar el contenido de carpetas de archivos de sistema. API8 son libreras de vnculos dinmicos .DLL, que forman parte del sistema operativo Windows. Cuando un programa ejecuta un listado de una carpeta o directorio que podran devolver resultados con entradas que identifiquen a los archivos asociados al Rootkit, es cuando ste intercepta y modifica la salida para remover sus entradas.

Las API nativas de Windows actan como interfaz entre el modo-usuario de cliente y los servicios del modo-kernel y es en ese proceso cuando los ms sofisticados Rootkit del modo-usuario interceptan los archivos de

API

Interfaz de Aplicaciones de Programacin

50 17/03/2013 17:27

sistema, registros y los procesos de enumeracin de las funciones de las API nativas. Lo cual evita su deteccin por scanners que comparan el resultado de la enumeracin de las API de Windows con la devolucin de enumeracin de de las API nativas invocadas.

6.6 Cul es el peligro de los Rootkit? De este modo, y contrariamente a lo que suele ser una creencia popular, los rootkits no son herramientas mediante las cuales se consigue comprometer un ordenador. En sistemas UNIX, los rootkits son empleados con objeto de garantizar la continuidad del acceso a un ordenador remoto previamente comprometido, entre otros: Instalar puertas traseras mediante las cuales acceder al ordenador. Esconder las modificaciones realizadas en la configuracin. Ocultar los registros dejados como consecuencia de la intrusin en el sistema. Para sistemas Windows el objetivo sigue siendo similar: ocultar la existencia de otros elementos dentro del ordenador, de modo que tanto su presencia como su ejecucin pasen inadvertidos a los ojos del usuario e incluso del software de seguridad. Si dichos elementos son de naturaleza vrica, nos encontraremos ante un verdadero problema. Ya durante el ao 2005, se empezaron a detectar las primeras variantes de malware que utilizaban rootkits (herramientas externas, o incluso tcnicas propias incluidas en su cdigo) para evitar ser detectados. Bots, 51 17/03/2013 17:27

adware y spyware han aadido estas caractersticas a las suyas propias, y esta tendencia no ha hecho ms que aumentar en perodos sucesivos. Este hecho se alinea a la perfeccin con la dinmica actual del malware. Si el objetivo es la realizacin de delitos informticos mediante los cuales conseguir beneficios econmicos, est claro que ser de vital importancia pasar lo ms inadvertido posible. De esta forma, se maximizar la cantidad de tiempo que el crimeware consiga estar activo dentro del ordenador, y sin poder ser detectado. Por otra parte, tambin se perciben beneficios potenciales de la utilizacin de rootkits, aplicada legtimamente en las siguientes reas:

Monitorizacin de empleados. Proteccin de derechos intelectuales. Proteccin de programas de las acciones del malware o de acciones errneas del usuario (borrado accidental, por ejemplo).

Al hilo de esta posible utilizacin beneficiosa, hubo un caso que obtuvo una gran cobertura en los medio de comunicacin a finales de 2005, cuando el experto Mark Russinovich descubri que el sistema de proteccin anti-copia que Sony haba incluido en varios de sus productos inclua un rootkit denominado XCP, con el fin de evitar la desactivacin de dicha proteccin. Despus de que fuera publicado un anlisis detallado del mismo, no tardaron en aparecer ejemplares de malware (por ejemplo, el backdoor Ryknos.A) que hacan un uso malicioso de dicho rootkit para ocultarse en los sistemas en los que estuviera instalado el sistema anti-copia. Finalmente, Sony se vio obligado a proporcionar una herramienta para eliminar el componente rootkit y desinstalar el sistema anti-copia.

52 17/03/2013 17:27

Como se puede comprobar a la luz de este ejemplo, incluso en el caso de utilizacin legtima de un rootkit, hay implicaciones que deben ser cuidadosamente tenidas en cuenta. 6.7 Formas de proteccin de los Rootkit La lucha contra los rootkits es una carrera armamentstica, en la cual sus creadores desarrollan medidas que tratan de evitar la deteccin, al mismo tiempo que las compaas de seguridad despliegan contramedidas que protejan a sus clientes. Las tcnicas que se emplean para detectar la existencia de rootkits dentro de un sistema son las siguientes:

Deteccin basada en firmas: tecnologa madura, empleada con xito por las compaas antivirus desde hace bastantes aos. Se basa en analizar los archivos y compararlos con un conjunto de firmas de malware conocido.

Deteccin heurstica o basada en el comportamiento: identifica los rootkits reconociendo desviaciones en la actividad normal de un ordenador.

Deteccin por comparacin: compara los resultados devueltos por el sistema operativo y los obtenidos mediante llamadas a muy bajo nivel; si existen diferencias, se habr reconocido la presencia de un rootkit.

Deteccin basada en integridad: demuestra la existencia de un rootkit mediante la comparacin de los archivos y memoria con un estado de pruebas que se saba confiable.

Cada una de estas tcnicas tiene sus propias limitaciones, por lo que es recomendable una aproximacin que integre varias tecnologas distintas. A esto se suma el hecho de que algunos rootkits son desarrollados ex profeso para evadir su deteccin por las compaas antivirus con mayor cuota de mercado. 53 17/03/2013 17:27

La primera lnea de defensa contra los rootkits consiste en prevenir que entren en su ordenador. Para ello, tenga en cuenta los consejos bsicos de proteccin frente al malware:

Instale una buena solucin antimalware en su ordenador, y mantngala permanentemente activa y actualizada.

Instale un cortafuego que le proteja de accesos no autorizados a su ordenador.

Mantenga las aplicaciones instaladas en su ordenador siempre actualizadas, instalando los parches de seguridad proporcionados por los fabricantes.

Sin embargo, la labor de protegerse contra los rootkits no es trivial y no puede encomendarse nicamente a una serie de pautas de proteccin genricas. 6.8 Desinfeccin de los Rootkit A pesar de lo que viene dicindose, los rootkits pueden eliminarse, aunque no tan fcilmente como un Viernes 13. Tal y como hemos dicho, los rootkits se autoprotegen escondindose y evitando que ningn otro proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso pueda ocultarse, debe estar en funcionamiento y activado en memoria. La mejor manera de evitar que el proceso entre en accin es evitar el arranque del sistema operativo en el disco en el que se encuentra el rootkit, utilizando un disco diferente al del sistema infectado; como puede ser un CD. As, si el rootkit es conocido, podr eliminarse. Sin embargo, si el rootkit no es conocido (es decir, si ha sido desarrollado especficamente para un sistema concreto), cualquier antivirus fracasar. Entonces, el problema informtico es casi el menos importante: hay una persona que, intencionadamente, quiere hacer dao a su empresa y se ha molestado en entrar en el sistema para perjudicarle.

En este caso es necesario, adems de una investigacin policial, poder 54 17/03/2013 17:27

contar con un proveedor de seguridad que disponga de medios suficientes como para llevar a cabo una investigacin forense sobre un disco y poder detectar y eliminar el rootkit.

Hoax 7.1 Definicin de los Hoax Los hoax9 (mistificacin, broma o engao), son mensajes con falsas advertencias de virus, o de cualquier otro tipo de alerta o de cadena (incluso solidaria, o que involucra a nuestra propia salud), o de algn tipo de denuncia, distribuida por correo electrnico.Su comn denominador, es pedirle los distribuya "a la mayor cantidad posible de conocidos".Jams reenve un mensaje de este tipo que llegue a su casilla. Esta clase de alarmas, suelen ser TOTALMENTE FALSAS, o basadas en hechos errneos, pero lo que es peor activan un tipo de "contaminacin" muy diferente, propagar cientos y hasta miles de mensajes de advertencia sobre los mismos. Y an en el caso de denuncias basadas en hecho reales, esta forma de hacerlo desvirta totalmente su verdadero objetivo. Esta es una descripcin de los hoaxes ms comunes que circulan por la red. Nunca reenve ninguno de estos mensajes. Si alguien de buena fe le enva una de estas alarmas, avsele de pginas como esta para que salga de su engao y obtenga ms detalles.

7.2 Caractersticas de los Hoax Presenta una serie de caractersticas comunes, que hace diferenciarlos con facilidad como las siguientes:

El remitente del mensaje es alguien conocido. La mayora no estn firmados aunque hay algunos que tienen falsas firmas.

mistificacin, broma o engao

55 17/03/2013 17:27

Suelen llegar en correos con asuntos que tienen un tono catastrfico del estilo de ALERTA, CUIDADO, PELIGRO, y similares.

Aunque existen excepciones, la mayora de los hoaxes estn bastante mal redactados.Tienen errores gramaticales, de ortografa, mezclan modismos de distintos pases, algunos son obviamente malas traducciones del ingls, hechas por programas de traduccin y ni siquiera corregidas.

Es comn el uso de MAYSCULAS para enfatizar su mensaje y hacer ms urgente si cabe la necesidad de informar a todo el mundo.

En muchas ocasiones, citan como fuentes de informacin a autoridades competentes y/o expertos en la materia en cuestin para intentar dar consistencia y veracidad al mensaje. Eso s, ninguno enlaza al sitio donde la fuente veraz da la noticia.

Ruegan encarecidamente que el correo sea remitido a tantas personas como sea posible para informar a la poblacin y poder evitar desgracias de diversa ndole.

Como curiosidad suelen darnos las gracias a pesar de que son ellos los que tericamente alertan de un terrible peligro que te acecha.

Si recibe algn correo electrnico que presente dichas caractersticas, la mejor manera de proceder es siguiendo los pasos que se le indican a continuacin:

Ignorar el contenido del mensaje y no seguir sus instrucciones. No reenviar el correo electrnico. Convencernos de la veracidad / falsedad del mensaje. Para ello, consultar si fuentes fiables (autoridades sanitarias, policiales,

tecnolgicas, etc.) se hacen eco del caso.

Si se confirma la falsedad del comunicado, contactar con quien nos lo envi (normalmente alguien conocido), informarle de las consecuencias de su accin e invitarle a no formar parte de este tipo de mentiras en cadena. 56

17/03/2013 17:27

. 7.3 Tipo de Hoax Alertas sobre virus incurables Mensajes de temtica religiosa Cadenas de solidaridad Cadenas de la suerte Leyendas urbanas Mtodos para hacerse millonario Regalos de grandes compaas Tambin he recibido mensajes tomando el pelo a la gente que enva hoaxes Finalmente, reproducimos algunos mensajes que no son hoaxes sino que son mensajes reales. Hay otros mensajes que no nacen como hoaxes pero pueden ser considerados como tales: Poemas y mensajes de amor y esperanza (stos suelen venir en un archivo de Power Point pesadsimo). Mensajes para unirte a programas de afiliados. Chistes y fotos que circulan en cadena (ejemplo: la foto de Motumbo). 7.4 Funciones de los Hoax Hay un buen nmero de razones por las que determinada gente decide liberar estas mentiras. Lo ms comn es que el creador quiera comprobar hasta qu punto estn verdes muchos internautas y que alcance puede tener un aviso de virus, recolectar direcciones de correo electrnico a las que bombardear en el futuro con todo tipo de informacin no solicitada o spam, molestar a alguien incluyendo su nombre, mail o nmero de telfono o difamar a una empresa u organizacin.

57 17/03/2013 17:27

7.5 Acciones que se deben tomar con los Hoax Siempre que llegue un aviso de virus la primero que hay que hacer es entrar en una biblioteca vrica, como http://www.alerta-antivirus.es, y comprobar s efectivamente es un virus o en cambio es una tomadura de pelo. Si es un virus se puede avisar, pero abandonando todo tono alarmista e incluyendo informacin sobre el virus y a ser posible el antdoto. Normalmente basta con copiar el contenido de la enciclopedia vrica que hayamos consultado. Si, por el contrario, resulta que lo que ha llegado es un hoax, lo que hay que hacer de entrada es ignorarlo y borrarlo. Desde luego, jams reenviarlo a toda la libreta de direcciones. Y si alguien quiere de verdad comportarse como un internauta cvico y contribuir a que se difunda la manera correcta de actuar, debera enviar un mensaje de respuesta a quien le ha enviado el falso virus explicndole que lo que ha enviado es mentira, y lo que debe hacer con los avisos de virus en el futuro antes de enviarlos. 8 Fishing 8.1 Orgenes del Phishing El trmino phishing proviene de la palabra en ingls "fishing" (pesca) haciendo alusin al acto de pescar usuarios mediante seuelos cada vez ms sofisticados, y de este modo obtener informacin financiera y contraseas. Quien lo practica es conocido con el nombre de phisher. Tambin se dice que el trmino "phishing" es la contraccin de "password harvesting fishing" (cosecha y pesca de contraseas), aunque esto probablemente es un acrnimo retroactivo. Son posibles traducciones apropiadas en espaol los trminos anzuelo o estafa electrnica. La primera mencin del trmino phishing data de enero de 1996 en grupo de noticias de hackers alt.2600, aunque el trmino apareci tempranamente 58 17/03/2013 17:27

en la edicin impresa del boletn de noticias hacker "2600 Magazine". El trmino phishing fue adoptado por crackers que intentaban "pescar" cuentas de miembros de AOL; ph es comnmente utilizado por hackers para sustituir la f, como raz de la antigua forma de hacking conocida como "phone phreaking". 8.2 Definicin de Phishing El "phishing" es una modalidad de estafa diseada con la finalidad de robarle la identidad. El delito consiste en obtener informacin tal como nmeros de tarjetas de crdito, contraseas, informacin de cuentas u otros datos personales por medio de engaos. Este tipo de fraude se recibe habitualmente a travs de mensajes de correo electrnico o de ventanas emergentes

8.3 Caractersticas de Phishing Uso de nombres de compaas ya existentes. En lugar de crear desde cero el sitio web de una compaa ficticia, los emisores de correos con intenciones fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de una empresa existente, con el fin de confundir an ms al receptor del mensaje. Utilizar el nombre de un empleado real de una empresa como remitente del correo falso. De esta manera, si el receptor intenta confirmar la veracidad del correo llamando a la compaa, desde sta le podrn confirmar que la persona que dice hablar en nombre de la empresa trabaja en la misma. Direcciones web con la apariencia correcta. El correo fraudulento suele conducir al lector hacia sitios web que replican el aspecto de la empresa que est siendo utilizada para robar la informacin. En realidad, tanto los contenidos como la direccin web son falsos e imitan

59 17/03/2013 17:27

los contenidos reales. Incluso la informacin legal y otros enlaces no vitales pueden redirigir al confiado usuario a la pgina web real. Factor miedo. La ventana de oportunidad de los defraudadores es muy breve, ya que una vez se informa a la compaa de que sus clientes estn siendo objeto de este tipo de prcticas, el servidor que aloja al sitio web fraudulento y sirve para la recogida de informacin se cierra en el intervalo de unos pocos das. Por lo tanto, es fundamental para el defraudador el conseguir una respuesta inmediata por parte del usuario. En muchos casos, el mejor incentivo es amenazar con una prdida, ya sea econmica o de la propia cuenta existente, si no se siguen las instrucciones indicadas en el correo recibido. Man-in-the-middle (hombre en el medio). En esta tcnica, el atacante se sita entre el usuario y el sitio web real, actuando a modo de proxy . De esta manera, es capaz de escuchar toda la comunicacin entre ambos. Para que tenga xito, debe ser capaz de redirigir al cliente hacia su proxy en vez de hacia el servidor real. Existen diversas tcnicas para conseguirlo, como por ejemplo los proxies transparentes, el DNS Cache Poisoning10 y la ofuscacin del URL. Aprovechamiento de vulnerabilidades de tipo Cross-Site Scripting en un sitio web, que permiten simular una pgina web segura de una entidad bancaria, sin que el usuario pueda detectar anomalas en la direccin ni en el certificado de seguridad que aparece en el navegador. Aprovechamiento de vulnerabilidades de Internet Explorer en el cliente, que permiten mediante el uso de exploits falsear la direccin que aparece en el navegador. De esta manera, se podra redirigir el navegador a un sitio fraudulento, mientras que en la barra de direcciones del navegador se mostrara la URL del sitio de confianza. Mediante esta tcnica, tambin es posible falsear las ventanas pop-up abiertas desde una pgina web autntica. Algunos ataques de este tipo tambin hacen uso de exploits en sitios web fraudulentos que, aprovechando alguna vulnerabilidad de Internet Explorer o del
10

Poisoning

Envenenamiento de Cach DNS

60 17/03/2013 17:27

sistema operativo del cliente, permiten descargar troyanos de tipo keylogger que robarn informacin confidencial del usuario. Otra tcnica ms sofisticada es la denominada Pharming. Se trata de una tctica fraudulenta que consiste en cambiar los contenidos del DNS (Domain Name Server, Servidor de Nombres de Dominio) ya sea a travs de la configuracin del protocolo TCP/IP o del archivo lmhost (que acta como una cach local de nombres de servidores), para redirigir los navegadores a pginas falsas en lugar de las autnticas cuando el usuario accede a las mismas a travs de su navegador. Adems, en caso de que el usuario afectado por el pharming navegue a travs de un proxy para garantizar su anonimato, la resolucin de nombres del DNS del proxy puede verse afectada de forma que todos los usuarios que lo utilicen sean conducidos al servidor falso en lugar del legtimo.

8.4 Tcnicas ms sofisticadas del Phishing La mayora de mtodos de phishing usan por lo general mtodos tcnicos de engao, tales como una liga en un email que simula provenir de una empresa confiable. Direcciones (URLs) muy similares o el uso de subdominios son trucos comunes usados por los phishers. Por ejemplo http://www.tubanco.com.ejemplo.com/ . Otro truco es simplemente hacer aparecer una liga como verdadera cuando en realidad te conduce al sitio fraudulento. Una vez la vctima visita el sitio, no todo est an terminado. El phisher puede usar comandos de javascript para alterar la direccin en la barra de direcciones. Esto puede realizarse con facilidad por medio de colocar una imagen encima de la direccin verdadera, o cerrando la barra de direcciones original y abriendo una con la direccin falsa. Otro mtodo utilizado y mucho ms difcil de detectar es cuando el phisher utiliza los agujeros de seguridad en la programacin o scripts del mismo 61 17/03/2013 17:27

sitio en contra de la posible vctima. Esto es conocido como cross-site scripting. Este es un punto problemtico ya que el usuario es direccionado a la misma pgina, la real, del banco por ejemplo, donde todo luce correcto y sin rastro de estar alterado. Este tipo de ataques es muy difcil de detectar y generalmente lo deben verificar especialistas en seguridad informtica.

8.5 Elementos del Phishing El campo DE (FROM) parece ser real. Sin embargo, es importante mencionar que es fcil cambiar el campo DE en cualquier cliente de email para personal con el conocimiento tcnico necesario. El email generalmente incluir logos o imgenes que se han tomado del sitio real de la empresa. El email tendr una liga para hacer clic, sugiriendo que es necesario darle clic y verificar la informacin, actualizarla, etc. Otros puntos a tomar en cuenta para identificar email phishing son: los logos pueden no ser exactamente los mismos, errores de escritura, signos de porcentaje % seguidos de nmeros o un signo de arroba @ dentro de la liga, o incluso encabezados que no tienen nada que ver con la empresa a la cual suplantan. 8.6 Funciones del Phishing En esta modalidad de fraude, el usuario malintencionado enva millones de mensajes falsos que parecen provenir de sitios Web reconocidos o de su confianza, como su banco o la empresa de su tarjeta de crdito. Dado que los mensajes y los sitios Web que envan estos usuarios parecen oficiales, logran engaar a muchas personas hacindoles creer que son legtimos. La gente confiada normalmente responde a estas solicitudes de correo electrnico con sus nmeros de tarjeta de crdito, contraseas, informacin de cuentas u otros datos personales.

62 17/03/2013 17:27

Para que estos mensajes parezcan aun ms reales, el estafador suele incluir un vnculo falso que parece dirigir al sitio Web legtimo, pero en realidad lleva a un sitio falso o incluso a una ventana emergente que tiene exactamente el mismo aspecto que el sitio Web oficial. Estas copias se denominan "sitios Web piratas". Una vez que el usuario est en uno de estos sitios Web, introduce informacin personal sin saber que se transmitir directamente al delincuente, que la utilizar para realizar compras, solicitar una nueva tarjeta de crdito o robar su identidad. 8.7 Vas de distribucin del Phishing. En cuanto a su distribucin, tambin presentan caractersticas comunes: De la misma manera que el spam, es enviado masiva e indiscriminadamente por correo electrnico o sistemas de mensajera instantnea: El mensaje insta al usuario a pulsar sobre un enlace, que le llevar a una pgina en la que deber introducir sus datos confidenciales, con la excusa de confirmarlos, reactivar su cuenta, etc. Se enva como una alerta de una entidad financiera advirtiendo de un ataque. Incluye un enlace que se insta a pulsar y en el que se solicitan datos personales. Dado que el mensaje se distribuye masivamente, alguno de los receptores ser efectivamente cliente de la entidad. En el mensaje se indica que, debido a algn problema de seguridad es necesario acceder a una direccin web donde debe reconfirmar sus datos: nombre de usuario, contrasea, nmero de tarjeta de crdito, PIN, nmero de seguridad social, etc. Por supuesto, el enlace no dirige a ninguna pgina de la compaa, sino ms bien a un sitio web (similar al original) desarrollado a propsito por los estafadores y que reproduce la imagen corporativa de la entidad financiera en cuestin. Normalmente la direccin web contiene el

63 17/03/2013 17:27

nombre de la institucin legtima por lo que el cliente no sospecha de la falsedad de la misma. Cuando el usuario introduce sus datos confidenciales, stos se almacenan en una base de datos y lo que ocurre a continuacin no necesita de un gran esfuerzo de imaginacin: los estafadores utilizan esta informacin para conectarse a su cuenta y disponer libremente de los fondos. 8.8 Daos causador por el Phishing Los daos causados por el phishing oscilan entre la prdida del acceso al correo electrnico a prdidas econmicas sustanciales. Este tipo de robo de identidad se est haciendo cada vez ms popular por la facilidad con que personas confiadas normalmente revelan informacin personal a los phishers, incluyendo nmeros de tarjetas de crdito y nmeros de seguridad social. Una vez esta informacin es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la vctima, gastar el crdito de la vctima, o incluso impedir a las vctimas acceder a sus propias cuentas. 8.9 Lista de ejemplos de Phishing El phishing puede producirse de varias formas, desde un simple mensaje a su telfono mvil, una llamada telefnica, una web que simula una entidad, una ventana emergente, y la ms usada y conocida por los internautas, la recepcin de un correo electrnico. Pueden existir ms formatos pero en estos momentos solo mencionamos los ms comunes; SMS (mensaje corto); La recepcin de un mensaje donde le solicitan sus datos personales. Llamada telefnica; Pueden recibir una llamada telefnica en la que el emisor suplanta a una entidad privada o pblica para que usted le facilite datos privados. Un ejemplo claro es el producido estos das con la Agencia Tributaria, sta advirti de que algunas personas estn llamando en su 64 17/03/2013 17:27

nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios. Pgina web o ventana emergente; es muy clsica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial, empresas, etc. pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La ms empleada es la "imitacin" de pginas web de bancos, siendo el parecido casi idntico pero no oficial. Tampoco olvidamos sitios web falsos con seuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociacin de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de mviles creada para robar datos bancarios. El Correo electrnico, el ms usado y ms conocido por los internautas. El procedimiento es la recepcin de un correo electrnico donde SIMULAN a la entidad o organismo que quieren suplantar para obtener datos del usuario novel. Los datos son solicitados supuestamente por motivos de seguridad, mantenimiento de la entidad, mejorar su servicio, encuestas, confirmacin de su identidad o cualquier excusa, para que usted facilite cualquier dato. El correo puede contener formularios, enlaces falsos, textos originales, imgenes oficiales, etc., todo para que visualmente sea idntica al sitio web original. Tambin aprovechan vulnerabilidades de navegadores y gestores de correos, todo con el nico objetivo de que el usuario introduzca su informacin personal y sin saberlo lo enva directamente al estafador, para que luego pueda utilizarlos de forma fraudulenta: robo de su dinero, realizar compras, etc.

65 17/03/2013 17:27

Conclusiones

Que el estudio de temas como el asignado en este caso, los virus, anti-virus y sus derivados son de gran importancia, ya que es un tema que nos permite conocer que la conexin a Internet puede tener amenazas de esta ndole y; que si estas amenazas no son controladas pueden llegar a provocar un desastre en nuestra PC. Que con este trabajo hemos obtenido informacin sobre: Que son los virus, sus objetivos, sus caractersticas, como llegan a nuestra PC, ejemplos de ellos y como pueden ser detectados o eliminados cada uno de ellos con los anti-virus. As como tambin el conocimiento de anti-virus, cuales se utilizan dependiendo del virus, cuales son los ms populares y cules son los ms eficaces. Adems obtuvimos conocimiento sobre Firewall, Adware, Spyware, Rootkit, Hoax y Phishing, Conocimiento que no hubiera sido posible sin la investigacin del trabajo expuesto. Que realizar de forma grupal las tareas asignadas por el catedrtico es de gran importancia ya que, por medio de estas investigamos, estudiamos y obtenemos el mayor conocimiento posible.

66 17/03/2013 17:27

Recomendaciones

Despus de estudiar algunos de los ms comunes tipos de estafas informticas, recomendamos tomar medidas extremas para la prevencin y difusin accidental de ellas. El uso de software para prevenir las infecciones no es suficiente, pues, al igual que las vacunas para prevenir enfermedades causadas por virus en los seres vivos, los antivirus necesitan tener una muestra del virus informtico para poder neutralizarlo, por esta razn, los antivirus estn constantemente actualizando su firma de bases de datos, para obtener muestras de las nuevas amenazas que hay en el ciberespacio. Mientras consiguen dicha muestra, el virus continuar daando a todas las personas que por ignorancia, displicencia curiosidad, continen abriendo archivos de fuentes desconocidas. Recomendamos enfticamente, no abrir coreos de personas que no conocemos ni reclamar premios instantneos por ser un visitante numero x de una pgina electrnica. De igual modo dejamos a discrecin del usuario el visitar pginas donde muestren fotografas videos con contenido lleno de pornografa.

67 17/03/2013 17:27

Bibliografa

http://www.perantivirus.com/sosvirus/virufamo/ http://www.hormiga.org/antivirus/ http://foros.softonic.com/seguridad/informacion-antivirus-5742 http://www.oarval.org/avalencia/VirInfsp.htm

68 17/03/2013 17:27

ndice

A
Adware 35, 36, 37, 38, 39, 47, 68 alarmas 57 alerta 56 antivirus 5 Antivirus 22, 2, 3, 6, 7, 9, 15, 16, 18 AOL 60 AT&T 1, 22

L
logins 9, 48

O
Outpost 35

B
Bombas 8 BUGS 20

P
Pharming 62 Phishing 60, 61, 63, 64, 65, 66, 68 programas 1

C
Core War 1, 3

R
Ralf Burger 2 REAPER 2 Rootkit 19, 47, 48, 49, 51, 52, 54, 56, 68 RootkitRevealer 49

D
DEC 2 detectar virus 10 DNS 37, 62

S
software 2, 22 Spyware 24, 36, 37, 38, 40, 41, 42, 43, 44, 46, 47, 68

F
firewall 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34

T
TeaTimer 46

H
Heurstica 11 Hoax 56, 57, 58, 59, 68

V
Virus 1, 3, 4, 6, 7, 10, 14, 15, 17, 20, 22, 3, 6, 11, 41

I
Identificacin de un virus 10 infeccin i, 2, 8, 11, 15, 16, 2, 9, 13, 14, 41, 42

W
Windows Explorer 52 Worms 9

69 17/03/2013 17:27