Guía de Defensa en Profundidad Antivirus

Descripcin general de la Gua de defensa en profundidad antivirus
Al usar este sitio acepta el uso de cookies para anlisis, contenido personalizado y publicidad.
Pgina 1 de 47
Saber ms
Gua de defensa en profundidad antivirus

Descripcin general
Publicado: mayo 20, 2004
En esta pgina
Introduccin
Resumen de los captulos de la gua
Envenos sus comentarios
Captulo 1: Introduccin
Captulo 2: Amenazas de software malintencionado
Captulo 3: Defensa en profundidad antivirus
Captulo 4: Control y recuperacin de los ataques de virus
Reconocimientos
Introduccin
A pesar de que muchas organizaciones han instalado programas antivirus en sus equipos, el software malintencionado como virus, gusanos y troyanos contina
infectando sistemas informticos en todo el mundo. No hay nada que explique esta aparente contradiccin, pero la situacin actual indica que el enfoque estndar
consistente en instalar software antivirus en cada equipo del entorno puede no ser suficiente.
La Gua de defensa en profundidad antivirus proporciona una descripcin general de fcil comprensin de los diferentes tipos de software malintencionado o
"malware", adems de informacin sobre los riesgos que suponen estos programas, sus caractersticas, formas de rplica y cargas. En esta gua se detallan las
consideraciones que deber tener en cuenta al planear e implementar un sistema de defensa antivirus completo para su organizacin, y se facilita informacin sobre el
mtodo de defensa en profundidad y otras herramientas relacionadas que le permitirn reducir las posibilidades de infeccin de los sistemas. En el captulo final de la
gua se ofrece una completa metodologa que le ayudar a saber responder y recuperarse de forma rpida y eficaz de los ataques e incidencias provocados por el
software malintencionado.
Principio de la pgina
Resumen de los captulos de la gua

La Gua de defensa en profundidad antivirus se compone de cuatro captulos:
En este captulo se ofrece una breve introduccin a la gua y una descripcin general de cada captulo, y se indican los destinatarios a los que va dirigida.
En este captulo se definen los tipos principales de software malintencionado y se especifica qu programas se incluyen y excluyen de esta categora. Asimismo, se
proporciona informacin sobre las caractersticas del software malintencionado, los vectores de ataque, los medios de propagacin y las cargas.
En este captulo se detallan las consideraciones que deber tener en cuenta al establecer un sistema de defensa antivirus completo para clientes, servidores y la
infraestructura de red. Tambin se abordan directivas de usuario y medidas de seguridad generales que Microsoft recomienda tener en cuenta al elaborar un plan de
seguridad global.
En este captulo se ofrece una descripcin detallada del proceso de resolucin y recuperacin de los ataques de software malintencionado cuyas fuentes son las
prcticas ms recomendadas del sector y las operaciones internas de Microsoft.
Envenos sus comentarios

Agradecemos cualquier comentario que desee realizar sobre esta gua. En particular, nos interesara conocer su opinin sobre los siguientes temas:
En qu medida le ha resultado til la informacin que le hemos facilitado?

Han sido los procedimientos detallados lo suficientemente precisos?
Le han parecido los captulos interesantes y de fcil lectura?
En general, cmo valorara la gua?
Envenos sus comentarios a secwish@microsoft.com. Esperamos con gran inters sus opiniones.
A pesar de que muchas organizaciones han instalado programas antivirus en sus equipos, los nuevos virus, gusanos y otras formas de software malintencionado
continan infectando con rapidez a una gran cantidad de sistemas informticos. No hay nada que explique esta aparente contradiccin, pero las tendencias principales
se hacen patentes en los comentarios que ha recibido Microsoft de los profesionales de TI y el personal de seguridad de organizaciones cuyos sistemas han sido
infectados. Algunos de estos comentarios son los siguientes:
http://technet.microsoft.com/es-es/library/cc162791(d=printer)
11/12/2013
Pgina 2 de 47
"El usuario ejecut el archivo adjunto desde su programa de correo electrnico a pesar de que le indicamos reiteradamente que no deba hacerlo...".
"El software antivirus debera haberlo detectado, pero an no se haba instalado la firma de este virus".
"Este virus nunca debera haber pasado a travs de nuestro servidor de seguridad; ni siquiera nos dimos cuenta de que esos puertos podran ser atacados".
"No sabamos que nuestros servidores se deban haber revisado".
El xito de los ltimos ataques demuestra que el enfoque estndar consistente en instalar software antivirus en cada equipo de la organizacin puede no ser suficiente.
Los recientes ataques de virus se han propagado a una velocidad alarmante, de tal modo que la industria de software no puede detectar, identificar y facilitar
herramientas antivirus capaces de ofrecer proteccin antes de que se produzcan. Las tcnicas utilizadas por las ltimas formas de software malintencionado tambin
han resultado ser sustancialmente ms avanzadas, lo que ha posibilitado que los ltimos ataques de virus hayan escapado a la deteccin y se hayan propagado sin
problemas. Entre estas tcnicas se incluyen:
Ingeniera social. Muchos ataques pretenden hacer creer que provienen de un administrador del sistema o un servicio oficial, lo que aumenta las
probabilidades de que los usuarios finales los ejecuten e infecten de este modo sus sistemas.
Creacin de una puerta trasera. La mayora de los ltimos ataques de virus ha intentado abrir alguna forma de acceso no autorizado a los sistemas ya
infectados, lo que permite al intruso obtener repetidamente acceso a ellos. Esta capacidad de acceso continuado se utiliza para infectar sistemas con nuevo
software malintencionado, que actan como "zombies" en ataques coordinados de denegacin de servicio, o bien, para ejecutar el cdigo que el intruso desee.
Robo de direcciones de correo electrnico. Los programas de software malintencionado utilizan las direcciones de correo electrnico obtenidas de los
sistemas infectados para reenviarse a otras vctimas, al tiempo que los autores de este software pueden hacer una recopilacin de las mismas. A continuacin,
pueden utilizarlas para enviar nuevas variantes de software malintencionado, facilitrselas a otros autores de este tipo de software a cambio de herramientas o
cdigo fuente de virus, o venderlas a todos aquellos que estn interesados en utilizarlas para generar correo no deseado.
Motores de correo electrnico incrustados. El correo electrnico es el principal medio de propagacin de software malintencionado. Muchas formas de
software malintencionado integran ahora un motor de correo electrnico que posibilita que el cdigo malintencionado se propague mucho ms rpidamente y
con menos probabilidades de crear una actividad poco corriente que se pueda detectar con facilidad. El correo masivo ilcito aprovecha las puertas traseras de
los sistemas infectados para beneficiarse de las oportunidades que brinda el uso de estos motores de correo electrnico. Como resultado, se cree que la
mayora del correo no deseado que se gener el ao pasado se envi a travs de estos sistemas infectados.
Aprovechamiento de las vulnerabilidades de los productos. El software malintencionado aprovecha cada vez con ms frecuencia las vulnerabilidades de los
productos para propagarse, lo que le permite extenderse a una velocidad muy superior.
Aprovechamiento de las nuevas tecnologas de Internet. A medida que surgen nuevas herramientas de Internet, los autores del software malintencionado las
analizan con rapidez para determinar cmo pueden sacar provecho de ellas. Recientemente, la mensajera instantnea y las redes de igual a igual (P2P) se han
convertido en vectores de ataque para tal fin.
Estas tcnicas y particularidades del software malintencionado se analizan en detalle en los captulos siguientes de esta gua.
Microsoft mantiene su firme compromiso de garantizar la seguridad de las aplicaciones que produce y de colaborar con los socios de la empresa para hacer frente a
las amenazas del software malintencionado. Entre los ltimos esfuerzos realizados por Microsoft para reducir el impacto de estas amenazas se incluyen:
Estrecha colaboracin con los proveedores de software antivirus para formar la Virus Information Alliance (VIA). Los miembros de la alianza intercambian
informacin tcnica sobre el software malintencionado descubierto recientemente. De este modo, pueden comunicar con rapidez a los clientes la informacin
sobre el objetivo del software, su impacto y la recuperacin. Para obtener ms informacin sobre VIA, consulte la pgina "Virus Information Alliance (VIA)" en
Microsoft TechNet: http://www.microsoft.com/technet/security/topics/virus/via.mspx (en ingls).
Investigacin de nuevas tecnologas de seguridad, como la tecnologa de proteccin activa y la proteccin de sistemas dinmicos, con las que se contribuye a
garantizar la seguridad de la plataforma Microsoft Windows. Para obtener ms informacin sobre los esfuerzos realizados en este campo, consulte las
declaraciones de Bill Gates en la RSA Conference 2004 que se incluyen en Microsoft.com:
http://www.microsoft.com/billgates/speeches/2004/02-24rsa.asp (en ingls).
Apoyo a la legislacin con el objetivo de eliminar el correo no deseado y de trabajar con los responsables del cumplimiento de las leyes y los proveedores de
servicios de Internet (ISP) para conseguir que se emprendan acciones judiciales contra las operaciones de correo no deseado. Para obtener informacin sobre
las alianzas que se han creado con este fin, consulte "America Online, Microsoft and Yahoo! Join Forces Against Spam" en Microsoft.com:
http://www.microsoft.com/presspass/press/2003/apr03/04-28JoinForcesAntispamPR.asp (en ingls).
Presentacin del programa de recompensa antivirus (Antivirus Reward Program) y estrecha colaboracin con las instituciones responsables del cumplimiento de
las leyes para reducir las amenazas que suponen los autores de software malintencionado. Para obtener ms informacin sobre este programa, consulte la
pgina "Microsoft Announces Anti-Virus Reward Program" en Microsoft.com: http://www.microsoft.com/presspass/press/2003/nov03/1105AntiVirusRewardsPR.asp (en ingls).
Microsoft ha elaborado esta gua de seguridad con el fin de ayudarle a identificar todos los puntos de su infraestructura en los que debera considerar la
implementacin de sistemas de defensa antivirus. Asimismo, se facilita informacin sobre cmo recuperarse si el entorno resulta infectado.
En esta pgina
Descripcin general
Destinatarios de la gua
Convenciones de estilo utilizadas en esta gua
11/12/2013
Pgina 3 de 47
Descripcin general
La Gua de defensa en profundidad antivirus se compone de los siguientes captulos:
En este captulo se ofrece una breve introduccin a la gua y se presentan las tcnicas y mecanismos utilizados por el software malintencionado; asimismo se incluye
una descripcin general en cada captulo y se indican los destinatarios de la gua.

En este captulo se definen distintos tipos de software malintencionado y se especifica qu programas se incluyen y excluyen de esta categora. Adems, se
proporciona informacin sobre las caractersticas del software malintencionado, los vectores de ataque y los medios de propagacin.

En este captulo se detallan las consideraciones que recomienda Microsoft al establecer un sistema de defensa antivirus completo para clientes, servidores y la
infraestructura de red. Tambin se abordan directivas de usuario y otras medidas de seguridad generales que Microsoft recomienda tener en cuenta al elaborar un
plan de seguridad global.

En este captulo se ofrece una descripcin detallada del proceso de resolucin de los ataques de software malintencionado cuyas fuentes son las prcticas ms
recomendadas del sector y las operaciones internas de Microsoft.
Destinatarios de la gua
Con esta gua se pretende principalmente ayudar al personal de TI y de seguridad a comprender mejor las amenazas que supone el software malintencionado,
defenderse de ellas y responder con rapidez y eficacia cuando tenga lugar un ataque de software malintencionado.
Aunque se detallan las consideraciones relativas a la defensa mediante software antivirus en entornos de muchos clientes y servidores, el contenido de la gua
tambin es aplicable a las organizaciones que utilizan un nico servidor para realizar toda su actividad. Con cada una de estas consideraciones de defensa se
pretende proteger al entorno frente a cualquier tipo de amenaza que suponga un ataque de software malintencionado, lo que hace que cobren un gran valor en
cualquier organizacin, independientemente de su tamao. Puede parecer que algunas de las medidas recomendadas, como la administracin y la supervisin de
sistemas, van ms all del alcance o las necesidades de algunas organizaciones. Sin embargo, el equipo que elabor esta gua cree firmemente que por su propio
inters debera revisarlas con detenimiento para comprender mejor la naturaleza de los riesgos que supone el software malintencionado hoy en da para los
sistemas informticos de todo el mundo.
Convenciones de estilo utilizadas en esta gua

En la tabla siguiente se indican las convenciones de estilo que se utilizan en la Gua de defensa en profundidad antivirus.
Tabla 1.1: Convenciones de estilo
Elemento
Significado
Negrita
Los nombres de archivo y los elementos de la interfaz de usuario aparecen en negrita.
Cursiva
o
<Cursiva>
La cursiva se aplica a caracteres que escribe el usuario y que pueden cambiar. Los caracteres en cursiva que aparecen
entre corchetes angulares representan marcadores de posicin variables en los que el usuario debe facilitar valores
especficos. Ejemplo:
<Nombredearchivo.ext> indica que debera sustituir el texto
Nombredearchivo.ext en cursiva por otro nombre de archivo que sea adecuado para la
configuracin.
La cursiva tambin se utiliza para representar nuevos trminos. Ejemplo:
Identidad digital: atributos descriptivos e identificador nico de
una persona, grupo, dispositivo o servicio.
Fuente de texto de la pantalla
Esta fuente define el texto de salida que se muestra en la pantalla.
Fuente de cdigo Monospace
Esta fuente se utiliza para definir ejemplos de cdigo. Ejemplo:

public override void Install(IDictionary savedState)
Fuente de comandos Monospace
Esta fuente se utiliza para definir comandos, modificadores y atributos que el usuario escribe en un smbolo del sistema.
Ejemplo:
En el smbolo del sistema, escriba lo siguiente:
CScript SetUrlAuth.vbs
%SystemRoot%
La carpeta en la que se ha instalado el sistema operativo Windows.
Nota
Avisa al lector de que hay informacin adicional.
Importante
Avisa al lector de que hay informacin adicional que resulta esencial para completar una tarea.
11/12/2013
Pgina 4 de 47
Precaucin
Avisa al lector de que si no se realiza o pasa por alto una determinada accin, se podr producir una prdida de datos.
Advertencia
Avisa al lector de que si no se realiza o pasa por alto una determinada accin, el usuario o el hardware podra resultar
daado fsicamente.

Introduccin
Evolucin de los virus informticos
Definicin del software malintencionado
Caractersticas del software malintencionado
Qu no se considera software malintencionado?
Software antivirus
Ciclo de vida tpico del software malintencionado en circulacin
Resumen
Introduccin
En este captulo de la Gua de defensa en profundidad antivirus se describe de forma concisa la evolucin de los virus informticos, desde los primeros virus
relativamente simples hasta la gran diversidad de software malintencionado o malware que existe hoy en da. Asimismo, se definen distintos tipos y tcnicas comunes
de software malintencionado, se proporciona informacin sobre su propagacin y se analizan los riesgos que suponen para cualquier tipo de organizacin.
Dada la continua evolucin de los virus informticos, sera imposible incluir y explicar en esta gua todos los tipos de software malintencionado junto con sus posibles
variaciones. No obstante, este documento constituye un primer paso muy importante hacia el entendimiento de la naturaleza de los distintos elementos que
componen este tipo de software. En esta gua tambin se presentan y definen otros ejemplos que no pertenecen a la categora de software malintencionado, como
spyware (programas espa que realizan ciertas actividades en un equipo determinado sin el consentimiento del usuario), spam (correo electrnico no deseado o
solicitado) y adware (publicidad no deseada integrada en software).
Evolucin de los virus informticos

Los primeros virus informticos aparecieron a principios de los 80. Se trataba, en su mayora, de archivos relativamente simples de replicacin automtica que
mostraban burlas o bromas cuando se los ejecutaba.
Nota: es necesario sealar que resulta prcticamente imposible ofrecer un historial definitivo de la evolucin de los virus informticos. La propia naturaleza ilegal del
software malintencionado hace que los responsables de los ataques intenten ocultar su origen. En esta gua se describe la historia del software malintencionado
comnmente aceptada y avalada por los investigadores de virus informticos y los proveedores de productos antivirus.
En 1986 aparecieron los primeros casos de ataques de virus informticos a equipos Microsoft MS-DOS, de los cuales se identific al virus Brain como el primero de
todos. Sin embargo, en 1986 aparecieron otros virus: Virdem (el primer virus de archivos) y PC-Write (el primer troyano; un programa aparentemente til o inofensivo
que en realidad contiene cdigo oculto diseado para daar o beneficiarse del sistema en el que se ejecuta). En el caso de PC-Write, se trataba de un troyano oculto
que utilizaba el mismo nombre que una conocida aplicacin de procesamiento de textos que se distribua como "shareware".
A medida que ms usuarios se iniciaban en la tecnologa de creacin de virus informticos, comenz a aumentar considerablemente su nmero, la complejidad y
diversidad de los virus informticos y las plataformas susceptibles de ser atacadas. Durante un tiempo, los ataques se centraron en los sectores de inicio. Ms tarde
pasaron a infectar los archivos ejecutables. En 1988 apareci el primer gusano de Internet (un tipo de software malintencionado que utiliza cdigo malintencionado de
propagacin automtica capaz de distribuirse de un equipo a otro a travs de las conexiones de red). El gusano Morris, por ejemplo, consigui ralentizar
considerablemente las comunicaciones de Internet. En respuesta a esta situacin y al creciente nmero de ataques de virus registrados, se fund el Centro de
coordinacin de CERT: http://www.cert.org/ (en ingls). Su objetivo era garantizar la estabilidad de Internet prestando asistencia para coordinar las respuestas a
ataques de virus y otro tipo de incidencias.
En 1990 apareci en Internet la primera BBS de intercambio de virus, que utilizaban los creadores de virus para colaborar y compartir sus conocimientos. Tambin en
esta poca se public el primer libro sobre creacin de virus y se desarroll el primer virus polimrfico (conocido comnmente como Camalen o Casper). Un virus
polimrfico es un tipo de software malintencionado que utiliza un nmero ilimitado de rutinas de cifrado para evitar ser detectado. Este tipo de virus tiene la capacidad
de modificarse cada vez que se replica, lo que dificulta su deteccin mediante programas antivirus basados en firmas, diseados para "reconocer" virus. Poco despus
hizo su aparicin Tequila, el primer gran virus polimrfico. En 1992 apareci el primer motor de virus polimrficos y los primeros kits de herramientas para la creacin
de virus.
Desde entonces, el nivel de sofisticacin de los virus ha aumentado considerablemente: aparecieron virus informticos capaces de obtener acceso a las libretas de
direcciones de correo electrnico y enviarse a s mismos a los contactos; virus de macro que se adjuntaban por s solos y atacaban distintos archivos de aplicaciones
tipo Office; y virus creados especficamente para aprovechar las vulnerabilidades de los sistemas operativos y aplicaciones. Los virus informticos aprovechan las
vulnerabilidades del correo electrnico, de las redes de uso compartido de archivos de igual a igual (P2P), de los sitios Web, de las unidades compartidas y de los
productos para replicarse y atacar. Asimismo, crean puertas traseras (puntos de entrada de red secretos u ocultos a travs de los cuales penetra el software
malintencionado) en los sistemas infectados para permitir a los creadores de virus, o intrusos, regresar y ejecutar el software que deseen. En el contexto de esta gua,
un intruso es un programador o usuario de un equipo que intenta obtener acceso a un sistema o una red informtica de forma ilegal. En la seccin siguiente de este
captulo se trata el software malintencionado en profundidad.
Determinados virus informticos incorporan su propio motor de correo electrnico incrustado, a travs del cual pueden propagarse directamente por correo
electrnico desde un sistema infectado, obviando la configuracin del cliente o servidor de correo electrnico del usuario. Los creadores de virus tambin han
comenzado a estructurar cuidadosamente sus ataques y a utilizar la ingeniera social para desarrollar mensajes de correo electrnico con aspecto y diseo autnticos.
Con ello se pretende engaar a los usuarios para que abran el archivo con el virus adjunto, aumentando, de este modo, la posibilidad de que tenga lugar una infeccin
a gran escala.
11/12/2013
Pgina 5 de 47
Al tiempo que el software malintencionado ha evolucionado, se ha desarrollado tambin software antivirus para contrarrestarlo. No obstante, la mayora del software
antivirus actual se basa casi por completo en las firmas de virus (caractersticas de identificacin de software malintencionado) para detectar el cdigo potencialmente
daino. Esto beneficia a los creadores de virus en tanto que aprovechan el perodo que va desde el lanzamiento del virus hasta que los proveedores de software
antivirus distribuyen a gran escala los archivos de firma. Por ello la norma general es que la tasa de infeccin del virus sea tremendamente elevada durante los
primeros das, y que se produzca un declive pronunciado una vez que se distribuyen los archivos de firma.
Definicin del software malintencionado

En esta gua se utiliza el trmino software malintencionado o malware (procedente del trmino ingls "malicious software") como denominacin colectiva para hacer
referencia a los virus, gusanos y troyanos que realizan tareas malintencionadas en un sistema informtico con total premeditacin.
Por tanto, qu es exactamente un virus o un gusano informtico? En qu se diferencian de los troyanos? Actan las aplicaciones antivirus slo frente a gusanos y
troyanos, o slo ante virus?
Estas preguntas surgen dada la gran confusin, y a menudo la distorsin, que acompaa al concepto de cdigo malintencionado. La gran cantidad y variedad de
cdigo malintencionado existente hace difcil proporcionar una definicin exacta de cada una de sus categoras.
A continuacin se muestran varias definiciones simples de carcter general de categoras de software malintencionado:
Troyano. Programa aparentemente til o inofensivo que en realidad contiene cdigo oculto diseado para daar o beneficiarse del sistema en el que se
ejecuta. Los troyanos se envan normalmente a travs de mensajes de correo electrnico que falsean el objetivo y la funcin del programa. Tambin se
denominan cdigos troyanos. El troyano deja una carga o realiza una tarea malintencionada cuando se ejecuta.
Gusano. Los gusanos utilizan cdigo malintencionado de propagacin automtica capaz de distribuirse de un equipo a otro a travs de las conexiones de red.
Los gusanos pueden realizar acciones dainas, como consumir los recursos de la red o del sistema local, dando lugar probablemente a un ataque de
denegacin de servicio. Determinados tipos de gusanos se pueden ejecutar y propagar sin la intervencin del usuario, mientras que otros requieren que ste
ejecute directamente el cdigo para su propagacin. Adems de replicarse, los gusanos tambin pueden dejar una carga.
Virus. Los virus ejecutan cdigo escrito con la intencin expresa de replicarse. Se intentan propagar de un equipo a otro adjuntndose a un programa host.
Pueden daar elementos de hardware, software o datos. Cuando el host se ejecuta, tambin lo hace el cdigo del virus, infectando nuevos hosts y, en ocasiones,
dejando una carga adicional.
A efectos de esta gua, carga es un trmino colectivo que hace referencia a las acciones que realiza el software malintencionado en un equipo infectado. Estas
definiciones de las distintas categoras de software malintencionado permiten presentar las diferencias entre ellas en un simple grfico de flujo. En la ilustracin
siguiente se muestran los elementos que permiten determinar si un programa o una secuencia de comandos se incluye dentro de alguna de las categoras:
Figura 2.1 rbol de decisin para determinar si se trata de cdigo malintencionado

La ilustracin nos permite distinguir las categoras de cdigo malintencionado ms comunes segn se presentan en esta gua. No obstante, es importante sealar que
un mismo ataque puede introducir cdigo que se ajuste a varias de estas categoras. Estos tipos de ataque (conocidos como amenazas mixtas porque constan de ms
de un tipo de software malintencionado y utilizan varios vectores de ataque) se pueden propagar muy rpidamente. Un vector de ataque es la ruta que el software
malintencionado puede utilizar para realizar un ataque. Por ello, la defensa frente a las amenazas mixtas puede resultar especialmente difcil.
En las secciones siguientes se ofrece una explicacin ms detallada de cada categora de software malintencionado y de algunos de los elementos clave que lo
componen.
11/12/2013
Pgina 6 de 47
Troyanos
Los troyanos no se consideran virus informticos ni gusanos porque no se pueden propagar por s mismos. No obstante, se puede utilizar un virus o un gusano para
copiar un troyano en el sistema que se desea atacar como parte de una carga de ataque. Este proceso se denomina colocacin. Normalmente, los troyanos tienen
como objetivo interrumpir el trabajo del usuario o el funcionamiento normal del sistema. Por ejemplo, los troyanos pueden crear una puerta trasera en el sistema para
que los atacantes puedan robar datos o cambiar la configuracin.
Hay otros dos trminos que se suelen utilizar al hablar de troyanos o actividades troyanas; se identifican y explican a continuacin:
Troyanos de acceso remoto. Algunos programas troyanos permiten al atacante o ladrn de datos hacerse con el control de un sistema de forma remota. Estos
programas se denominan troyanos de acceso remoto (RAT) o puertas traseras. Varios ejemplos de RAT son: Back Orifice, Cafeene y SubSeven.
Para obtener una explicacin detallada de este tipo de troyano, consulte el artculo "Danger: Remote Access Trojans" en Microsoft TechNet:
http://www.microsoft.com/technet/security/topics/virus/virusrat.mspx (en ingls).
Rootkits. Se trata de colecciones de programas de software que los atacantes utilizan para obtener acceso remoto no autorizado a un equipo y ejecutar
ataques adicionales. Pueden utilizar varias tcnicas diferentes, entre las que se incluyen el seguimiento de las pulsaciones de teclas, el cambio de los archivos de
registro o de las aplicaciones existentes en el sistema, la creacin de puertas traseras y el ataque a otros equipos de la red. Por lo general, los rootkits se
organizan como un conjunto de herramientas que se adaptan especficamente para atacar a un sistema operativo determinado. Los primeros aparecieron a
principios de los 90, siendo sus principales objetivos los sistemas operativos Sun y Linux. Actualmente son muchos los sistemas operativos objetivo, entre ellos
la plataforma Microsoft Windows.
Nota: no hay que olvidar que tanto los RAT como determinadas herramientas que forman los rootkits pueden tener usos legtimos de control remoto y
seguimiento. No obstante, se trata de herramientas que pueden suponer problemas para la seguridad y privacidad, lo que aumenta los riesgos globales de los
entornos en los que se utilizan.
Gusanos
Si el cdigo malintencionado se replica, no se trata de un troyano. Por tanto, la cuestin que debe plantearse para definir ms claramente el software malintencionado
es la siguiente: "Puede el cdigo replicarse sin necesidad de un portador?". Es decir, puede replicarse sin necesidad de infectar un archivo ejecutable? Si la respuesta
a esta pregunta es "S", el cdigo se considera un tipo de gusano.
La mayora de los gusanos intentan copiarse a s mismos en un equipo host para, a continuacin, utilizar sus canales de comunicacin y replicarse. El gusano Sasser,
por ejemplo, se aprovecha inicialmente de la vulnerabilidad de un servicio para infectar un sistema y, a continuacin, utiliza la conexin de red del mismo para intentar
replicarse. Si ha instalado las ltimas actualizaciones de seguridad (para detener la infeccin) o ha habilitado los servidores de seguridad de su entorno para bloquear
los puertos de red utilizados por el gusano (para detener la replicacin), el ataque no tendr xito.
Virus
Si el cdigo malintencionado agrega una copia de s mismo a un archivo, documento o sector de inicio de una unidad de disco con el fin de replicarse, estaremos
frente a un virus. Puede ser una copia directa del virus original o una versin modificada del mismo. Para obtener informacin ms detallada al respecto, consulte la
seccin "Mecanismos de defensa" que aparece ms adelante en este captulo. Como se mencion anteriormente, los virus contienen a menudo cargas que pueden
colocar en un equipo local, por ejemplo, un troyano, que realizar una o varias acciones malintencionadas, como la eliminacin de datos del usuario. No obstante,
aunque el virus slo se replique y no contenga carga, seguimos estando frente a un problema de software malintencionado, ya que el virus es capaz de daar datos,
utilizar recursos del sistema y consumir ancho de banda de red a medida que se replica.
Caractersticas del software malintencionado

Las caractersticas de las distintas categoras de software malintencionado son a menudo muy similares. Por ejemplo, los virus y los gusanos pueden utilizar la red
como mecanismo de transporte. No obstante, mientras que el virus buscar archivos que infectar, el gusano slo intentar copiarse a s mismo. En la seccin siguiente
se explican las caractersticas tpicas del software malintencionado.
Entornos objetivo
Para que el ataque del software malintencionado a un sistema host tenga xito, es necesario que disponga de una serie de componentes especficos. A continuacin se
muestran varios ejemplos tpicos de componentes que requiere el software malintencionado para lanzar un ataque a un sistema host:
Dispositivos. Ciertos tipos de software malintencionado se dirigen especficamente a un tipo de dispositivo determinado, como un PC, un equipo Apple
Macintosh o incluso un dispositivo PDA, aunque este ltimo caso es muy poco comn en la actualidad.
Sistemas operativos. En determinadas ocasiones, el software malintencionado requiere un sistema operativo determinado para ser efectivo. Por ejemplo, los
virus CIH o Chernobyl de finales de los 90 slo podan atacar equipos Microsoft Windows 95 o Windows 98.
Aplicaciones. Tambin puede que el software malintencionado requiera que en el equipo al que va a atacar est instalada una aplicacin determinada para
poder dejar una carga o replicarse. Por ejemplo, el virus LFM.926 de 2002 slo poda atacar si los archivos Shockwave Flash (.swf) se ejecutaban en el equipo
local.
Portadores
Cuando el software malintencionado es un virus, intenta atacar a un portador (tambin conocido como host) e infectarlo. El nmero y tipo de portadores susceptibles
de ser atacados vara considerablemente, no obstante, en la lista siguiente se muestran algunos ejemplos de los portadores que suelen ser objeto de ataques con
mayor frecuencia:
Archivos ejecutables. Se trata del objetivo del virus "clsico", que se replica adjuntndose a un programa host. Adems de los archivos ejecutables tpicos que
utilizan la extensin .exe, tambin pueden ser objeto de ataques archivos con las siguientes extensiones: .com, .sys, .dll, .ovl, .ocx y .prg.
11/12/2013
Pgina 7 de 47
Secuencias de comandos. Los ataques que utilizan secuencias de comandos como portadores se dirigen a archivos que utilizan un lenguaje de secuencias de
comandos como Microsoft Visual Basic Script, JavaScript, AppleScript o Perl Script. Entre las extensiones de este tipo de archivos se encuentran: .vbs, .js, .wsh
y .prl.
Macros. Estos portadores son archivos que admiten el lenguaje de secuencias de comandos con macros de una aplicacin determinada, como una aplicacin
de procesamiento de textos, de hoja de clculo o de base de datos. Por ejemplo, los virus pueden utilizar los lenguajes de macro de Microsoft Word y Lotus Ami
Pro para producir una serie de efectos, desde pequeas malas pasadas (cambio de palabras en el documento o de colores) hasta acciones malintencionadas
(formateo del disco duro del equipo).
Sector de inicio. Otras reas especficas del disco del equipo (discos duros y medios extrables de inicio), como el registro de inicio maestro (MBR) o el registro
de inicio de DOS, tambin se pueden considerar portadores, dada su capacidad de ejecutar cdigo malintencionado. Una vez que el disco se ha infectado, la
replicacin tiene lugar cuando ste se utiliza para iniciar otros sistemas.
Nota: si el virus intenta infectar tanto a archivos como a sectores de inicio, hablamos de un virus multipartite.
Mecanismos de transporte
La replicacin de los ataques de virus en distintos sistemas informticos se puede llevar a cabo a travs de uno o varios mtodos diferentes. En esta seccin se
proporciona informacin sobre algunos de los mecanismos de transporte ms comunes utilizados por el software malintencionado.
Medios extrables. La transferencia de archivos es el primer y probablemente ms utilizado mtodo de transmisin de virus informticos y otro tipo de
software malintencionado (al menos, hasta el momento). Se inici con los disquetes, luego pas a las redes y, en la actualidad, utiliza nuevos medios, como los
dispositivos de bus serie universal (USB) y los servidores de seguridad. Aunque la tasa de infeccin no es tan alta como la del software malintencionado
transmitido a travs de redes, la amenaza siempre est presente. Resulta difcil de erradicar completamente dada la necesidad de intercambiar datos entre
sistemas.
Recursos compartidos de red. Cuando los equipos dispusieron de un mtodo que les permita conectarse entre s directamente a travs de una red, se abri
ante los creadores de software malintencionado un nuevo mecanismo de transporte que superaba a los medios extrables en cuanto a capacidad de propagar
cdigo malintencionado. Cuando el sistema de seguridad de los recursos compartidos de red est mal implementado, se obtiene como consecuencia un
entorno apto para la replicacin de software malintencionado a un gran nmero de equipos conectados. El uso de los recursos compartidos ha reemplazado en
gran medida al de los medios extrables.
Exploracin de la red. Los creadores de software malintencionado utilizan este mecanismo para explorar redes en busca de equipos vulnerables o para atacar
de forma aleatoria direcciones IP. Con este mecanismo, por ejemplo, se puede enviar un paquete utilizando un puerto de red especfico a un intervalo
determinado de direcciones IP en busca de un equipo vulnerable al que poder atacar.
Redes de igual a igual (P2P). Para que tenga lugar una transferencia de archivos P2P, es necesario que el usuario instale previamente un componente cliente
de la aplicacin P2P que utilice uno de los puertos autorizados en el servidor de seguridad de la organizacin, por ejemplo, el puerto 80. Las aplicaciones
utilizan este puerto para atravesar el servidor de seguridad y transferir archivos directamente de un equipo a otro. Estas aplicaciones se pueden obtener
fcilmente en Internet y proporcionan un mecanismo de transporte que los creadores de software malintencionado utilizan directamente para propagar un
archivo infectado en el disco duro de un cliente.
Correo electrnico. El correo electrnico se ha convertido en el mecanismo de transporte utilizado por muchos creadores de software malintencionado. La
facilidad con la que se puede llegar a cientos de miles de personas a travs del correo electrnico sin necesidad de que los responsables del ataque abandonen
sus equipos ha hecho de este mecanismo un mtodo de transporte muy efectivo. Resulta relativamente sencillo engaar a los usuarios para que abran archivos
adjuntos al correo electrnico (utilizando tcnicas de ingeniera social). No es de extraar, por tanto, que muchos de los ataques de software malintencionado
ms prolficos hayan utilizado el correo electrnico como transporte. Existen dos tipos bsicos de software malintencionado que lo utilizan de forma especfica:
Servicio de envo de correo. Este tipo de software malintencionado se enva a s mismo por correo a un nmero limitado de direcciones, bien utilizando
el software de correo instalado en el host (por ejemplo, Microsoft Outlook Express), bien empleando su propio motor integrado de protocolo simple de
transferencia de correo (SMTP).
Servicio de envo de correo masivo. Este tipo de software malintencionado busca en el equipo infectado direcciones de correo electrnico y, a
continuacin, se enva a s mismo de forma masiva a dichas direcciones, utilizando el software de correo instalado en el host o su propio motor integrado
SMTP.
Aprovechamiento remoto. El software malintencionado puede intentar aprovechar una vulnerabilidad determinada de un servicio o aplicacin para replicarse.
Este comportamiento se observa a menudo en los gusanos; por ejemplo, el gusano Slammer aprovech una de las vulnerabilidades de Microsoft SQL Server
2000 para generar una saturacin de bfer que permiti que se sobrescribiera una parte de la memoria del sistema con cdigo que se poda ejecutar en el
mismo contexto de seguridad que el servicio SQL Server. Las saturaciones de bfer se producen al agregar una cantidad de informacin superior a la que el
bfer es capaz de contener. Se trata de una vulnerabilidad muy aprovechada por los atacantes para hacerse con un sistema. Aunque Microsoft ya haba
identificado y solucionado esta vulnerabilidad meses antes de que apareciera Slammer, pocos sistemas se haban actualizado, por lo que el gusano se pudo
propagar.
Cargas
Una vez el software malintencionado ha alcanzado el equipo host a travs del transporte, generalmente realizar una accin denominada carga, que puede adoptar
diferentes formas. En esta seccin se identifican algunos de los tipos de carga ms habituales:
Puerta trasera. Este tipo de carga permite el acceso no autorizado a un equipo. Aunque puede proporcionar acceso completo, tambin se puede limitar, por
ejemplo, a habilitar el acceso mediante el protocolo de transferencia de archivos (FTP) a travs del puerto 21 del equipo. Si el ataque se produjo para habilitar
Telnet, un intruso podra utilizar el equipo infectado como rea de almacenamiento temporal para los ataques a travs de Telnet en otros equipos. Como se ha
mencionado anteriormente, una puerta trasera en ocasiones se conoce como troyano de acceso remoto.
Daos o eliminacin de datos. Uno de los tipos de carga ms destructivos puede ser un cdigo malintencionado que daa o elimina los datos, y deja
inservible la informacin del equipo del usuario. El creador del software malintencionado tiene dos opciones: la primera consiste en crear la carga de modo que
11/12/2013
Pgina 8 de 47
se ejecute con rapidez. Aunque es potencialmente desastroso para el equipo que infecta, el diseo del software malintencionado permite descubrirlo antes y
esto favorece que se reduzcan las posibilidades de que se replique sin ser detectado. La otra opcin consiste en dejar la carga en el sistema local (a modo de
troyano) durante un perodo de tiempo (consulte la seccin "Mecanismos de activacin" ms adelante en este captulo para ver ejemplos) para que el software
malintencionado se extienda antes de que se intente entregar la carga y, por lo tanto, se alerte al usuario de su presencia.
Robo de informacin. Un tipo de carga de software malintencionado especialmente preocupante es el que se ha diseado para robar informacin. Si una
carga compromete la seguridad de un equipo host, podr proporcionar un mecanismo para pasar informacin a los atacantes. Esto puede ocurrir de diferentes
formas; por ejemplo, la carga de software malintencionado puede automatizar una transferencia con el objetivo de capturar archivos locales o informacin tal
como las teclas que el usuario presiona (con el fin de intentar obtener el nombre y la contrasea del usuario). Otro mecanismo consiste en proporcionar un
entorno en el host local que permita al atacante controlarlo de forma remota u obtener acceso a los archivos del sistema directamente.
Denegacin de servicio (DoS). Uno de los tipos de carga de aplicacin ms sencilla es el ataque de denegacin de servicio, que consiste en un asalto
computerizado que inicia un atacante para sobrecargar o detener un servicio de red, por ejemplo un servidor Web o de archivos. El objetivo de los ataques DoS
es simplemente dejar inutilizable un servicio determinado durante un perodo de tiempo.
Denegacin de servicio distribuida (DDoS). Estos tipos de ataques utilizan habitualmente clientes infectados que desconocen por completo que
participan en el ataque. Un ataque DDoS es un tipo de denegacin de servicio en el que un usuario utiliza cdigo malintencionado instalado en varios
equipos para alcanzar un nico objetivo. Con este mtodo se puede conseguir un efecto mayor en el objetivo de lo que se podra obtener si se usara un
nico equipo. La semntica del ataque vara de unos a otros, si bien generalmente implica el envo de grandes cantidades de datos a un host o un sitio
Web especfico, que hacen que ste deje de responder (o se vuelva incapaz de responder) al trfico legtimo. De este modo, inunda el ancho de banda
disponible en el sitio de la vctima y hace que se quede sin conexin.
Puede resultar extremadamente difcil defenderse de este tipo de ataque, puesto que los hosts responsables son de hecho vctimas involuntarias. Los
ataques DDoS generalmente se llevan a cabo mediante bots (programas que realizan tareas repetitivas), como Eggdrop de Internet Relay Chat (IRC), que
un intruso puede utilizar para controlar los equipos "vctimas" a travs de un canal IRC. Una vez que esos equipos quedan bajo el control del intruso, se
convierten en zombies que pueden atacar a un objetivo bajo las rdenes del intruso y sin el conocimiento de sus propietarios.
Los ataques DoS y DDoS pueden implicar distintas tcnicas, entre las que se incluyen:
Cierres del sistema. Si el software malintencionado consigue apagar o bloquear el sistema host, puede ocasionar problemas en uno o varios servicios.
Para poder atacar el sistema host y hacer que se apague, el software malintencionado debe encontrar un punto dbil en una aplicacin o en el sistema
operativo.
Inundacin del ancho de banda. La mayor parte de los servicios que se proporcionan en Internet estn vinculados a travs de una conexin de red de
banda ancha limitada que los conecta a sus clientes. Si un creador de software malintencionado puede entregar una carga que ocupe este ancho de
banda con trfico de red falso, puede producir una denegacin de servicio simplemente impidiendo que los clientes puedan conectarse directamente al
mismo.
Denegacin de servicio de red. Este tipo de carga intenta sobrecargar los recursos disponibles para el host local. Recursos como el microprocesador y
la capacidad de la memoria quedan saturados por los ataques del tipo inundacin de paquetes SYN, en los que un atacante utiliza un programa para
enviar mltiples solicitudes de SYN de TCP con el fin de llenar la cola de conexin pendiente en el servidor e impedir el trfico de red legtimo a y desde
el host. Los ataques del tipo bomba de correo tambin saturan los recursos de almacenamiento para crear un ataque DoS, en el que se enva a una
direccin una cantidad excesiva de datos de correo electrnico en un intento de ocasionar problemas en el programa de correo electrnico o de impedir
que el destinatario reciba otros mensajes legtimos.
Problemas en los servicios. Este tipo de carga tambin puede ocasionar una denegacin de servicio. Por ejemplo, esta tcnica de ataque DoS tiene xito
cuando el ataque en un servidor de Sistema de nombres de dominio (DNS) deshabilita el servicio DNS. Sin embargo, puede que todos los dems
servicios del sistema no resulten afectados.
Mecanismos de activacin
Los mecanismos de activacin son una caracterstica que el software malintencionado utiliza para iniciar la replicacin o la entrega de la carga. Entre los mecanismos
de activacin tpicos se encuentran los siguientes:
Ejecucin manual. Consiste simplemente en la ejecucin del software malintencionado por parte de la propia vctima.
Ingeniera social. El software malintencionado utilizar con frecuencia alguna forma de ingeniera social para tratar de engaar a una vctima y conseguir
que ejecute manualmente el cdigo malintencionado. El enfoque puede resultar relativamente sencillo, como el de los gusanos de correo masivo, en los
que el elemento de ingeniera social se centra en seleccionar el texto del campo Asunto del mensaje de correo electrnico que tenga ms posibilidades
de ser abierto por una vctima potencial. Los creadores de software malintencionado pueden utilizar asimismo la suplantacin de correo electrnico para
intentar hacer creer a la vctima que un mensaje proviene de un remitente de confianza. La suplantacin es el acto de imitar un sitio Web o una
transmisin de datos para hacer que parezcan autnticos. Por ejemplo, el gusano Dumaru original que apareci por primera vez en 2003 modificaba el
campo De: de los mensajes de correo electrnico para hacer creer que se enviaban desde security@microsoft.com. (Consulte la seccin "Mensajes de
virus falsos" en el siguiente apartado de este captulo para obtener ms informacin sobre esta caracterstica.)
Ejecucin semiautomtica. Este tipo de mecanismo de activacin lo inicia primero la propia vctima y a partir de ah se ejecuta automticamente.
Ejecucin automtica. Este mecanismo de activacin no requiere de ninguna ejecucin manual. El software malintencionado lleva a cabo su ataque sin
necesidad de que la vctima ejecute un cdigo malintencionado en el equipo de destino.
Bomba de tiempo. Este tipo de mecanismo realiza una accin tras un determinado perodo de tiempo. Este perodo puede ser un retraso desde la primera
ejecucin de la infeccin o una fecha o intervalo de fechas previamente establecidos. Por ejemplo, el gusano MyDoom.B nicamente inici sus rutinas de carga
contra el sitio Web de Microsoft.com el da 3 de febrero de 2004, e hizo lo propio contra el sitio Web del grupo SCO el 1 de febrero de 2004. Despus, detuvo
toda replicacin el 1 de marzo de ese mismo ao, aunque el componente de puerta trasera de la bomba de tiempo continuaba activo despus de esta fecha.
Activacin condicional. Este mecanismo utiliza alguna condicin predeterminada para entregar la carga. Por ejemplo, un archivo con un nombre nuevo, una
serie de pulsaciones de teclas o el inicio de una aplicacin. El software malintencionado que emplea esta activacin se denomina en ocasiones bomba lgica.
11/12/2013
Pgina 9 de 47
Mecanismos de defensa
Numerosos ejemplos de software malintencionado utilizan algn tipo de mecanismo de defensa para reducir la probabilidad de ser detectados y eliminados. En la
siguiente lista se ofrecen algunos ejemplos de las tcnicas empleadas:
Armadura. Este tipo de mecanismo de defensa emplea tcnicas que intentan impedir el anlisis del cdigo malintencionado, por ejemplo, detectar cundo se
ejecuta un depurador e intentar evitar que funcione correctamente, o agregar grandes cantidades de cdigo sin sentido para ocultar el objetivo del cdigo
malintencionado.
Ocultacin. El software malintencionado utiliza esta tcnica para ocultarse mediante la interceptacin de solicitudes de informacin y la devolucin de datos
falsos. Por ejemplo, un virus puede almacenar una imagen del sector de inicio no infectado y mostrarla cuando se intente visualizar el sector de inicio afectado.
El virus informtico ms antiguo conocido, denominado Brain, utiliz esta tcnica en 1986.
Cifrado. El software malintencionado que utiliza este mecanismo de defensa realiza un cifrado de s mismo o de la carga (y en ocasiones incluso de otros datos
del sistema) para evitar la deteccin o la recuperacin de datos. El software malintencionado cifrado contiene una rutina de descifrado esttica, una clave de
cifrado y el cdigo malintencionado cifrado (que incluye una rutina de cifrado). Cuando se ejecuta, utiliza la rutina de descifrado y la clave para descifrar el
cdigo malintencionado. A continuacin, crea una copia del cdigo y genera una nueva clave de cifrado. Emplea esa clave y la rutina de cifrado para cifrar la
copia nueva de s mismo, agregando la clave nueva con la rutina de descifrado al inicio de la copia nueva. A diferencia de los virus polimrficos, el software
malintencionado de cifrado utiliza siempre las mismas rutinas de descifrado, as que aunque el valor de la clave (y, por tanto, la firma de los cdigos
malintencionados cifrados) generalmente cambia de una infeccin a otra, los programas antivirus pueden buscar la rutina de descifrado esttica para detectar el
software malintencionado que utiliza este mecanismo de defensa.
Software malintencionado oligomrfico. Se trata de software que utiliza el cifrado como mecanismo para defenderse y puede cambiar la rutina de cifrado
nicamente un nmero determinado de veces (generalmente una cantidad reducida). Por ejemplo, un virus que puede generar dos rutinas de descifrado
diferentes se clasificara como oligomrfico.
Software malintencionado polimrfico. Utiliza el cifrado como mecanismo de defensa para cambiarse con el fin de evitar ser detectado, generalmente
mediante el cifrado del propio software malintencionado con una rutina de cifrado para, a continuacin, proporcionar una clave de descifrado diferente para
cada mutacin. De este modo, el software malintencionado polimrfico utiliza un nmero ilimitado de rutinas de cifrado para evitar la deteccin. Cuando el
software se replica, una parte del cdigo de descifrado se modifica. En funcin del tipo especfico de cdigo, la carga u otras acciones llevadas a cabo pueden
utilizar o no el cifrado. Generalmente existe un motor de mutacin, que es un componente incorporado del cdigo malintencionado de cifrado que genera
rutinas de cifrado aleatorias. Este motor y el software malintencionado quedan cifrados y la nueva clave de descifrado se pasa con ellos.
Qu no se considera software malintencionado?

Existe una serie de amenazas que no se consideran software malintencionado puesto que no son programas informticos escritos con intencin de hacer dao. No
obstante, estas amenazas pueden afectar a la seguridad y a los aspectos financieros de una organizacin. Por estos motivos se recomienda que conozca las amenazas
que representan para la infraestructura de TI de su organizacin y para la productividad de los usuarios de TI.
Software de humor
Las aplicaciones de humor estn diseadas para conseguir una sonrisa o, en el peor de los casos, una prdida de tiempo para el usuario. Estas aplicaciones son tan
antiguas como los propios equipos informticos. Como no se han creado con una intencin maliciosa y se pueden identificar fcilmente como bromas, no se
consideran software malintencionado en esta gua. Existen numerosos ejemplos de aplicaciones de humor, que ofrecen desde interesantes efectos de pantalla hasta
divertidas animaciones o juegos.
Mensajes de virus falsos

Generalmente, resulta ms sencillo engaar a alguien para que realice la accin que uno desea que escribir software que la lleve a cabo sin que ste lo advierta. Por lo
tanto, en la comunidad de TI existe una gran cantidad de mensajes de virus falsos.
Al igual que otras formas de software malintencionado, un mensaje de virus falso utiliza la ingeniera social con el fin de intentar engaar a los usuarios de los equipos
para que realicen una accin. No obstante, en el caso de un mensaje de virus falso, no se ejecuta ningn cdigo; su creador habitualmente slo intenta engaar a la
vctima. A lo largo de los aos, estos mensajes han adoptado formas muy diversas. Sin embargo, un ejemplo muy comn consiste en un mensaje de correo electrnico
en el que se anuncia la aparicin de un nuevo tipo de virus y se aconseja reenviar el mensaje a los contactos para ponerles sobre aviso. Estos mensajes de virus falsos
suponen una prdida de tiempo, ocupan los recursos de los servidores de correo electrnico y consumen ancho de banda de red.
Fraudes
Prcticamente toda forma de comunicacin se ha utilizado en algn momento por parte de delincuentes para intentar engaar a sus vctimas y conseguir que realicen
acciones que les reporten un beneficio econmico. Internet, los sitios Web y los mensajes de correo electrnico no son una excepcin. Un ejemplo tpico consiste en
un mensaje de correo electrnico que intenta engaar al destinatario para que revele informacin personal que se pueda utilizar con objetivos ilegales (por ejemplo,
informacin sobre cuentas bancarias). Un tipo especial de fraude es el denominado phishing, que se pronuncia igual que fishing, ("pesca", en ingls) y que tambin se
conoce como suplantacin de marca o carding.
Como ejemplos de "phishing" se pueden mencionar los casos en los que los remitentes suplantan a compaas de gran prestigio, como por ejemplo eBay, para
intentar obtener acceso a la informacin de la cuenta del usuario. Este tipo de mensajes utiliza con frecuencia un sitio Web que imita el aspecto del sitio Web oficial de
una compaa. El mensaje de correo electrnico se utiliza para redirigir al usuario al sitio Web falso y conseguir que escriba la informacin de su cuenta de usuario, que
se guarda y usa con fines ilcitos. Estos casos se deben tratar con total seriedad y poner en conocimiento de las autoridades legales.
Correo no deseado
Tambin conocido como spam, se trata de correo electrnico no deseado que se genera para hacer publicidad de un servicio o producto. Aunque generalmente se
considera una molestia, no se trata de software malintencionado. Sin embargo, el enorme incremento en la cantidad de mensajes de este tipo constituye un problema
para la infraestructura de Internet, con el resultado de prdida de productividad para los empleados, que se ven obligados a descartar y eliminar estos mensajes a
diario.
11/12/2013
Pgina 10 de 47
Aunque no existe acuerdo sobre el origen del trmino "spam", no hay duda de que ste se ha convertido en una de las molestias ms constantes en las
comunicaciones basadas en Internet. Muchos consideran que constituye un problema de tal gravedad que actualmente representa una amenaza para el
funcionamiento de las comunicaciones a travs de correo electrnico en el mundo. Sin embargo, es preciso mencionar que salvo por la carga que soportan los
servidores de correo electrnico y los programas anti-spam, los mensajes no deseados no se pueden replicar o amenazar el correcto estado y funcionamiento de los
sistemas de TI de una organizacin.
Los creadores de correo no deseado (conocidos con el trmino ingls spammers) han utilizado a menudo software malintencionado para instalar un servicio de
servidor de correo electrnico SMTP de pequeo tamao en un equipo host que, a continuacin, utilizan para enviar este tipo de mensajes a otros destinatarios de
correo electrnico.
Programas espa
Este tipo de software se denomina en ocasiones spybot o software de seguimiento. Los programas espa utilizan otras formas de software y programas engaosos que
realizan algunas acciones en un equipo sin el consentimiento del usuario. Entre ellas se incluyen la recopilacin de informacin personal y el cambio de los parmetros
de configuracin del explorador de Internet. Adems de ser una molestia, los programas espa pueden causar problemas que abarcan desde la reduccin del
rendimiento general del equipo hasta la violacin de la privacidad personal.
Los sitios Web que distribuyen estos programas utilizan una gama de trucos para conseguir que los usuarios los descarguen e instalen en sus equipos. Entre estos
trucos se incluye la creacin de experiencias de usuario engaosas y la inclusin de programas espa junto con otro software en el que los usuarios pueden estar
interesados, por ejemplo los programas gratuitos para compartir archivos.
Publicidad no deseada
La publicidad no deseada se combina con frecuencia con una aplicacin host que se ofrece de modo gratuito a condicin de que el usuario acepte dicha publicidad.
Como las aplicaciones de publicidad no deseada generalmente se instalan despus de que el usuario haya aceptado un contrato de licencia en el que se advierte del
objetivo de la aplicacin, no se comete ningn delito. No obstante, los mensajes de publicidad emergentes se pueden convertir en una molestia y, en algunos casos,
afectar al rendimiento del sistema. Asimismo, la informacin que recopilan algunas de estas aplicaciones puede plantear problemas de privacidad a los usuarios que no
eran totalmente conscientes de los trminos del contrato de licencia.
Nota: aunque los trminos spyware (programa espa) y adware (publicidad no deseada) se utilizan con frecuencia como sinnimos, nicamente la publicidad no
deseada que el usuario no ha autorizado se puede equiparar a los programas espa. La publicidad no deseada que advierte a los usuarios y les ofrece la posibilidad de
eleccin y el control no es engaosa y no se debe clasificar como programa espa. Por otra parte se debe tener en cuenta que una aplicacin espa que afirma realizar
una funcin especfica y que, en realidad, lleva a cabo otra diferente, acta como un troyano.
Cookies de Internet
Las cookies de Internet son archivos de texto que los sitios Web colocan en el equipo de un usuario cuando ste los visita. Contienen y proporcionan informacin de
identificacin acerca del usuario a los sitios Web que las han colocado en su equipo, adems de otra informacin que los sitios deseen conservar acerca de su visita.
Son herramientas legales que numerosos sitios Web utilizan para realizar un seguimiento de la informacin de los visitantes. Por ejemplo, un usuario adquiere un
artculo en una tienda en lnea, pero una vez que ha colocado el producto en su carro de la compra, puede que desee visitar otro sitio Web por alguna razn. La tienda
en lnea puede elegir guardar en una cookie en el equipo del usuario la informacin de los productos seleccionados, para que, cuando ste vuelva al sitio, sigan en el
carro de la compra listos para que el usuario los adquiera si as lo decide.
Los desarrolladores de sitios Web slo deberan poder recuperar la informacin almacenada en las cookies que ellos han creado. Este enfoque debera garantizar la
privacidad evitando que otras personas que no sean los desarrolladores de estos sitios puedan tener acceso a las cookies que se han dejado en los equipos de los
usuarios.
Por desgracia, se sabe que algunos desarrolladores de sitios Web utilizan cookies para recopilar informacin sin el conocimiento del usuario. Algunos pueden engaar
a los usuarios o no respetar las directivas que han establecido. Por ejemplo, pueden realizar un seguimiento de los hbitos de visita a diferentes sitios Web sin informar
al usuario y utilizar esta informacin para personalizar la publicidad que ste ve en un sitio Web, algo que se considera una invasin de la privacidad. Resulta difcil
identificar esta forma de publicidad orientada al usuario y otras formas de "uso indebido de las cookies", con lo que es complicado decidir si se deben bloquear las
cookies en el equipo y cundo y cmo hacerlo. Adems, el nivel aceptable de informacin compartida vara de unos usuarios a otros, por lo que tambin resulta
complicado crear un programa "anti-cookies" que satisfaga las necesidades de todos los usuarios informticos de un entorno.
Software antivirus
El software antivirus se crea especficamente para defender un sistema frente a las amenazas del software malintencionado. Microsoft recomienda encarecidamente el
uso de este tipo de programas para proteger el equipo de cualquier forma de software malintencionado, no nicamente de los virus.
El software antivirus utiliza diferentes tcnicas para detectar el software malintencionado. En esta seccin se explicar el funcionamiento de algunas de ellas, entre las
que se incluyen:
Anlisis de firma. La mayor parte de los programas antivirus utilizan actualmente esta tcnica, que se centra en analizar el objetivo (equipo host, unidad de
disco o archivos) en busca de un patrn que pueda tratarse de software malintencionado. Estos patrones se almacenan generalmente en archivos denominados
archivos de firma, que los proveedores del software actualizan con regularidad con el fin de garantizar que los escneres antivirus reconocen todos los ataques
de cdigo malintencionado posibles. El principal problema de esta tcnica radica en que el software antivirus ya debe estar actualizado para que el escner lo
pueda reconocer.
Anlisis heurstico. Esta tcnica intenta detectar las variantes nuevas y conocidas de software malintencionado mediante la bsqueda de caractersticas
generales en dicho software. La principal ventaja de esta tcnica consiste en que no depende de los archivos de firma para identificar y hacer frente al software
malintencionado. No obstante, el anlisis heurstico muestra una serie de problemas especficos, entre los que se incluyen los siguientes:
Positivos falsos. Esta tcnica utiliza caractersticas generales y, por tanto, es susceptible de confundir el software legtimo con el malintencionado si una
caracterstica fuera similar en ambos.
Lentitud del anlisis. El proceso de bsqueda de caractersticas resulta una tarea ms laboriosa que la de buscar un patrn de software malintencionado
ya conocido. Por este motivo, el software antivirus puede tardar ms tiempo en realizar un anlisis heurstico que un anlisis de firma.
11/12/2013
Pgina 11 de 47
Es probable que se pasen por alto caractersticas nuevas. Si el ataque de un nuevo software malintencionado presenta una caracterstica que no se ha
identificado previamente, probablemente el analizador heurstico no la detecte hasta que se actualice.
Bloqueo del comportamiento. Esta tcnica se centra en el comportamiento de un ataque en lugar de en el propio cdigo. Por ejemplo, si una aplicacin
intenta abrir un puerto de red, un programa antivirus de bloqueo del comportamiento podra detectarlo como una accin tpica de software malintencionado y,
a continuacin, clasificar este comportamiento como posible ataque.
Numerosos proveedores de antivirus utilizan actualmente una combinacin de estas tcnicas en sus soluciones antivirus en un intento de mejorar el nivel de
proteccin general de los equipos informticos de sus clientes.
Muchos socios de Microsoft ofrecen programas antivirus. Para obtener una lista completa y actualizada, consulte la pgina "Microsoft Antivirus Partners" en
Microsoft.com: http://www.microsoft.com/security/partners/antivirus.asp (en ingls).
Ciclo de vida tpico del software malintencionado en circulacin

Se ha establecido un patrn que define el ciclo de vida de los nuevos ataques de software malintencionado presente en las redes pblicas o que est actualmente en
circulacin o in the Wild. El examen de este patrn ayuda a comprender el riesgo que representan los nuevos ataques tras su aparicin.
Un nuevo ciclo de vida se inicia con el desarrollo del software malintencionado y finaliza cuando se elimina por completo de las redes supervisadas. Las etapas del ciclo
de vida son las siguientes:
1. Creacin. El desarrollo del software malintencionado se inicia con frecuencia cuando se sugiere y comparte entre las comunidades de piratas informticos la
posibilidad de una nueva forma de ataque o aprovechamiento. Durante un tiempo, se estudian y analizan estos mtodos hasta que se descubre un enfoque que
se puede convertir en ataque.
2. Desarrollo. Anteriormente, la creacin de software malintencionado requera un conocimiento del lenguaje del ensamblado del equipo as como del complejo
funcionamiento del sistema contra el que se diriga el ataque. Sin embargo, la aparicin de los kits de herramientas y de los salones de chat de Internet ha
hecho posible que casi cualquier persona que lo desee pueda crear software malintencionado.
3. Replicacin. Una vez que el nuevo software se ha desarrollado y puesto en circulacin, normalmente busca replicarse en los dispositivos host potenciales
durante un tiempo antes de poder llevar a cabo su funcin principal o entregar su carga.
Nota: aunque existen decenas de miles de programas de software malintencionado conocidos, nicamente una pequea parte est en circulacin actualmente.
La mayor parte de estos programas nunca se han expuesto al pblico y a menudo se conocen como virus de zoo.
4. Entrega de la carga. Una vez el software malintencionado ha infectado un host, puede entregar una carga. Si el cdigo contiene una activacin condicional
para su carga, es en este momento cuando se cumplen las condiciones para el mecanismo de entrega. Por ejemplo, algunas cargas se activan cuando un
usuario realiza determinada accin o cuando el reloj del equipo host llega a una fecha especfica. Si el software malintencionado contiene una activacin de
accin directa, simplemente comenzar a entregar la carga en el momento en que se complete la infeccin. Por ejemplo, en el caso de las cargas de registro de
datos, el programa de software malintencionado simplemente comenzar a registrar los datos requeridos.
5. Identificacin. En este momento de su ciclo de vida, las comunidades antivirus identifican el software malintencionado. En la mayor parte de los casos, este
paso ocurrir antes de la etapa 4 o incluso antes de la 3, aunque no siempre es as.
6. Deteccin. Una vez identificada la amenaza, los desarrolladores de software antivirus deben analizar el cdigo para hallar un mtodo de deteccin apropiado.
Cuando han determinado el mtodo, pueden actualizar los archivos de firma antivirus para permitir que las aplicaciones antivirus existentes detecten el nuevo
software malintencionado. La duracin de este proceso es fundamental para controlar un ataque.
7. Eliminacin. Cuando la actualizacin est disponible para el pblico, es responsabilidad de los usuarios de las aplicaciones antivirus aplicar la actualizacin
peridicamente para proteger sus equipos del ataque (o limpiar los equipos ya infectados).
Nota: si no se actualizan los archivos de firma locales con regularidad los riesgos pueden ser muy altos, ya que los usuarios creen que estn protegidos
mediante sus productos antivirus, cuando en realidad no lo estn.
Cuantos ms usuarios actualicen sus programas antivirus, el software malintencionado ir dejando de constituir una amenaza. Este proceso en pocas ocasiones elimina
todas las instancias del software en circulacin, puesto que ste puede seguir residiendo en los equipos conectados a Internet con escasa o nula proteccin antivirus.
No obstante, se reduce la amenaza de un ataque generalizado.
Aunque este ciclo de vida se repite con cada nuevo ataque diseado, no es tpico de todos los ataques. Muchos de ellos son simplemente versiones modificadas de
una parte de un cdigo malintencionado original. Por lo tanto, el cdigo bsico y el enfoque del software malintencionado son idnticos, pero se realizan pequeas
modificaciones para impedir que se detecte y elimine. Tpicamente, un ataque que haya tenido xito generar diferentes versiones durante las semanas y meses
siguientes. Esta situacin lleva a una especie de "carrera armamentstica" en la que los creadores de este tipo de software intentan evitar la deteccin para su propio
provecho, ya se trate de obtener beneficio econmico, fama o simplemente satisfacer su curiosidad. Las defensas antivirus se actualizan de nuevo, se revisan o
modifican segn sea necesario para reducir la renovada amenaza.
Resumen
El software malintencionado es un rea compleja y en constante evolucin dentro del mbito de la tecnologa informtica. De todos los problemas que se encuentran
en la TI, pocos estn tan extendidos y resultan tan engorrosos como los ataques de este tipo de software y los costes derivados de su tratamiento. Comprender su
funcionamiento, el modo en que evolucionan a lo largo del tiempo y los vectores de ataque que aprovechan, puede ayudar a tratar este asunto de un modo activo.
Este conocimiento puede, a su vez, propiciar un proceso de reaccin ms efectivo cuando afecten a su organizacin.
11/12/2013
Pgina 12 de 47
Como este tipo de software utiliza tantas tcnicas para generarse, distribuirse y explotar los equipos informticos, puede resultar difcil saber cmo se puede asegurar
un equipo lo suficiente como para resistir a tales ataques. No obstante, una vez se conocen los riesgos y vulnerabilidades, se puede administrar un sistema de modo
que la posibilidad de que un ataque tenga xito se reduzca en gran medida.
El siguiente paso consiste en analizar los riesgos en diferentes puntos de la infraestructura de TI con el fin de disear una defensa eficaz, cuestin que se tratar en el
siguiente captulo. El diseo de un plan de recuperacin eficaz es el tema principal en el que se centra el ltimo captulo de esta gua.

Introduccin
Vectores de amenazas de software malintencionado
Enfoque de defensa contra software malintencionado
Defensas del cliente
Defensas del servidor
La capa de defensa de la red
Seguridad fsica
Directivas, procedimientos y concienciacin
Resumen
Introduccin
Todas las organizaciones deberan desarrollar una solucin antivirus que les proporcionara un elevado nivel de proteccin. No obstante, a pesar de seguir esta
recomendacin e instalar software antivirus, gran parte de ellas an se infectan. Esta gua propone un acercamiento distinto al problema del software malintencionado.
Como diseo de seguridad de la red, Microsoft recomienda una solucin antivirus realizada con un enfoque de defensa en profundidad que asegure que se mantienen
las medidas preventivas adoptadas por la organizacin.
Tal enfoque es vital para la seguridad de los equipos de cualquier organizacin, puesto que, por desgracia, y a pesar de la gran cantidad de caractersticas y servicios
prcticos que ofrece un sistema informtico, siempre existe alguien que por los motivos que sean intenta encontrar una vulnerabilidad de la que aprovecharse
malintencionadamente.
La colaboracin con consultores e ingenieros de sistemas que han implementado Microsoft Windows Server 2003, Windows XP Professional y Windows 2000
en distintos entornos ha servido para establecer las prcticas ms tiles y actualizadas para proteger del software malintencionado a los clientes y servidores que
ejecutan estos sistemas operativos. En este captulo se facilita toda esta informacin.
Adems, se proporcionan instrucciones que le ayudarn a utilizar un mtodo de defensa en profundidad al disear una solucin de seguridad antivirus para su
organizacin. El objetivo de este enfoque es que comprenda las particularidades de cada capa del modelo y que conozca las amenazas concretas a las que cada una de
ellas se expone, a fin de que pueda utilizar esa informacin cuando implemente las defensas antivirus.
Nota: Microsoft recomienda incluir algunos de los pasos de esta gua en las directivas y procedimientos generales de seguridad de su organizacin. Cuando aparecen,
la gua los identifica como pasos necesarios que debe definir el equipo de seguridad.
Importante: si sospecha que su organizacin es actualmente vctima de un ataque, consulte el captulo 4 de esta gua, "Control y recuperacin de los ataques de
virus", antes de leer el presente captulo.
Si consulta esta gua despus de haber sufrido un ataque de software malintencionado y haberse recuperado del mismo, la informacin proporcionada le ayudar a
impedir que vuelva a suceder y comprender cmo tuvo lugar.
Vectores de amenazas de software malintencionado

El software malintencionado puede comprometer la seguridad de una organizacin con distintos mtodos. Estos se denominan en ocasiones vectores de amenazas y
representan las zonas del entorno que exigen mayor atencin durante la elaboracin de una solucin antivirus eficaz. En la siguiente lista se incluyen las zonas de una
organizacin tpica que corren el mayor riesgo de sufrir un ataque de software malintencionado:
Redes externas. Toda red que no se encuentre bajo el control directo de una organizacin se debe considerar como posible origen de software
malintencionado. Internet supone, con diferencia, la mayor amenaza de software malintencionado; el anonimato y la conectividad que proporciona permiten
que los intrusos obtengan acceso rpido y eficaz a muchos objetivos para establecer ataques a travs de cdigo malintencionado.
Clientes invitados. A medida que el uso de equipos porttiles y dispositivos mviles se hace ms frecuente en los negocios, los propios dispositivos entran y
salen de otras infraestructuras empresariales con mayor asiduidad. Si los clientes invitados no cuentan con una defensa antivirus eficaz, representan una
amenaza de software malintencionado para la organizacin.
Archivos ejecutables. Todo cdigo con capacidad para ejecutarse puede actuar como software malintencionado. En esta categora no slo se incluyen
programas, sino tambin secuencias de comandos, archivos por lotes y objetos activos como los controles de Microsoft ActiveX.
Documentos. Debido al aumento de la popularidad de los procesadores de texto y las hojas de clculo, este tipo de aplicaciones se ha convertido en objetivo
para los autores de software malintencionado, que aprovechan los lenguajes de macro que admiten muchas aplicaciones.
Correo electrnico. Los autores de software malintencionado pueden utilizar los archivos adjuntos y el cdigo de lenguaje de marcado de hipertexto (HTML)
activo en los mensajes de correo electrnico como formas de ataque.
Medios extrables. La transferencia de archivos a travs de un medio extrable es una cuestin que las organizaciones deben tratar como parte de su defensa
antivirus. Entre los medios extrables ms habituales se incluyen:
11/12/2013
Pgina 13 de 47
Discos CD-ROM o DVD-ROM. El abaratamiento de los dispositivos de grabacin de CD y DVD ha facilitado el acceso a estos medios de todos los
usuarios, incluidos los autores de software malintencionado.
Disquetes y unidades Zip. A pesar de que estos medios se utilizan cada vez menos debido a la velocidad y capacidad limitadas que tienen, constituyen
un riesgo si el software malintencionado consigue tener acceso a ellos.
Unidades USB. Estos dispositivos adquieren muchas formas, desde el clsico dispositivo del tamao de un llavero hasta un reloj de pulsera. Todos ellos
se pueden utilizar para introducir software malintencionado en el puerto bus serie universal (USB) de un host.
Tarjetas de memoria. Las cmaras digitales y los dispositivos mviles, como los PDA y telfonos mviles, han contribuido al establecimiento de las
tarjetas de memoria digitales. Los lectores de tarjetas se estn convirtiendo prcticamente en dispositivos de serie en los equipos, ya que facilitan el
proceso de transferencia de datos. Dado que dichos datos llegan en forma de archivo, las tarjetas tambin pueden transferir software malintencionado a
un sistema host.
Enfoque de defensa contra software malintencionado

Antes de intentar organizar una defensa eficaz contra el software malintencionado, resulta esencial comprender las distintas partes de la infraestructura de la
organizacin que pueden resultar amenazadas, as como la importancia del riesgo en cada una de ellas. Microsoft recomienda que se realice una evaluacin completa
de los riesgos para la seguridad antes de iniciar el diseo de una solucin antivirus, ya que de ella podr obtener toda la informacin que necesita para optimizar el
diseo de la solucin.
Para obtener informacin e instrucciones sobre la forma de realizar este tipo de evaluacin, consulte la gua Microsoft Solution for Securing Windows 2000 Server en:
http://www.microsoft.com/technet/security/prodtech/win2000/secwin2k/default.mspx (en ingls). En ella se proporciona una introduccin a la disciplina de
administracin de riesgos de seguridad (SRMD), con la que podr comprender la naturaleza de la exposicin de la organizacin a las amenazas.
Modelo de seguridad de defensa en profundidad

Una vez haya conocido y documentado los riesgos a los que la organizacin hace frente, el siguiente paso consiste en examinar y organizar la defensa que utilizar
para la solucin antivirus. El modelo de seguridad de defensa en profundidad constituye un punto de partida excelente para ello, ya que identifica siete niveles de
defensas de seguridad diseados para bloquear cualquier intento de comprometer la seguridad de una organizacin. Cada conjunto de defensas es capaz de desviar
ataques en muchas y distintas escalas. Si no conoce el modelo de seguridad de defensa en profundidad, Microsoft le recomienda que visite la pgina "Security Content
Overview" en Microsoft TechNet:
http://www.microsoft.com/technet/security/bestprac/overview.mspx (en ingls).
Tambin puede encontrar informacin adicional y ejemplos de diseo prcticos para este proceso en MSA Reference Architecture Kit en TechNet:
http://www.microsoft.com/resources/documentation/msa/2/all/solution/en-us/msa20rak/vmhtm1.mspx (en ingls).
En la siguiente ilustracin se describen las capas definidas para el modelo de seguridad de defensa en profundidad:
Figura 3.1 Capas del modelo de seguridad de defensa en profundidad

Las capas incluidas en la ilustracin ofrecen una vista de cada rea del entorno que se debe tener en cuenta durante el diseo de defensas de seguridad para la red.
Las definiciones detalladas de cada capa se pueden modificar segn los requisitos y las prioridades de seguridad de su organizacin. En esta gua, las siguientes
definiciones sencillas definen las capas del modelo:
11/12/2013
Pgina 14 de 47
Datos. El riesgo en esta capa se debe a las vulnerabilidades que un atacante podra aprovechar para obtener acceso a los datos de configuracin y organizacin,
o cualquier dato que sea exclusivo de un dispositivo que utiliza la empresa. Por ejemplo, los datos empresariales confidenciales, los datos de los usuarios o la
informacin privada de los clientes se incluiran en esta capa. Lo que ms preocupa a una organizacin en esta capa del modelo son los problemas legales y
empresariales que se pueden derivar de la prdida o el robo de datos, as como los problemas operativos que las vulnerabilidades pueden descubrir en el host
o en las aplicaciones.
Aplicacin. El riesgo en esta capa se debe a las vulnerabilidades que un atacante podra aprovechar para obtener acceso a las aplicaciones en ejecucin. Todo
cdigo ejecutable que un autor de software malintencionado pueda reunir fuera de un sistema operativo se puede utilizar para atacar un sistema. Las
principales preocupaciones de la organizacin en esta capa son el acceso a los archivos binarios que componen las aplicaciones, el acceso al host a travs de las
vulnerabilidades en los servicios de escucha de la aplicacin o la recopilacin ilcita de datos concretos del sistema para transferirlos a alguien que pueda
utilizarlos en beneficio propio.
Host. Por norma general, esta es la capa en la que se centran los proveedores que ofrecen Service Packs y revisiones con el objetivo de tratar las amenazas de
software malintencionado. En ella, el riesgo proviene de los atacantes que se aprovechan de las vulnerabilidades en los servicios que ofrecen el host o el
dispositivo. Los atacantes los utilizan de distintas formas para organizar ataques contra el sistema. Un desbordamiento de bfer, que se produce como resultado
de agregar a un bfer ms informacin de la que puede contener, es un buen ejemplo. En este caso, en lo que las organizaciones ponen ms empeo es en
impedir el acceso a los archivos binarios que componen el sistema operativo, as como el acceso al host a travs de vulnerabilidades en los servicios de escucha.
Red interna. Los riesgos para las redes internas de las organizaciones estn relacionados con los datos confidenciales que se transmiten a travs ellas. Los
requisitos de conectividad para las estaciones de trabajo clientes en estas redes internas tambin suponen algunos riesgos asociados.
Red perimetral. Los riesgos de la capa de red perimetral (tambin denominada zona desmilitarizada, DMZ o subred protegida) tienen su origen en el posible
acceso por parte de un atacante a las redes de rea extensa (WAN) y los niveles de red que conectan. Los principales problemas se centran en los puertos TCP
(protocolo de control de transmisin) y UDP (protocolo de datagrama de usuario) disponibles que utiliza la red.
Seguridad fsica. Los riesgos se encuentran en el acceso fsico de un atacante a un activo fsico. Esta capa integra todas las anteriores, puesto que el acceso
fsico a un activo puede permitir el acceso a las dems capas del modelo de defensa en profundidad. Aqu, la preocupacin principal para las organizaciones
que utilizan sistemas antivirus es impedir que los archivos infectados salten las defensas de las redes perimetral e interna. Los atacantes pueden intentar hacerlo
con tan slo copiar un archivo infectado directamente en el equipo host a travs de algn medio extrable fsico, como un dispositivo de disco USB.
Directivas, procedimientos y concienciacin. Rodeando todas las capas del modelo de seguridad se encuentran las directivas y procedimientos que la
organizacin necesita establecer a fin de cumplir y admitir los requisitos de cada nivel. Por ltimo, resulta importante que se estimule la concienciacin en la
organizacin de todas las partes interesadas. En muchos casos, el desconocimiento de un riesgo puede llevar consigo infracciones en la seguridad, por lo que el
aprendizaje tambin debe formar parte integrante de cualquier modelo de seguridad.
El uso de las capas de seguridad del modelo como base del mtodo de defensa en profundidad antivirus le permitir replantearse la perspectiva y optimizarlas en
grupos para aplicar las defensas antivirus en su organizacin. La forma en que se lleve a cabo esta optimizacin depender completamente de las prioridades de la
propia empresa, as como de las aplicaciones de defensa concretas que utilice. Lo importante es evitar un diseo antivirus incompleto y dbil. Para ello, es preciso
asegurase de que no se excluya ninguna de las capas de las defensas. En la siguiente ilustracin se muestra la vista de una defensa en profundidad antivirus ms
especfica:
Figura 3.2 Vista de una defensa en profundidad antivirus especfica

Las capas Datos, Aplicacin y Host se pueden combinar en dos estrategias defensivas para proteger los clientes y servidores de la organizacin. Aunque estas defensas
comparten determinadas estrategias, las diferencias al implementarlas en el cliente y en el servidor son suficientes para hacer necesario un nico enfoque defensivo en
cada una de ellas.
11/12/2013
Pgina 15 de 47
Las capas Red interna y Red perimetral tambin se pueden combinar en una estrategia de defensas de red comn, ya que las tecnologas implicadas son las mismas
para ambas. Sin embargo, los detalles de la implementacin diferirn en cada capa, segn la posicin de los dispositivos y las tecnologas de la infraestructura de la
organizacin.
Defensas del cliente

Cuando software malintencionado llega a un equipo host, los sistemas de defensa se deben centrar en proteger el sistema y los datos que contiene, y detener la
propagacin de la infeccin. Estas defensas no son menos importantes que las fsicas y de red del entorno. Se deben disear partiendo de la base de que el software
malintencionado ha sido capaz de superar todas las anteriores capas de defensa para llegar al host. Este mtodo es la mejor forma de lograr el mximo nivel de
proteccin.
Pasos de la proteccin antivirus del cliente

Son varios los mtodos y tecnologas que se pueden utilizar para las configuraciones antivirus de los clientes. En las siguientes secciones se proporcionan detalles que
Microsoft recomienda tener en cuenta.
Paso 1: Reducir el mbito de ataque
La primera lnea de defensa en la capa de aplicacin consiste en reducir el mbito de ataque del equipo. Ser necesario quitar o deshabilitar todas las aplicaciones o
servicios innecesarios para minimizar las vas desde las que atacante podra aprovechar el sistema de forma malintencionada.
Encontrar la configuracin predeterminada para los servicios de Windows XP Professional en la pgina "Default settings for services" de la documentacin del
producto Windows XP Professional en Microsoft.com: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/enus/sys_srv_default_settings.mspx (en ingls).
Una vez que el mbito de ataque se ha reducido al mnimo sin afectar a la funcionalidad necesaria del sistema, la defensa fundamental que se debe utilizar en esta
capa es un escner antivirus. La funcin primordial del escner consiste en detectar y evitar un ataque para, a continuacin, notificar al usuario y quizs tambin a los
administradores del sistema de la organizacin.
Paso 2: Aplicar actualizaciones de seguridad
La gran cantidad y variedad de equipos cliente que puede haber conectados en las redes de una organizacin puede dificultar la utilizacin de un servicio confiable de
administracin de actualizaciones de seguridad. Microsoft y otras empresas de software han desarrollado distintas herramientas que se pueden utilizar para solventar
este problema. Las siguientes herramientas de actualizaciones de seguridad y administracin de revisiones se encuentran disponibles en Microsoft:
Windows Update. Ideal para pequeas empresas o particulares, el servicio Windows Update ofrece un proceso, que puede ser automtico o manual, que
permite detectar y descargar las ms recientes modificaciones de la seguridad y las caractersticas de la plataforma Windows. Entre las desventajas de este
mtodo para algunas organizaciones se incluye la falta de soporte para probar las actualizaciones antes de implementarlas, as como la cantidad de ancho de
banda de la red que pueden llegar a consumir los clientes de la organizacin al descargar el mismo paquete a la vez. Para obtener informacin sobre el uso de
este servicio, visite la pgina principal de Windows Update en:
www.windowsupdate.com (en ingls).
Software Update Service. Este servicio se ha diseado para ofrecer una solucin de actualizaciones de seguridad a los clientes Windows en la empresa.
Soluciona las deficiencias que las actualizaciones de Windows Update suponan para las organizaciones de mayor tamao, permitiendo las pruebas internas y la
administracin distribuida de las actualizaciones de seguridad. Para obtener informacin sobre el uso de este servicio para desarrollar una solucin para su
organizacin, consulte la pgina principal de Software Update Services en Microsoft.com:
http://www.microsoft.com/windowsserversystem/sus/ (en ingls).
Systems Management Server 2003. Microsoft Systems Management Server 2003 es una completa solucin de administracin empresarial que puede ofrecer
servicios de actualizaciones de seguridad, entre otras muchas cosas. Para obtener ms informacin sobre esta solucin, consulte la pgina principal de Systems
Management Server en Microsoft.com:
http://www.microsoft.com/smserver/default.asp (en ingls).
Cada una de estas herramientas de actualizaciones de seguridad de Microsoft tiene ventajas y objetivos concretos. Probablemente la mejor alternativa sea utilizar ms
de una. Para ayudarle a evaluar las soluciones de actualizaciones de seguridad disponibles, consulte la comparacin de caractersticas proporcionada en la pgina
"Choosing a Security Update Management Solution" en Microsoft.com:
http://www.microsoft.com/windowsserversystem/sus/suschoosing.mspx (en ingls).
Paso 3: Habilitar un servidor de seguridad basado en host
El servidor de seguridad personal o basado en host representa una capa relevante para la defensa del cliente que se debe habilitar, especialmente en los equipos
porttiles que los usuarios pueden utilizar fuera de las habituales defensas fsicas y de red de la organizacin. Estos servidores de seguridad filtran todos los datos que
intentan entrar o salir de un determinado equipo host.
Windows XP incluye un sencillo servidor de seguridad personal denominado Servidor de seguridad de conexin a Internet (ICF). Una vez habilitado, ICF supervisa todos
los aspectos de la comunicacin. Adems, ICF inspecciona las direcciones de origen y destino de cada paquete de datos para garantizar que se permiten todas las
comunicaciones. Para obtener ms informacin sobre ICF, consulte el sistema de Ayuda de Windows XP y la pgina "Use the Internet Connection Firewall" en
Microsoft.com:
http://www.microsoft.com/windowsxp/pro/using/howto/networking/icf.asp (en ingls).
Windows XP Service Pack 2 introduce algunas mejoras significativas en ICF (ahora denominado Windows Firewall), as como mejoras orientadas a la seguridad. Un
Service Pack es un conjunto probado de todas las revisiones, actualizaciones de seguridad, actualizaciones fundamentales y actualizaciones creadas para los defectos
detectados internamente que se han generado desde la salida de un producto. Los Service Packs pueden adems incluir un nmero limitado de caractersticas o
cambios en el diseo solicitados por el propio cliente. Para obtener informacin sobre esta actualizacin para Windows XP, consulte la pgina de Windows XP Service
Pack 2 en Microsoft TechNet:
http://www.microsoft.com/technet/prodtechnol/winxppro/sp2preview.mspx (en ingls).
Las versiones anteriores a Windows XP no se suministraban con un servidor de seguridad integrado. Existen soluciones de servidor de seguridad basado en host de
terceros que se pueden instalar tanto para ofrecer estos servicios a las versiones anteriores de Windows como para mejorarlos en clientes Windows XP. Para obtener
11/12/2013
Pgina 16 de 47
informacin sobre estos productos de servidor de seguridad, consulte la pgina "Frequently Asked Questions About Internal Firewalls" en el sitio Web Protect Your PC
de Microsoft:
http://www.microsoft.com/security/protect/firewall.asp (en ingls).
Paso 4: Instalar software antivirus
Gran cantidad de empresas fabrican aplicaciones antivirus con las que intentan proteger el equipo host sin suponer molestias para los usuarios y teniendo la menor
interaccin posible con ellos. La mayora de estas aplicaciones han resultado muy eficaces en la proteccin, aunque todas exigen actualizaciones frecuentes para estar
al da sobre el nuevo software malintencionado. Toda solucin antivirus debe ofrecer un mecanismo rpido y directo que garantice que se reciben lo antes posible las
actualizaciones de los archivos de firma necesarias para tratar el software malintencionado tanto nuevo como con variantes. Un archivo de firma contiene informacin
que los programas antivirus utilizan para detectar software malintencionado durante una comprobacin. Se han diseado de forma que los proveedores de la
aplicacin antivirus los actualicen con regularidad y se descarguen en el equipo cliente.
Nota: estas actualizaciones tambin pueden presentar un riesgo de seguridad, ya que los archivos de firma se envan desde el sitio de soporte de la aplicacin antivirus
a la aplicacin host (normalmente, a travs de Internet). Por ejemplo, si el mecanismo de transferencia utiliza el protocolo de transferencia de archivos (FTP) para
obtener el archivo, los servidores de seguridad perimetrales de la organizacin deben permitir el acceso con este protocolo al servidor FTP en Internet. Asegrese de
revisar el mecanismo de actualizacin durante el proceso de evaluacin de riesgos antivirus y comprobar que cumple los requisitos de seguridad de su organizacin.
Debido a que las tcnicas y patrones del software malintencionado se encuentran en continuo cambio, algunas organizaciones han adoptado un mtodo que
recomienda que algunos usuarios de "alto riesgo" ejecuten ms de un paquete antivirus en el mismo equipo para minimizar el riesgo de que no se detecte la presencia
de software malintencionado. En esta categora se incluyen los siguientes tipos de usuarios:
Administradores Web o cualquier individuo que administre el contenido en Internet o en una intranet.
Empleados de los laboratorios de versiones o cualquiera que produzca medios electrnicos, como CD-ROM.
Miembros del equipo de desarrollo que crean o compilan archivos comprimidos u otro producto de software.
Hay que tener en cuenta que la ejecucin de aplicaciones antivirus de varios proveedores de aplicaciones en el mismo equipo puede causar problemas debido a la
interoperabilidad entre las aplicaciones antivirus. Algunos de los problemas ms comunes que pueden surgir en un entorno en el que se ejecute ms de un producto
antivirus son:
Sobrecarga de la memoria. Muchas aplicaciones antivirus utilizan agentes activos que permanecen residentes en la memoria, reduciendo as la cantidad de
memoria disponible en el sistema.
Bloqueos del sistema o errores de detencin. Estos bloqueos y errores se pueden deber a que las aplicaciones antivirus intentan comprobar el mismo archivo
a la vez.
Prdida del rendimiento. A medida que las aplicaciones antivirus exploran los archivos para comprobar si existe cdigo malintencionado, el rendimiento del
sistema puede disminuir. Con varias aplicaciones antivirus, las comprobaciones se realizan varias veces, lo que puede reducir el rendimiento del sistema hasta
llegar a un nivel inaceptable.
Prdida de acceso al sistema. Cuando se intentan ejecutar a la vez varias aplicaciones antivirus, puede que el sistema se detenga durante el inicio. Este
problema es ms habitual en versiones anteriores de Windows, como Microsoft Windows NT y Windows 9x.
Por todo ello, el uso de varias aplicaciones antivirus en el mismo equipo no es una prctica aconsejable y se debe evitar en la medida de lo posible.
Un mtodo alternativo consiste en utilizar software antivirus de distintos proveedores para la defensa del cliente, del servidor y de la red de la organizacin. De este
modo, se realiza una comprobacin coherente de las distintas zonas de la infraestructura con diferentes motores de comprobacin, lo que debe contribuir a reducir el
riesgo que correran todas las defensas antivirus si el producto de un nico proveedor no detectase un ataque.
Para obtener ms informacin sobre proveedores de antivirus, consulte "Microsoft Antivirus Partners" en Microsoft.com:
http://www.microsoft.com/security/partners/antivirus.asp (en ingls).
Para obtener ms informacin sobre software antivirus diseado para Windows XP, consulte la pgina de antivirus de "Microsoft Windows Catalog" en Microsoft.com:
http://go.microsoft.com/fwlink/?LinkId=28506 (en ingls).
Paso 5: Realizar pruebas con un escner de vulnerabilidades
Una vez configurado un sistema, se debe comprobar peridicamente para garantizar que no aparecen puntos dbiles para la seguridad. Para ayudarle con este
proceso, determinadas aplicaciones actan de escner y buscan los puntos dbiles de los que software malintencionado e intrusos se pueden intentar aprovechar. La
mejor de estas herramientas actualiza las propias rutinas de exploracin para defender el sistema contra los puntos dbiles ms recientes.
Microsoft Baseline Security Analyzer (MBSA) supone un ejemplo de escner de vulnerabilidades, capaz de comprobar los problemas habituales de la configuracin de
seguridad. Este escner tambin garantiza que el host se ha configurado con las actualizaciones de seguridad ms recientes.
Para obtener ms informacin sobre esta herramienta de configuracin gratuita, consulte la pgina de Microsoft Baseline Security Analyzer V1.2 en TechNet:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx (en ingls).
Paso 6: Usar directivas de privilegio mnimo
Otra zona de las defensas del cliente que no se debe pasar por alto es la de los privilegios asignados a los usuarios en funcionamiento normal. Microsoft recomienda
adoptar una directiva que ofrezca la menor cantidad de privilegios posible, a fin de reducir al mnimo el impacto del software malintencionado que se aprovecha de los
privilegios al ejecutarse. Dicha directiva resulta especialmente importante para los usuarios que suelen contar con privilegios administrativos locales. Contemple la
posibilidad de quitar esos privilegios para las operaciones diarias y, en su lugar, utilizar el comando RunAs para abrir las herramientas de administracin pertinentes
cuando resulte necesario.
Por ejemplo, un usuario que necesita instalar una aplicacin que requiere privilegios de administracin puede ejecutar el siguiente comando de instalacin en el
smbolo del sistema para abrir el programa de instalacin con los privilegios correspondientes:
11/12/2013
Pgina 17 de 47
runas /user:mi_dominio\admin "setup.exe"
Tambin puede obtener acceso directo a esta caracterstica en el Explorador de Windows, mediante los siguientes pasos:
Para ejecutar un programa con privilegios administrativos
1. En el Explorador de Windows, seleccione el programa o herramienta que desea abrir (como un complemento de Microsoft Management Console (MMC) o el
Panel de control).
2. Haga clic con el botn secundario en el programa o herramienta y seleccione Ejecutar como.
Nota: si Ejecutar como no aparece como opcin, mantenga presionada la tecla Mays mientras hace clic con el botn secundario en la herramienta.
3. En el cuadro de dilogo Ejecutar como, elija la opcin El siguiente usuario:.
4. En los cuadros Nombre de usuario y Contrasea, escriba el nombre de usuario y la contrasea para la cuenta de administrador que desea utilizar.
Paso 7: Restringir aplicaciones no autorizadas

Si una aplicacin proporciona un servicio a la red, como mensajera instantnea de Microsoft o un servicio Web, en teora se podra convertir en el objetivo de un
ataque de software malintencionado. Como parte de la solucin antivirus, se puede plantear producir una lista de aplicaciones autorizadas para la organizacin. Si se
intenta instalar una aplicacin no autorizada en cualquiera de los equipos cliente, se podra exponer a stos y los datos que contienen a un mayor riesgo de software
malintencionado.
Si la organizacin desea restringir las aplicaciones no autorizadas, puede utilizar Directiva de grupo de Windows para limitar la capacidad de los usuarios de ejecutar
software no autorizado. El uso de Directiva de grupo ya se ha documentado ampliamente y podr encontrar informacin detallada sobre el mismo en Windows Server
2003 Group Policy Technology Center en Microsoft.com:
www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/ (en ingls).
El rea especfica de Directiva de grupo que trata esta caracterstica se denomina Directiva de restriccin de software, a la que se puede obtener acceso a travs del
complemento estndar Directiva de grupo de la consola de administracin de MMC (GPMC). La siguiente ilustracin muestra una pantalla GPMC con la ruta en donde
puede establecer las directivas de restriccin de software para los equipos y usuarios:
Figura 3.3 Ruta a las carpetas de las directivas de restriccin de software en el complemento Directiva de grupo de MMC'
Para obtener acceso directo a este complemento desde un cliente con Windows XP, realice los pasos siguientes:
1. Haga clic en Inicio y, a continuacin, en Ejecutar.

2. Escriba secpol.msc y haga clic en Aceptar.
Aunque no forma parte de la finalidad principal de esta gua dar una explicacin detallada de todas las posibilidades de valores, el artculo "Using Software Restriction
Policies to Protect Against Unauthorized Software" en TechNet:
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx (en ingls) le ofrecer instrucciones paso a paso sobre el uso de esta eficaz
caracterstica del sistema operativo Windows XP Professional.
Advertencia: Directiva de grupo es una tecnologa de extrema eficacia que necesita una configuracin cuidadosa, adems de conocimientos profundos, para
implementarla correctamente. No intente cambiar la configuracin directamente si no conoce en profundidad los valores de la directiva y no ha probado los resultados
en un sistema no que sea de produccin.
Configuracin antivirus en aplicaciones clientes
11/12/2013
Pgina 18 de 47
En las siguientes secciones, se ofrecen directrices para configurar determinadas aplicaciones clientes que pueden ser objetivos del software malintencionado.
Clientes de correo electrnico
Si software malintencionado consigue traspasar las defensas antivirus en la red y el servidor de correo electrnico, deben existir algunos valores que se puedan
configurar para ofrecer mayor proteccin al cliente de correo electrnico.
Por lo general, la posibilidad que tiene un usuario de abrir directamente documentos adjuntos desde el mensaje de correo electrnico supone una de las principales
formas de propagacin de software malintencionado en el cliente. Si puede, limite esta capacidad en los sistemas de correo electrnico de la organizacin. De no ser
posible, algunos clientes permiten configurar pasos adicionales que los usuarios debern realizar antes de abrir un archivo adjunto. Por ejemplo, en Microsoft
Outlook y Outlook Express, se puede realizar lo siguiente:
Utilizar las zonas de seguridad de Internet Explorer para deshabilitar contenido activo en los mensajes de correo electrnico en HTML.
Habilitar una opcin de forma que los usuarios slo puedan leer los mensajes en texto.
Impedir que los programas enven mensajes de correo electrnico sin especificar la aprobacin del usuario.
Bloquear archivos adjuntos en los mensajes no seguros.
Para obtener informacin sobre la forma de configurar estas caractersticas, consulte el artculo de Microsoft Knowledge Base "291387 - OLEXP: Using Virus Protection
features in Outlook Express 6" en:
http://support.microsoft.com/?kbid=291387
Microsoft Outlook 2003 incluye caractersticas adicionales para proteger contra software malintencionado y correo no deseado. Para encontrar informacin sobre la
configuracin de estas caractersticas, consulte la pgina "Customizing Outlook 2003 to Help Prevent Viruses" en Microsoft.com:
www.microsoft.com/office/ork/2003/three/ch12/ (en ingls).
Aplicaciones de escritorio
A medida que las aplicaciones de escritorio se consolidan, tambin se convierten en objetivos del software malintencionado. Los virus de macro utilizan los archivos
creados en el procesador de texto, hoja de clculo u otra aplicacin habilitada por macros para replicarse.
Siempre que sea posible, debe tomar medidas que aseguren que se ha habilitado la configuracin de seguridad ms apropiada en todas las aplicaciones del entorno
que trabajan con estos archivos. Para obtener informacin sobre la seguridad de las aplicaciones de Microsoft Office 2003, consulte la pgina "Best practices for
protection from viruses" en Microsoft.com:
http://go.microsoft.com/fwlink/?LinkId=28509 (en ingls).
Aplicaciones de mensajera instantnea
El fenmeno de la mensajera instantnea ha servido para mejorar la comunicacin entre usuarios de todo el mundo. Por desgracia, tambin tiene el potencial de
permitir que software malintencionado se introduzca en el sistema. Aunque los mensajes de texto no presentan una amenaza directa de software malintencionado, la
mayora de los clientes de mensajera instantnea ofrecen la posibilidad de transferencia de archivos, para mejorar la comunicacin entre los usuarios. Al permitir esta
transferencia, se presenta ante los posibles ataques por software malintencionado una ruta directa a la red de la organizacin.
Los servidores seguros de la red pueden bloquear este tipo de transferencias de archivos con tan solo filtrar los puertos utilizados para esta comunicacin. Por ejemplo,
los clientes con Microsoft Windows y MSN Messenger utilizan un intervalo de puertos TCP entre 6891 y 6900 para la transferencia de archivos, por lo que, si el
servidor de seguridad perimetral los bloquea, no se producir la transferencia de archivos a travs de la mensajera instantnea. No obstante, los equipos cliente
mviles slo estarn protegidos mientras se encuentren en la red de la organizacin. Por todo ello, se aconseja configurar en los clientes el servidor de seguridad
basado en host para bloquear estos puertos y proteger los clientes mviles de la organizacin cuando se encuentren fuera de las defensas de la red.
Si la organizacin no puede bloquear estos puertos porque otras aplicaciones necesarias los requieren o porque la transferencia de archivos es precisa, se debe
asegurar de que se comprueban todos los archivos antes la transferencia. Si las estaciones de trabajo clientes no utilizan un escner antivirus en tiempo real, configure
la aplicacin de mensajera instantnea para que los archivos transferidos pasen automticamente a una aplicacin antivirus y se comprueben en cuanto se hayan
recibido. Por ejemplo, puede configurar MSN Messenger para comprobar automticamente los archivos transferidos. En los siguientes pasos, se muestra la forma de
habilitar esta caracterstica de seguridad:
Nota: la aplicacin Windows Messenger incluida en Windows XP no admite esta caracterstica, por lo que se debe utilizar un escner antivirus con ella.
Para comprobar archivos transferidos a travs de MSN Messenger
1. En la ventana principal de MSN Messenger, haga clic en el men Herramientas y, a continuacin, en Opciones.
2. Seleccione la ficha Mensajes.
3. En Transferencia de archivos, active la casilla de verificacin Examinar los archivos en busca de virus usando:.
4. Haga clic en Examinar, seleccione el software antivirus que est utilizando y elija Aceptar.
Nota: para encontrar el archivo ejecutable correcto y el parmetro de comandos que incluir aqu, puede que sea necesario obtener ms informacin del
proveedor de software antivirus.
Una vez realizados estos pasos, el software antivirus comprobar todos los archivos recibidos a travs de MSN Messenger en el cliente.
Nota: puede que la herramienta de comprobacin antivirus que est utilizando necesite pasos adicionales de configuracin. Compruebe las instrucciones del software
para obtener ms informacin.
Exploradores Web
11/12/2013
Pgina 19 de 47
Antes de descargar o ejecutar cdigo de Internet, se debe asegurar de que proviene de una fuente conocida y confiable. Los usuarios no pueden confiar nicamente
en el aspecto o la direccin del sitio, ya que tanto las pginas como las direcciones Web se pueden falsificar.
Existen varias tcnicas y tecnologas que se han desarrollado para ayudar al explorador Web de un usuario a determinar la confiabilidad del sitio Web que se estn
examinando. Por ejemplo, Microsoft Internet Explorer utiliza la tecnologa Microsoft Authenticode para comprobar la identidad del cdigo descargado. Esta
tecnologa comprueba que el cdigo tiene un certificado vlido, que la identidad del fabricante de software coincide con el certificado y que ste sigue siendo vlido.
Si se superan todas estas pruebas, se habrn reducido las posibilidades de que un atacante haya introducido cdigo malintencionado en el sistema.
La mayora de los principales exploradores Web admiten la posibilidad de restringir el nivel de acceso automatizado disponible a cdigo que se ejecuta desde un
servidor Web. Internet Explorer utiliza zonas de seguridad que reducen la posibilidad de que el contenido Web realice operaciones que puedan resultar perjudiciales
en el cliente. Estas zonas de seguridad se basan en la ubicacin (zona) del contenido Web.
Por ejemplo, si confa en que todo lo descargado en la intranet de la organizacin es seguro, puede establecer la configuracin de seguridad de los clientes de la zona
de intranet en un nivel bajo, de modo que los usuarios puedan descargar contenido de la intranet con pocas o ninguna restriccin. Sin embargo, si el origen de la
descarga se encuentra en la zona de Internet o la zona de los sitios restringidos, debe establecer la configuracin de seguridad del cliente en un nivel medio o elevado.
De este modo, los exploradores de los clientes enviarn al usuario informacin sobre el certificado del contenido antes de descargarlo o impedirn que lo haga.
Para obtener ms informacin sobre temas relacionados con la seguridad, consulte la pgina "Internet Explorer Security Center" en Microsoft.com:
http://www.microsoft.com/technet/security/prodtech/ie/default.mspx (en ingls).
Aplicaciones de igual a igual
Con la llegada de las aplicaciones de igual a igual (P2P) para Internet, se ha favorecido ms que nunca la tarea de encontrar e intercambiar archivos con otros
individuos. Por desgracia, esta situacin ha llevado a diversos ataques de software malintencionado que intentan utilizar dichas aplicaciones para replicar archivos en
los equipos de otros usuarios. Gusanos como W32.HLLW.Sanker han apuntado a las aplicaciones P2P, como Kazaa, para realizar las mencionadas replicaciones. Existen
muchos ms ejemplos de software malintencionado que intentan utilizar esas aplicaciones, como Morpheus y Grokster.
Los problemas de seguridad que afectan a las aplicaciones P2P tienen poco que ver con los propios programas clientes. Por el contrario, guardan ms relacin con la
capacidad de estas aplicaciones de ofrecer rutas directas de un equipo a otro a travs de las cuales se puede transmitir contenido sin las comprobaciones de seguridad
correspondientes.
En la medida de lo posible, Microsoft recomienda limitar la cantidad de clientes de la organizacin que utilizan estas aplicaciones. Se pueden utilizar las directivas de
restriccin de software de Windows tratadas anteriormente en este captulo para bloquear a los usuarios que las utilicen. De no ser posible en el entorno, asegrese de
que las directivas antivirus tienen en cuenta que los clientes corren mayor riesgo debido a estas aplicaciones.
Defensas del servidor

Las defensas del servidor en el entorno tienen mucho en comn con las defensas del cliente: ambas intentan proteger el mismo entorno del equipo bsico. La
diferencia principal entre ellas radica en que, por lo general, hay expectativas mucho mayores puestas en las defensas del servidor, en cuanto a confiabilidad y
rendimiento. Adems, las funciones dedicadas que muchos servidores realizan en la infraestructura de una organizacin a menudo conducirn a una solucin de
defensa especializada. La informacin de las siguientes secciones se centra en las principales diferencias entre las defensas del servidor y las defensas del cliente
anteriormente mencionadas.
Pasos de proteccin antivirus del servidor

Las configuraciones antivirus del servidor varan en gran medida, segn la funcin del servidor concreto y los servicios que, segn su diseo, debe ofrecer. El proceso
de minimizar el mbito de ataque de un servidor se denomina a veces consolidacin. Hay excelentes instrucciones disponibles sobre la consolidacin de Windows
Server 2003 cuando se utiliza con varias funciones habituales en una organizacin. Para obtener ms informacin sobre este tema, consulte la pgina "Server Security
Index" en Microsoft.com:
http://www.microsoft.com/security/guidance/topics/ServerSecurity.mspx (en ingls).
Entre los pasos para defender los servidores en la organizacin, cuatro de los bsicos son los mismos que para los clientes.
1. Reducir el mbito de ataque. Elimine servicios y aplicaciones no deseados de los servidores para minimizar el mbito de ataque.
2. Aplicar actualizaciones de seguridad. Asegrese de que todos los equipos servidores ejecutan las actualizaciones de seguridad ms recientes, si es posible.
Lleve a cabo las pruebas adicionales que sean necesarias para garantizar que los servidores que realizan misiones crticas no se ven perjudicados por las nuevas
actualizaciones.
3. Habilitar el servidor de seguridad basado en host. Windows Server 2003 incluye un servidor de seguridad basado en host que se puede utilizar para reducir
el mbito de ataque en los servidores, as como para quitar servicios y aplicaciones no deseados.
4. Realizar pruebas con escneres de vulnerabilidades. Utilice MBSA en Windows Server 2003 para identificar las posibles vulnerabilidades en la configuracin
de un servidor. Microsoft recomienda utilizar sta y otras comprobaciones de vulnerabilidades especializadas para garantizar una configuracin lo ms slida
posible.
Adems de estos pasos antivirus habituales, puede utilizar el siguiente software especfico de servidor como parte de las defensas antivirus generales del servidor.
Software antivirus general para el servidor
La diferencia principal entre las aplicaciones antivirus diseadas para los entornos clientes (como Windows XP) y las diseadas para los servidores (como Windows
Server 2003) ha sido el nivel de integracin entre el escner basado en servidor y cualquier servicio basado en servidor, como los servicios de mensajera de bases de
datos. Gran cantidad de aplicaciones antivirus basadas en el servidor tambin ofrecen capacidad de administracin remota para minimizar la necesidad de acceso fsico
a la consola de ste.
Entre los dems asuntos importantes que se deben tener en cuenta al evaluar software antivirus para el entorno de servidores se incluyen:
11/12/2013
Pgina 20 de 47
Utilizacin de la CPU durante la comprobacin. En un entorno de servidor, el uso de la CPU representa un componente crtico de la capacidad del servidor de
realizar su funcin principal para la organizacin.
Confiabilidad de la aplicacin. Un bloqueo del sistema en un importante servidor de centro de datos causa un impacto mucho mayor que el bloqueo de una
nica estacin de trabajo. Por tanto, Microsoft recomienda probar exhaustivamente todas las aplicaciones antivirus basadas en servidor para garantizar la
confiabilidad del sistema.
Carga de la administracin. La capacidad de la aplicacin antivirus de administrarse a s misma puede servir para reducir la carga administrativa de los equipos
de administracin del servidor en la organizacin.
Interoperabilidad de la aplicacin. Se debe probar la aplicacin antivirus con los mismos servicios y las mismas aplicaciones basados en el servidor que el
servidor de produccin ejecutar para asegurar que no se producen problemas de interoperabilidad.
Software y configuraciones antivirus especficos de la funcin

Actualmente hay aplicaciones, herramientas y configuraciones antivirus especializadas disponibles para funciones especficas del servidor de la empresa. Entre los
ejemplos de funciones del servidor que pueden sacar provecho de este tipo de defensa antivirus especializada se incluyen:
Servidores Web, como Servicios de Internet Information Server (IIS) de Microsoft.

Servidores de mensajera, como Microsoft Exchange 2003.
Servidores de bases de datos, como los que ejecutan Microsoft SQL Server 2000.
Servidores de colaboracin, como los que ejecutan Microsoft Windows SharePoint Services y Microsoft Office SharePoint Portal Server 2003.
Las soluciones antivirus especficas de la aplicacin ofrecen mayor proteccin y rendimiento puesto que se han diseado para integrarse con un servicio concreto en
lugar de intentar funcionar de forma subyacente al servicio en el nivel del sistema de archivos. Todas las funciones de servidor abordadas en esta seccin son
responsables de la informacin que no sera accesible a un escner antivirus que funcione en el nivel del sistema de archivos. Tambin se facilita informacin sobre
cada una de dichas funciones del servidor y sobre cmo Microsoft recomienda utilizar aplicaciones, herramientas y configuraciones antivirus especficas con ellas.
Servidores Web
Los servidores Web de todo los tipos de organizacin han sido objetivo de ataques de seguridad durante cierto tiempo. Independientemente de que un ataque
provenga de software malintencionado como CodeRed o un intruso que intenta daar el sitio Web de una organizacin, resulta importante que la configuracin de
seguridad en los servidores Web se configuren lo bastante para maximizar las defensas contra dichos ataques. Microsoft ha elaborado instrucciones especficas para
los administradores de sistemas responsables de proteger los servidores con IIS en la red en "Chapter 8 - Hardening IIS Servers" de Windows Server 2003 Security Guide
en Microsoft.com:
http://www.microsoft.com/technet/security/prodtech/win2003/w2003hg/sgch08.mspx (en ingls).
Adems de estas instrucciones, existen algunas herramientas gratuitas que se pueden descargar y que realizarn automticamente algunas configuraciones de
seguridad en IIS. Por ejemplo, la herramienta IIS Lockdown Tool se encuentra disponible en Microsoft.com:
http://www.microsoft.com/technet/security/tools/locktool.mspx (en ingls).
Esta herramienta se utiliza para ajustar el servidor Web de modo que ofrezca slo los servicios inherentes a su funcin y reduciendo, por tanto, el mbito de ataque del
servidor ante cualquier software malintencionado.
UrlScan es otra herramienta de seguridad que limita los tipos de solicitudes HTTP que IIS procesar. De este modo, UrlScan impide que solicitudes potencialmente
perjudiciales lleguen al servidor. Ya puede instalar fcilmente UrlScan 2.5 en los servidores con IIS 4.0 o posterior. Para obtener ms informacin sobre UrlScan,
consulte la pgina "UrlScan Security Tool" en Microsoft.com:
http://www.microsoft.com/technet/security/tools/urlscan.mspx (en ingls).
Servidores de mensajera
Hay dos objetivos que se deben tener en cuenta al disear una solucin antivirus eficaz para los servidores de correo electrnico en la organizacin. El primero consiste
en proteger los propios servidores de software malintencionado. El segundo consiste en impedir que cualquier software malintencionado se introduzca en el sistema
de correo electrnico hasta los buzones de los usuarios en la organizacin. Resulta fundamental garantizar que la solucin antivirus instalada en los servidores de
correo pueda lograr ambos objetivos.
En trminos generales, las soluciones antivirus de comprobacin de archivos no pueden evitar que un servidor de correo enve software malintencionado a los clientes
en forma de archivo adjunto. Hasta los servicios de correo electrnico ms sencillos almacenan los mensajes en una base de datos de algn tipo, lo que se conoce
algunas veces como el almacn de mensajes. Una solucin antivirus de comprobacin de archivos habitual no puede obtener acceso al contenido de tal base de datos.
De hecho, este tipo de solucin podra daar un almacn de mensajes si tuviese permiso para intentar realizar comprobaciones a travs de una asignacin de unidades
(como la unidad M: en Exchange Server 5.5 y Exchange Server 2000).
Resulta importante que la solucin antivirus corresponda con la solucin de correo electrnico actual. Gran cantidad de proveedores de software antivirus ya ofrecen
versiones dedicadas para servidores de correo especficos y que se han diseado para comprobar la existencia de software malintencionado en los mensajes que
entran en el sistema de correo. En general, existen dos tipos bsicos de soluciones antivirus para correo electrnico:
Escneres de puerta de enlace SMTP. Estas soluciones de comprobacin de correo basadas en el protocolo simple de transferencia de correo (SMTP) se
suelen conocer como soluciones antivirus de "puerta de enlace". Tienen la ventaja de que trabajan con todos los servicios de correo electrnico SMTP, en lugar
de estar vinculado a un producto de servidor de correo concreto. Sin embargo, estas soluciones estn limitadas en algunas de las caractersticas ms avanzadas
que pueden ofrecer, debido a su dependencia del protocolo de correo SMTP.
Escneres de servidor integrados. Estas aplicaciones antivirus especializadas funcionan directamente con un producto de servidor de correo concreto. Aportan
varias ventajas. Por ejemplo, se pueden integrar directamente con funciones avanzadas del servidor, ya que se han diseado para utilizar el mismo hardware
que el servidor de correo.
11/12/2013
Pgina 21 de 47
Microsoft Exchange proporciona una interfaz de programacin de aplicaciones (API) antivirus especfica denominada API de virus (VAPI), a la que tambin se conoce
como API antivirus (AVAPI) o API de comprobacin de virus (VSAPI). Aplicaciones antivirus especializadas de Exchange Server utilizan esta API para ofrecer proteccin
total de los mensajes de forma segura y confiable en servidores de correo Exchange. Para obtener ms informacin sobre esta API, consulte el artculo de Microsoft
Knowledge Base "328841 XADM: Exchange and Antivirus Software" en Microsoft.com:
Servidores de bases de datos
Al considerar las defensas antivirus de un servidor de bases de datos, hay cuatro elementos principales que se deben proteger:
Host. El servidor o servidores que ejecutan la base de datos.

Servicios de bases de datos. Las distintas aplicaciones del host que proporcionan el servicio de base de datos en la red.
Almacn de datos. La informacin almacenada en la base de datos.
Comunicacin de datos. Las conexiones y los protocolos que se utilizan entre el host de la base de datos y los dems hosts en la red.
Puesto que la informacin incluida en el almacn de datos no se puede ejecutar, se suele pensar que no es necesario comprobar los almacenes de datos. Actualmente,
no existen aplicaciones antivirus importantes diseadas especialmente para los almacenes de datos. No obstante, se deben tener en cuenta al host, los servicios de
bases de datos y la comunicacin de datos en el servidor de bases de datos para las configuraciones antivirus.
Se deben revisar la ubicacin y configuracin del host contra amenazas de software malintencionado. Como norma general, Microsoft no recomienda ubicar los
servidores de bases de datos en la red perimetral de la infraestructura de una organizacin, especialmente si los servidores almacenan informacin confidencial. Pero si
es necesario ubicarlo en la red perimetral, asegrese de que el servidor de bases de datos se ha configurado para reducir al mnimo el riesgo de una infeccin por
software malintencionado.
Si su organizacin utiliza SQL Server, consulte las siguientes instrucciones para obtener ms informacin sobre las directrices especficas de configuracin de ataques
por software malintencionado:
El artculo de Microsoft Knowledge Base "309422 INF: Consideration for a Virus Scanner On a Computer That Is Running SQL Server" en Microsoft.com:
La pgina "Security Resources" de Microsoft SQL Server en Microsoft.com:
www.microsoft.com/sql/techinfo/administration/2000/security/ (en ingls).
El reciente ataque del gusano "Slammer" apunt directamente a SQL Server. Este ataque demostr la importancia de proteger los equipos con bases de datos SQL
Server, independientemente de si residen en la red interna o perimetral.
Para obtener informacin y software que le garantice que los sistemas SQL Server estn protegidos contra el gusano Slammer, consulte la pgina "Finding and Fixing
Slammer Vulnerabilities" en Microsoft.com:
http://www.microsoft.com/security/incident/slammer.mspx (en ingls).
Servidores de colaboracin
La misma naturaleza de los servidores de colaboracin los convierte en vulnerables a software malintencionado. Cuando los usuarios copian archivos a y desde los
servidores, pueden dejar expuestos a los servidores y otros usuarios de la red ante un ataque de software malintencionado. Microsoft recomienda proteger los
servidores de colaboracin del entorno (como los que ejecutan SharePoint Services y SharePoint Portal Server 2003) con una aplicacin antivirus que pueda comprobar
todos los archivos copiados a y desde el almacn de colaboracin. Para obtener informacin paso a paso detallada sobre la proteccin de estos servicios, consulte la
pgina "Configuring Antivirus Protection" de Administrators Guide for Windows SharePoint Services en Microsoft.com:
http://www.microsoft.com/resources/documentation/wss/2/all/adminguide/en-us/stse11.mspx (en ingls).
La capa de defensa de la red

Los ataques que tienen lugar a travs de la red representan el mayor nmero de incidencias registradas de software malintencionado. Normalmente, los ataques de
este tipo de software comenzarn por aprovechar los puntos dbiles en las defensas del permetro de la red a fin de tener acceso a los dispositivos host dentro de la
infraestructura de TI de la organizacin. Estos dispositivos podran ser clientes, servidores, enrutadores o incluso servidores de seguridad. Uno de los problemas ms
difciles a los que se enfrentan las defensas antivirus en esta capa consiste en buscar el equilibrio entre los requisitos de caractersticas de los usuarios de los sistemas
de TI y las limitaciones necesarias para establecer una defensa eficaz. Por ejemplo, al igual que numerosos ataques recientes, el gusano MyDoom utilizaba un archivo
adjunto de correo electrnico para replicarse. Desde la perspectiva de la infraestructura de TI, la opcin ms sencilla y segura consiste en bloquear todos los archivos
adjuntos entrantes. Sin embargo, puede que los requisitos de los usuarios de correo electrnico de su organizacin no permitan que sea una opcin viable. Por tanto,
es necesario llegar a un compromiso que consiga un equilibrio entre los requisitos de la organizacin y el nivel de riesgo que sta puede aceptar.
Muchas organizaciones han adoptado un enfoque multicapa en relacin al diseo de sus redes que utiliza tanto estructuras de red interna como externa. Microsoft
recomienda este mtodo porque se adapta directamente al modelo de seguridad de defensa en profundidad.
Nota: hay una tendencia creciente a dividir la red interna en zonas de seguridad para establecer un permetro en cada una de ellas. Microsoft recomienda tambin este
enfoque, ya que ayuda a reducir la exposicin general a un ataque de software malintencionado que busca obtener acceso a la red interna. Sin embargo, en relacin a
la finalidad de esta gua, slo se describe la defensa de una nica red. Si tiene pensado utilizar un permetro y varias redes internas, puede aplicar esta instruccin
directamente a cada una.
Las primeras defensas de la red de la organizacin se denominan defensas de la red perimetral. Se han diseado para evitar que se introduzca software
malintencionado en la organizacin a partir de un ataque externo. Como se ha mencionado anteriormente en este captulo, un ataque normal de software
malintencionado se centra en copiar archivos en un equipo de destino. Por tanto, las defensas antivirus deben trabajar en combinacin con las medidas de seguridad
generales de la organizacin para garantizar que el acceso a los datos de la empresa slo se permite a personal autorizado y de forma segura (por ejemplo, a travs de
una conexin de red privada virtual (VPN) cifrada). Para obtener ms informacin sobre la creacin de un diseo de red perimetral seguro, consulte las instrucciones de
11/12/2013
Pgina 22 de 47
Microsoft Systems Architecture 2.0 en TechNet:

http://www.microsoft.com/resources/documentation/msa/2/all/solution/en-us/default.mspx (en ingls).
Nota: tambin se pueden tener en cuenta todas las redes de rea local (LAN) inalmbricas y VPN como redes perimetrales. Si su organizacin cuenta con estas
tecnologas, es importante garantizar su seguridad. Si no lo hace, podra permitir el acceso directo de un intruso a la red interna (saltndose las defensas perimetrales
estndar) para provocar un ataque.
Para obtener ms informacin sobre la seguridad de las redes WLAN, consulte los siguientes artculos en TechNet:
"Planning a Secure Wireless LAN using Windows Server 2003 Certificate Services" en:
http://www.microsoft.com/technet/security/guidance/secmod167.mspx (en ingls).
"Securing Wireless LANs - A Windows Server 2003 Certificate Services Solution" en:
http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/swlan.mspx (en ingls).
Para obtener instrucciones sobre la seguridad de las redes VPN, consulte el siguiente artculo en Microsoft.com:
"MSA Enterprise Design for Remote Access" en:

http://www.microsoft.com/resources/documentation/msa/2/all/solution/en-us/msa20rak/vmhtm128.mspx (en ingls).
En esta gua, se asume que el diseo de seguridad de la red proporciona a la organizacin el nivel de identificacin, autorizacin, cifrado y proteccin necesario para
defenderse contra la intrusin directa de un atacante no autorizado. Sin embargo, en este punto las defensas antivirus no estn completas. El siguiente paso consiste
en configurar las defensas de las capas de la red a fin de detectar y filtrar los ataques de software malintencionado que utilizan las comunicaciones de red permitidas,
como el correo electrnico, la exploracin Web y la mensajera instantnea.
Configuracin antivirus de la red

Existen varias configuraciones y tecnologas que estn diseadas especficamente para proporcionar seguridad de red a las organizaciones. Aunque se trata de partes
esenciales en el diseo de seguridad de una organizacin, esta seccin slo se centrar en las reas que tienen relacin directa con la defensa antivirus. Los equipos
que se ocupan del diseo y de la seguridad de la red debern determinar cmo se utilizarn cada una de las siguientes tcnicas en su organizacin.
Sistema de deteccin de intrusos en la red
Debido a que la red perimetral constituye una parte altamente expuesta, resulta de vital importancia que los sistemas de administracin de la red puedan detectar e
informar lo antes posible de un ataque. La funcin que cumple el sistema de deteccin de intrusos en la red (NID) es bsicamente esa: permitir un proceso rpido de
deteccin e informacin de ataques externos. Aunque el sistema NID forma parte del diseo de seguridad del sistema general y no de una herramienta antivirus
concreta, muchos de los primeros signos son comunes tanto a los ataques del software malintencionado como al sistema. Por ejemplo, algunos tipos de software
malintencionado utilizan la exploracin de IP para encontrar sistemas que puedan infectar. Por este motivo, el sistema NID se debe configurar para que funcione con
los sistemas de administracin de la red de la organizacin a fin de enviar advertencias directamente al personal de seguridad de la misma ante cualquier
comportamiento extrao.
Un aspecto clave es que con cualquier implementacin de NID, la efectividad de su proteccin es comparable al proceso que se sigue una vez que se detecta una
intrusin. Este proceso debe activar defensas, controladas constantemente en tiempo real, que se puedan utilizar para bloquear un ataque. Slo entonces se puede
considerar el proceso como parte de una estrategia de defensa. Si no es as, el sistema NID es ms bien una herramienta que proporciona una pista de auditora
despus de que se produce un ataque.
Hay distintos sistemas de deteccin de intrusos en la red de clase empresarial disponibles para los diseadores de redes. Pueden ser dispositivos independientes u
otros sistemas que se integran en otros servicios de red, como los servicios de servidor de seguridad de la organizacin. Por ejemplo, los productos Microsoft Internet
Security and Acceleration (ISA) Server 2000 y 2004 contienen capacidades NID, as como servicios de proxy y servidores de seguridad.
Para obtener una lista de los socios de Microsoft ISA Server que ofrecen servicios NID adicionales para ISA Server, consulte la pgina "Intrusion Detection" en
Microsoft.com:
http://www.microsoft.com/isaserver/partners/intrusiondetection.asp (en ingls).
Filtrado de aplicaciones
Las organizaciones encuentran no slo tiles sino tambin necesarias las tecnologas de filtrado de Internet para supervisar y examinar las comunicaciones de la red en
busca de contenido no legtimo, por ejemplo, virus. Tradicionalmente se ha realizado utilizando el filtrado de paquetes que proporcionan los servicios del servidor de
seguridad, que slo permite filtrar el trfico de la red segn una direccin IP de origen o destino o de un puerto de red TCP o UDP especfico. El filtrado de aplicaciones
(ALF) funciona a nivel de la capa de aplicaciones del modelo de redes OSI, por lo que permite que se examinen y se filtren los datos segn su contenido. Si se utiliza
ALF adems del filtrado de la capa de paquetes estndar, se puede lograr una mayor seguridad. Por ejemplo, el uso del filtrado de paquetes permite filtrar el trfico de
red del puerto 80 a travs del servidor de seguridad de la organizacin para que slo pueda pasar a sus servidores Web. Sin embargo, este mtodo puede que no
aporte suficiente seguridad. Agregar ALF a la solucin le permitira comprobar todos los datos que pasan a los servidores Web en el puerto 80 para asegurarse de que
son vlidos y no contienen cdigo sospechoso.
ISA Server puede proporcionar ALF en los paquetes de datos cuando pasan por un servidor de seguridad de la organizacin. La exploracin Web y el correo
electrnico se pueden analizar para garantizar que determinado contenido no incluye datos sospechosos, como correo no deseado o software malintencionado. La
capacidad ALF en ISA Server posibilita un anlisis en profundidad del contenido que incluye la deteccin, la inspeccin y la validacin del trfico con cualquier puerto o
protocolo. Para obtener una lista de proveedores que fabrican filtros que mejoran la seguridad y la interoperabilidad de distintos protocolos y trfico Web, consulte la
pgina "Partner Application Filters" en Microsoft.com:
http://www.microsoft.com/isaserver/partners/applicationfilters.asp (en ingls).
Para obtener una descripcin detallada de cmo funciona ALF en ISA Server 2000, consulte la pgina "Introducing the ISA Server 2000 Application Layer Filtering Kit"
en:
www.isaserver.org/articles/spamalfkit.html (en ingls).
Exploracin de contenido
11/12/2013
Pgina 23 de 47
La exploracin de contenido se encuentra disponible como caracterstica en soluciones ms avanzadas de servidores de seguridad o como un componente de un
servicio independiente, por ejemplo, el correo electrnico. La exploracin de contenido analiza los datos que tienen permiso para entrar o salir de la red de la
organizacin a travs de los canales de datos vlidos. Si se realiza en el correo electrnico, generalmente funciona con los servidores de correo electrnico para
comprobar determinadas caractersticas del correo, como los archivos adjuntos. Esta tcnica puede explorar e identificar contenido de software malintencionado en
tiempo real a medida que los datos pasan a travs del servicio. Microsoft colabora con distintos socios para ofrecer caractersticas de seguridad mejoradas, como la
exploracin de contenido antivirus en tiempo real, para Microsoft Exchange Server e ISA Server.
Para obtener ms detalles sobre los productos antivirus de nuestros socios disponibles para Microsoft Exchange Server 2003, consulte el artculo de Microsoft
Knowledge Base, "823166 "Overview of Exchange Server 2003 and Antivirus Software" en Microsoft.com:
http://support.microsoft.com/?kbid=823166 (en ingls).
Para obtener una lista de los socios de Microsoft que han desarrollado productos de exploracin de contenido para ISA Server, consulte la pgina "Partners" en
Microsoft.com:
http://www.microsoft.com/isaserver/partners/ (en ingls).
Filtrado de URL
Otra opcin disponible para los administradores de redes es el filtrado de URL, que se puede utilizar para bloquear sitios Web problemticos. Por ejemplo, podra
utilizar el filtrado de URL para bloquear sitios Web, servidores de descarga y servicios de correo electrnico HTTP personales de intrusos conocidos.
Nota: los principales sitios de servicios de correo electrnico HTTP (como Hotmail y Yahoo) ofrecen servicios de exploracin antivirus, pero existen muchos otros sitios
ms pequeos que no disponen de esta caracterstica. Este es un grave inconveniente para las defensas de una organizacin, ya que dichos servicios proporcionan una
ruta directa desde Internet a los clientes.
Los administradores de red pueden adoptar dos enfoques bsicos para el filtrado de URL:
Listas de bloqueados. El servidor de seguridad comprueba una lista predefinida de sitios problemticos antes de permitir la conexin. Slo se permite a los
usuarios conectarse con sitios que no estn en dicha lista.
Listas de admitidos. Este mtodo slo permite comunicaciones con sitios incluidos en una lista predefinida de sitios Web que han sido aprobados por la
organizacin.
El primer enfoque se basa en un proceso activo de identificacin de sitios Web que puedan resultar problemticos y su posterior incorporacin a la lista. Debido al
tamao y naturaleza variable de Internet, este mtodo exige una solucin automatizada o una carga de administracin significativa, y normalmente resulta til
solamente para bloquear un pequeo nmero de sitios problemticos conocidos en lugar de aportar una solucin de proteccin general. El segundo enfoque
proporciona una mayor proteccin debido a que su naturaleza restrictiva permite controlar los sitios disponibles para los usuarios del sistema. Sin embargo, a menos
que se lleve a cabo una investigacin adecuada que identifique todos los sitios que solicitan los usuarios, puede resultar demasiado restrictivo para muchas
organizaciones.
Microsoft ISA Server admite la creacin manual de ambas listas a travs de sus reglas de contenido y de sitios. No obstante, existen soluciones mejoradas y
automatizadas de los socios de Microsoft que trabajan directamente con ISA Server para garantizar que las direcciones URL se pueden bloquear o autorizar segn sea
necesario con un mnimo de carga de administracin. Una lista de estas soluciones se encuentra disponible en la pgina "Microsoft Internet Security and Acceleration
(ISA) Server Partners URL Filtering" en Microsoft.com:
http://www.microsoft.com/isaserver/partners/accesscontrol.asp (en ingls).
Ambos enfoques slo proporcionan proteccin mientras el cliente est dentro de las defensas de la organizacin. No est disponible cuando un cliente mvil se
conecta directamente a Internet mientras est fuera de la oficina, lo que significa que la red ser susceptible de un posible ataque. Si precisa una solucin de filtrado de
URL para los clientes mviles de su organizacin, debe considerar el uso de un sistema de defensa basado en clientes. Sin embargo, este enfoque puede suponer una
carga de administracin importante, especialmente en entornos con un gran nmero de clientes mviles.
Redes de cuarentena
Otra tcnica que puede utilizar para asegurar redes es la de establecer una red de cuarentena para equipos que no cumplan los requisitos de seguridad mnimos de su
organizacin.
Nota: esta tcnica no se debe confundir con la caracterstica de cuarentena disponible en algunas aplicaciones antivirus, que mueve un archivo infectado a un rea
segura del equipo hasta que se pueda limpiar.
Una red de cuarentena debe restringir, o incluso bloquear, el acceso interno a los recursos de la organizacin, pero proporcionar al mismo tiempo un nivel de
conectividad (en el que se incluya Internet) que permita a los equipos de visitantes temporales trabajar de forma productiva sin poner en riesgo la seguridad de la red
interna. Si el equipo porttil de un visitante est infectado con software malintencionado y se conecta a la red, su capacidad de infectar los dems equipos de la red
interna se ver restringida por la red de cuarentena.
Un mtodo similar a ste lleva aplicndose con xito desde hace algn tiempo a las conexiones remotas del tipo VPN. Los clientes de VPN son desviados a una red de
cuarentena temporal mientras se realizan las pruebas del sistema. Si el cliente pasa las pruebas, por ejemplo porque dispone de las actualizaciones de seguridad y los
archivos de firmas antivirus necesarios, se le concede acceso a la red interna de la organizacin. Si, por el contrario, el cliente no cumple estos requisitos, se lo
desconectar o se permitir el acceso a la red de cuarentena, que se puede utilizar para obtener las actualizaciones necesarias para pasar las pruebas. Los diseadores
de redes estn estudiando esta tecnologa para ayudar a mejorar la seguridad en las redes internas.
Para obtener ms informacin sobre esta tcnica, consulte la pgina "Planning for Network Access Quarantine Control" del kit de implementacin de Microsoft Windows
Server 2003 en Microsoft.com:
http://www.microsoft.com/resources/documentation/windowsserv/2003/all/deployguide/en-us/dnsbf_vpn_aosh.asp (en ingls).
ISA Server Feature Pack
Si su organizacin utiliza ISA Server 2000, Microsoft recomienda que lo complemente con las caractersticas adicionales que se proporcionan en ISA Server Feature
Pack 1. Este complemento gratuito proporciona caractersticas de seguridad que podr utilizar para mejorar la seguridad de las comunicaciones (incluido el correo
electrnico) a travs de los servidores de seguridad en las defensas de su organizacin. Entre las caractersticas que puede emplear para mejorar las defensas antivirus
de la red se incluyen:
11/12/2013
Pgina 24 de 47
Un filtro SMTP mejorado. Esta caracterstica ayuda a filtrar mensajes de correo electrnico con un mayor grado de confiabilidad y seguridad. El filtrado se basa
en el nombre, el tamao o la extensin de un archivo adjunto, as como en el remitente, dominio, palabra clave y cualquier comando SMTP y su longitud.
Un filtro mejorado de llamadas a procedimientos remotos (RPC) de Exchange. Esta caracterstica protege la comunicacin del correo electrnico de
Outlook con los equipos Exchange Server en redes que no son de confianza sin que sea necesario configurar una red privada virtual (VPN). Para lograrlo,
tambin se incluyen en ISA Server Feature Pack 1 las siguientes caractersticas:
Capacidad para que los administradores puedan aplicar el cifrado de RPC entre Outlook y Exchange Server.
Capacidad para que la comunicacin RPC saliente pase de forma segura a travs de ISA Server que, a su vez, permite a los clientes de Outlook conectarse
a un equipo ISA Server para tener acceso a equipos Exchange Server externos.
UrlScan 2.5. Esta herramienta ayuda a detener solicitudes Web malintencionadas en el equipo ISA Server antes de que puedan entrar en la red y tener acceso a
un servidor Web.
Asistente de Outlook Web Access (OWA). Puede utilizar este asistente para configurar ISA Server de forma fcil y rpida para proteger una implementacin
de OWA.
Asistente de configuracin del filtro de RPC. Puede utilizar este asistente para permitir solamente un nivel preciso de acceso a los servicios de RPC de la red
interna en lugar de todo el trfico de RPC.
Para obtener el paquete de caractersticas, consulte la pgina "How to Obtain Feature Pack 1" en Microsoft.com:
http://www.microsoft.com/isaserver/featurepack1/howtogetfp1.asp (en ingls).
Para obtener ms informacin sobre el uso de estas caractersticas a fin de asegurar un servidor de seguridad ISA Server perimetral, consulte la pgina "ISA Server
Feature Pack 1" en Microsoft.com:
http://www.microsoft.com/isaserver/featurepack1/ (en ingls).
Seguridad fsica
Aunque la seguridad fsica es ms un problema de seguridad general que un problema especfico de software malintencionado, es imposible protegerse contra este
tipo de software sin contar con un plan de defensa fsica eficaz para todos los clientes, servidores y dispositivos de red de la infraestructura de la organizacin. Algunos
de los elementos esenciales en un plan eficaz de defensa fsica son los siguientes:
Seguridad del edificio

Seguridad del personal
Puntos de acceso a la red
Servidores
Estaciones de trabajo
Equipos y dispositivos mviles
Se deben considerar cada uno de estos elementos en una evaluacin de los riesgos de seguridad de la organizacin. Si un atacante pone en peligro cualquiera de
ellos, existe un mayor riesgo de que el software malintencionado pueda saltarse las defensas de las redes interna y externa para infectar un host.
El acceso protegido a sus instalaciones y sistemas informticos debe constituir un elemento fundamental en la estrategia de seguridad general. La explicacin detallada
de estas consideraciones no entra dentro del mbito de esta gua. Sin embargo, hay disponible informacin sobre los elementos bsicos de un plan de seguridad fsica
en el artculo "5-Minute Security Advisor - Basic Physical Security" en Microsoft TechNet:
http://www.microsoft.com/technet/community/columns/5min/5min-203.mspx (en ingls).
Directivas, procedimientos y concienciacin

Las directivas y procedimientos operativos de redes, clientes y servidores constituyen aspectos esenciales de las capas de defensa antivirus de la organizacin.
Microsoft recomienda que considere las siguientes directivas y procedimientos como parte de la solucin de defensa en profundidad antivirus:
Rutinas de comprobacin antivirus. Lo ideal es que la aplicacin antivirus que utilice permita exploraciones automatizadas o en tiempo real. Sin embargo, si
no es el caso, debe implementar un proceso que proporcione instrucciones a los usuarios de su organizacin sobre el momento preciso en el que deben realizar
una exploracin completa del sistema.
Rutinas de actualizacin de firmas de antivirus. Prcticamente todas las aplicaciones antivirus actuales incluyen un mtodo automatizado para la descarga de
actualizaciones de firmas de virus, que se recomienda que implemente de forma regular. Sin embargo, si en su organizacin se ha establecido que se prueben
estas actualizaciones antes de implementarlas, no podr utilizar normalmente este sistema. En este caso, asegrese de que el personal de soporte tcnico
identifica, descarga, prueba y actualiza lo antes posible los archivos de firmas.
Directivas sobre aplicaciones y servicios autorizados. Debe existir una directiva claramente especificada que determine qu aplicaciones se permiten en los
equipos de su organizacin y en los que tengan acceso a los recursos de la misma. Entre los ejemplos de aplicaciones que pueden causar problemas se incluyen
aplicaciones de redes de igual a igual y aplicaciones que los usuarios pueden descargar directamente de sitios Web malintencionados.
Como mnimo, Microsoft recomienda las siguientes directivas y procedimientos para todos los dispositivos de la capa de defensa de la red de su organizacin.
11/12/2013
Pgina 25 de 47
Control de cambios. Un proceso de seguridad clave para los dispositivos de red es controlar los cambios que les pueden afectar. Lo ideal es que todos los
cambios se propongan, prueben e implementen de una forma documentada y controlada. Es probable que los cambios espontneos en los dispositivos de la
red perimetral introduzcan errores o problemas de configuracin de los que un ataque podra sacar provecho.
Supervisin de la red. La configuracin correcta de los dispositivos de red a fin de optimizarlos para la seguridad no significa que deban dejarse de lado los
dems procedimientos antivirus. La supervisin continua de todos los dispositivos de la red resulta esencial para detectar lo antes posible ataques de software
malintencionado. Esta supervisin constituye un proceso complejo que requiere reunir informacin de una serie de fuentes (como servidores de seguridad,
enrutadores y conmutadores) para compilar una lnea de base de comportamiento "normal" que se pueda utilizar para identificar el comportamiento anormal.
Proceso de deteccin de ataques. Si se detecta un ataque de software malintencionado, su organizacin debe disponer del conjunto de pasos bien
documentados y definidos que se debern seguir para garantizar que se confirma, controla y limpia el ataque con el mnimo trastorno para los usuarios finales.
Consulte el captulo 4, "Control y recuperacin de los ataques de virus", para obtener ms informacin sobre este tema.
Directiva de acceso a redes de equipos domsticos. Se deben establecer y cumplir una serie de requisitos mnimos antes de que un empleado pueda
conectar una red o equipo domstico a la red de su organizacin a travs de una conexin de VPN.
Directiva de acceso a redes de visitantes. Se deben establecer y cumplir una serie de requisitos mnimos por parte de los visitantes antes de que se les
permita conectarse a la red de su organizacin. Estos requisitos se deben aplicar tanto a la conectividad inalmbrica como a la normal.
Directiva de redes inalmbricas. Todos los dispositivos inalmbricos que se conecten a la red interna deben cumplir los requisitos mnimos de seguridad para
que se puedan conectar. Esta directiva debe especificar la configuracin mnima necesaria para la organizacin.
Existen muchas ms directivas y procedimientos que podra implementar para mejorar la seguridad de los dispositivos de red; los que se mencionan en esta seccin
son un punto de partida. Sin embargo, puesto que las directivas adicionales proporcionan configuraciones de seguridad generales en lugar de especficas contra virus,
quedan fuera del mbito de esta gua.
Directiva de actualizaciones de seguridad

Debera existir algn sistema de administracin de actualizaciones de seguridad para la defensa de la red, los clientes y los servidores. Dicho sistema se podra
proporcionar como parte de una solucin ms amplia de administracin de revisiones de la empresa. Es necesario comprobar de forma peridica si existen
actualizaciones para los sistemas operativos de hosts y dispositivos. La directiva de actualizaciones de seguridad debe ofrecer tambin criterios operativos para el
proceso que permite distribuir actualizaciones de seguridad a los sistemas de su organizacin. Este proceso debe incluir las siguientes fases:
1. Bsqueda de actualizaciones. Se debe establecer algn tipo de proceso de notificacin automatizado para avisar a los usuarios de las actualizaciones
disponibles.
2. Descarga de actualizaciones. El sistema debe poder descargar las actualizaciones con un mnimo impacto en los usuarios y la red.
3. Prueba de las actualizaciones. Si las actualizaciones son para hosts con funciones esenciales, debe asegurarse de que cada actualizacin se prueba en un
sistema adecuado que no sea el de produccin antes de implementarlo en el propio entorno de produccin.
4. Implementacin de las actualizaciones. Una vez que se ha probado la actualizacin, se debe ofrecer un mecanismo sencillo de implementacin que permita
distribuirla.
Si los sistemas que se estn actualizando en su entorno no requieren la fase de prueba de esta lista, su organizacin puede optar por la automatizacin de todo el
proceso. Por ejemplo, la opcin Actualizaciones automticas del sitio Web de Microsoft Windows Update permite que se notifiquen y actualicen los equipos cliente
sin la intervencin del usuario. Con ello los sistemas pueden ejecutar lo antes posible las actualizaciones de seguridad ms recientes. Sin embargo, este mtodo no
prueba la actualizacin antes de instalarla, por lo que si se trata de un requisito para su organizacin, no se recomienda esta opcin.
Comprobar que los sistemas disponen siempre de las ltimas actualizaciones de seguridad se deber convertir en parte rutinaria de la administracin del sistema de su
organizacin.
Directivas basadas en riesgos

Con tantos dispositivos de red, clientes y servidores conectados a las capas de red interna y perimetral del modelo de defensa en profundidad antivirus, puede resultar
difcil crear una directiva de seguridad nica y eficaz que administre todos los requisitos y configuraciones de su organizacin. Un mtodo que puede emplear para
organizar la directiva consiste en agrupar los hosts en categoras basadas en el tipo y exposicin al riesgo.
Para poder determinar el nivel de riesgo que se asigna a un host o dispositivo puede realizar una evaluacin de riesgos de cada uno de ellos. Podr encontrar un
conjunto detallado de instrucciones sobre la realizacin de estas evaluaciones de riesgos en la seccin "Chapter 3: Understanding the Security Risk Management
Discipline" de Microsoft Solution for Securing Windows 2000 Server en TechNet:
http://www.microsoft.com/technet/security/prodtech/win2000/secwin2k/03secrsk.mspx (en ingls).
Microsoft recomienda que tenga en cuenta las siguientes categoras de configuracin para las directivas de evaluacin de riesgos centrada en los clientes de su
organizacin:
Configuracin de clientes estndar. Esta categora de configuracin se suele aplicar a los equipos de escritorio que permanecen fsicamente instalados en un
edificio. Estos clientes de escritorio se encuentran protegidos continuamente por la existencia de defensas de redes internas y externas y al hallarse dentro de
las dependencias de la organizacin.
Configuracin de clientes de alto riesgo. Esta categora de configuracin se ha diseado para satisfacer las necesidades de los usuarios de equipos y
dispositivos mviles, como los asistentes personales digitales (PDA) o los telfonos mviles. Estos dispositivos normalmente salen del mbito de proteccin de
las defensas de red de la organizacin y se encuentran, por tanto, ante un nivel de riesgo mayor.
Configuracin de clientes invitados. Esta categora de configuracin se ha diseado para equipos cliente que no pertenecen o no tienen soporte tcnico por
parte de su organizacin. Puede que no sea posible administrar la configuracin de estos equipos, ya que lo ms probable es que no tenga control sobre su
11/12/2013
Pgina 26 de 47
configuracin. Sin embargo, puede establecer directivas que limiten la capacidad de estos equipos de conectarse a las redes de su organizacin. Los equipos
cliente invitados suelen incluirse en uno de los siguientes tipos:
Equipos domsticos de los empleados.
Equipos de socios o proveedores.
Equipos invitados.
Microsoft tambin recomienda que establezca categoras de riesgos para las funciones de servidor, y que aplique la misma evaluacin de riesgos tanto para servidores
como para clientes. Como punto de partida para las directivas de servidor, podra considerar las siguientes categoras de configuracin:
Configuracin de servidores estndar. Esta categora de configuracin est diseada para que sea un denominador comn para la mayora de las
configuraciones de los servidores de su entorno. Proporciona un nivel de seguridad mnimo, pero sin restringir los servicios que se utilizan normalmente.
Despus puede modificar las directivas de las categoras de configuracin especficas de funciones y de alto riesgo para cubrir todos los requisitos de directivas
en un nivel adecuado.
Configuracin de servidores de alto riesgo. Los servidores que se encuentran en la red perimetral o expuestos directamente a archivos y conexiones externas
se deben considerar en esta categora de configuracin. Por ejemplo, en ella se podran incluir servidores Web, servidores de seguridad y de mensajera
perimetrales. Un servidor que contenga datos especialmente confidenciales, como el servidor de la base de datos de recursos humanos, podra justificar esta
configuracin independientemente de su ubicacin en la red.
Configuraciones especficas de funciones. Puede que su empresa decida organizar funciones especficas de servidor en distintas configuraciones para cumplir
con mayor precisin los requisitos de las aplicaciones del servidor. Por ejemplo, puede emplear configuraciones de funciones para los servidores de mensajera,
de base de datos o de seguridad. Este mtodo se podra combinar con la categora de configuracin estndar o de alto riesgo si fuera necesario.
El uso de directivas basadas en riesgos es la opcin por la que deben optar los equipos de planeacin de su organizacin; despus se pueden emplear las
clasificaciones de configuracin mencionadas como base para el posterior desarrollo. El objetivo es reducir el nmero de configuraciones que se deben gestionar los
sistemas de administracin. Por lo general, es ms probable que un enfoque estandarizado propicie una configuracin segura que configurar de forma independiente
la seguridad de cada host del entorno.
Directivas de supervisin y generacin de informes automatizadas

Si su organizacin utiliza un sistema de supervisin automatizada o una aplicacin antivirus que informe de las posibles infecciones de software malintencionado a una
ubicacin central, tiene la posibilidad de automatizar este proceso para que cualquier alerta notifique automticamente las incidencias a todos los usuarios de la
infraestructura de TI. Un sistema de alertas automatizado reducir al mnimo la demora entre una alerta inicial y el momento en que los usuarios son conscientes de la
amenaza del software malintencionado; sin embargo, el problema que tiene este enfoque es que puede generar numerosos "positivos falsos". Si nadie controla las
alertas y revisa la lista de comprobacin de informes sobre actividades inusuales, es probable que las alertas avisen de software malintencionado que no est presente.
Esta situacin puede resultar contraproducente porque puede generar falta de inters en los usuarios al generarse las alertas con demasiada frecuencia.
Microsoft recomienda que asigne a miembros del equipo de administracin de la red la responsabilidad de recibir todas las alertas automatizadas de software
malintencionado de todos los paquetes antivirus o software de supervisin de sistemas que emplee su organizacin. El equipo podr filtrar las falsas alarmas de los
sistemas automatizados antes de enviar las alertas a los usuarios. Para que este mtodo se pueda aplicar con xito, el equipo debe supervisar las alertas 24 horas al da,
los 7 das de la semana, a fin de garantizar que se comprueban todas las alertas y que las autnticas se envan a los usuarios de la red.
Concienciacin de los usuarios y del equipo de soporte tcnico

La concienciacin y el entrenamiento deben estar dirigidos a los equipos de administracin y de soporte de su organizacin. El entrenamiento de profesionales de TI
esenciales constituye un requisito fundamental en todas las reas de TI, pero resulta especialmente importante para la defensa antivirus, ya que la naturaleza de los
ataques de software malintencionado y las defensas suelen cambiar con regularidad. Un nuevo ataque de este tipo de software podra poner en peligro un sistema de
defensa eficaz casi de la noche a la maana, y las defensas de su organizacin verse amenazadas. Si el personal de soporte tcnico responsable de estas defensas no
cuenta con el entrenamiento adecuado para saber detectar y responder a las nuevas amenazas de software malintencionado, es slo cuestin de tiempo que se
produzca una infraccin grave en el sistema de defensa antivirus.
Concienciacin del usuario
La educacin del usuario es a menudo una de las ltimas consideraciones que tiene en cuenta la organizacin a la hora de disear su defensa antivirus. Ayudar a los
usuarios a comprender algunos de los riesgos relacionados con los ataques de software malintencionado constituye un elemento importante en la reduccin de dichos
riesgos, ya que todos los usuarios de la organizacin que utilizan recursos de TI desempean una funcin en la seguridad de la red. Por este motivo, es importante
educar a los usuarios sobre los riesgos ms frecuentes que pueden ayudar a reducir, por ejemplo:
Abrir archivos adjuntos al correo electrnico.

Utilizar contraseas poco seguras.
Descargar aplicaciones y controles ActiveX de sitios Web que no son de confianza.
Ejecutar aplicaciones desde medios extrables no autorizados.
Permitir el acceso a los datos y redes de su organizacin.
A medida que cambian las tcnicas de software malintencionado, deben actualizarse las defensas antivirus. Tanto si es para actualizar el archivo de firma del programa
antivirus como el propio programa, el proceso de creacin e implementacin de las actualizaciones lleva su tiempo. En los ltimos aos, el tiempo que se tarda en
crear actualizaciones se ha reducido considerablemente y stas normalmente se encuentran disponibles en cuestin de horas. Sin embargo, en casos ms raros, an
pueden pasar das desde el momento en que se produce el nuevo ataque de software malintencionado hasta que se crea una defensa antivirus efectiva.
11/12/2013
Pgina 27 de 47
Durante este perodo, la mejor defensa con la que puede contar su organizacin es que los usuarios sean conscientes del problema del software malintencionado y sus
riesgos. Proporcionar a los usuarios instrucciones antivirus bsicas y un entrenamiento al respecto puede ayudar a evitar que una nueva variante de software
malintencionado que haya traspasado las defensas de TI se propague por todo el entorno.
El entrenamiento de los usuarios no tiene por qu ser un proceso complejo. Las instrucciones antivirus bsicas se basan fundamentalmente en principios de sentido
comn, pero la tarea de asegurarse de que dichas instrucciones se apliquen y se comuniquen de forma clara puede resultar algo ms difcil. En la pgina "Windows XP
Baseline Security Checklists" de Microsoft TechNet:
http://www.microsoft.com/technet/Security/chklist/xpcl.mspx (en ingls) podr encontrar unas listas de comprobacin que pueden ayudarle a identificar los problemas
relacionados con la seguridad y la proteccin antivirus de los que deber informar a sus usuarios.
Los usuarios responsables de dispositivos mviles es probable que necesiten entrenamiento adicional a fin de que sean conscientes de los riesgos que supone sacar un
dispositivo fuera de las defensas fsicas y de red de la organizacin. Puede que sean necesarias defensas especiales para salvaguardar especficamente dichos
dispositivos mviles. Por este motivo, es probable que los usuarios que administran este tipo de dispositivos precisen informacin y directrices de configuracin
adicionales.
Nota: encontrar informacin til sobre la configuracin de los usuarios finales en las instrucciones Protect your PC en Microsoft.com:
www.microsoft.com/security/protect/ (en ingls). Este sitio constituye una buena fuente de informacin que puede ayudar a que los usuarios se documenten sobre
cmo garantizar la seguridad de las redes y los equipos domsticos.
Concienciacin del equipo de soporte tcnico
Los profesionales de TI responsables de la configuracin y el soporte tcnico de los servidores, clientes y dispositivos de red de la organizacin necesitarn un
entrenamiento antivirus para ayudarles a garantizar que los sistemas se configuran y mantienen de forma ptima para detener ataques de software malintencionado.
Los errores en la configuracin de cualquiera de estos equipos o dispositivos pueden abrir un camino para el ataque de un software malintencionado. Por ejemplo, si
un administrador de servidor de seguridad con poca informacin abre todos los puertos de red de forma predeterminada en un dispositivo de servidor de seguridad
perimetral, se podra producir un grave riesgo para la seguridad con la posible entrada de software malintencionado. Los administradores responsables de los
dispositivos que se conectan a la red perimetral de su organizacin deben recibir entrenamiento de seguridad especfico para que sean conscientes de los distintos
ataques que pueden afectar a los dispositivos de red.
Puede encontrar numerosos eventos, prcticas de laboratorio y Webcasts sobre temas de seguridad directamente en Microsoft. Para obtener ms informacin sobre
estos temas, consulte "Your Security Program Guide" en Microsoft.com:
http://www.microsoft.com/seminar/events/security.mspx (en ingls).
Tambin se encuentran disponibles informacin y libros sobre seguridad en Microsoft Learning. Para obtener ms informacin sobre estas publicaciones, consulte la
pgina "Microsoft Learning Security Resources" en Microsoft.com:
http://www.microsoft.com/learning/centers/security.asp (en ingls).
Comentarios de los usuarios
Los usuarios conscientes del problema del software malintencionado pueden constituir un primer sistema de advertencia excelente si se les proporciona un mecanismo
sencillo y eficaz para informar de comportamientos inusuales en los sistemas que utilicen. Dicho mecanismo puede adoptar la forma de un nmero directo de telfono,
un alias de correo electrnico o un proceso de ascenso rpido desde el servicio de soporte tcnico de la organizacin.
Comunicaciones internas proactivas
Si es posible, los miembros del departamento de TI deben crear un equipo de respuesta antivirus proactiva que sea responsable de supervisar los sitios externos de
alertas de software malintencionado de modo que puedan conocer los primeros avisos de este tipo de ataques. Algunos buenos ejemplos de este tipo de sitios son:
Sitios Web de proveedores de aplicaciones antivirus.

El sitio Web de la red de intercambio de informacin antivirus (AVIEN) en: www.avien.org (en ingls).
Servicios de alerta antivirus, como el sistema "Antivirus Information Early Warning System" (AVI-EWS) de AVIEN (a los que se puede suscribir).
El sitio Web de informacin de proteccin frente a virus en Microsoft.com: http://www.microsoft.com/security/antivirus/ (en ingls).
Una comprobacin regular de sitios de referencia como los mencionados anteriormente permitirn al personal de soporte tcnico notificar a los administradores de
sistemas y usuarios las amenazas de software malintencionado antes de que se introduzcan en la red de la organizacin. La regularidad de estas comprobaciones
resulta esencial. Garantizar que los usuarios del sistema reciben advertencias proactivas antes de comprobar el correo electrnico de la maana puede marcar la
diferencia entre administrar la eliminacin de algunos mensajes de correo electrnico sospechosos e intentar contener un ataque de software malintencionado. Si la
mayora de los usuarios de su sistema inician sesin a las 9 de la maana, establecer una forma de comunicar nuevas amenazas de software malintencionado a esta
hora se considerara la mejor prctica.
Alertas internas de software malintencionado
Hallar el mecanismo ms eficaz de informar a todos los usuarios del posible ataque de software malintencionado de forma oportuna y exhaustiva resulta fundamental.
Los sistemas de comunicaciones disponibles varan en gran medida dependiendo de la infraestructura de la organizacin, lo que hace imposible proporcionar un
sistema de alerta de este tipo de software que funcione para todas las organizaciones. Sin embargo, en esta seccin se ofrecen los siguientes ejemplos de mecanismos
que puede que desee tener en cuenta.
Tablones de anuncios de la organizacin. Un enfoque muy poco tcnico pero que no por ello se debe olvidar es el uso de las puertas interiores de la oficina,
tablones de anuncios o puntos de informacin impresa en papel que sean evidentes para los empleados. Aunque este proceso implica cierta labor de
mantenimiento, tiene la importante ventaja de comunicar informacin esencial a los usuarios cuando las reas de la red no estn disponibles debido a un
ataque.
Sistemas de correo de voz. Si lo permite el sistema de correo de voz de su organizacin, la posibilidad de dejar un nico mensaje para todos los usuarios
puede resultar un mecanismo eficaz de comunicar una alerta de software malintencionado. Sin embargo, debe tener en cuenta que este mtodo obliga a que
los usuarios tengan acceso al correo de voz antes que al correo electrnico para recibir la alerta de una posible amenaza.
11/12/2013
Pgina 28 de 47
Mensajes de inicio de sesin. Puede configurar el sistema operativo Windows para que enve un mensaje directamente a las pantallas de los usuarios durante
el proceso de inicio de sesin. Este mecanismo proporciona una forma eficaz de llamar la atencin de los usuarios ante las alertas de software malintencionado.
Portales de intranet. Se puede utilizar un portal de la intranet que los usuarios tengan establecido como pgina de inicio para enviar alertas de software
malintencionado. Se deber indicar a los usuarios que consulten este portal antes de tener acceso a su correo electrnico para que este tipo de mecanismo de
alerta resulte eficaz.
Sistemas de correo electrnico. Se debe prestar especial cuidado cuando se utilice el sistema de correo electrnico para comunicar alertas de software
malintencionado a los usuarios. Debido a que un ataque podra afectar a los servidores de correo electrnico, puede que este mecanismo no sea efectivo en
todos los casos. Asimismo, la existencia de una cola de mensajes en la bandeja de entrada podra hacer que se entregara una advertencia de software
malintencionado despus de que se hubiera recibido el correo electrnico que lo contiene. Por este motivo, conviene aconsejar a los usuarios que lean las
advertencias de software malintencionado de alta prioridad cuando inicien sus equipos antes de revisar cualquier otro mensaje de correo electrnico.
Resumen
La defensa antivirus ya no se basa simplemente en instalar una aplicacin. Los ataques de software malintencionado ms recientes han demostrado que es necesario
un mtodo defensivo ms exhaustivo. Este captulo se ha centrado en la forma de aplicar el modelo de seguridad de defensa en profundidad para formar la base de un
mtodo de defensa en profundidad que cree una solucin antivirus eficaz para su organizacin. Es importante entender que los creadores de software
malintencionado estn continuamente actualizando sus mtodos para atacar las nuevas tecnologas de TI que pueda estar utilizando su organizacin, y que las
tecnologas antivirus estn en continua evolucin para mitigar estas nuevas amenazas.
El mtodo de defensa en profundidad antivirus debe ayudar a asegurar que su infraestructura de TI abarcar todos los posibles vectores de ataque del software
malintencionado. Con este mtodo de capas resulta ms fcil reconocer cualquier punto dbil que haya en el sistema, desde la red perimetral hasta los individuos que
trabajan en los equipos de su entorno. No abarcar alguna de estas capas descritas en el mtodo de defensa en profundidad antivirus podra dejar abiertos los sistemas
a un posible ataque.
Debe revisar constantemente la solucin antivirus para poder actualizarla cada vez que sea necesario. Todos los aspectos de la proteccin antivirus son importantes,
desde las sencillas descargas automatizadas de firmas de virus hasta los cambios completos en la directiva de funcionamiento.
De la misma forma, debido a que la informacin proporcionada en esta gua est sujeta a actualizaciones, es importante consultar continuamente el sitio Web de
informacin de proteccin frente a virus en Microsoft.com http://www.microsoft.com/security/antivirus/ (en ingls) para recibir la informacin e instrucciones antivirus
ms recientes.
Microsoft reconoce lo perjudicial y costoso que puede llegar a ser el ataque de software malintencionado, por lo que ha invertido mucho esfuerzo en hacrselo ms
difcil a aquellos que crean y distribuyen este tipo de software. Microsoft tambin est trabajando para facilitar a los diseadores de redes, profesionales de TI y
usuarios finales la tarea de configurar los sistemas de modo que cumplan sus requisitos de seguridad con un mnimo impacto en las transacciones comerciales.
Aunque puede que no sea posible erradicar totalmente el cdigo malintencionado, centrar la atencin sistemticamente en las reas sealadas en este enfoque de
defensa en profundidad antivirus ayudar a minimizar el efecto que pueda producir un ataque de software malintencionado en las actividades empresariales de su
organizacin.

Publicado: mayo 20, 2004
En esta pgina
Introduccin
Paso 1: Confirmacin de la infeccin
Paso 2: Respuesta a la incidencia
Paso 3: Anlisis del software malintencionado
Paso 4: Recuperacin del sistema
Paso 5: Postrecuperacin
Resumen
Introduccin
En este captulo se presenta un conjunto detallado de consideraciones que son de utilidad para identificar y contener una infeccin ocasionada por un software
malintencionado o un ataque de virus, y posteriormente remediar los efectos que hayan podido tener en los sistemas afectados del entorno. No conviene subestimar
la necesidad de disponer de un enfoque coherente y directo que permita dar respuesta a las incidencias y recuperar los sistemas; los problemas ocasionados por el
software malintencionado suelen crear una sensacin de urgencia que no es muy propicia para iniciar procedimientos bien pensados que resulten eficaces a largo
plazo.
Tambin es importante recalcar un hecho: los ataques del software malintencionado se han hecho cada vez ms complejos al utilizar muchas cargas distintas, por lo
que ya no existe un nico proceso que se pueda aplicar a todos los sistemas para eliminarlo. Lo ms probable es que cada ataque de software malintencionado precise
su propio remedio. Sin embargo, esto no resta importancia a la recomendacin de definir un proceso coherente para identificar y contener un ataque de virus y
recuperar el sistema.
A grandes rasgos, los principales pasos que debe seguir un proceso de recuperacin ante un ataque de virus son los siguientes:
1. Confirmacin de la infeccin
2. Respuesta a la incidencia
11/12/2013
Pgina 29 de 47
3. Anlisis del software malintencionado

4. Recuperacin del sistema
5. Postrecuperacin
Paso 1: Confirmacin de la infeccin

La capacidad de determinar con rapidez si un sistema se ha infectado resulta esencial para que la organizacin pueda minimizar el impacto de los virus. Si se puede
confirmar una infeccin e identificar las caractersticas sospechosas del virus rpidamente, se podr reducir significativamente su expansin e impacto en los usuarios.
Existen muchos tipos distintos de funcionamientos incorrectos de los sistemas que se pueden confundir con el comportamiento de un virus. Al recibir una llamada
telefnica o un correo electrnico de un usuario informando de que tiene un virus en el sistema, el personal de soporte primero debe determinar si el comportamiento
efectivamente puede deberse a algn tipo de cdigo malintencionado. La lista siguiente proporciona algunos ejemplos de los sntomas tpicos de los que puede
informar un usuario como comportamientos similares a los de un virus:
"He abierto los datos adjuntos a un mensaje de correo electrnico y no ha pasado nada, pero el equipo se comporta de forma extraa".
"He recibido respuestas de mis contactos preguntndome por qu les haba enviado datos adjuntos con la extensin .exe, .zip u otra, cuando en realidad nunca
les he enviado tales datos adjuntos".
"Mi software antivirus ha dejado de funcionar y el equipo se apaga constantemente".
"Los programas no funcionan correctamente y van todos muy lentos".
"Un grupo de archivos que nunca haba visto ha aparecido en la carpeta Mis documentos".
"Algunos archivos no se abren o han desaparecido".
Las observaciones y los comentarios que puedan proporcionar los usuarios son fundamentales, ya que ellos son los primeros en detectar una actividad inusual. Como
la velocidad a la que se propaga un virus es cada vez mayor, el intervalo de tiempo entre la infeccin inicial y la disponibilidad de una defensa eficaz es un factor cada
vez ms importante. La mayora de las infecciones se producen en este intervalo, por lo que es crucial que una organizacin pueda identificarlas y confirmarlas con
rapidez para minimizar tanto la expansin de un ataque de virus como el dao que puede ocasionar.
En la siguiente seccin se describen los pasos que permiten confirmar con prontitud si un comportamiento inusual es realmente un ataque de virus o de software
malintencionado.
Si un nuevo tipo de software malintencionado infecta un sistema, el usuario del mismo ser el primero en detectar el comportamiento inusual. Como se expuso en el
captulo 3 de esta gua, "Defensa en profundidad antivirus", normalmente se produce un retraso desde que se libera el software malintencionado hasta el momento en
que la aplicacin de bsqueda de virus se actualiza para poder detectarlo y tomar las medidas para eliminarlo. La mejor forma de ofrecer un sistema de advertencia
rpido es informar a los usuarios para que reconozcan las seales de un posible ataque de software malintencionado y proporcionarles un vnculo de comunicaciones
que les permita notificar esta circunstancia lo antes posible.
Elaboracin de informes de la infeccin

Al recibir una llamada o generarse una alerta sobre un posible ataque de software malintencionado, es muy conveniente que el personal de soporte disponga de un
proceso definido para determinar con la mayor rapidez posible si la alerta est relacionada con un nuevo ataque. El siguiente grfico de flujo ilustra los principales
pasos que implica el proceso:
11/12/2013
Pgina 30 de 47
Figura 4.1 Proceso de elaboracin de informes de una infeccin de software malintencionado

Informes de actividad inusual
Las preguntas que se presentan a continuacin permiten determinar si la actividad inusual que ha provocado la alerta es un ataque de software malintencionado. Se
trata de preguntas que el miembro del soporte tcnico de la organizacin debe realizar al usuario no tcnico.
Recopilacin de la informacin bsica
Las cuestiones iniciales se deben disear para generar respuestas que ayuden a determinar con la mayor rapidez posible la verdadera naturaleza de la alerta y la
probabilidad de que se trate de un nuevo ataque de software malintencionado. Puede emplear las siguientes preguntas de ejemplo como punto de partida del
proceso; deberan modificarse para que se adecuaran a los requisitos de su organizacin:
Qu fecha y hora tiene el informe?

Cul fue la actividad inusual que gener el informe?
Qu actividad se estaba realizando en el momento anterior a que se produjera la actividad inusual?
Ha visitado recientemente algn sitio Web que no visite normalmente?
Ha utilizado el sistema fuera de la red de la organizacin recientemente (por ejemplo, en un aeropuerto, en la red de su casa, en una zona activa Wi-Fi o
en un hotel?
Ha visto alguna ventana emergente o anuncio poco habituales en pantalla?
Qu procesos inusuales o inesperados se ejecutan en este momento?
Es el equipo una estacin de trabajo o un servidor? Qu sistema operativo utiliza y qu actualizaciones de seguridad se le han aplicado?
Contiene el equipo u otros dispositivos conectados a l datos esenciales?
Inicia sesin en el equipo con una cuenta de usuario con privilegios administrativos?
Utiliza el usuario una contrasea o clave segura?
Ha sufrido este sistema algn otro ataque de software malintencionado anteriormente?
Esta ltima pregunta es muy importante, ya que los ataques previos a menudo crean vulnerabilidades que pueden llevar a ataques posteriores a menos que se
eliminen. Si la respuesta a esta pregunta es "S", se pueden formular las siguientes preguntas adicionales:
Cundo tuvo lugar ese ataque previo?

Quin se encarg del caso y, si se conociera, cul era el nmero de caso?
Dispone de informacin sobre las medidas tomadas en aquel momento?
11/12/2013
Pgina 31 de 47
Evaluacin de los datos

Una vez recopiladas las respuestas a estas preguntas, el tcnico de soporte debe evaluar los datos obtenidos teniendo en cuenta las siguientes preguntas para
determinar si la causa probable del informe es un ataque de software malintencionado:
Podra el informe ser resultado de la incorporacin o actualizacin legtimas de una caracterstica del sistema?
Se podra deber a las actividades de un usuario no autorizado (en lugar de un intruso)?
Se podra justificar como producido por una actividad del sistema conocida?
Se podra deber a cambios no autorizados en programas o sistemas?
Por ltimo, se debe realizar una comprobacin con fuentes antivirus externas (identificadas en la seccin "Comunicaciones internas proactivas" del captulo 3 de esta
gua, "Defensa en profundidad antivirus") a fin de determinar si el informe coincide con algn virus o alerta de gusano existente.
Recopilacin de los detalles
En este punto ya se podra establecer si la causa del problema es un ataque de software malintencionado. Si no fuera as, sera necesario un nivel mayor de informacin
tcnica y que el tcnico de soporte visitara fsicamente o, si fuera posible, que obtuviera acceso remoto al sistema sospechoso. Puede emplear las siguientes preguntas
tcnicas para recopilar informacin ms detallada y determinar categricamente si un sistema ha sufrido el ataque de un virus o un cdigo malintencionado:
Tiene habilitado o est protegido el dispositivo por un servidor de seguridad? Si es as, qu puertos estn abiertos a Internet?
Si las aplicaciones dan error, pngase en contacto con el proveedor de la aplicacin directamente para establecer la causa raz (por ejemplo, las aplicaciones
actuales de Microsoft ofrecen herramientas de elaboracin de informes de error que se pueden utilizar para enviar un informe de errores).
Existe alguna nueva actualizacin de seguridad para el sistema que no se haya instalado?
Con qu tipo de directiva de contraseas cuenta el sistema? Cul es la longitud mxima de las contraseas? Qu requisitos de complejidad tienen?
Existe algn/alguna:
cuenta nueva o sospechosa en el equipo local?
cuenta nueva o sospechosa en el grupo del administrador?
servicio nuevo o sospechoso en la consola de administracin de los servicios?
suceso nuevo o sospechoso en los registros de sucesos?
Ha informado la utilidad netstat de conexiones de red a direcciones IP externas o sospechosas?
Respuesta a la actividad inusual

Una vez que se ha recopilado la informacin inicial y se ha empleado para determinar la naturaleza de la alerta, debera resultar sencillo para el soporte tcnico tomar
una decisin sobre si se ha producido una falsa alarma, si se trata de un mensaje de virus falso o por el contrario de un ataque de software malintencionado real.
Crear un informe de software malintencionado falso es mucho ms sencillo que desarrollar un virus o un gusano, pero desgraciadamente hace que se generen muchas
alertas falsas de este tipo de amenazas. Estos mensajes de virus falsos y las llamadas y advertencias que producen hacen que se pierda mucho tiempo y dinero.
Tambin suelen molestar a los usuarios y hacerles cuestionarse la utilidad de informar de ataques potenciales. Se deben tener en cuenta las siguientes consideraciones
para garantizar que la alerta se gestiona de forma correcta.
Falsa alarma. Si el informe es una falsa alarma, la informacin de la llamada debera registrarse para que la revisin peridica de estos datos ayude a establecer
si el usuario requiere directrices adicionales.
Mensaje de virus falso. Resulta igual de importante registrar las alertas de software malintencionado falsas como la actividad de un virus real, puesto que las
primeras tambin son ejemplos de ataques, aunque no utilicen cdigo malintencionado. Informar a los usuarios de las alertas falsas y de las amenazas reales
debe formar parte del protocolo antivirus de su organizacin. Esta informacin podr ayudarles a reconocer los mensajes de virus falsos de antemano y en
consecuencia contribuir a reducir las prdidas en la productividad.
Infeccin conocida. Si el sistema parece realmente infectado, el soporte tcnico debe tomar medidas para determinar si la infeccin es un ataque conocido que
se puede solucionar con una aplicacin antivirus existente. Dicha aplicacin debe estar siempre operativa y actualizada. Se debe realizar una bsqueda completa
en el sistema para intentar limpiarlo. Si esta bsqueda logra identificar y limpiar la infeccin, se deber registrar la llamada y enviar una advertencia a todos los
usuarios para que comprueben que sus sistemas antivirus se ejecutan correctamente y que estn actualizados. Si la bsqueda no puede identificar una forma
concreta de software malintencionado, el virus se deber considerar una infeccin nueva y se deber tratar segn las directrices establecidas en la seccin
"Respuesta a la incidencia".
Nueva infeccin. Cuando el sistema parezca estar infectado por un nuevo tipo de software malintencionado, se deben tomar una serie de medidas previas para
garantizar que el problema se pone en conocimiento de los usuarios de la forma correcta. Estas medidas iniciales se han diseado para que el personal de
soporte de TI pueda seguir un proceso de aplicacin coherente. Las respuestas a las preguntas iniciales mencionadas anteriormente permitirn establecer cules
de las siguientes medidas se deben tomar en esta fase:
Ponerse en contacto con el miembro asignado del equipo de respuesta a emergencias y facilitarle los detalles de la alerta.
Si el sistema sospechoso es un servidor, ponerse en contacto con el administrador del mismo para determinar la viabilidad y las consecuencias de
eliminarlo de la red.
11/12/2013
Pgina 32 de 47
Si el sistema sospechoso es una estacin de trabajo, ponerse en contacto con el usuario que la utiliza para determinar la viabilidad y las consecuencias de
eliminarlo de la red.
Considerar la posibilidad de activar una advertencia o alerta de alto nivel para notificar a los usuarios del sistema de TI del ataque detectado.
En este punto, la funcin del personal de soporte habr concluido. La responsabilidad del ataque de virus se deriva al proceso de respuesta a incidencias y ser
necesario informar de su existencia a los miembros del equipo de respuesta a incidencias de seguridad (CSIRT).
Paso 2: Respuesta a la incidencia

Como se expuso en el captulo 3 de esta gua, "Defensa en profundidad antivirus", el CSIRT deber convocar una reunin de emergencia lo antes posible para
organizar la fase siguiente del proceso de respuesta a incidencias de la organizacin. Para obtener explicaciones detalladas sobre la creacin de un equipo de
respuesta a incidencias y los procesos de recuperacin de desastres y seguridad en general, consulte el mismo captulo de la gua.
En esta gua se presupone que ya existe un CSIRT. El objetivo principal en este momento debe ser determinar el mecanismo de control del ataque de virus inmediato.
En la siguiente seccin se ofrece informacin que permite establecer las distintas opciones disponibles de dicho mecanismo y sus componentes.
Control de ataques de virus de emergencia

Una vez se ha confirmado el ataque de software malintencionado, el primer paso para controlarlo es aislar los equipos infectados del resto de dispositivos. Este
aislamiento es esencial para evitar la propagacin del cdigo malintencionado. Los diferentes mecanismos que se pueden utilizar para ello tendrn un impacto en el
funcionamiento normal de la organizacin.
Importante: si piensa que su organizacin puede tomar medidas legales e iniciar un proceso criminal o civil, Microsoft recomienda que consulte a los representantes
legales antes de realizar otras acciones.
Si el ataque de virus se hubiera detectado en la comunidad de proveedores de antivirus, siga las indicaciones del proveedor de su producto antivirus para determinar
su gravedad.
Si el ataque no fuera conocido por la comunidad de proveedores de productos antivirus, deber ponerse en contacto con su proveedor lo antes posible.
Probablemente le solicite que enve algunos ejemplos del software malintencionado en un archivo comprimido y protegido por contrasea para que puedan analizarlo.
El proceso de bsqueda de estos ejemplos no siempre es sencillo y lo ideal es que se prepare por anticipado. Consulte la seccin "Paso 3: Anlisis del software
malintencionado" de este captulo para conocer cmo preparar los ejemplos.
El siguiente paso es contener el ataque. Existen tres opciones bsicas a considerar:
Desconectar el sistema o sistemas afectados de la red local.

Si fuera posible, aislar la red o redes que contengan los hosts infectados.
Si toda la red est afectada o puede verse afectada, desconectarla por completo de todas las redes externas.
Se podran seguir muchos otros pasos tcnicos ms detallados como controlar la red para intentar identificar los puertos y direcciones IP que se han visto implicados
en el ataque. Sin embargo, si no se completa el anlisis detallado del software malintencionado, el riesgo de pasar por alto un vector de ataque que podra conducir a
una infeccin mayor es significativo. El nico mecanismo disponible en su organizacin para determinar si el riesgo es aceptable o no sera realizar un informe de
evaluacin de riesgos de seguridad. Este informe permitira analizar los riesgos que implica no detener el ataque e infectar potencialmente o utilizar sin advertirlo el
software malintencionado para iniciar un ataque en los equipos de clientes o socios de la organizacin. Si no ha completado el anlisis de riesgos antes de que se
produzca un ataque, se recomienda que su organizacin peque de cautela y minimice la posibilidad de propagacin del ataque seleccionando el nivel de aislamiento
ms alto posible.
Las opciones enumeradas aqu son nicamente unas directrices. La accin especfica que emprenda puede ser distinta dependiendo de factores como las necesidades
empresariales, el escenario, el impacto y la gravedad entre otros, que pueden ser aplicables slo a su organizacin y a las circunstancias del ataque.
Preparacin de la recuperacin
Despus de activar el mecanismo de control del ataque de virus deber iniciar el proceso de recuperacin activa. El objetivo general de dicho proceso es garantizar que
se logra lo siguiente:
Trastorno mnimo de la actividad empresarial de la organizacin.

Recuperacin del ataque en el menor tiempo posible.
Captura de informacin para las posibles acciones legales que se puedan emprender.
Recopilacin de informacin para que se puedan desarrollar medidas de seguridad adicionales, si fueran necesarias.
Prevencin de nuevos ataques del mismo tipo en los sistemas recuperados.
Desgraciadamente, a diferencia de los primeros dos objetivos, que requieren una solucin rpida, los tres restantes precisan ms tiempo para recopilar informacin
sobre el ataque que permita identificarlo completamente. Para lograr los objetivos de estos dos grupos, es decir, resolver rpidamente el problema y recopilar todos
los datos relevantes necesarios, puede utilizar el proceso que se muestra en la figura siguiente. Este proceso se ha diseado para garantizar que el sistema infectado se
prepara para la recuperacin tan rpido como sea posible y al mismo tiempo para asegurar que los datos de anlisis necesarios no se pierden. Esos datos son
importantes, ya que la organizacin los utilizar para determinar si los sistemas recuperados estn a salvo de futuros ataques, y como pruebas en caso de que se
deseen emprender acciones legales en el futuro.
Los procesos de recuperacin del sistema y de anlisis de virus se deben ejecutar de forma paralela para que la recuperacin tenga lugar lo ms rpidamente posible.
11/12/2013
Pgina 33 de 47
Figura 4.2 Pasos de la recuperacin previos al anlisis

La forma ms rpida de preparar todos los sistemas para su recuperacin es determinar si se puede emplear un sistema infectado para el anlisis. Si es as, este sistema
deber ponerse en cuarentena y analizarse. (Las instrucciones de este proceso de anlisis se facilitan en la seccin "Paso 3: Anlisis del software malintencionado" de
este captulo.) Cuando no es posible poner en cuarentena o analizar el sistema, la mejor opcin es crear un clon del sistema utilizando un software de creacin de
imgenes. Si esta opcin est disponible, puede crear una imagen del sistema, preparar el equipo original para la recuperacin y crear un clon del sistema.
En aquellos casos en los que se desee recopilar pruebas y realizar un anlisis ms detallado, es fundamental crear una imagen de los equipos afectados lo antes posible
(antes de que se inicien las actividades de recuperacin) para que la infeccin se pueda identificar, clasificar y tratar de la forma ms rpida y conveniente posible.
Por ltimo, si no se puede crear una imagen, se debe recopilar un conjunto de datos de anlisis mnimos antes preparar el sistema para la recuperacin. Lo ideal es que
el equipo de seguridad de la organizacin desarrolle y utilice algn tipo de kit de herramientas de respuesta a incidencias. Estas herramientas pueden servir para
recopilar datos voltiles y no voltiles para facilitar informacin de anlisis del sistema. Se podra emplear un subconjunto de un grupo de herramientas de anlisis de
software malintencionado ms completo que el utilizado en la seccin siguiente de este captulo para descubrir y documentar todos los elementos del virus. Sin
embargo, el principal diferenciador de un kit de herramientas de respuesta a incidencias es que debe capturar el nivel mnimo de informacin del sistema necesaria en
el menor tiempo posible para permitir que el sistema se pueda preparar para la recuperacin a la mayor brevedad.
Paso 3: Anlisis del software malintencionado

Tan pronto como se logre contener el ataque del software malintencionado, es importante detenerse a descubrir su naturaleza y realizar un anlisis ms detallado del
mismo. Si no se hace as, las probabilidades de que se produzca una nueva infeccin son altas; por otra parte, si se desconoce el funcionamiento del software
malintencionado no habr garantas de que los sistemas estn realmente limpios y seguros antes nuevos ataques.
Lo ideal es que el anlisis del software malintencionado lo lleve a cabo un miembro del equipo de seguridad con un conjunto de aplicaciones y utilidades dedicadas
que puede emplear para recopilar la informacin necesaria de la forma ms automatizada posible. Los pasos siguientes permitirn conocer la naturaleza del ataque.
Examen de los elementos del sistema operativo

Intente determinar qu archivos del sistema operativo introdujo o modific el ataque. Como parte del anlisis, examine los cambios en las siguientes reas:
Los procesos y servicios activos.

El Registro local.
Los archivos de las carpetas del sistema Microsoft Windows.
Las nuevas cuentas de usuarios o grupos, en especial aquellas con privilegios de administrador.
Las carpetas compartidas (incluidas las ocultas).
Los archivos de reciente creacin que tengan nombres de archivo comunes pero en ubicaciones poco habituales.
Los puertos de red abiertos.
11/12/2013
Pgina 34 de 47
Las tcnicas que se pueden emplear para comprobar todos estos elementos del sistema operativo se presentan en las secciones siguientes.
Comprobacin de los procesos y servicios activos
Lo ms probable es que se hayan introducido nuevos procesos en la memoria de los sistemas infectados.
Se recomienda utilizar herramientas de enumeracin de procesos especializadas como PsTools o el programa gratuito Process Explorer para contar con una interfaz de
usuario ms descriptiva. Estas herramientas, disponibles en el sitio Web de Sysinternals en http://www.sysinternals.com (en ingls), permiten no slo ver la ruta al
archivo de imagen, sino tambin el rbol del proceso.
Para minimizar el nmero de entradas de la lista de procesos y facilitar la identificacin de los procesos falsos, ser necesario cerrar todas las aplicaciones vlidas,
incluidas las que se ejecuten en un segundo plano, como Instant Messenger, los monitores de correo electrnico o las utilidades de terceros residentes en memoria.
Si no se dispusiera de ninguna herramienta especializada, se puede emplear la herramienta Administrador de tareas de Windows, presente en todos los sistemas
Microsoft Windows, para realizar una comprobacin rpida de los procesos activos que se estn ejecutando en el sistema. No obstante, el Administrador de tareas de
Windows no muestra la ruta a la imagen que inici el proceso, por lo que resulta imposible determinar si un ataque de software malintencionado que se inici como
"svrhost" es un proceso legtimo o no.
Siga los pasos siguientes para analizar los procesos activos con el Administrador de tareas:
Para analizar los procesos activos en un equipo con Windows
1. Presione las teclas CTRL+ALT+Supr simultneamente para que se muestre la ventana Seguridad de Windows y seleccione Administrador de tareas.
Nota: en los equipos Windows 9x podr ver una lista de los programas que se estn ejecutando en lugar de la aplicacin Administrador de tareas.
2. Haga clic en la ficha Procesos.
3. Ample la ventana Administrador de tareas de Windows para mostrar en pantalla tantos procesos activos como sea posible.
4. Seleccione la opcin Ver en la barra de mens y haga clic en Seleccionar columnas...
5. Active las casillas de verificacin de las siguientes columnas:
Identificador de proceso (PID)
Uso de CPU
Tiempo de CPU
Uso de memoria
Uso mximo de la memoria
Lecturas de E/S
Escrituras de E/S
6. Haga clic en Aceptar y ample la ventana para mostrar tantas columnas como sea posible.
Puede ordenar las columnas haciendo clic en el ttulo de cualquiera de ellas. Utilice este mtodo de ordenacin en cada una de las columnas enumeradas y determine
los recursos que utiliza cada proceso.
Nota: para guardar una copia impresa de la lista para referencia futura, haga que Process Explorer o el Administrador de tareas de Windows aparezcan en una ventana
activa y presione ALT+Impr Pant en el teclado. Se crear una captura de pantalla de la lista en el portapapeles del equipo y podr pegarla en la aplicacin Paint de
Windows o en Microsoft Word para imprimirla.
La siguiente figura muestra los detalles del gusano Blaster como proceso activo en el Administrador de tareas de Microsoft Windows 2000 Server.
11/12/2013
Pgina 35 de 47
Figura 4.3 Pantalla Administrador de tareas de Windows 2000 con el gusano Blaster como proceso activo
Nota: algunos tipos de software malintencionado intentarn bloquear el Administrador de tareas e impedir que se inicie como mecanismo de defensa. En este caso se
puede emplear la utilidad de la lnea de comandos Tasklist en los equipos Microsoft Windows XP y Windows Server 2003 (o TList en equipos Windows 2000) para
generar una lista de archivos de texto simple que se puede copiar a un medio extrable para su anlisis posterior. Utilice la siguiente sintaxis de la lnea de comandos
para generar el archivo de texto con la lista de todos los procesos activos:
tasklist /v >TaskList.txt
Con ella podr crear un archivo llamado TaskList.txt en el directorio de trabajo actual.
Siga las siguientes sugerencias para comprobar los procesos que se ejecutan en un equipo en el que se sospecha que existe un software malintencionado:
Compruebe todas las instancias de los servicios Telnet o protocolo de transferencia de archivos (FTP) en ejecucin.
Si no est seguro de la legitimidad de un proceso, utilice un motor de bsqueda en Internet como Google para buscar informacin sobre el mismo.
Compruebe en la ruta al archivo de imagen los procesos cuyo nombre de imagen reconozca.
Busque servicios que estn tanto en ejecucin como detenidos.
Adems del proceso msblast.exe que se mostraba en la figura anterior, otros procesos sospechosos posibles seran los siguientes:
ServuFTP
Ocxdll.exe
Kill.exe
Mdm.exe
Mdm.scr
Mt.exe
Ncp.exe
Psexec.exe
Win32load.exe
Comprobacin de las carpetas de inicio

Es posible que el software malintencionado haya intentado ejecutarse modificando las carpetas de inicio del sistema.
Nota: la ruta precisa a estas carpetas depende del sistema operativo que se analice. La siguiente informacin corresponde a los sistemas operativos Windows XP,
Windows Server 2003 o Windows 2000.
Son dos las reas de la carpeta de inicio que se recomienda comprobar. La primera es la carpeta All Users, que se encuentra en la siguiente ubicacin predeterminada:
C:\Documents and Settings\All Users\Men Inicio
La segunda rea es la ruta al perfil de usuario de la cuenta conectada en ese momento, si bien resulta recomendable comprobar todos los perfiles que se hayan creado
en el sistema. Podr encontrar esta informacin en C:\Documents and Settings\<Nombre_usuario>\Men Inicio, donde <Nombre_usuario> es el Id. de inicio de sesin
en el sistema que se est comprobando.
Nota: en los sistemas Microsoft Windows 95 y Windows 98 puede ocurrir que el software malintencionado cambie el nombre de la carpeta de inicio. Para obtener
ms informacin sobre este tema, consulte el artculo de Microsoft Knowledge Base "141900: "Folder Other Than StartUp Launches Programs" en Microsoft.com:
Compruebe las entradas de cada una de las carpetas de inicio para asegurarse de que ningn tipo de software malintencionado se intenta ejecutar durante el inicio del
sistema.
Comprobacin de las aplicaciones programadas
Aunque resulta menos frecuente, en ocasiones el software malintencionado intenta utilizar el servicio de programador de Windows para iniciar una aplicacin no
autorizada. Para asegurarse de que no es el caso basta con realizar una simple comprobacin de la cola del programador como se describe en estos pasos:
Para comprobar la cola del programador
1. Haga clic en Inicio, seleccione Ejecutar, escriba at y presione ENTRAR

2. Revise la lista. Si mostrara alguna aplicacin no autorizada o sospechosa, cree un informe para un anlisis posterior con el siguiente comando:
11/12/2013
Pgina 36 de 47
Haga clic en Inicio, seleccione Ejecutar, escriba at >C:\AT_Queue_Report.txt y presione ENTRAR.
Con la ejecucin de este comando se crear un archivo de texto en la raz de la unidad C: que deber copiarse a un disco extrable para un anlisis posterior. Revise el
archivo de texto para determinar si hay programada alguna aplicacin no autorizada en la cola.
Una vez haya completado el anlisis de todos los procesos activos y programados, podr identificar los procesos que introdujo el ataque. Despus de documentarlos,
deber reiniciar el sistema y repetir el anlisis para asegurarse de que el ataque de virus no ha comprometido otras reas del sistema o permitido que se ejecuten
procesos falsos al iniciar. Si fuera as, deber realizar un anlisis de los archivos de inicio del sistema y del Registro para intentar hallar el mecanismo utilizado para
mantener los procesos falsos.
Anlisis del Registro local
Al ser el Registro del sistema un almacn de datos complejo y extenso, puede que resulte recomendable realizar una copia de seguridad completa del mismo para
poder llevar a cabo un anlisis detallado de su contenido despus de completar el proceso de recuperacin.
La utilidad de copia de seguridad que se incluye en todas las versiones de Windows se puede emplear para realizar una copia de seguridad y la restauracin de todo el
Registro. Si ya utiliza esta utilidad para realizar copias de seguridad regulares del disco duro no le resultar complicado incluir el Registro en esta rutina. Para realizar la
copia de seguridad del Registro con la aplicacin de copia de seguridad, seleccione Estado del sistema cuando elija las unidades, archivos y carpetas que desea incluir
en el conjunto de copia de seguridad.
Como Estado del sistema incluye, adems del Registro, otra informacin especfica del sistema, los archivos de copia de seguridad tendrn un tamao considerable.
Otra alternativa es usar las utilidades del Editor del Registro que se facilitan con todas las versiones de Windows. Estas utilidades son idneas para realizar copias del
Registro. Windows XP y Windows Server 2003 disponen de dos grupos de herramientas del Editor del Registro, Regedit.exe y la herramienta de la lnea de comandos
Reg.exe.
Nota: los sistemas operativos Windows 2000 y Windows NT emplean Regedt32.exe y requieren las herramientas RegBack.exe y RegRest.exe del kit de recursos
para proporcionar la misma funcionalidad que Regedit.exey Reg.exe. Para obtener ms informacin sobre estas herramientas, consulte la pgina "Backing up and
Restoring the Windows 2000 Registry" del kit de recursos de Windows 2000 en Microsoft.com:
http://www.microsoft.com/windows2000/techinfo/reskit/en-us/regentry/RegistryBackup.asp (en ingls).
Para realizar una copia de seguridad del Registro con Regedit
1. Haga clic en Inicio, seleccione Ejecutar, escriba regedit y presione ENTRAR.

2. En el panel de la izquierda, seleccione Mi PC y, a continuacin, en el men Archivo, seleccione Exportar.
3. Escriba un nombre en el cuadro Nombre de archivo y especifique una ubicacin para la copia del archivo del Registro.
4. En Intervalo de exportacin, seleccione Todo y haga clic en Guardar.
Puede encontrar informacin detallada sobre el uso de Regedit.exe y Reg.exe en "Registry Reference for Windows Server 2003" de la gua de implementacin de
Windows Server 2003 en:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/RegistryBackup.asp (en ingls).
Importante: como este disco puede estar expuesto al software malintencionado, asegrese de que no entra en contacto con otros sistemas hasta que se haya
establecido un mtodo de control eficaz.
Una vez haya realizado la copia de seguridad del Registro, compruebe en las siguientes reas las posibles referencias de archivo inusuales:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\KnownDLLs
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\KnownDLLs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run="
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows ("run="
line)
value)
Estas reas del Registro suelen ser el objetivo del cdigo malintencionado porque le permiten ejecutarse al iniciar el sistema. Por ejemplo, el gusano
W32@.Mydoom.G@mm agreg el valor:
"(Default)" = "%System%\<nombre_archivo_aleatorio>"
a las claves del Registro:
11/12/2013
Pgina 37 de 47
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Otra rea que se ha visto afectada recientemente es la siguiente clave:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
Esta clave controla los archivos .dll que carga Microsoft Internet Explorer (Explorer.exe). Por ejemplo, el gusano Mydoom y sus variantes podran agregar una entrada
a esta clave para cargar un archivo .dll que creara una vulnerabilidad y establecera una puerta trasera para un ataque.
El gusano W32.Netsky.D@mm eliminara la clave y agregara todo este conjunto de claves:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch
Comprobacin de la existencia de software malintencionado y de archivos daados

La mayora de los tipos de software malintencionado modifican uno o ms archivos del disco duro de un equipo, por lo que encontrar cules son los que se han visto
afectados puede resultar complicado. Si el sistema se cre a partir de una imagen, se puede comparar el sistema infectado directamente con un sistema nuevo creado
a partir de dicha imagen.
Si esta alternativa no estuviera disponible, otro mtodo que permite determinar qu archivos se han modificado consiste en utilizar una herramienta de bsqueda en el
sistema para localizar todos los archivos que hayan cambiado desde que el software malintencionado se introdujo en el sistema. Una bsqueda de estas caractersticas
se puede realizar con la herramienta Buscar de Windows; la siguiente captura de pantalla muestra cmo acotar la bsqueda de archivos infectados con las opciones
avanzadas del panel Resultados de la bsqueda.
Figura 4.4 Opciones avanzadas del cuadro de dilogo Resultados de la bsqueda

Si establece las opciones tal como se muestra en la figura, aparecern todos los archivos que se hayan creado el da en el que el software malintencionado se introdujo
en el host (en este ejemplo, el 27 de abril de 2004).
Tambin se puede crear un archivo de texto que contenga una lista de todos los archivos presentes en el directorio actual y sus subdirectorios, aunque advertimos que
la lista puede ser extensa.
Para crear una lista de todos los archivos de un directorio y sus subdirectorios
11/12/2013
Pgina 38 de 47
1. Haga clic en Inicio, seleccione Ejecutar, escriba cmd y presione ENTRAR.

2. Cambie al directorio que desea documentar.
3. En el smbolo del sistema, escriba dir /s /-c /o:-d /t:c /q > FileList.txt y presione ENTRAR.
Al ejecutar este comando se crear en el directorio actual un archivo de texto de nombre FileList.txt, que podr copiar a un medio extrable para realizar un anlisis
posterior.
Nota: existen muchas otras formas de crear una lista de estas caractersticas con otras herramientas y secuencias de comandos. Sin embargo, el objetivo de esta
seccin es ayudar a recopilar informacin rpidamente con herramientas que fcilmente pueden estar disponibles en cualquier equipo. Si dispone de tiempo para
preparar un kit de herramientas de respuesta ante una emergencia que contenga una secuencia de comandos ms avanzada, utilcelo en lugar del procedimiento
descrito aqu.
Despus de completar la bsqueda, los resultados se pueden ordenar por tipo para simplificar la identificacin de los archivos ejecutables, que por regla general son el
objetivo del software malintencionado. La siguiente lista ofrece ejemplos de algunos de los tipos de archivos ms comunes que pueden contener cdigo ejecutable:
*.exe*.html*.cmd*.htm
*.bat*.cpl*.pif*.pot
*.vbs*.vbe *.js*.jse
*.scr*.jpg *.doc*.xls
*.mdb*.com*.ocx
Nota: la lista de bsqueda puede contener muchas entradas y es probable que no disponga de tiempo para revisar todas las modificaciones en esta fase del proceso.
No obstante, se recomienda guardar una copia o imprimir la lista para cuando tenga tiempo de revisar los archivos que sern el objetivo ms probable de los ataques.
Los siguientes archivos pueden indicar la presencia de un software malintencionado en el sistema:
DLL16.ini
DLL32.hlp
DLL32NT.hlp
Gates.txt
Gg.bat
Httpsearch.ini
Seced.bat
Xvpll.hlp
Psexec.bat
Lcp_netbios.dll
Tradicionalmente estos archivos los ha utilizado el software malintencionado y se facilitan aqu como ejemplo de las tcnicas de asignacin de nombres que se han
empleado para ocultar archivos de software malintencionado. Si no est seguro de la legitimidad de un nombre de archivo concreto, puede realizar una bsqueda en
Internet para conocer la naturaleza del archivo y saber si se ha vinculado a software malintencionado. No obstante, conviene sealar que la bsqueda no se debe
realizar desde el sistema infectado, ya que si se hace as, el software malintencionado podra modificar el comportamiento de la bsqueda en Internet.
Tambin es necesario saber que algunos ataques de software malintencionado han utilizado nombres de archivo vlidos pero colocando el archivo en una carpeta
distinta para evitar que lo detecte el servicio de proteccin de archivos de Windows. Por ejemplo, un archivo utilizado por software malintencionado en el pasado es
Svchost.exe, que normalmente se instala y est protegido en la carpeta %WINDIR%\System32. Pero tambin se han descubierto ejemplos de cdigo malintencionado
que ha podido crear un archivo con el mismo nombre en la carpeta %WINDIR%. Por ello es importante comprobar la ruta completa as como los nombres de archivo.
Algunas de las reas comunes en las que los ataques de software malintencionado suelen colocar y modificar archivos son las siguientes:
%Windir%. Es la variable asignada a la carpeta de instalacin predeterminada del sistema operativo Windows. Esta carpeta contiene varios archivos ejecutables
y de configuracin importantes. De forma predeterminada, la variable sealar a otras rutas de carpeta:
C:\Windows (para los sistemas Windows 95/98/ME/XP y Windows Server 2003).
C:\Winnt\ (para los sistemas Windows NT/2000).
%System%. Es la variable asignada a la carpeta del sistema situada debajo de la carpeta de instalacin predeterminada del sistema operativo Windows. Esta
carpeta contiene los archivos de sistema del sistema operativo host. De forma predeterminada, la variable sealar a otras rutas de carpeta:
C:\Windows\System (para sistemas Windows 95/98/ME).
C:\Winnt\System32 (para sistemas Windows NT/2000).
11/12/2013
Pgina 39 de 47
C:\Windows\System32 (para sistemas Windows XP y Windows Server 2003).

%Temp%. Es la variable asignada a la ruta que utilizan las aplicaciones para escribir archivos temporales. De forma predeterminada, la variable se asigna a las
siguientes rutas:
C:\Windows\TEMP (para sistemas Windows 95/98/ME).
C:\WINNT\Temp (para sistemas Windows NT/2000).
C:\Document and Settings\<Nombre_usuario>\Configuracin local\Temp (para Windows XP y Windows Server 2003).
%Temporary Internet Files%. Es la variable utilizada por las aplicaciones de exploracin en Internet para almacenar los archivos temporales durante la
exploracin Web. De forma predeterminada, la variable sealar a las siguientes rutas:
C:\Windows\Archivos temporales de Internet (para sistemas Windows 95/98/ME).
C:\Document and Settings\<Nombre_usuario>\Configuracin local\Archivos temporales de Internet (para sistemas Windows NT/2000/XP y Windows
Server 2003).
Si al analizar los archivos del sistema descubre archivos infectados, se recomienda copiarlos a un medio extrable para un anlisis posterior. Obviamente, como estos
archivos estn infectados, deber asegurarse de que no los utiliza ningn otro proceso que el previsto. Algunos de los pasos que puede seguir para proteger estas
copias son los siguientes:
Cambiar la extensin del nombre de archivo. Si cambia la extensin del nombre de archivo a un nombre que desconozca el sistema operativo, ste no podr
ejecutar el archivo si por descuido se hace clic en l. Por ejemplo, podra reemplazar la ltima letra del archivo Avirus.exe por un guin bajo para que se
muestre as: Avirus.ex_.
Almacenar los archivos infectados en un archivo de almacenamiento protegido. Podra comprimir los archivos y utilizar una contrasea para proteger el
archivo comprimido.
Medios especializados. Asegrese de que los medios extrables se pueden identificar fsicamente con claridad de los medios estndar utilizando discos de
colores o etiquetas no estndar.
Bloquear los archivos en una ubicacin segura. Coloque todos los medios de ejemplo de software malintencionado en una ubicacin o medio de
almacenamiento seguros.
Enviar por correo electrnico slo archivos de almacenamiento protegidos. Si precisa enviar por correo electrnico el archivo sospechoso de contener
software malintencionado (por ejemplo a un proveedor de antivirus), envelo siempre en un archivo de almacenamiento protegido por contrasea. Las puertas
de enlace del correo electrnico podrn buscar y detectar el software malintencionado si se enva como dato adjunto no protegido.
Nota: algunos ataques de software malintencionado han utilizado archivos de almacenamiento protegidos para escapar de las tcnicas de bsqueda antivirus.
Como resultado, algunas organizaciones tambin bloquean o ponen en cuarentena todos los archivos de almacenamiento entrantes. Por ello, antes de enviar el
archivo, compruebe que el destinatario del mismo permite los archivos de almacenamiento protegidos.
Comprobacin de los usuarios y grupos

Algunos ataques de software malintencionado intentarn elevar los privilegios de los usuarios existentes en el sistema o agregar nuevas cuentas a grupos que
dispongan de derechos de administrador. Compruebe la siguiente configuracin inusual:
Cuentas de usuario y grupos extraos.

Nombres de usuario que no parecen corresponderse a ningn usuario existente.
Grupos que contengan miembros no vlidos.
Derechos de usuario no vlidos.
Privilegios elevados recientemente para una cuenta de usuario o grupo.
Por ltimo, confirme que todos los miembros del grupo Administrador son vlidos.
Utilice el complemento de usuarios y grupos locales de Microsoft Management Console (MMC) para comprobar las incorporaciones inusuales al grupo de
administradores local. Asimismo, consulte el registro de seguridad del equipo local para saber si hay entradas inusuales. Por ejemplo, las entradas de la categora
"Administracin de cuentas" como el suceso 636 indican que se ha agregado un nuevo miembro al grupo local. Estos registros tambin facilitan la fecha y la hora del
cambio.
Si el sistema que se analiza es un servidor Windows, utilice el complemento de usuarios y grupos de Active Directory de MMC para examinar tambin la pertenencia al
grupo del dominio. Para obtener ms informacin sobre los usuarios y grupos predeterminados para Windows 2000, consulte la pgina "Default User Accounts and
Groups" en Microsoft TechNet:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/evaluate/featfunc/07w2kadb.mspx (en ingls) y el artculo de Knowledge Base "243330: Well Known
Security Identifiers in Windows Server Operating Systems", que ofrece informacin sobre los identificadores de seguridad (SID) conocidos y la informacin de usuarios
y grupos asociada, en Microsoft.com:
Nota: aunque los artculos describen el sistema operativo Windows 2000, la informacin tambin se aplica a Windows 2003, ya que los grupos predeterminados
bsicos no han cambiado de una versin a otra. Sin embargo, s se han introducido en Windows Server 2003 grupos predeterminados adicionales, como los grupos
especiales Servicio de red y Servicio local. Consulte la configuracin predeterminada del sistema para ver detalles.
11/12/2013
Pgina 40 de 47
Comprobacin de las carpetas compartidas

Otro comportamiento comn del software malintencionado es el uso de carpetas compartidas para extender la infeccin. Compruebe el estado de las carpetas
compartidas en el sistema infectado con el complemento Administracin de equipos de MMC o desde la lnea de comandos con el comando NetShare. Las tablas que
se muestran a continuacin ilustran los recursos compartidos predeterminados presentes en los clientes y servidores Windows.
Nota: de forma predeterminada, los equipos Windows 9x no comparten archivos o carpetas a menos que se habilite el uso compartido de archivos. Asimismo, los
clientes Windows 9x no disponen de recursos compartidos "admin$" o equivalentes; nicamente las carpetas o volmenes que se han compartido especficamente
estn disponibles en la red (salvo el sistema comprometido o algn software de control remoto instalado en el mismo).
Tabla 4.1: Recursos compartidos de carpeta predeterminados de Windows XP
Carpeta compartida
Ruta compartida
Comentarios
ADMIN$
C:\Windows
Administracin remota
C$
C:\
Recurso compartido predeterminado
<n>$
<n:>\
Representa un recurso compartido para la raz de cada unidad fija del sistema.
SharedDocs
C:\Documents and Settings\All Users\Documents
Se agregar si se ha habilitado el uso compartido de archivos locales.
Tabla 4.2: Recursos compartidos de carpeta predeterminados de Windows Server 2003 y Windows 2000 Server
Carpeta
compartida
Ruta compartida
Comentarios
ADMIN$
C:\Windows
Administracin remota
C$
C:\
Recurso compartido predeterminado
<n>$
<n:>\
Representa un recurso compartido para la raz de cada unidad fija del sistema.
SharedDocs
C:\Documents and Settings\All

Users\Documents
Se agregar si se ha habilitado el uso compartido de archivos locales.
Wwwroot$
C:\inetpub\wwwroot
Se configurar si Servicios de Internet Information Server (IIS) se ha instalado como

servidor Web.
Tambin puede examinar los permisos en estos recursos compartidos con la herramienta de la lnea de comandos SrvCheck de la pgina "Windows Server 2003
Resource Kit Tools" en Microsoft.com: http://go.microsoft.com/fwlink/?LinkId=4544 (en ingls).
O bien utilizar otras utilidades de terceros como Dumpsec, que puede descargar desde el sitio Web de SystemTools.com: http://www.somarsoft.com (en ingls), para
generar estos informes.
Comprobacin de los puertos de red abiertos
Muchos ataques de software malintencionado intentan debilitar los sistemas afectados para preparar el camino para ataques futuros. Una tcnica que suelen emplear
los atacantes consiste en abrir puertos de red en el host para posteriormente utilizarlos como ruta adicional al mismo.
Existen distintas herramientas que se pueden emplear para exportar una lista de la configuracin actual de los puertos de la red, entre las que se incluye PortQRY,
perteneciente a las herramientas de soporte de Microsoft Windows Server 2003. Para obtener ms informacin sobre esta herramienta, consulte el artculo de
Microsoft Knowledge Base "832919: New features and functionality in PortQry version 2.0" en Microsoft.com: http://support.microsoft.com/?kbid=832919
Otra herramienta para este propsito es la utilidad de la lnea de comandos FPort de Foundstone, que se encuentra disponible en: http://www.foundstone.com (en
ingls).
Por ltimo, tambin se puede hacer uso de la utilidad de la lnea de comandos NetStat, que se proporciona con Windows, para documentar el estado de las
conexiones y puertos de red a la escucha e imprimir una copia del mismo si as se desea.
Para crear un informe de NETSTAT
En el host infectado, haga clic en Inicio, Ejecutar, escriba Netstat -an >c:\netstat_report.txt y presione ENTRAR.
Nota: si Netstat se ejecuta en Windows XP o posterior, tambin puede utilizar el siguiente comando, con el que se incluir el identificador de proceso (PID)
asociado en el informe:
Netstat -ano >c:\netstat_report.txt
Se crear un archivo de texto llamado netstat_report.txt (nombre al que puede agregar la fecha si as lo desea) en la raz de la unidad C:. Este archivo se debe guardar
en un medio extrable para un anlisis posterior.
Uso de un analizador de protocolos de red
11/12/2013
Pgina 41 de 47
Esta herramienta se puede emplear para crear un registro de los datos de trfico en la red que se trasmiten a y desde el host infectado. El archivo de seguimiento de la
red que se obtenga se debe guardar como parte de un conjunto de archivos de informacin para anlisis posteriores.
Entre los ejemplos de analizadores que permiten crear este tipo de archivos se encuentra el componente Monitor de red de Microsoft Systems Management Server
(SMS) y otras herramientas de terceros como el analizador Ethereal, disponible en el sitio Web de Ethereal en: http://www.ethereal.com/ (en ingls).
Comprobacin y exportacin de los registros de sucesos del sistema
Los registros de sucesos del sistema de Windows pueden servir para localizar una amplia gama de comportamientos inusuales que permiten identificar los cambios
realizados por el software malintencionado, as como el momento en que se produjeron. La consola de administracin Visor de sucesos se puede utilizar para guardar
cada tipo de archivo del registro de sucesos (aplicacin, seguridad y sistema) en medios extrables para un anlisis posterior. De forma predeterminada, estos archivos,
que se almacenan en el directorio C:\Winnt\System32\Config\, se llaman AppEvent.evt, SecEvent.evt y SysEvent.evt. No obstante, tenga en cuenta que mientras el
sistema est activo, estos archivos se encuentran bloqueados y se deben exportar con la herramienta de administracin Visor de sucesos.
Las siguientes sugerencias proporcionan informacin sobre el modo en que estos registros se pueden utilizar para determinar los efectos de los ataques de software
malintencionado:
Busque los cambios realizados en el momento que se produjo el posible ataque.

Compare las horas de los registros de sucesos con las horas de creacin y modificacin de los archivos.
Busque las cuentas que se hayan creado o cuyas contraseas se hubieran modificado en el momento de la posible intrusin.
Despus de completar el proceso de anlisis del software malintencionado, puede intentar volver a conectar las redes aisladas, siempre teniendo en cuenta si la
naturaleza del ataque lo permite. Por ejemplo, si el anlisis determina que el software malintencionado slo se transmite a travs de una aplicacin de igual a igual
(P2P) concreta, podr restaurar las redes y otros servicios con un simple cambio de los filtros del servidor de seguridad perimetral para bloquear los puertos de red
utilizados por dicha aplicacin. Esta solucin puede restaurar las comunicaciones de una organizacin a un nivel prcticamente normal mientras se lleva a cabo el
proceso de recuperacin del sistema.
Paso 4: Recuperacin del sistema

Una vez que ha recopilado toda la informacin necesaria sobre el ataque y ha comprendido su naturaleza, puede iniciar el proceso de eliminacin del software
malintencionado y de recuperacin de los datos daados en los equipos infectados.
Importante: aunque disponga de una aplicacin antivirus que pueda reconocer y limpiar un equipo que ha sufrido un ataque de software malintencionado, Microsoft
recomienda que determine la fecha y la hora de la infeccin, as como el modo en que se produjo. Sin esta informacin resulta difcil determinar qu otros sistemas,
medios de copia de seguridad o medios extrables estuvieron expuestos.
La forma en que complete este proceso depender en gran medida de la naturaleza del ataque en concreto. No obstante, puede utilizar el siguiente proceso de alto
nivel para garantizar la completa recuperacin de los datos y los sistemas:
1. Restaurar los datos perdidos o daados.

2. Eliminar o limpiar los archivos infectados.
3. Confirmar que en los equipos no hay software malintencionado.
4. Volver a conectar los equipos a la red.
La confirmacin de que el sistema est libre de software malintencionado es un paso esencial que no debe omitirse, ya que muchas amenazas estn diseadas para
permanecer en la sombra durante largos perodos de tiempo. Asimismo, las imgenes de copia de seguridad o los puntos de restauracin del sistema pueden incluir
archivos de sistema infectados, lo que puede producir otra infeccin si una imagen infectada se utiliza como origen para la recuperacin. Por estos motivos, resulta
vital determinar la fecha y la hora de la primera instancia del ataque, si es posible. Una vez que disponga de una marca de tiempo como referencia, mediante las fechas
de las imgenes de copia de seguridad puede determinar si es probable que alguna de ellas incluya el mismo tipo de amenaza.
Limpieza o reconstruccin?
Son las dos opciones disponibles cuando se trata de decidir cmo recuperar el sistema. La primera de ellas, la limpieza del sistema, se basa en las caractersticas
conocidas del ataque para intentar deshacer de forma sistemtica el dao que ha causado cada una de ellas en el sistema. La segunda opcin se suele denominar
reconstruccin o acoplamiento de un sistema. Sin embargo, la dificultad radica en decidir cul de ellas utilizar.
La limpieza del sistema nicamente se debe seleccionar si se est completamente seguro de que todos los elementos del ataque se han documentado debidamente y
que el proceso solucionar todos los problemas de forma satisfactoria. Los proveedores de antivirus suelen proporcionar la documentacin necesaria, pero pueden
tardar varios das en analizar y comprender la naturaleza del ataque. Se suele preferir la opcin de limpieza del sistema porque lo devuelve a su estado anterior con las
aplicaciones y los datos intactos. Este enfoque tambin suele suponer una vuelta ms rpida a las operaciones normales si se compara con la opcin de reconstruccin.
No obstante, si no se realiza un anlisis detallado del cdigo malintencionado, puede que la limpieza no elimine el problema por completo.
El riesgo fundamental de la limpieza del sistema radica en la posibilidad de que no se haya detectado o documentado algn elemento de la infeccin inicial o una
posible segunda infeccin, por lo que el sistema puede continuar infectado o ser susceptible de un sufrir un ataque de software malintencionado. Debido a este riesgo,
muchas organizaciones seleccionan simplemente la reconstruccin de sus sistemas infectados para tener la total seguridad de que el software malintencionado ya no
est presente en ellos.
En lneas generales, Microsoft recomienda la reconstruccin siempre que un sistema haya sufrido un ataque donde se hayan instalado una puerta trasera o un rootkit.
Para obtener ms informacin sobre este tipo de ataques, consulte el captulo 2 de esta gua, "Amenazas de software malintencionado". Los distintos componentes de
estos ataques son difciles de detectar con seguridad y suelen volver a aparecer tras varios intentos de eliminacin. Normalmente su objetivo es obtener acceso no
autorizado a los sistemas infectados para posteriormente iniciar otros ataques que les permitan elevar sus privilegios o instalar su propio software. Por ello, la nica
11/12/2013
Pgina 42 de 47
forma de estar completamente seguro de que el equipo est libre de software malintencionado es la reconstruccin a partir de medios de confianza y el
establecimiento de opciones de configuracin que solucionen las vulnerabilidades que permitieron que se produjera el ataque inicial, por ejemplo, no haber aplicado
las actualizaciones de seguridad o haber utilizado contraseas poco seguras.
Este proceso tambin requiere una cuidadosa recopilacin y evaluacin de todos los datos importantes del usuario del sistema infectado, la reparacin de los
elementos daados, la comprobacin de los datos para confirmar que no contienen software malintencionado y finalmente la restauracin de los datos limpios en el
sistema reconstruido.
La reconstruccin del sistema tambin implica la reinstalacin de las aplicaciones disponibles anteriormente y su adecuada configuracin. Por lo tanto, aunque la
reconstruccin proporciona el mximo nivel de seguridad en cuanto a la eliminacin de la infeccin o ataque, suele resultar un proceso mucho ms largo que la
limpieza.
El factor principal a considerar en la eleccin de una opcin u otra es el nivel de confianza que tenga en cada una de ellas para eliminar completamente y resolver la
infeccin o el ataque. El tiempo de inactividad necesario durante la reparacin debe ser una consideracin secundaria, ya que lo que se persigue es la integridad y la
estabilidad del sistema.
Tabla 4.3: Ventajas y desventajas de la limpieza y la reconstruccin del sistema
Limpieza
Reconstruccin
Proceso sencillo, si se dispone de herramientas de limpieza.
Proceso ms complejo, especialmente si no se cuenta con una solucin de copia de

seguridad o recuperacin antes de la infeccin.
La limpieza de los datos se realiza en menos pasos.
Los pasos a seguir son ms numerosos: capturar, realizar copias de seguridad, limpiar,
examinar y restaurar los datos.
Las herramientas de eliminacin utilizan menos recursos que la

reconstruccin completa del sistema.
El proceso de reconstruccin puede requerir una cantidad de tiempo significativa y

consumir muchos recursos.
Existe el riesgo de que el sistema an est infectado.
Escaso riesgo de que el sistema an est infectado si se restaura a partir de medios limpios
y datos administrados de forma correcta.
Nota: si se opta por la limpieza de un sistema infectado, los equipos legales y de administracin de la organizacin deben llevar a cabo un anlisis de riesgos para
determinar si estn dispuestos a aceptar la posibilidad de un futuro ataque si el proceso de limpieza no elimina parte del cdigo malintencionado.
Limpieza del sistema

Esta opcin resultar viable nicamente si los ataques y el comportamiento del software malintencionado se encuentran documentados y la confiabilidad de los
procedimientos de limpieza se ha comprobado. Microsoft y otros proveedores de antivirus pueden proporcionar a los administradores la documentacin sobre los
pasos a seguir o facilitarles herramientas automatizadas que limpien la infeccin del sistema. Ambas opciones pretenden deshacer cada una de las acciones realizadas
durante la infeccin para devolver el sistema a su estado operativo original. Generalmente, estos procedimientos slo estn disponibles para hacer frente a virus o
gusanos muy graves y varios das despus de la infeccin inicial.
Nota: como los ataques de software malintencionado se suelen producir en cadena, por ejemplo, MyDoom@A, MyDoom@B, etc, es muy importante utilizar solamente
procedimientos o herramientas de limpieza que eliminen la versin especfica del software malintencionado del sistema.
Si no se puede contar con una herramienta automatizada para el contrarrestar el ataque, algunos de los pasos bsicos que se deben considerar si se opta por la
limpieza manual son los siguientes:
1. Detener los procesos de ejecucin del software malintencionado. Es necesario finalizar todos los procesos relacionados con el ataque que se estn ejecutando
en ese momento, as como las entradas de ejecucin automtica o tareas programadas asociadas al software malintencionado que se pretende eliminar.
2. Eliminar los archivos introducidos por el software malintencionado. Para este paso ser necesario realizar un anlisis detallado de los archivos de las unidades de
disco del host para determinar cules estn afectados.
3. Aplicar las actualizaciones o revisiones de seguridad ms recientes para solucionar las vulnerabilidades aprovechadas por el ataque original. Este paso puede
obligar a reiniciar el sistema en varias ocasiones y visitar el sitio Web de Windows Update varias veces para comprobar que se han aplicado todas las
actualizaciones de seguridad.
4. Cambiar las contraseas (de dominio o locales) que se puedan haber visto comprometidas o las que resulten poco seguras o fciles de averiguar. Para obtener
informacin sobre la configuracin de contraseas seguras, consulte la pgina "Strong Passwords" en Microsoft.com:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise/proddocs/en-us/windows_password_tips.asp (en ingls).
5. Deshacer los cambios realizados por el software malintencionado en el sistema. Este paso puede implicar la restauracin de las configuraciones del servidor de
seguridad y los archivos del host local del equipo.
6. Restaurar los archivos de usuario modificados o eliminados por el software malintencionado.
Si opta por realizar manualmente estos pasos, tenga en cuenta que ser necesario compararlos posteriormente con procedimientos de limpieza publicados para
asegurarse de que los ha realizado todos y que pueden solucionar la infeccin. O bien, si su organizacin cuenta con un equipo de soporte antivirus, tambin ser
preciso que compruebe que los procedimientos de inspeccin y recuperacin utilizados para identificar y reparar todos los posibles vectores de ataque resultan
adecuados. Si no se hace as, la infeccin podra volver a producirse.
Restauracin o reinstalacin?
11/12/2013
Pgina 43 de 47
Si decide que el mejor enfoque es reconstruir el sistema, la restauracin se puede llevar a cabo utilizando una imagen o copia de seguridad anterior del sistema que
est libre de software malintencionado, o bien, volviendo a instalar el sistema a partir de los medios originales.
Si opta por la opcin de la imagen anterior, guarde los datos ms recientes del usuario del sistema infectado para evitar la prdida de las actualizaciones o cambios
aplicados desde la fecha en la que se realiz la copia de seguridad. Con la segunda opcin, la reconstruccin a partir de los medios originales en lugar de con una
copia de seguridad, la nica forma de evitar la prdida de los datos del sistema infectado es almacenarlos.
Recuperacin de los datos del sistema infectado
Probablemente el activo ms importante con el que cuente el sistema sean los datos que residen en l. Por ello, es fundamental disear una estrategia que permita
almacenarlos, repararlos, realizar una copia de seguridad de ellos y posteriormente restaurarlos en el sistema reconstruido.
Asegrese de guardar correctamente los siguientes tipos de datos para poder restaurar el sistema por completo:
Datos de configuracin del sistema operativo. Esta informacin incluye todas las opciones de configuracin necesarias para restaurar el sistema operativo del
host a su estado original y garantizar que todos sus servicios funcionan correctamente.
Datos de aplicaciones. Se incluyen todos los datos utilizados y almacenados en las aplicaciones que se encuentran instaladas en el dispositivo host.
Datos de los usuarios. Se incluyen todos los datos de configuracin, por ejemplo, perfiles y archivos generados por los usuarios.
Nota: obviamente, estos datos que se guardan representan un riesgo de infeccin, por lo que se debe prestar especial atencin a cmo se trabaja con ellos
hasta que se haya identificado un mtodo confiable que permita determinar si estn infectados.
Realice una copia de seguridad de todos los datos en un medio o ubicacin seguros donde no puedan ejecutarse ni estar a disposicin de sistemas o usuarios no
autorizados. Utilice las herramientas o medios necesarios de los que disponga para restaurar y almacenar los datos y, posteriormente, restaurarlos en el sistema una
vez reconstruido.
Restauracin desde una imagen o copia de seguridad
Para poder restaurar los datos a partir de una imagen o copia de seguridad, ser necesario haberlos capturado previamente con una herramienta de recuperacin
antes de que la infeccin comprometiera el sistema. Existe una gran variedad de herramientas que pueden simplificar en gran medida la tarea de copia de seguridad y
recuperacin de datos de los sistemas. Estas herramientas ofrecen un alto nivel de garanta en la proteccin de los sistemas no slo frente a infecciones de software
malintencionado, sino tambin frente a errores del hardware y otras posibles amenazas. La configuracin de una infraestructura de recuperacin completa no entra
dentro del mbito de esta gua. No obstante, en las siguientes secciones se analizan algunas tecnologas clave pertenecientes a este rea que se pueden utilizar para
tratar problemas relacionados con los virus.
Restauracin del sistema de Windows
La restauracin del sistema de Windows (WSR) protege archivos de aplicaciones y del sistema de vital importancia mediante el control, el registro y, en ciertos casos, la
copia de seguridad de los mismos antes de que se modifiquen. Es importante saber si su aplicacin antivirus es compatible con WSR, ya que esta utilidad puede crear
un punto de restauracin que podra infectarse con software malintencionado si se utiliza para limpiar el sistema en cualquier momento tras el ataque inicial. El
software malintencionado podra volver a introducirse en el sistema mediante el punto de restauracin infectado. Por suerte, una aplicacin antivirus compatible con
WSR detectar el problema durante un proceso de restauracin. Si se detectan archivos infectados, la solucin antivirus intentar modificarlos, moverlos o eliminarlos.
Si los archivos se limpian correctamente, WSR se encargar de restaurarlos. Sin embargo, si algn archivo no se puede limpiar y se elimina o pone en cuarentena, el
proceso de restauracin generar un error al producir este aislamiento un estado de restauracin incoherente. Si es el caso, WSR devolver el sistema a su estado
anterior (antes de que comience la operacin de restauracin).
Para obtener ms informacin sobre el funcionamiento de las aplicaciones antivirus con este servicio, consulte el artculo de Knowledge Base "831829: How antivirus
software and System Restore work together" en Microsoft.com: http://support.microsoft.com/?kbid=831829
Nota: como los archivos de firma de virus se actualizan para evitar un ataque de software malintencionado, puede que una restauracin que generara error das atrs
funcione ahora correctamente (una vez actualizada la aplicacin antivirus). Y al contrario, si la restauracin se ha realizado a un punto que result adecuado
anteriormente pero un nuevo archivo de firma activa la deteccin de un ataque en un archivo de copia de seguridad que no se puede limpiar, puede se genere un
error en el proceso de restauracin.
Para obtener ms informacin sobre WSR, consulte la pgina "How to Restore Windows XP to a Previous State" en Microsoft.com:
http://www.microsoft.com/windowsxp/pro/using/itpro/managing/restore.asp (en ingls).
Recuperacin automatizada del sistema
La recuperacin automatizada del sistema (ASR) permite, de una forma sencilla y rpida, realizar copias de seguridad de los volmenes de inicio y del sistema en el
equipo, lo que propiciar una restauracin ms pronta en caso de error o infeccin. No obstante, al igual que sucede con cualquier otro medio de copia de seguridad,
es posible que los archivos de copia de ASR resulten infectados por software malintencionado. Para obtener ms informacin sobre ASR y su uso, consulte las notas
del producto "How ASR Works" en Microsoft.com: http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/sdcbc_sto_axho.asp
(en ingls).
Solucin de copia de seguridad de Windows
La solucin de copia de seguridad que se proporciona como parte de la familia de sistemas operativos Windows ofrece un sencillo mecanismo de copia para entornos
empresariales de pequeo y mediano tamao. No obstante, al igual que sucede con WSR y ASR, los propios archivos de copia de seguridad pueden contener software
malintencionado. Por ello, si emplea esta solucin, compruebe que el software malintencionado no se restaura en el sistema y que no se reinicia el ataque. Todos los
archivos de copia de seguridad se deben comprobar y examinar con una aplicacin antivirus actualizada que sea capaz de detectar y eliminar la infeccin antes de que
se utilice una imagen de copia de seguridad para restaurar el sistema. Para obtener documentacin detallada sobre la recuperacin de desastres, incluidas las
operaciones de copia de seguridad y restauracin, consulte la seccin "Planning for Disaster Recovery" de Windows Server 2003 Deployment Kit en Microsoft.com:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/sdcbc_sto_gqda.asp (en ingls).
Reinstalacin del sistema
Una vez que haya comprobado la seguridad de los datos de copia de seguridad, puede iniciar el proceso de reconstruccin del sistema. Este punto del proceso resulta
idneo para dar formato a las unidades, cambiar los tamaos de las particiones y realizar otras tareas de mantenimiento del sistema necesarias para asegurar un
rendimiento ptimo tras la restauracin. Si es posible, reconstruya los servidores con un recurso compartido integrado totalmente actualizado. Para obtener ms
informacin sobre la creacin de este tipo de instalaciones de Windows, consulte:
11/12/2013
Pgina 44 de 47
La seccin "The Combination Installation" de Microsoft Windows XP Hotfix Installation and Deployment Guide en Microsoft.com:
http://www.microsoft.com/WindowsXP/pro/downloads/servicepacks/sp1/hfdeploy.asp#the_combination_installation_gxsi (en ingls).
La seccin "Installing Windows 2000 with the Service Pack and Hotfixes" de Windows 2000 Hotfix Installation and Deployment Guide en Microsoft.com:
http://www.microsoft.com/windows2000/downloads/servicepacks/sp3/HFDeploy.htm#installing_windows_2000_with_hotfixes_ykot (en ingls).
Si no se puede realizar la reconstruccin con este origen, existe el riesgo de que el sistema se infecte con software malintencionado basado en la red antes de que se
pueda realizar la conexin al sitio Web de Windows Update para descargar las actualizaciones de seguridad y los Service Packs necesarios. Si fuera as, siga los
siguientes pasos para llevar a cabo la reinstalacin:
1. Desconecte el sistema de la red. La desconexin fsica del equipo de la red es el mtodo ms seguro.
2. Instale el sistema operativo desde el medio de instalacin del sistema original. Durante este proceso resulta fundamental crear contraseas de administrador
local seguras en cada equipo. Estas contraseas deben ser exclusivas para cada sistema.
3. Inicie el sistema y conctese utilizando la cuenta de administrador local.
4. Active un servidor de seguridad basado en host en el sistema, por ejemplo, el servidor de seguridad de conexin a Internet (ICF) de Windows XP.
Nota: en Windows XP Service Pack 2, ICF ha cambiado de nombre para denominarse Windows Firewall y se habilita de forma predeterminada en todas las
conexiones de red. Si el sistema se basa en Windows 2000 o una versin anterior, se recomienda la instalacin de un servidor de seguridad basado en host de
terceros.
5. Vuelva a conectar el sistema a la red. En este momento es importante realizar los siguientes pasos con la mayor rapidez posible para reducir el riesgo del
sistema que se desea reconstruir.
6. Instale en el sistema las actualizaciones de software ms recientes. Es importante tener en cuenta que no todas las actualizaciones de seguridad se incluyen en
el sitio Web de Windows Update. Windows Update slo proporciona las actualizaciones de seguridad ms importantes del sistema operativo y no
actualizaciones para otros productos como SQL Server, Front Page, Commerce Server, etc. Por este motivo, consulte la pgina "Security Bulletin Search" en
Microsoft TechNet: http://www.microsoft.com/technet/security/default.mspx (en ingls) para buscar actualizaciones especficas de productos.
7. Instale un paquete antivirus, compruebe que utiliza la versin ms reciente del archivo de firma de virus y realice una exploracin antivirus completa del sistema.
8. Refuerce la configuracin del sistema con las instrucciones de blindaje ms recientes de la organizacin. Consulte el captulo 3 de esta gua, "Defensa en
profundidad antivirus", para obtener informacin sobre este proceso.
9. Compruebe si queda alguna vulnerabilidad en el sistema utilizando un examinador de vulnerabilidades como Microsoft Baseline Security Analyzer (MBSA). La
descarga de esta herramienta gratuita se puede realizar en Microsoft.com:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx (en ingls).
Tras la reconstruccin y examen del sistema para comprobar que ya no existe ningn archivo infectado, la restauracin de los datos de usuario se podr realizar con
seguridad.
Paso 5: Postrecuperacin
En esta seccin se proporcionan instrucciones sobre los pasos concretos que se deben realizar tras el control y la recuperacin de un primer ataque. Es importante
completar esta fase para ayudar al fortalecimiento de las directivas generales de su organizacin en cuanto a usuarios, procesos y tecnologas.
Reunin de revisin posterior al ataque

A esta reunin deben acudir todas las partes afectadas, que deberan intercambiar las experiencias aprendidas en beneficio de todos. Concretamente, los participantes
deben considerar los siguientes puntos:
Trabajar con los asesores jurdicos para determinar si la organizacin debe adoptar medidas legales frente a los atacantes.
Consultar con los asesores jurdicos para decidir si la organizacin debe informar del ataque a las autoridades correspondientes si se pusieron en peligro datos
importantes. Por ejemplo, informacin sobre tarjetas de crdito.
Evaluar econmicamente los daos sufridos para generar un informe interno que incluya los siguientes elementos:
Las horas empleadas en la recuperacin.
El coste de reparacin del equipo daado.
La prdida de beneficios.
Los costes o daos causados a clientes y socios comerciales.
La prdida de productividad de los trabajadores afectados.
El valor de los datos perdidos.
Identificar las vulnerabilidades del sistema aprovechadas por el software malintencionado para fines ilcitos.
11/12/2013
Pgina 45 de 47
Recomendar cambios en la directiva de defensa en profundidad antivirus de la organizacin.

Recomendar modificaciones en la directiva de seguridad de la organizacin, incluyendo:
Una directiva ms exhaustiva de contraseas predeterminada.
Directivas de auditora.
Directiva de actualizaciones de seguridad.
Directivas de servidor de seguridad.
Actualizaciones posteriores al ataque

Se deben revisar y evaluar las recomendaciones resultantes de la reunin para asegurar su pronta implementacin en la organizacin. Una vez expuesta una
vulnerabilidad especfica, existen distintos enfoques disponibles que se pueden emplear de forma simultnea para solventarla.
Es importante tener en cuenta que estos cambios pueden afectar a usuarios, procesos y tecnologas de la organizacin. La revisin del coste calculado del ataque debe
servir para subrayar los beneficios futuros que puede obtener la organizacin al contar con una estrategia activa que evite la nueva aparicin de los ataques.
Llegados este punto, si su organizacin an no ha implementado un enfoque de defensa en profundidad antivirus, consulte el captulo 3 de esta gua, "Defensa en
profundidad antivirus", para revisar qu elementos de dicho enfoque pueden suponer mayores beneficios para su empresa.
Resumen
En este captulo se ofrecen instrucciones y recomendaciones que se pueden utilizar para la recuperacin de un ataque de software malintencionado de manera
planeada y coherente. Es importante seguir cada uno de los pasos sugeridos, ya la omisin o la mala interpretacin de alguno de ellos podra suponer un nuevo riesgo
de ataque para su organizacin. Asimismo, esto podra dificultar o impedir que su organizacin tomara medidas legales contra al atacante.
Si implementa una solucin de defensa en profundidad antivirus, es muy probable que el nmero de veces que tenga que hacer frente a los ataques con ella se
reduzca al mnimo. Sin embargo, si no dispone de una solucin anticipada que est preparada para hacer frente a los peores escenarios, las probabilidades de cometer
errores ms graves cuando un ataque real anule sus defensas son bastante altas.
Es preciso estar preparado para cualquier eventualidad de antemano ofreciendo al personal encargado de la seguridad toda la informacin sobre las tcnicas utilizadas
ms comnmente por el software malintencionado (como las descritas en este captulo). Asimismo, una sugerencia muy til es crear un kit de herramientas de anlisis
de software malintencionado que incluya algunas de las mencionadas aqu, as como secuencias de comandos y otras utilidades que se puedan emplear para capturar
y documentar con rapidez la informacin importante de los sistemas infectados. Esta preparacin contribuir a reducir el impacto de los ataques de software
malintencionado en las operaciones de su organizacin si los sistemas se ven afectados.
Cada nuevo ataque puede introducir distintos mtodos para comprometer o daar los sistemas. Por ello, Microsoft recomienda la consulta del sitio Web de
informacin de proteccin frente a virus en: http://www.microsoft.com/security/antivirus/ (en ingls). En este sitio se ofrecen informacin antivirus actualizada e
instrucciones sobre cmo hacer frente a los ataques de software malintencionado ms recientes. El uso de los recursos presentados en este captulo le ayudar a
controlar de manera eficaz el impacto de los ataques en su organizacin y a realizar la recuperacin de forma eficaz y segura.
Reconocimientos
El grupo Microsoft Solutions for Security (MSS) desea agradecer y reconocer la labor realizada por el equipo que elabor la Gua de defensa en profundidad antivirus.
Las personas que se citan a continuacin fueron responsables directos o contribuyeron de forma decisiva en la redaccin, elaboracin y comprobacin de esta
solucin.
Autor
Editores
Evaluadores
Comit de revisin del contenido sobre seguridad
Director del programa
Revisores (en orden alfabtico)
Colaboradores (en orden alfabtico)
Autor
Richard Harrison Content Master Ltd
Editores
John Cobb Volt Information Sciences
Steve Wacker Volt Information Sciences
Evaluadores
Gaurav Singh Bora Infosys Technologies Ltd
Balkrishnan Venkiteswaran Infosys Technologies Ltd
11/12/2013
Pgina 46 de 47
Comit de revisin del contenido sobre seguridad

Rich Benack, Security Support Engineer Microsoft Product Support Services (PSS)
Matt Braverman, Program Manager Microsoft Security Business and Technology Unit (SBTU)
Martin Fallenstedt, Development Lead Microsoft Windows Security Core
Robert Hensing, Technical Lead Microsoft Product Support Services (PSS)
Daryl Pecelj, Senior Antivirus Technician Microsoft IT
Randy Treit, Program Manager Microsoft SBTU
Jeff Williams, Security Privacy Officer Microsoft PSS (revisor principal)
Director del programa

Jeff Coon Volt Information Sciences
Revisores (en orden alfabtico)

Ken Anderson, Security Solutions Technical Account Manager Microsoft Consulting
Ignacio Ayerbe, Director of Strategic Alliances Panda Software
Steve Clark, Systems Design Engineer MSS
J.P. Duan, Group Manager of Antivirus Security Response Microsoft SBTU
Marius Gheorghescu, Software Design Engineer Microsoft SBTU
Yolanda Ruiz Hervas Panda Software
Mikko Hypponen, Director of Antivirus Research F-Secure Corporation
Maxim Kapteijns, Senior Program Manager Microsoft Consulting
Mady Marinescu, Development Lead Microsoft SBTU
Brian May, Systems Design Engineer MSS
Sami Rautiainen, Antivirus Researcher F-Secure Corporation
Anil Francis Thomas, Development Manager Microsoft SBTU
Jessica Zahn, International Program Manager Microsoft Publications
Colaboradores (en orden alfabtico)

Eric Cameron, SCRB Program Manager Volt Information Sciences
Philippe Goetschel Product Unit Manager SBTU
Joanne Kennedy, Group Program Manager MSS
Kelly McMahon, User Experience Content Master Ltd
Jeff Newfeld, Product Unit Manager MSS
Rob Oikawa, Architect MSS
Adrien Ransom, Business Development Manager Microsoft SBTU
Bill Reid, Group Product Manager MSS
Bomani Siwatu, Test Lead MSS
Descargar la solucin completa
Gua de defensa en profundidad antivirus
Ver todos los temas sobre instrucciones de seguridad
11/12/2013
Pgina 47 de 47
2013 Microsoft. Reservados todos los derechos.
11/12/2013

Guía de Defensa en Profundidad Antivirus

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Guía de Defensa en Profundidad Antivirus

Загружено:

Авторское право:

Доступные форматы

Descripcin general de la Gua de defensa en profundidad antivirus

Gua de defensa en profundidad antivirus

Resumen de los captulos de la gua

Envenos sus comentarios

En qu medida le ha resultado til la informacin que le hemos facilitado?

Descripcin general de la Gua de defensa en profundidad antivirus

Descripcin general de la Gua de defensa en profundidad antivirus

Captulo 2: Amenazas de software malintencionado

Captulo 3: Defensa en profundidad antivirus

Captulo 4: Control y recuperacin de los ataques de virus

Convenciones de estilo utilizadas en esta gua

Los nombres de archivo y los elementos de la interfaz de usuario aparecen en negrita.

Fuente de texto de la pantalla

Esta fuente define el texto de salida que se muestra en la pantalla.

Fuente de cdigo Monospace

Esta fuente se utiliza para definir ejemplos de cdigo. Ejemplo:

Fuente de comandos Monospace

La carpeta en la que se ha instalado el sistema operativo Windows.

Avisa al lector de que hay informacin adicional.

Descripcin general de la Gua de defensa en profundidad antivirus

Captulo 2: Amenazas de software malintencionado

Evolucin de los virus informticos

Descripcin general de la Gua de defensa en profundidad antivirus

Definicin del software malintencionado

Figura 2.1 rbol de decisin para determinar si se trata de cdigo malintencionado

Descripcin general de la Gua de defensa en profundidad antivirus

Caractersticas del software malintencionado

Descripcin general de la Gua de defensa en profundidad antivirus

Descripcin general de la Gua de defensa en profundidad antivirus

Descripcin general de la Gua de defensa en profundidad antivirus

Qu no se considera software malintencionado?

Mensajes de virus falsos

Descripcin general de la Gua de defensa en profundidad antivirus

Descripcin general de la Gua de defensa en profundidad antivirus

Ciclo de vida tpico del software malintencionado en circulacin

Descripcin general de la Gua de defensa en profundidad antivirus

Captulo 3: Defensa en profundidad antivirus

Vectores de amenazas de software malintencionado

Descripcin general de la Gua de defensa en profundidad antivirus

Enfoque de defensa contra software malintencionado

Modelo de seguridad de defensa en profundidad

Figura 3.1 Capas del modelo de seguridad de defensa en profundidad

Descripcin general de la Gua de defensa en profundidad antivirus

Figura 3.2 Vista de una defensa en profundidad antivirus especfica

Descripcin general de la Gua de defensa en profundidad antivirus

Defensas del cliente

Pasos de la proteccin antivirus del cliente

Descripcin general de la Gua de defensa en profundidad antivirus

Descripcin general de la Gua de defensa en profundidad antivirus

runas /user:mi_dominio\admin "setup.exe"

Paso 7: Restringir aplicaciones no autorizadas

1. Haga clic en Inicio y, a continuacin, en Ejecutar.

Configuracin antivirus en aplicaciones clientes

Descripcin general de la Gua de defensa en profundidad antivirus

Descripcin general de la Gua de defensa en profundidad antivirus

Defensas del servidor

Pasos de proteccin antivirus del servidor

Descripcin general de la Gua de defensa en profundidad antivirus

Software y configuraciones antivirus especficos de la funcin

Servidores Web, como Servicios de Internet Information Server (IIS) de Microsoft.

Descripcin general de la Gua de defensa en profundidad antivirus

Host. El servidor o servidores que ejecutan la base de datos.

La capa de defensa de la red

Descripcin general de la Gua de defensa en profundidad antivirus