Malware, la pesadilla de los sistemas
2008/05/01 Asurmendi Sainz, Jabier - Informatika-ingeniaria eta Bitarlan-en sortzailea Iturria: Elhuyar aldizkaria
Lo que se ha considerado como el primer retrato lo creó Robert Thomas Morris en 1972. Se conoció como Creeper en el monitor del ordenador "I'm a creeper... catch me if you can!" (Soy Aihen-belarra, ¡apájame si puedes!) porque de vez en cuando mostraba el mensaje. Por supuesto, el primer virus trajo el primer programa antivirus: Reper, en euskera, segadora. Sin embargo, la palabra virus no apareció hasta 1984.
¿Qué son los virus?
Un virus es un pequeño programa que se reproduce automáticamente y se reproduce sin conocimiento y autorización de los usuarios, introduciendo parte de su código fuente en el código fuente de otras aplicaciones. De esta forma, cuando se ejecuta la aplicación contaminada, también se ejecuta el código fuente introducido por el virus, que se integra en otras aplicaciones o ficheros. Y cuando estos ficheros infectados se ejecutan en otros sistemas, este sistema también se contamina y el código fuente del virus se copia en los ficheros del nuevo sistema. Este es el principal objetivo del virus: extenderse a sí mismo.
Sin embargo, se han popularizado por los daños que provocan en el sistema multi-virus. Es lo que se conoce como payload del virus, es decir, las consecuencias de los virus en el sistema. Las consecuencias pueden ser bromas sencillas o daños importantes en los datos o en la red, por ejemplo. Sin embargo, y según se cree, un virus informático es potente por su capacidad reproductiva y no por la gravedad de los daños que puede causar en el sistema.
Los virus, en general, deben saber si un fichero está infectado para evitar que se vuelva a contagiar, dejando una firma o una marca en los archivos infectados. Pues esa es la vulnerabilidad de los virus para sobrevivir. De hecho, una vez conocida la marca, los antivirus pueden detectar virus y archivos infectados.
Cuanto más precisa es la marca, más fácil es conocerla y detectarla. Por lo tanto, los programadores de virus tratan de desarrollar las marcas lo más genéricas posibles y no utilizar determinados caracteres como marcas, sino que también pueden contener archivos no contaminados. Esto evitará que todos los archivos del sistema sean infectados por el virus, pero a la vez dificultará su captura. También han existido virus sin firma, como el Jerusalén. Contagia archivos repetidamente y colapsa discos duros.
Los virus no son el único riesgo
Como ya se ha mencionado anteriormente, todos los programas nocivos que se pueden introducir en los ordenadores no son virus y actualmente los sistemas están amenazados por varios malware. Entre ellos, los troyanos gozan de un cierto prestigio. A diferencia de los virus, no tienen capacidad de reproducción automática. De hecho, su nombre histórico indica que es una aplicación perjudicial, pero se introduce en el sistema como una aplicación inocua. Es decir, en una aplicación normal que se puede utilizar normalmente se introduce un código fuente dañino que ataca: es una aplicación útil para el usuario, pero por debajo está ejecutando otras funciones sin que el usuario se dé cuenta.
El primer troyano apareció en 1980, pero antes de que se difundiera Internet no se usaba mucho, ya que había que distribuirlo manualmente. Ahora, sin embargo, son más fáciles de repartir y son bastante peligrosos porque se destruyen más despacio que los virus. Este es el principal objetivo de los troyanos: perseverar inconscientemente en el sistema para poder realizar sus tareas. Estas tareas pueden consistir en borrar o sustituir datos, recibir información del usuario, monitorizar la pantalla del usuario, dar acceso al ordenador, etc.
Una de las tareas de los troyanos es introducir spyware o aplicaciones espías. Los spyware se ejecutan por sí mismos en el sistema y su principal objetivo es obtener información del sistema y del usuario: datos, operaciones, webs visitadas, información leída, etc. Y como la información de estas aplicaciones se envía a través de Internet, el efecto colateral de los spyware es reducir la velocidad de conexión a Internet.
Al igual que el spyware, los backdoor o puertas traseras también pueden acceder a los sistemas mediante troyanos. Los troyanos pueden tener la puerta trasera abierta, de tal manera que el backdoor puede ser un fichero que el usuario ha descargado e instalado de Internet, sin ser consciente de ello. Estos backdoores no son más que fragmentos de códigos fuente que permiten el acceso a los sistemas contaminantes y permiten al agresor evitar vías directas de autenticación de acceso al sistema. Una vez dentro, en el ordenador contaminado se pueden monitorizar las operaciones del usuario, imprimir, abrir lectores de DVD o CD-ROM, acceder o guardar ficheros, etc.
Otro malware conocido son los gusanos. Al igual que los virus, se reproducen automáticamente, pero a diferencia de los virus, para reproducirse no deben contaminar otros archivos, sino que se inician automáticamente con el sistema. De esta forma consiguen ubicar al usuario en la memoria, entre los procesos del sistema, sin darnos cuenta. Su objetivo es divulgar a través de Internet o de la red local y acceder a otros ordenadores. Lógicamente, la carga de trabajo del proceso de reproducción de los machos hace que se ralentice el sistema y la conexión a Internet.
Uno de los más conocidos ha sido Blaster. Un fallo de seguridad de los sistemas MS Windows en su momento daba lugar a una rápida expansión en la red local o a través de Internet, reiniciando el sistema en un minuto.
Cuando hacer click supone una pérdida de dinero
Los fraudes que se producen en Internet se han convertido en un peligro importante en los últimos tiempos y es un problema preocupante, ya que su caída puede suponer una pérdida de dinero importante. Quizás el oído sea Phishing (arrantzan, euskaraz). A diferencia de los malware anteriormente mencionados, no se instalan en sistemas ni se reproducen automáticamente. Están ubicados en un servidor de Internet y deben acceder a su página web a través del navegador.
La forma más común de acceder a esta dirección es a través de un correo electrónico que, supuestamente, ha sido redactado por una entidad financiera o por una empresa conocida y que solicita al lector que acceda a su página web a través de un enlace. Tanto el dominio como el diseño de este sitio web son lo más similares posibles al de la web de la entidad real para engañar al usuario. Y, con cualquier excusa, solicita al usuario unos datos suyos que, en general, son necesarios para operar por Internet con la entidad financiera. De esta forma, el agresor puede obtener los datos del usuario para poder operar en su cuenta.
Otro malware que incita por Internet es el dialer, pero no está tan extendido. Y es que tienen que hacer una llamada para meter el estiércol a través del módem y no se realiza ninguna llamada a través de ADSL o cable módem y routers. Los dialers son, de hecho, pequeños programas que se colgan en las páginas web. Piden al usuario que baje y ejecute el programa para poder acceder a algún servicio. Pero ocurre otra cosa: estos pequeños programas hacen llamadas a distancia sin que el usuario lo sepa. Como consecuencia de ello, el usuario recibe una enorme factura del teléfono y el agresor puede obtener un beneficio económico. Para protegerse legalmente, suelen mencionarlo en una nota tanto del programa como de la web, claro está en la letra pequeña.
Vulnerabilidades de sistemas
Frente a los malware, la principal debilidad no reside en el sistema, sino en el comportamiento del usuario, ya que la mayoría de estos malwares se valen de lo que se conoce como ingeniería social para contagiar los sistemas o meter el estiércol. Es decir, mediante técnicas de manipulación y subjuegos el usuario consigue que se ejecute una aplicación o hacer clic en un enlace.
Sin embargo, en los sistemas existen características que los hacen más vulnerables a los ataques de malware. Por ejemplo, la denominada desbordamiento del buffer overflow o buffer es una debilidad muy utilizada por los malware. Este error se produce cuando la estructura diseñada para almacenar los datos en un espacio de la memoria permite almacenar más datos de los incluidos en su capacidad. Algunos malwares lo aprovechan para ejecutar el código fuente.
Otra de las debilidades es que si se utiliza el mismo sistema operativo en todos los ordenadores de una red, si se consigue acceder a él también se conseguirá acceder a todos los ordenadores de la red.
Asimismo, la concesión de permisos a programas y usuarios del sistema por encima de los estrictamente necesarios puede ser contraproducente. Muchas veces se conceden permisos de gestión del sistema al usuario que no es administrador del sistema, por defecto en la configuración de algunos sistemas.
Medidas de protección
Muchas de las medidas que se pueden adoptar para proteger el sistema pueden derivarse de lo anterior. Lo principal es que no se ejecuten aplicaciones que no se conozcan bien y que no se den datos sin certificar a quién se están facilitando, y por supuesto, que no se den más datos de los necesarios. Hay que tener en cuenta que las entidades financieras nunca solicitan por correo electrónico los datos de acceso a sus sitios web.
Además, se pueden adoptar otras medidas sencillas de seguridad, como por ejemplo, con los permisos que requiere el que sólo estamos trabajando, o iniciar sesión con usuarios con más permisos sólo cuando se necesita instalar una aplicación o cambiar alguna configuración del sistema. Cuando se reciba un fichero a través de Internet u otra vía, se asegurará la ausencia de virus y se realizarán copias de seguridad de los datos relevantes. Asimismo, es importante mantener actualizado el sistema operativo.
Gai honi buruzko eduki gehiago
Elhuyarrek garatutako teknologia