Malware, la pesadilla de los sistemas

Asurmendi Sainz, Jabier

Informatika-ingeniaria eta Bitarlan-en sortzailea

En los ordenadores y otros dispositivos digitales, el programa que entra por debajo del sistema y hace daño se conoce principalmente como virus. Sin embargo, y sobre todo a medida que se extiende Internet, han ido apareciendo otras palabras mezcladas con el término virus: phishing, troyano, spam, spyware, gusanos, etc. Cada uno de ellos tiene diferentes comportamientos y objetivos. De esta manera, para la recopilación de todos estos pequeños programas, se ha ampliado la denominación de malware o software malicioso más general.
Malware, la pesadilla de los sistemas
01/05/2008 | Asurmendi Sainz, Jabier | Ingeniero informático y fundador de Bitarlan
(Foto: http://www.flickr.com/ photos/23905174@N00/1594411528/)

Lo que se ha considerado como el primer retrato lo creó Robert Thomas Morris en 1972. Se conoció como Creeper en el monitor del ordenador "I'm a creeper... catch me if you can!" (Soy Aihen-belarra, ¡apájame si puedes!) porque de vez en cuando mostraba el mensaje. Por supuesto, el primer virus trajo el primer programa antivirus: Reper, en euskera, segadora. Sin embargo, la palabra virus no apareció hasta 1984.

¿Qué son los virus?

Un virus es un pequeño programa que se reproduce automáticamente y se reproduce sin conocimiento y autorización de los usuarios, introduciendo parte de su código fuente en el código fuente de otras aplicaciones. De esta forma, cuando se ejecuta la aplicación contaminada, también se ejecuta el código fuente introducido por el virus, que se integra en otras aplicaciones o ficheros. Y cuando estos ficheros infectados se ejecutan en otros sistemas, este sistema también se contamina y el código fuente del virus se copia en los ficheros del nuevo sistema. Este es el principal objetivo del virus: extenderse a sí mismo.

Sin embargo, se han popularizado por los daños que provocan en el sistema multi-virus. Es lo que se conoce como payload del virus, es decir, las consecuencias de los virus en el sistema. Las consecuencias pueden ser bromas sencillas o daños importantes en los datos o en la red, por ejemplo. Sin embargo, y según se cree, un virus informático es potente por su capacidad reproductiva y no por la gravedad de los daños que puede causar en el sistema.

Los virus, en general, deben saber si un fichero está infectado para evitar que se vuelva a contagiar, dejando una firma o una marca en los archivos infectados. Pues esa es la vulnerabilidad de los virus para sobrevivir. De hecho, una vez conocida la marca, los antivirus pueden detectar virus y archivos infectados.

Cuanto más precisa es la marca, más fácil es conocerla y detectarla. Por lo tanto, los programadores de virus tratan de desarrollar las marcas lo más genéricas posibles y no utilizar determinados caracteres como marcas, sino que también pueden contener archivos no contaminados. Esto evitará que todos los archivos del sistema sean infectados por el virus, pero a la vez dificultará su captura. También han existido virus sin firma, como el Jerusalén. Contagia archivos repetidamente y colapsa discos duros.

Los virus no son el único riesgo

Código fuente. Es donde el virus inserta el suyo.
J. Asurmendi

Como ya se ha mencionado anteriormente, todos los programas nocivos que se pueden introducir en los ordenadores no son virus y actualmente los sistemas están amenazados por varios malware. Entre ellos, los troyanos gozan de un cierto prestigio. A diferencia de los virus, no tienen capacidad de reproducción automática. De hecho, su nombre histórico indica que es una aplicación perjudicial, pero se introduce en el sistema como una aplicación inocua. Es decir, en una aplicación normal que se puede utilizar normalmente se introduce un código fuente dañino que ataca: es una aplicación útil para el usuario, pero por debajo está ejecutando otras funciones sin que el usuario se dé cuenta.

El primer troyano apareció en 1980, pero antes de que se difundiera Internet no se usaba mucho, ya que había que distribuirlo manualmente. Ahora, sin embargo, son más fáciles de repartir y son bastante peligrosos porque se destruyen más despacio que los virus. Este es el principal objetivo de los troyanos: perseverar inconscientemente en el sistema para poder realizar sus tareas. Estas tareas pueden consistir en borrar o sustituir datos, recibir información del usuario, monitorizar la pantalla del usuario, dar acceso al ordenador, etc.

Una de las tareas de los troyanos es introducir spyware o aplicaciones espías. Los spyware se ejecutan por sí mismos en el sistema y su principal objetivo es obtener información del sistema y del usuario: datos, operaciones, webs visitadas, información leída, etc. Y como la información de estas aplicaciones se envía a través de Internet, el efecto colateral de los spyware es reducir la velocidad de conexión a Internet.

Al igual que el spyware, los backdoor o puertas traseras también pueden acceder a los sistemas mediante troyanos. Los troyanos pueden tener la puerta trasera abierta, de tal manera que el backdoor puede ser un fichero que el usuario ha descargado e instalado de Internet, sin ser consciente de ello. Estos backdoores no son más que fragmentos de códigos fuente que permiten el acceso a los sistemas contaminantes y permiten al agresor evitar vías directas de autenticación de acceso al sistema. Una vez dentro, en el ordenador contaminado se pueden monitorizar las operaciones del usuario, imprimir, abrir lectores de DVD o CD-ROM, acceder o guardar ficheros, etc.

Otro malware conocido son los gusanos. Al igual que los virus, se reproducen automáticamente, pero a diferencia de los virus, para reproducirse no deben contaminar otros archivos, sino que se inician automáticamente con el sistema. De esta forma consiguen ubicar al usuario en la memoria, entre los procesos del sistema, sin darnos cuenta. Su objetivo es divulgar a través de Internet o de la red local y acceder a otros ordenadores. Lógicamente, la carga de trabajo del proceso de reproducción de los machos hace que se ralentice el sistema y la conexión a Internet.

Uno de los más conocidos ha sido Blaster. Un fallo de seguridad de los sistemas MS Windows en su momento daba lugar a una rápida expansión en la red local o a través de Internet, reiniciando el sistema en un minuto.

Cuando hacer click supone una pérdida de dinero

El primer troyano apareció en 1980, pero antes de que se difundiera Internet no se usaba mucho, ya que había que distribuirlo manualmente.
(Foto: http://www.flickr.com/ photos/mount_otz/217833766/)

Los fraudes que se producen en Internet se han convertido en un peligro importante en los últimos tiempos y es un problema preocupante, ya que su caída puede suponer una pérdida de dinero importante. Quizás el oído sea Phishing (arrantzan, euskaraz). A diferencia de los malware anteriormente mencionados, no se instalan en sistemas ni se reproducen automáticamente. Están ubicados en un servidor de Internet y deben acceder a su página web a través del navegador.

La forma más común de acceder a esta dirección es a través de un correo electrónico que, supuestamente, ha sido redactado por una entidad financiera o por una empresa conocida y que solicita al lector que acceda a su página web a través de un enlace. Tanto el dominio como el diseño de este sitio web son lo más similares posibles al de la web de la entidad real para engañar al usuario. Y, con cualquier excusa, solicita al usuario unos datos suyos que, en general, son necesarios para operar por Internet con la entidad financiera. De esta forma, el agresor puede obtener los datos del usuario para poder operar en su cuenta.

Otro malware que incita por Internet es el dialer, pero no está tan extendido. Y es que tienen que hacer una llamada para meter el estiércol a través del módem y no se realiza ninguna llamada a través de ADSL o cable módem y routers. Los dialers son, de hecho, pequeños programas que se colgan en las páginas web. Piden al usuario que baje y ejecute el programa para poder acceder a algún servicio. Pero ocurre otra cosa: estos pequeños programas hacen llamadas a distancia sin que el usuario lo sepa. Como consecuencia de ello, el usuario recibe una enorme factura del teléfono y el agresor puede obtener un beneficio económico. Para protegerse legalmente, suelen mencionarlo en una nota tanto del programa como de la web, claro está en la letra pequeña.

Vulnerabilidades de sistemas

Frente a los malware, la principal debilidad no reside en el sistema, sino en el comportamiento del usuario, ya que la mayoría de estos malwares se valen de lo que se conoce como ingeniería social para contagiar los sistemas o meter el estiércol. Es decir, mediante técnicas de manipulación y subjuegos el usuario consigue que se ejecute una aplicación o hacer clic en un enlace.

Sin embargo, en los sistemas existen características que los hacen más vulnerables a los ataques de malware. Por ejemplo, la denominada desbordamiento del buffer overflow o buffer es una debilidad muy utilizada por los malware. Este error se produce cuando la estructura diseñada para almacenar los datos en un espacio de la memoria permite almacenar más datos de los incluidos en su capacidad. Algunos malwares lo aprovechan para ejecutar el código fuente.

Otra de las debilidades es que si se utiliza el mismo sistema operativo en todos los ordenadores de una red, si se consigue acceder a él también se conseguirá acceder a todos los ordenadores de la red.

Los fraudes en Internet pueden suponer una pérdida de dinero si consiguen obtener los datos de las cuentas corrientes.
De archivo

Asimismo, la concesión de permisos a programas y usuarios del sistema por encima de los estrictamente necesarios puede ser contraproducente. Muchas veces se conceden permisos de gestión del sistema al usuario que no es administrador del sistema, por defecto en la configuración de algunos sistemas.

Medidas de protección

Muchas de las medidas que se pueden adoptar para proteger el sistema pueden derivarse de lo anterior. Lo principal es que no se ejecuten aplicaciones que no se conozcan bien y que no se den datos sin certificar a quién se están facilitando, y por supuesto, que no se den más datos de los necesarios. Hay que tener en cuenta que las entidades financieras nunca solicitan por correo electrónico los datos de acceso a sus sitios web.

Además, se pueden adoptar otras medidas sencillas de seguridad, como por ejemplo, con los permisos que requiere el que sólo estamos trabajando, o iniciar sesión con usuarios con más permisos sólo cuando se necesita instalar una aplicación o cambiar alguna configuración del sistema. Cuando se reciba un fichero a través de Internet u otra vía, se asegurará la ausencia de virus y se realizarán copias de seguridad de los datos relevantes. Asimismo, es importante mantener actualizado el sistema operativo.

Técnicas sencillas de virus
Overwrite (Sobreescritura) : El código fuente del virus es la forma más sencilla de introducirlo en los archivos que se quieren infectar y la más fácil de atrapar. El virus copia su código fuente sobre el contenido del inicio del fichero destino. Queda prohibido el uso del fichero infectado, por lo que es muy fácil detectar la presencia del virus.
Prepending (Copia inicial) : El código fuente del virus se inserta al inicio del fichero de destino. Con esta técnica se consigue que se ejecute el código fuente del virus cuando se ejecuta el fichero infectado y que este último siga siendo útil.
(Foto: Stock.Xchng)
Appending (Copia al final) : Es la misma idea que el ejemplo anterior, pero no tan pesada en el tiempo como la anterior. Mediante la programación se inserta un salto al inicio del fichero para la ejecución del virus y un salto al final del virus al código fuente del fichero infectado.
Conpanion (Laguna) : Esta técnica ayuda al archivo que se quiere contaminar en lugar de modificarlo. Para ello, en general, se copia el fichero original en un fichero oculto y el virus en el fichero original.
Publicidad no deseada
Si algo ha abierto el camino a la publicidad en los últimos años, Internet le ha abierto, y de ello se han valido algunos anunciantes, entidades de publicidad y particulares, para que los anuncios se difundan a un precio reducido. Y para ello los desarrolladores de malware también han creado productos. Las de tipo Adware son una de las más costosas, ya que se instalan en el sistema y abren ventanas de anuncios. Y la necesidad de ver las ventanas de anuncios no es lo suficientemente pesada, y los adware hacen que tanto la conexión a Internet como el rendimiento del sistema sean relativamente lentos. Las ventanas que se abren automáticamente mientras se navega por Internet, aunque pueden resultar incómodas, no son tan molestas como las demás y además no se instalan en el sistema.
En este grupo no podían faltar los spam, que llenan los buzones electrónicos sin medida. En la actualidad, el tráfico generado por el spam es mucho mayor que el generado por los mensajes no basura. Entre los mensajes que se reciben diariamente, el porcentaje de estos mensajes publicitarios no deseados es muy elevado. En este caso, los servidores de correo electrónico están obligados a instalar medios anti-spam para poder recibir menos mensajes no deseados por el usuario.
Asurmendi Sainz, Jabier
Servicios
242
2008
Servicios
039
Software; Internet
Artículo
50%
Babesleak
Eusko Jaurlaritzako Industria, Merkataritza eta Turismo Saila