Introducción a los ataques
Cualquier equipo conectado a una red informática puede ser vulnerable a un ataque.
Un “ataque” consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo, programa de software o sistema del usuario) con propósitos desconocidos por el operador del sistema y que, por lo general, causan un daño.
Los ataques siempre se producen en Internet, a razón de varios ataques por minuto en cada equipo conectado. En su mayoría, se lanzan automáticamente desde equipos infectados (a través de virus,troyanos, gusanos, etc.) sin que el propietario sepa lo que está ocurriendo. En casos atípicos, son ejecutados por piratas informáticos.
Para bloquear estos ataques, es importante estar familiarizado con los principales tipos y tomar medidas preventivas.
Los ataques pueden ejecutarse por diversos motivos:
· para obtener acceso al sistema;
· para robar información, como secretos industriales o propiedad intelectual;
· para recopilar información personal acerca de un usuario;
· para obtener información de cuentas bancarias;
· para obtener información acerca de una organización (la compañía del usuario, etc.);
· para afectar el funcionamiento normal de un servicio;
· para utilizar el sistema de un usuario como un “rebote” para un ataque;
· para usar los recursos del sistema del usuario, en particular cuando la red en la que está ubicado tiene un ancho de banda considerable.
Los sistemas informáticos usan una diversidad de componentes, desde electricidad para suministrar alimentación a los equipos hasta el programa de software ejecutado mediante el sistema operativo que usa la red.
Los ataques se pueden producir en cada eslabón de esta cadena, siempre y cuando exista una vulnerabilidad que pueda aprovecharse. El esquema que figura a continuación repasa brevemente los distintos niveles que revisten un riesgo para la seguridad:
Los riesgos se pueden clasificar de la siguiente manera:
· Acceso físico: en este caso, el atacante tiene acceso a las instalaciones e incluso a los equipos:
· Interrupción del suministro eléctrico.
· Apagado manual del equipo.
· Vandalismo.
· Apertura de la carcasa del equipo y robo del disco duro.
· Monitoreo del tráfico de red.
· Intercepción de comunicaciones:
· Secuestro de sesión.
· Falsificación de identidad.
· Redireccionamiento o alteración de mensajes.
· Denegaciones de servicio: el objetivo de estos ataques reside en interrumpir el funcionamiento normal de un servicio. Por lo general, las denegaciones de servicio se dividen de la siguiente manera:
· Explotación de las debilidades del protocolo TCP/IP.
· Explotación de las vulnerabilidades del software del servidor.
· Intrusiones:
· Análisis de puertos.
· Elevación de privilegios: este tipo de ataque consiste en aprovechar una vulnerabilidad en una aplicación al enviar una solicitud específica (no planeada por su diseñador). En ciertos casos, esto genera comportamientos atípicos que permiten acceder al sistema con derechos de aplicación. Los ataques de desbordamiento de la memoria intermedia (búfer) usan este principio.
· Ataques malintencionados (virus, gusanos, troyanos).
· Ingeniería social: en la mayoría de los casos, el eslabón más débil es el mismo usuario. Muchas veces es él quien, por ignorancia o a causa de un engaño, genera una vulnerabilidad en el sistema al brindar información (la contraseña, por ejemplo) al pirata informático o al abrir un archivo adjunto. Cuando ello sucede, ningún dispositivo puede proteger al usuario contra la falsificación: sólo el sentido común, la razón y el conocimiento básico acerca de las prácticas utilizadas pueden ayudar a evitar este tipo de errores.
· Puertas trampa: son puertas traseras ocultas en un programa de software que brindan acceso a su diseñador en todo momento.
Es por ello que los errores de programación de los programas son corregidos con bastante rapidez por su diseñador apenas se publica la vulnerabilidad. En consecuencia, queda en manos de los administradores (o usuarios privados con un buen conocimiento) mantenerse informados acerca de las actualizaciones de los programas que usan a fin de limitar los riesgos de ataques.
Además, existen ciertos dispositivos (firewalls, sistemas de detección de intrusiones, antivirus) que brindan la posibilidad de aumentar el nivel de seguridad.
Esfuerzo de protección
La seguridad del sistema de un equipo generalmente se denomina “asimétrica” porque el pirata informático debe encontrar sólo una vulnerabilidad para poner en peligro el sistema, mientras que el administrador debe, por su propio bien, corregir todas sus fallas.
Ataque por rebote
Cuando se ejecuta un ataque, el pirata informático siempre sabe que puede ser descubierto, por lo que generalmente privilegia los ataques por rebote (en oposición a los ataques directos). Los primeros consisten en atacar un equipo a través de otro para ocultar los rastros que podrían revelar la identidad del pirata (como su dirección IP) con el objetivo de utilizar los recursos del equipo atacado.
Esto comprueba la importancia de proteger su red o PC, ya que podría terminar siendo “cómplice” de un ataque y, si las víctimas realizan una denuncia, la primera persona cuestionada será el propietario del equipo que se utilizó como rebote.
Con el desarrollo de las redes inalámbricas, este tipo de situación podría ser cada vez más común ya que estas redes no son demasiado seguras y los piratas ubicados en sus inmediaciones podrían usarlas para ejecutar un ataque.
Un virus es un pequeño programa informático que se encuentra dentro de otro programa que, una vez ejecutado, se carga solo en la memoria y cumple instrucciones programadas por su creador. La definición de un virus podría ser la siguiente:
"Cualquier programa de informática que puede infectar a otro programa
alterándolo gravemente y que puede reproducirse".
El nombre real que corresponde a los virus es Código Auto Propagado pero por analogía con el campo de la medicina, se les dio el nombre de “virus”.
Los virus residentes en la memoria (también llamados TSR por Terminate and Stay Resident (Terminar y permanecer residente en la memoria) se cargan en la RAM del ordenador para infectar los archivos ejecutables abiertos por el usuario. Los virus no residentes, una vez ejecutados, infectan programas que se encuentran en el disco duro.
Los efectos de un virus varían desde la simple visualización de una pelota de ping pong rebotando por toda la pantalla hasta un virus que elimina datos: éste es el tipo de virus más destructivo que existe. Al haber una amplia variedad con efectos muy variados, los virus no se clasifican según el tipo de daño que causan, sino de acuerdo con la forma en que se propagan e infectan ordenadores.
Por este motivo es que existen diferentes tipos de virus:
· Los gusanos son virus que se pueden propagar a través de una red.
· Los Troyanos son virus que crean un fallo en el ordenador (generalmente para que su diseñador acceda al sistema infectado y lo controle).
· Las bombas lógicas son virus que se pueden activar por un evento específico (por ejemplo, la fecha del sistema o por activación remota).
En los últimos años, ha surgido un nuevo fenómeno, el de los fraudes, es decir, avisos recibidos a través de correos electrónicos (por ejemplo, un informe sobre la aparición de un nuevo virus destructivo o la posibilidad de ganar un teléfono movil gratis). Los mensajes tienen una nota que indica al destinatario reenviar el mensaje a todas las personas que conoce. El propósito de esto es obstruir el tráfico de la red y propagar información falsa
Software antivirus
Un programa antivirus es un software que puede detectar la presencia de un virus en un ordenador y, en el mejor de los casos, eliminarlo. Erradicar un virus es el término que se usa para limpiar un ordenador.
Hay muchos métodos de erradicación:
· Eliminación del código en el archivo infectado que corresponde al virus.
· Eliminación del archivo infectado.
· Puesta en cuarentena del archivo infectado, lo cual implica su traslado a un lugar donde no pueda ejecutarse.
Los virus se reproducen al infectar “aplicaciones huésped“. Esto significa que copian una parte del código ejecutable en un programa existente. Los virus se programan de manera de no infectar el mismo archivo muchas veces y asegurarse de que funcionen como se espera. Para hacerlo, incluyen una serie de bytes en la aplicación infectada, los cuales verifican si ya ha se ha producido la infección. Esto se denominafirma de virus.
Para poder detectarlos, los programas antivirus dependen de esta firma, la cual es única en cada virus. Este método se denomina análisis de firma y es el método más antiguo de los software antivirus.
Este método sólo es fiable si la base de datos del virus del programa antivirus está actualizada e incluye las firmas de todos los virus conocidos. Sin embargo, este método no puede detectar virus que no fueron archivados por los editores del software antivirus. Es más, los programadores de virus crean características de camuflaje para lograr que sea difícil detectar sus firmas, las cuales a veces no se detectan. Esos son “virus polimorfos“.
Este método sólo es fiable si la base de datos del virus del programa antivirus está actualizada e incluye las firmas de todos los virus conocidos. Sin embargo, este método no puede detectar virus que no fueron archivados por los editores del software antivirus. Es más, los programadores de virus crean características de camuflaje para lograr que sea difícil detectar sus firmas, las cuales a veces no se detectan. Esos son “virus polimorfos“.
Algunos programas antivirus usan un verificador de identidad para controlar si se cambiaron las carpetas. El verificador de integridad crea una base de datos que contiene información de los archivos ejecutables en el sistema (datos modificados, tamaño del archivo y posiblemente una suma de comprobación). De esa forma, cuando las características de un archivo ejecutable cambian, el programa antivirus envía una advertencia al usuario de la máquina.
El método heurístico implica el análisis del comportamiento de las aplicaciones para detectar una actividad similar a la de un virus conocido. Por lo tanto, este tipo de programas antivirus puede detectar virus incluso cuando la base de datos del antivirus no ha sido actualizada. Además, tienden a activar alarmas falsas.
En realidad, la mayoría de los virus son clones, o más precisamente “virus mutados“, lo que significa que son virus que han sido reescritos por otros usuarios para cambiar su comportamiento o firma.
Al existir versiones múltiples del mismo virus (denominadas variantes) se vuelven más difíciles de detectar ya que los editores de software antivirus tienen que agregar nuevas firmas a sus bases de datos.
Virus polimorfos
Debido a que los programas antivirus detectan virus usando su firma (la serie de bits que los identifica) principalmente, algunos creadores de virus pensaron en darles la capacidad de cambiar su apariencia, como un camaleón, añadiendo una función de codificación/decodificación a los virus para que sólo los virus puedan reconocer su propia firma. Este tipo de virus se denomina “virus polimorfo” (proviene del griego y significa “que puede tener formas múltiples“).
Cazadores de recompensas
Un “cazador de recompensas” es un virus que modifica las firmas almacenadas por un programa antivirus para volverlas inoperables.
Virus del sector de arranque
Un “virus del sector de arranque” (o virus de arranque) puede infectar el sector de arranque de un disco duro (MBR, Registro de arranque maestro). Este sector es un área del disco duro que se copia en la memoria del ordenador al arrancarlo y luego se ejecuta para comenzar el arranque del sistema operativo.
Macrovirus
Debido a la gran cantidad de programas que usan macros, Microsoft diseñó un lenguaje compartido de secuencias de comandos que se puede insertar en la mayoría de los tipos de documentos que pueden contener macros. Se denomina VBScript a un subconjunto de Visual Basic. Actualmente, estos virus pueden infectar macros en documentos de Microsoft Office, lo cual significa que un virus se puede ubicar en un documento común de Word o Excel y ejecutar una parte del código cuando se abre el archivo. De esta manera, el virus puede propagarse entre los archivos y acceder al sistema operativo (generalmente Windows) al mismo tiempo.
Con más y más aplicaciones que aceptan Visual Basic, cualquiera de ellas puede convertirse en una posible víctima de un virus basado en VBScript.
El nacimiento del tercer milenio se caracteriza por la frecuente aparición de secuencias de comandos Virtual Basic enviadas por correo electrónico como adjuntos (indicadas por su extensión .VBS) cuyos asuntos impulsan al destinatario a abrir el regalo infectado.
El nacimiento del tercer milenio se caracteriza por la frecuente aparición de secuencias de comandos Virtual Basic enviadas por correo electrónico como adjuntos (indicadas por su extensión .VBS) cuyos asuntos impulsan al destinatario a abrir el regalo infectado.
Una vez abierto por un cliente del correo electrónico de Microsoft, este “regalo” puede acceder a todo el libro de direcciones y auto propagarse por la red. Este tipo de virus se denomina gusano.
¿Qué es un fraude?
Un fraude es un correo electrónico que disemina información falsa e induce al destinatario a enviar este informe falso a sus amigos, familiares o colegas.
Por este motivo, más y más personas se reenvían información que recibieron por correo electrónico sin antes verificar si ésta es correcta o no. El propósito de un fraude es simple:
· Otorgarle a su creador la satisfacción de haber engañado a muchas personas.
Estos fraudes tienen diversas consecuencias:
· La obstrucción de las redes al enviar una gran cantidad de datos inútiles a través de la infraestructura de red;
· Dar información falsa, es decir, hacer que muchas personas crean conceptos falsos o dispersar rumores falsos (también denominados leyendas urbanas);
· Llenar buzones de correo electrónico, que ya están sobrecargados;
· Provocar una pérdida de tiempo, tanto para aquellos que leen los correos electrónicos como para quienes los reenvían;
· Empañar la imagen de una persona o una compañía;
· Provocar desconfianza: Si reciben diversas falsas alarmas, los usuarios de red podrían no creer las verdaderas.
¿Cómo luchar contra la información falsa?
Para luchar de manera efectiva contra la diseminación de información falsa por correo electrónico, simplemente se debe tener en mente un punto importante:
¡Cualquier información recibida por correo electrónico que no incluya un hipervínculo a un sitio Web que avale su exactitud debería considerarse no válida!
Por lo tanto, cualquier mensaje que contenga hechos supuestos pero no un vínculo a un sitio de referencia no debería reenviarse a otros.
Cuando envía información, investigue si existe un sitio Web que respalde su afirmación.
Cuando envía información, investigue si existe un sitio Web que respalde su afirmación.
¿Cómo darse cuenta si se trata de un fraude?
Cuando se recibe un correo electrónico que insiste en que la información debe reenviarse (sin brindar un vínculo para comprobar su exactitud), se puede verificar el sitio Web hoaxbuster (en francés) para saber si en verdad es un hoax (un fraude).
Si la información recibida no se encuentra ahí, se la debe buscar en sitios de noticias conocidos mediante un motor de búsqueda.
