diccionario de amenazas Amenazas para ordenadores y seguridad de datos de la A a la Z
2
Glosario de la A a la Z de amenazas para ordenadores y seguridad de datos Ya sea un profesional de informática, utilice un ordenador en el trabajo o simplemente navega por Internet, este libro es para usted. Le ofrecemos información acerca de las amenazas para sus ordenadores y sus datos en un lenguaje simple y fácil de comprender. Sophos libera a los responsables informáticos para que se concentren en sus empresas. La empresa ofrece soluciones de seguridad para estaciones de trabajo, cifrado, correo electrónico, Internet y NAC que son sencillas de implementar, administrar y utilizar. Más de 100 millones de usuarios confían en Sophos como la mejor protección contra las complejas amenazas actuales y los expertos recomiendan al fabricante como líder. Con más de 20 años de experiencia y una red global de centros de análisis propia que le permite ofrecer una rápida respuesta, Sophos obtiene los más altos niveles del sector en satisfacción del cliente. Sophos cuenta con sedes centrales en Boston (Massachusetts) y Oxford (Reino Unido)
Copyright 2009 Sophos Group. Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste electrónico, mecánico, grabación, fotocopia o cualquier otro sin la previa autorización escrita por parte del propietario. Sophos y Sophos Anti-Virus son marcas registradas de Sophos Plc y Sophos Group. Todos los demás nombres de productos y empresas mencionados son marcas registradas o marcas comerciales registradas de sus respectivos propietarios.
3
Sumario Introducci贸n
.....................
4
Glosario de amenazas de la A a la Z ..................... 6 Software de seguridad
..................... 83
Sugerencias de seguridad
..................... 95
Descripci贸n cronol贸gica de los virus .....................114
www.sophos.com
4
Introducción Todas las personas saben algo sobre virus informáticos... o al menos así lo creen. Hace veintisiete años, se creó el primer virus informático (Elk Cloner), aparentemente con la intención de mostrar un breve poema al llegar a los 50 arranques del ordenador. Desde entonces, aparecieron millones de virus y otros “programas maliciosos” (virus de correo electrónico, troyanos, gusanos de Internet, programas espía, registradores de pulsaciones de teclas); algunos de ellos se propagaron en todo el mundo y acapararon la atención. Muchas personas han oído sobre virus que llenan la pantalla del ordenador con residuos o borran sus archivos. En la imaginación popular, los programas maliciosos aún representan travesuras o sabotaje. Los años noventa fueron testigo del pánico mundial por el virus Michelangelo, hace tiempo olvidado. Nuevamente, en los noventa, cuando millones de ordenadores se infectaron con el virus SoBig-F y se preparaba a descargar programas desconocidos de Internet en un momento determinado, las empresas de antivirus luchaban por persuadir a los proveedores de servicios de Internet a que apagaran los servidores a fin de evitar el “escenario más catastrófico”. Las películas de Hollywood como “Independence Day” han reforzado esta percepción, al hacer referencia a los ataques de virus con pantallas intermitentes y alarmas. Sin embargo, todo esto se encuentra muy alejado de la realidad actual. Las amenazas son tan reales como entonces, pero presentan un perfil bajo, están específicamente dirigidas y su objetivo es más el de obtener ganancias económicas que el de crear caos. Hoy en día, las probabilidades de que se borre su disco duro, se dañen sus hojas de cálculo o que se muestre un mensaje son reducidas. Tal vandalismo cibernético ha cedido el paso a abusos más lucrativos. Los virus actuales pueden cifrar todos sus archivos y exigir un rescate. O bien, un pirata informático podría chantajear a una gran empresa con la amenaza de iniciar un ataque de “negación de servicio”, que impide que los clientes puedan acceder a su sitio web. Sin embargo, con mayor frecuencia, los virus no causan ningún daño evidente ni anuncian su presencia en absoluto. En su lugar, un virus puede instalar de manera sigilosa un registrador de pulsaciones de teclas, que espera hasta que la víctima visite un sitio web bancario y luego registra la información de cuenta de usuario y contraseña y la reenvía a un pirata informático por Internet. El pirata informático es un ladrón de identidad y utiliza dicha información para clonar tarjetas de crédito o saquear cuentas bancarias. La víctima ni siquiera sospecha de la infección
5
en su ordenador. Una vez que el virus ha realizado su tarea, puede autoeliminarse para evitar la detección. Otra tendencia de los programas maliciosos es tomar el control de su ordenador, convertirlo en un “zombi” controlado de forma remota y utilizarlo sin su conocimiento para transmitir millones de mensajes de correo no deseado altamente lucrativos o bien lanzar otros ataques de programas maliciosos en usuarios informáticos desprevenidos. Asimismo, a medida que las redes sociales, como Facebook y Twitter adquieren mayor popularidad, los piratas informáticos y ciberdelincuentes están explotando estos sistemas para encontrar nuevas maneras de infectar a los usuarios informáticos y robar sus identidades. Los piratas informáticos ya ni siquiera se orientan a grandes cantidades de víctimas. Dichos ataques altamente notorios atraen una atención no deseada y las empresas de antivirus pueden neutralizar rápidamente los programas maliciosos de amplia difusión. Asimismo, los ataques a gran escala pueden ofrecer a los piratas informáticos una mayor cantidad de datos robados de los que pueden manejar. Debido a esto, dichos ataques se dirigen de una manera más cuidadosa. La “Suplantación de identidad selectiva” es un ejemplo. Originalmente, la “suplantación de identidad” implicaba el envío de mensajes de correo masivo que aparentemente provenían de bancos, donde se les solicitaba a los clientes que repitieran el registro de información confidencial, que luego podía robarse. Por el contrario, la suplantación de identidad selectiva se reduce a un pequeño número de personas, generalmente dentro de una organización. El correo parece provenir de colegas de departamentos de confianza, que solicitan información de contraseñas. El principio es el mismo, pero el ataque tiene mayores probabilidades de tener éxito ya que la víctima considera que el mensaje es interno y no despierta sospechas en él. Sigilosas, a pequeña escala y bien orientadas; ésta parece ser la manera en que se conducen las amenazas actualmente. Entonces, ¿qué ocurrirá en el futuro? Predecir qué ocurrirá con las amenazas de seguridad en el futuro es prácticamente imposible. Algunos expertos consideran que nunca habrá más de un centenar de virus y Bill Gates, de Microsoft, declaró que el correo no deseado ya no representaría problemas para el 2006. No está claro de dónde provendrán las futuras amenazas o cuál será su gravedad. Sin embargo, está claro que siempre que haya una oportunidad de obtener beneficios comerciales, los piratas informáticos y delincuentes intentarán obtener acceso a los datos y utilizarlos con fines indebidos. www.sophos.com
6
7
8
9
Amenazas Una amenaza aprovecha una vulnerabilidad para acceder o infectar un ordenador. Generalmente, una amenaza aprovecha una vulnerabilidad específica de una aplicación y, por ende, se vuelve obsoleta cuando se colocan parches para dicha vulnerabilidad. Las amenazas de día cero son las utilizadas o compartidas por piratas informáticos antes de que el proveedor de software esté al tanto de la vulnerabilidad (y, por tanto, antes de que haya algún parche disponible). Para protegerse contra las amenazas, debe asegurarse de que su software de seguridad antivirus y de estaciones de trabajo esté activo y de que sus ordenadores cuenten con los todos parches necesarios. La tecnología de protección contra desbordamientos del búfer (BOP) puede ofrecer una protección eficaz contra diversas amenazas. Los cortafuegos son la primera defensa contra diversas amenazas y deben implementarse en toda la empresa, no simplemente en los recursos móviles. Consulte Vulnerabilidades, Descarga no autorizada, Desbordamientos del búfer
www.sophos.com
10
11
Amenazas combinadas Las amenazas combinadas utilizan una mezcla de diferentes técnicas de programas maliciosos en un ataque. Los creadores de virus, programas espía, correo no deseado y suplantación de identidad con frecuencia colaboran para crear amenazas combinadas. Estas amenazas, que son cada vez más encubiertas y de bajo perfil, mutan en cuestión de horas o incluso minutos para evadir la detección. Asimismo, por lo general persiguen objetivos financieros. Un ejemplo es el gusano Storm (también conocido como Dorf y Dref). Comenzó con un gran número de correos electrónicos enviados de forma masiva. Al hacer clic en un vínculo del correo electrónico, se conducía a los usuarios a una página web con un código malicioso que descargaba un troyano y tomaba el control del ordenador. Luego, podía usarse el ordenador para enviar otros programas maliciosos o correo no deseado de forma masiva, o bien iniciar un ataque de negación de servicio distribuido. Un enfoque de seguridad integrado que ofrezca protección contra correo no deseado, virus y otros programas maliciosos es importante para defenderse de las amenazas combinadas. Debido a su capacidad de rápido cambio, también es importante implementar una detección y protección proactivas que identifiquen y detengan las amenazas antes de que se inicien. Consulte Troyano, Ataque de negación de servicio, Correo no deseado y Zombi.
www.sophos.com
12
13
Aplicaciones potencialmente no deseadas (PUA) Las aplicaciones potencialmente no deseadas son programas que, sin ser maliciosos, no se consideran adecuados en un entorno empresarial. Algunas aplicaciones, sin ser maliciosas, posiblemente sean útiles en el contexto adecuado, pero no son adecuadas para las redes empresariales. Algunos ejemplos son: programas publicitarios, marcadores telefónicos, programas espía no maliciosos, herramientas para administración remota de ordenadores y herramientas de piratería. Ciertos programas de seguridad de estaciones de trabajo y antivirus pueden detectar estas aplicaciones en los ordenadores de los usuarios e informar sobre su presencia. El administrador luego puede autorizar el uso de las aplicaciones o eliminarlas del ordenador.
www.sophos.com
14
15
Ataque de denegación de servicio Un ataque de denegación de servicio (DoS) impide a los usuarios obtener acceso a un ordenador o sitio web. En un ataque de denegación de servicio, un pirata informático intenta sobrecargar o detener un servicio de modo que los usuarios legítimos ya no puedan acceder a él. Los típicos ataques de negación de servicio están orientados a los servidores web e intentan anular la disponibilidad de los sitios web. No se roban ni comprometen los datos, pero la interrupción en el servicio puede ser costosa para una empresa. El ataque más común consiste en enviar a un equipo más tráfico del que puede soportar. Existe una variedad de métodos para los ataques de denegación de servicio, pero el más simple y común es que una red de bots abarrote de solicitudes a un servidor web. Esto se denomina ataque de denegación de servicio distribuido (DDoS). Consulte Troyanos de puerta trasera, Zombis
www.sophos.com
16
17
Ataque por fuerza bruta Un ataque por fuerza bruta es aquel en el que los piratas informáticos prueban una gran cantidad de posibles combinaciones de claves o contraseñas para obtener acceso no autorizado a un sistema o archivo. Los ataques por fuerza bruta con frecuencia se utilizan para superar un esquema criptográfico, como los que están asegurados con contraseñas. Los piratas informáticos utilizan programas informáticos para probar una gran cantidad de contraseñas a fin de descifrar un mensaje o acceder al sistema. Para evitar los ataques por fuerza bruta, es importante elegir contraseñas lo más seguras posibles. Consulte Cómo seleccionar contraseñas seguras
www.sophos.com
18
19
Centro de comando y control Un centro de comando y control (C&C) es un ordenador que controla una red de bots (es decir, una red de ordenadores zombi o comprometidos). Ciertas redes de bots utilizan sistemas de control y comando para ofrecer mayor resistencia. Desde el centro de comando y control, los piratas informáticos pueden ordenar a varios ordenadores realizar las actividades que éstos deseen. Los centros de comando y control con frecuencia se utilizan para iniciar ataques de denegación de servicio distribuidos, ya que pueden ordenar a un amplio número de ordenadores realizar la misma acción de forma simultánea. Consulte Red de bots, Zombis, Ataque de denegación de servicio
Cebo Un cebo es una forma de trampa que se utiliza para detectar los ataques de piratas informáticos o para recopilar muestras de programas maliciosos. Existen diversos tipos de cebos diferentes. Algunos consisten en máquinas conectadas a la red utilizadas para capturar gusanos de red. Otros ofrecen falsos servicios de red (por ejemplo., un servidor web) para registrar ataques entrantes. Los especialistas de la seguridad con frecuencia utilizan los cebos para recopilar información acerca de los ataques y las advertencias actuales.
www.sophos.com
20
Cookies Las cookies son archivos ubicados en su ordenador que permiten a los sitios web recordar detalles. Cuando visita un sitio web, éste puede colocar un archivo llamado cookie en su ordenador. Esto permite al sitio web recordar sus detalles y realizar seguimiento a sus visitas. Las cookies pueden representar una amenaza para la confidencialidad, pero no para sus datos. Las cookies se diseñaron para ofrecer ayuda. Por ejemplo, si incluye su identificación al visitar un sitio web, una cookie puede almacenar estos datos de modo que no tenga que volver a introducirlos la próxima vez. Las cookies también son útiles para los administradores de web, ya que muestran las páginas web utilizadas de forma adecuada y ofrecen información útil al planificar el nuevo diseño de un sitio. Las cookies son archivos de texto de tamaño reducido y no pueden dañar sus datos. Sin embargo, pueden dañar su confidencialidad. Las cookies pueden almacenarse en su ordenador sin su conocimiento o consentimiento y pueden incluir su información personal de manera que no pueda acceder a ésta fácilmente. Asimismo, cuando vuelve a visitar el mismo sitio web, estos datos se vuelven a transmitir al servidor web una vez más sin su consentimiento. Los sitios web gradualmente crean un perfil de sus intereses y comportamientos de navegación. Dicha información puede venderse o compartirse con otros sitios web y permitir a los anunciantes hacer coincidir los anuncios publicitarios con sus intereses, garantizar la visualización de anuncios publicitarios consecutivos mientras usted visita diferentes sitios y realizar seguimiento al número de veces que ha visto un anuncio publicitario. Si prefiere el anonimato, use la configuración de seguridad de su navegador de Internet para desactivar las cookies.
21
Comportamiento y archivos sospechosos Al escanear un archivo, éste se clasifica con la etiqueta limpio o malicioso. Si un archivo posee diversas características cuestionables, se lo considera sospechoso. El comportamiento sospechoso hace referencia a archivos que muestran un comportamiento sospechoso, como copiarse por su cuenta en una carpeta del sistema cuando se ejecutan en un ordenador. La protección en tiempo de ejecución ofrece protección contra archivos sospechosos al analizar el comportamiento de todos los programas que se ejecutan en su ordenador y bloquear cualquier actividad que se muestre como maliciosa. Consulte Desbordamientos del búfer
www.sophos.com
22
23
Correos electrónicos en cadena Un correo electrónico en cadena es un correo electrónico que le insta a enviar el mensaje a otras personas. Los correos en cadena, como falsas alarmas de virus o bulos, dependen del usuario, más que del código informático, para propagarse. Los principales tipos son: • Falsas alarmas sobre ataques terroristas, fraudes en la línea telefónica de tarifa especial, robos en cajeros automáticos, etc. • Falsas afirmaciones sobre empresas que ofrecen vuelos gratuitos, teléfonos móviles gratuitos o premios en efectivo si reenvía el correo electrónico. • Mensajes que dan a entender que provienen de organismos, como la CIA y el FBI, que advierten acerca de peligrosos delincuentes en su zona. • Solicitudes que, aunque sean genuinas, continúan circulando mucho tiempo después de su fecha de vencimiento. • Bromas y chistes como el que aseguraba que Internet se cerraría por mantenimiento el día 1 de abril. Los correos en cadena no amenazan su seguridad, pero pueden representar una pérdida de tiempo, propagar información falsa y distraer a los usuarios de los mensajes auténticos. También pueden crear tráfico de correo electrónico innecesario y ralentizar los servidores de correo. En algunos casos los correos en cadena alientan a las personas a enviar correo electrónico a ciertas direcciones para saturarlas con spam. La solución al problema del correo en cadena es simple: no reenvíe ese tipo de mensajes. Consulte Falsas alarmas
www.sophos.com
24
25
Correo no deseado (Spam) El correo no deseado es correo comercial no solicitado, el equivalente electrónico al correo basura que llega a su buzón de casa. Los creadores de correo no deseado con frecuencia falsifican su correo electrónico en un intento por evadir el software contra correo no deseado. Más del 99% de la totalidad del correo no deseado proviene de ordenadores en peligro, equipos infectados que forman parte de una red de bots. El correo no deseado por lo general es rentable: los creadores de correo no deseado pueden enviar millones de correos electrónicos en una única campaña por un coste mínimo. Si tan sólo un destinatario en 10.000 realiza una compra, el creador de correo no deseado obtiene una ganancia. ¿Tiene importancia el correo no deseado? • El correo no deseado representa una pérdida de tiempo del personal. Los usuarios que no cuentan con protección contra correo no deseado deben comprobar si se trata de este tipo de mensaje y eliminarlo. • Los usuarios pueden pasar por alto correo electrónico importante o eliminarlo al confundirlo con correo no deseado. • El correo no deseado, como las falsas alarmas o virus de correo electrónico, ocupa ancho de banda y llena las bases de datos. • Ciertos correos no deseados ofenden a los usuarios. Es posible que se responsabilice a los empleadores, ya que se espera que éstos ofrezcan un entorno laboral seguro. • Los creadores de correo no deseado con frecuencia usan los ordenadores de otras personas para enviarlo (consulte Zombis). • El correo no deseado con frecuencia se utiliza para distribuir programas maliciosos (consulte Programas maliciosos de correo electrónico). Los creadores de correo no deseado en la actualidad explotan la popularidad de la mensajería instantánea y los sitios de redes sociales como Facebook y Twitter para eludir los filtros de correo no deseado y engañar a los usuarios para que revelen información confidencial y financiera.
www.sophos.com
26
27
Descarga no autorizada Una descarga no autorizada es la infección de un ordenador con programas maliciosos cuando un usuario visita un sitio web malicioso. Las descargas no autorizadas ocurren sin el conocimiento del usuario. La visita a un sitio web infectado puede ser suficiente para que se descargue el programa malicioso y se ejecute en un ordenador. Las vulnerabilidades en los navegadores de los usuarios (y los complementos del navegador) se explotan para infectarlos. Los piratas informáticos atacan continuamente los sitios web legítimos para comprometerlos al agregar códigos maliciosos en sus páginas. A continuación, cuando un usuario navega por ese sitio legítimo (pero comprometido), el código agregado se carga en su navegador e inicia el ataque no autorizado. De esta manera, el pirata informático puede infectar a los usuarios sin tener que engañarlos para que naveguen por un sitio específico. Para defenderse de las descargas no autorizadas, el usuario debe contar con un software de seguridad de estaciones de trabajo junto con filtrado de seguridad de Internet. Consulte Amenazas
www.sophos.com
28
Desbordamientos del búfer Un desbordamiento del búfer sucede cuando un programa almacena datos en exceso al sobrescribir otras partes de la memoria del ordenador y provoca errores o fallos. Los ataques de desbordamiento del búfer aprovechan esta vulnerabilidad al enviar a un programa una mayor cantidad de datos que la prevista. Luego, el programa puede realizar la lectura de una mayor cantidad de datos en comparación con el espacio reservado para ello y sobrescribir partes de la memoria que el sistema operativo utiliza para otros fines. A diferencia de la creencia popular, el desbordamiento del búfer no sólo ocurre en programas esenciales o servicios de Windows. Puede ocurrir en cualquier aplicación. La Protección frente a desbordamientos del búfer (BOP) busca el código utilizado por las técnicas de desbordamiento del búfer para dirigirse a las vulnerabilidades en la seguridad. Consulte Amenazas, Descarga no autorizada
29
Detección en la nube La detección en la nube utiliza una comprobación de datos en línea en tiempo real para detectar las amenazas. El objetivo de la detección en la nube es reducir el tiempo que necesita un producto de seguridad para utilizar una nueva firma de programa malicioso. Al poner en duda los datos publicados en Internet (es decir, “en la nube”), los productos de seguridad evitan enviar firmas a los ordenadores. La detección en la nube ofrece una respuesta muy rápida a las nuevas amenazas a medida que se descubren, pero tiene la desventaja de que requiere una conexión a Internet para realizar la comprobación.
www.sophos.com
30
31
Falsas alarmas Las falsas alarmas son informes de amenazas o virus inexistentes. Las falsas alarmas generalmente son correos electrónicos que realizan alguna o todas las siguientes actividades: • Advertir acerca de la existencia de un nuevo programa malicioso altamente destructivo que no se puede detectar. • Solicitar que evite leer correos electrónicos con asunto específico (por ejemplo, “Las ranas de Budweiser”) • Afirmar que la advertencia fue emitida por una importante empresa de software, proveedor de Internet u organismo gubernamental (por ejemplo, IBM, Microsoft, AOL o FCC) • Afirmar que el nuevo programa malicioso puede tener efectos que son poco probables (por ejemplo, la falsa alarma Un momento de silencio asegura que “no es necesario el intercambio de programas para que otro ordenador se infecte”) • Usar lenguaje tecnológico incomprensible para describir los efectos de los programas maliciosos (por ejemplo, Sector Zero sostiene que los programas maliciosos pueden “destruir el sector cero del disco duro”) • Solicitarle que reenvíe la advertencia Muchos usuarios que reenvían estos correos electrónicos de falsa alarma pueden causar un diluvio de correos electrónicos, que pueden sobrecargar los servidores de correo. Los mensajes de falsa alarma también pueden desviar la atención de los esfuerzos en ocuparse de las amenazas de programas maliciosos reales. Debido a que las falsas alarmas no son programas maliciosos, su software de seguridad de estaciones de trabajo y su antivirus no pueden detectarlas ni desactivarlas.
www.sophos.com
32
33
Fuga de datos La fuga de datos es el movimiento no autorizado de información, generalmente fuera de una organización. Puede ser deliberada (robo de datos) o accidental (pérdida de datos). La prevención de pérdidas de datos es una preocupación principal para las organizaciones, con escándalos que dominan los titulares con frecuencia. Diversas organizaciones gubernamentales y corporaciones no han podido proteger su información confidencial, incluida la identidad de sus trabajadores, clientes y el público en general. Los usuarios utilizan y comparten los datos de forma rutinaria sin pensar demasiado en los requisitos de regulaciones y confidencialidad. Puede usarse una variedad de técnicas para evitar la fuga de datos. Esto incluye software antivirus, cifrado, cortafuegos, control de acceso, políticas escritas y mejor capacitación para los empleados. Consulte Pérdida de datos, Robo de datos, Cómo asegurar sus datos
www.sophos.com
34
Gusanos de ejecución automática Los gusanos de ejecución automática son programas maliciosos que aprovechan la función de ejecución automática de Windows. Se ejecutan automáticamente cuando el dispositivo en el que están almacenados se conecta a un ordenador. Los gusanos de ejecución automática se distribuyen frecuentemente a través de unidades USB. El gusano Hairy-A es un ejemplo. Éste aprovechó la gran promoción sobre el lanzamiento de la última novela de Harry Potter. Este gusano, distribuido mediante unidades USB, se ocultaba en un archivo que incluía una copia de la novela e infectaba de forma automática los ordenadores en el momento en que se conectaba la unidad USB La reproducción automática es una tecnología similar a la de la ejecución automática. Se inicia en medios extraíbles e insta a los usuarios a que escuchen música con el reproductor multimedia predeterminado o que abran el disco en Windows Explorer. Los intrusos han explotado de forma similar la Reproducción automática, con mayor frecuencia a través del gusano Conficker.
35
Gusanos de Internet Los gusanos son virus que crean copias de ellos mismos en Internet. Se diferencian de los virus informáticos porque pueden propagarse solos, en lugar de usar un programa o un archivo portador. Simplemente crean copias exactas de ellos mismos y usan las comunicaciones entre ordenadores para propagarse. El gusano Conficker es un ejemplo de un gusano de Internet que explota la vulnerabilidad de un sistema para infectar los equipos en la red. Dichos gusanos son capaces de propagarse muy rápidamente e infectar grandes cantidades de equipos. Algunos gusanos abren una “puerta trasera” en el ordenador, lo que permite a los piratas informáticos poder controlarlo. Luego, dichos ordenadores pueden usarse para enviar correo no deseado (consulte Zombis). Los fabricantes de sistemas operativos frecuentemente crean parches para reparar las vulnerabilidades de seguridad que presenta su software. Debe actualizar su ordenador con regularidad mediante Windows Update o al seleccionar el logotipo de Apple y elegir Actualizaciones de software.
36
Incumplimiento El incumplimiento es la falta de cumplimiento de las normas locales, federales o industriales en relaci贸n con la seguridad y privacidad de datos. El incumplimiento puede resultar costoso. Las organizaciones pueden incurrir en multas, sufrir la p茅rdida de reputaci贸n o incluso enfrentarse a acciones legales. Un estudio realizado en 2008 por el Instituto Ponemon demuestra que el coste promedio de la p茅rdida de datos es de $6,3 millones, con un incremento en el registro promedio de coste por cliente del 43% entre 2005 y 2007.
37
Ingeniería social La ingeniería social hace referencia a los trucos que utilizan los intrusos para incitar a las víctimas a realizar una acción. Habitualmente, estas acciones abren una página web maliciosa o ejecutan un archivo adjunto no deseado. Diversos esfuerzos de ingeniería social se orientan a engañar a los usuarios para que divulguen sus nombres de usuarios o contraseñas y permiten a los intrusos enviar mensajes como si fueran usuarios internos para llevar más allá sus intentos de adquisición de datos. En marzo de 2009, ciertos piratas informáticos distribuyeron correos electrónicos personalizados que señalaban una noticia de un sitio relacionado con Reuters sobre la explosión de una bomba en la ciudad del destinatario. Al hacer clic en el vínculo del correo electrónico, se conducía los usuarios a una página web que instalaba un código malicioso y una grabación de vídeo, que descargaba el programa malicioso Waled.
38
39
Parches Los parches son complementos diseñados para solucionar errores de software, incluso la seguridad en sistemas operativos o aplicaciones. La instalación de parches contra las nuevas vulnerabilidades de seguridad resulta esencial en la protección contra programas maliciosos. Diversas amenazas de alto nivel aprovechan las vulnerabilidades en la seguridad, por ejemplo, Conficker. Si no se aplicaron los parches o si están desactualizados, el usuario se arriesga a tener el ordenador abierto a los piratas informáticos. Muchos proveedores de software lanzan nuevos parches de forma regular; Microsoft ofrece correcciones el segundo martes de cada mes (“Parches del martes”) y Adobe emite actualizaciones trimestrales para Adobe Reader y Acrobat el segundo martes después del inicio del trimestre. Para mantenerse al día sobre los parches y las vulnerabilidades más recientes, suscríbase a las listas de correo de vulnerabilidades. Los proveedores de mayor reputación ofrecen este servicio. Por ejemplo, la información sobre seguridad de Microsoft está disponible en www.microsoft.com/technet/security/bulletin/notify.mspx. Los usuarios particulares de Microsoft Windows pueden visitar http://update.microsoft.com para comprobar la existencia de actualizaciones para el ordenador. Los usuarios de Apple OS X pueden hacer clic en el logotipo de Apple en la esquina superior izquierda de sus escritorios y seleccionar actualizaciones del software. Las empresas deben garantizar que todos los ordenadores que se conecten a la red cumplan con una política de seguridad definida que incluya contar con los parches de seguridad más recientes. Consulte Amenazas, Vulnerabilidades
www.sophos.com
40
Pérdida de datos La pérdida de datos es el resultado del extravío accidental de datos, más que de su robo deliberado. La pérdida de datos con frecuencia ocurre a través de un un dispositivo que contiene datos, como un ordenador portátil, un CD-ROM, un teléfono móvil o una memoria USB. Cuando se pierden los datos, éstos están en riesgo de caer en manos inapropiadas a menos que se use una técnica de seguridad de datos eficaz. Consulte Fuga de datos, Robo de datos, Cómo asegurar sus datos
41
Programas espía Los programas espía representan software que permite a los anunciantes o piratas informáticos recopilar información confidencial sin su autorización. Se pueden colar programas espía en su ordenador al visitar ciertos sitios web. Un mensaje emergente puede solicitarle que descargue una utilidad de software que aparentemente necesita o puede descargarse software automáticamente sin su conocimiento. Cuando un programa espía se ejecuta en el ordenador, puede realizar un seguimiento de su actividad (por ejemplo, visitas a sitios web) e informar a terceros no autorizados, como anunciantes. Estas aplicaciones consumen memoria y capacidad de procesamiento, lo que puede ralentizar o bloquear el ordenador. Las soluciones eficaces de seguridad de estaciones de trabajo y antivirus pueden detectar y eliminar programas espía, que se consideran una clase de troyano.
Programas maliciosos Programa malicioso es una denominación general para el software malicioso que incluye virus, gusanos, troyanos y programas espía. Muchas personas utilizan los términos programa malicioso y virus indistintamente. El software antivirus generalmente detecta una mayor gama de amenazas que simplemente virus.
42
43
Programas maliciosos de correo electrónico Los programas maliciosos de correo electrónico hacen referencia a aquellos que se distribuyen por correo electrónico. Históricamente, algunas de las familias de virus más prolíficas (por ejemplo, Netsky o SoBig) se distribuían por su cuenta como archivos adjuntos de correo electrónico. Estas familias dependían de que el usuario hiciera doble clic en el archivo adjunto para que se ejecutara el código malicioso, se infectara el ordenador y se enviara automáticamente a otras direcciones de correo electrónico desde ese ordenador. Hoy, los piratas informáticos han cambiado su enfoque y generalmente usan Internet para la distribución de programas maliciosos. Los mensajes de correo electrónico aún se utilizan, pero principalmente como medio de distribución de vínculos a sitios infectados y no para incluir archivos adjuntos maliciosos. Una gran parte del correo no deseado enviado desde una red de bots tiene como objetivo incrementar el tamaño de dicha red de bots. Debe usarse una eficaz seguridad contra correo no deseado junto con un software de seguridad de estaciones de trabajo para defenderse contra los programas maliciosos de correo electrónico. Asimismo, la formación de los usuarios debe generar conciencia acerca de las estafas por correo electrónico y sobre los archivos adjuntos aparentemente inofensivos provenientes de extraños. Consulte Amenazas, Red de bots
www.sophos.com
44
45
Programas maliciosos de documentos Los programas maliciosos de documentos aprovechan el código incorporado o contenido de macros en los archivos de documentos. Los virus en macros que infectan los documentos de Microsoft Office aparecieron por primera vez a mediados de la década de 1990 y rápidamente se convirtieron en la amenaza más grave de la época. Más recientemente, se ha observado un resurgimiento de los programas maliciosos de documentos y los ciberdelincuentes están desviando su atención hacia otros formatos de documentos generalizados y de confianza, como PDF e incluso AutoCAD. Al insertar contenido malicioso en los documentos, los piratas informáticos pueden explotar las vulnerabilidades de las aplicaciones host utilizadas para abrir los documentos. Consulte Amenazas
www.sophos.com
46
47
Programas maliciosos de falsos antivirus Los programas maliciosos de falsos antivirus informan sobre amenazas inexistentes para asustar al usuario y que éste pague por el registro del producto y la limpieza que son innecesarios. Los programas maliciosos de falsos antivirus se conocen habitualmente como avisos de amenazas. Normalmente se instalan mediante sitios web maliciosos y adquieren la forma de falsos escaneos en línea. Los ciberdelincuentes atraen el tráfico a dichos sitios al enviar mensajes de correo no deseado con vínculos o al comprometer sitios web legítimos. Asimismo, con frecuencia intentan infectar los resultados de motores de búsqueda populares,de modo que los usuarios obtengan acceso a los sitios infectados de distribución al realizar una búsqueda. Los programas maliciosos de falsos antivirus persiguen objetivos financieros y representan grandes ganancias para los ciberdelincuentes. Esto les ofrece recursos significativos para la inversión en su creación y distribución. Las bandas de piratas informáticos son expertas en la rápida producción de sitios web falsos de apariencia profesional que simulan pertenecer a proveedores de seguridad legítimos. La utilización de un software de seguridad actualizado y legítimo le protegerá contra software antivirus falsos.
www.sophos.com
48
49
Programas maliciosos de teléfonos móviles Los programas maliciosos de teléfonos móviles son aquellos diseñados para su ejecución en dispositivos móviles, como teléfonos inteligentes u ordenadores de mano. El primer gusano de teléfono móvil se creó en 2004. El gusano Cabir-A afecta a los teléfonos que utilizan el sistema operativo Symbian y se transmite como un archivo de juegos para teléfono (un archivo SIS). Si ejecuta el archivo, aparece un mensaje en la pantalla y a partir de entonces se ejecuta el gusano cada vez que se enciende el teléfono. Cabir-A busca otros teléfonos móviles cercanos que utilicen la tecnología Bluetooth y se envía al primer teléfono que encuentra. A partir de entonces, se han desarrollado diversos programas maliciosos para teléfonos móviles. En 2009, Research In Motion (RIM) tuvo conocimiento de una vulnerabilidad de los dispositivos BlackBerry en relación con los PDF que los piratas informáticos podían aprovechar. Se conoció que si un usuario de BlackBerry intentaba abrir un archivo PDF diseñado con fines maliciosos, el código maligno se podía ejecutar en un ordenador que albergara el servicio para adjuntar archivos de BlackBerry. Hasta este momento, sólo hemos sido testigos de un número reducido de impactos de amenazas en teléfonos móviles. Esto se debe principalmente a la existencia de un mercado heterogéneo, con varios sistemas operativos que aún compiten por convertirse en el líder del mercado.
www.sophos.com
50
51
Programa malicioso del sector de arranque Los programas maliciosos del sector de arranque se propagan al modificar el programa que permite el inicio de su ordenador. Al iniciar el ordenador, el hardware busca el programa del sector de arranque, que generalmente se ubica en el disco duro (pero puede encontrarse en un disquete o CD), y lo ejecuta. A continuación, este programa carga el resto del sistema operativo en la memoria. Este programa reemplaza el sector de arranque original por su propia versión modificada ( y generalmente oculta el original en otro lugar del disco duro). La próxima vez que inicie el ordenador, se utilizará el sector de arranque infectado y se activará el programa malicioso. Únicamente podrá infectarse si inicia el ordenador desde un disco infectado (por ejemplo, un disquete que incluye un sector de arranque infectado). Los programas maliciosos del sector de arranque son poco frecuentes hoy en día; sin embargo, dentro de los ejemplos más recientes se incluye Mebroot, también conocido como Sinowal, un troyano orientado al robo de contraseñas para la plataforma Windows.
www.sophos.com
52
Comprar pro duc tos
53
Programas publicitarios Los programas publicitarios son los que muestran publicidad. Los programas publicitarios, o software de soporte publicitario, muestran encabezados o ventanas emergentes de publicidad en su ordenador cuando utiliza una aplicación. Esto no es necesariamente algo grave. Dicha publicidad puede financiar el desarrollo de software útil, que luego se distribuye de forma gratuita (por ejemplo, Opera, el navegador web). Sin embargo, los programas publicitarios se convierten en un problema si: • se instalan por su cuenta en su ordenador sin su consentimiento • se instalan por su cuenta en aplicaciones diferentes de las que provienen y muestran anuncios cuando se utilizan dichas aplicaciones • toman el control de su navegador web para mostrar más anuncios (consulte Secuestradores del navegador) • recopilan información de su navegación por Internet sin su consentimiento y la envían a otras personas mediante Internet (consulte Programas espía), • están diseñados para que resulte complejo desinstalarlos. Los programas publicitarios pueden ralentizar su ordenador. También pueden ralentizar su conexión a Internet al descargar anuncios. A veces, la baja calidad de los programas publicitarios puede provocar la inestabilidad del equipo. Las ventanas emergentes publicitarias también pueden distraer su atención y hacerle perder tiempo si tiene que cerrarlas para poder continuar utilizando el ordenador. Algunos programas antivirus detectan los programas publicitarios y los clasifican como “aplicaciones potencialmente no deseadas”. El usuario puede autorizar el programa publicitario o quitarlo del ordenador. También existen programas dedicados a la detección de programas publicitarios.
www.sophos.com
54
Red de bots Una red de bots es un conjunto de ordenadores infectados controlados de forma remota por un pirata informático. Una vez que un ordenador se infecta con un bot, el pirata informático puede controlar el ordenador de forma remota mediante Internet. De allí en adelante, el ordenador es un “zombi” a la orden del pirata informático, si bien el usuario lo desconoce por completo. En conjunto, dichos ordenadores se denominan red de bots. El pirata informático puede compartir o vender acceso a la red de bots y permitir a otras personas su utilización con fines maliciosos. Por ejemplo, un creador de correo no deseado puede utilizar una red de bots para enviar correo electrónico no deseado de forma masiva. Más del 99% de la totalidad del correo no deseado se distribuye de esa manera actualmente. Esto permite a los creadores de correo no deseado evitar la detección y eludir cualquier lista negra aplicada a sus propios servidores. También puede reducir sus costes ya que el propietario del ordenador paga por el acceso a Internet. Los piratas informáticos también pueden usar a los zombis para iniciar un ataque de negación de servicio distribuido, también conocido como DDoS. Disponen que miles de ordenadores que intentan obtener acceso al mismo sitio web de forma simultánea de modo que el servidor web no pueda responder todas las solicitudes que recibe. Por lo tanto, el sitio web se vuelve inaccesible. Consulte Zombis, Ataque de negación de servicio, Correo no deseado, Troyanos de puerta trasera, Centro de comando y control.
55
Redes sociales Las redes sociales le permiten comunicarse y compartir información. Sin embargo, también pueden usarse para propagar programas maliciosos y robar información personal. Estos sitios, en ocasiones poseen una seguridad baja, que permite a los delincuentes acceder a la información personal que puede usarse para atacar los ordenadores, cuentas bancarias y otros sitios seguros. También pueden utilizarse para llevar a cabo amenazas de suplantación de identidad. Por ejemplo, en 2009 los usuarios de Twitter recibieron mensajes de sus seguidores en la red incitándolos a que visitasen un sitio web que intentaba robar los nombres de usuario y las contraseñas. El mismo año, los piratas informáticos obtuvieron acceso a la cuenta de Facebook de un político británico y la utilizaron para enviar mensajes a los contactos y dirigirlos a una página web maliciosa. Para evitar las amenazas de redes sociales, debe ejecutar soluciones de seguridad de Internet que comprueben cada vínculo y página web a medida que se accede a éstos, para detectar si contienen programas maliciosos o actividades sospechosas. También debe asegurarse de que la seguridad antivirus y de estación de trabajo esté activa. Consulte Cómo estar seguro en Internet
www.sophos.com
56
Registro de las pulsaciones del teclado El registro de las pulsaciones del teclado se realiza cuando un tercero no autorizado registra clandestinamente las pulsaciones del teclado. Éste es un ataque común de programas maliciosos, ya que representa una manera eficaz de robar nombres de usuarios, contraseñas, información de tarjetas de crédito y otro tipo de información confidencial.
57
Robo de datos El robo de datos es el robo deliberado de información más que su pérdida accidental. El robo de datos puede ocurrir dentro de una organización (por ejemplo, por parte de un empleado disgustado), o por parte de un delincuente ajeno a la organización. Un ejemplo: piratas informáticos usurparon un sitio web del Gobierno de Virginia y robaron los datos de casi 8,3 millones de usuarios y amenazaron con subastarlos al mejor postor. Otro ejemplo: un antiguo empleado de Goldman Sachs cargó el código fuente secreto de la empresa en un servidor FTP en Alemania. Los delincuentes con frecuencia utilizan programas maliciosos para obtener acceso a un ordenador y robar datos. Un enfoque común es utilizar un troyano para instalar un software de registro de las pulsaciones del teclado que realiza un seguimiento de todo lo que escribe el usuario, incluidos nombres de usuario y contraseñas, antes de usar esta información para acceder a la cuenta bancaria del usuario. El robo de datos también ocurre cuando se roban dispositivos que contienen datos, como ordenadores portátiles o unidades USB. Consulte Fuga de datos, Pérdida de datos, Cómo asegurar sus datos
www.sophos.com
58
59
Rootkit Un rootkit es una aplicación que oculta programas o procesos que se ejecutan en un ordenador. Con frecuencia se utiliza para ocultar el robo de datos o uso indebido del equipo. Un gran número de los programas maliciosos actuales instala rootkits al realizar la infección para ocultar la actividad. Un rootkit puede ocultar grabadores de pulsaciones del teclado o rastreadores de contraseñas, que capturan información confidencial y la envían a los piratas informáticos a través de Internet. También puede permitir que los piratas informáticos utilicen el ordenador con fines ilícitos (por ejemplo, iniciar un ataque de negación de servicio contra otros ordenadores o enviar correo electrónico no deseado) sin el conocimiento del usuario. Los productos de seguridad para estaciones de trabajo en la actualidad detectan y eliminan rootkits como parte de sus rutinas estándar contra programas maliciosos, si bien algunos rootkits requieren una herramienta de eliminación independiente para eliminarlos de forma eficaz.
www.sophos.com
60
61
Secuestradores del navegador Los secuestradores del navegador modifican la página de inicio predeterminada y buscan páginas en su navegador de Internet sin su autorización. Es posible que descubra que no puede cambiar la página de inicio de su navegador una vez que la hayan secuestrado. Algunos secuestradores editan el registro de Windows de modo que la configuración secuestrada se restaure cada vez que reinicia el equipo. Otros, eliminan las opciones del menú de herramientas del navegador para que no pueda restablecer la página de inicio. El secuestro del navegador se utiliza para estimular los ingresos publicitarios y exagerar la calificación de las páginas de un sitio en los resultados de búsqueda. Los secuestradores del navegador pueden ser muy tenaces. Algunos pueden eliminarse automáticamente mediante el software de seguridad. Es posible que otros tengan que eliminarse de forma manual. En ciertos casos, es más sencillo restaurar el ordenador al estado anterior o reinstalar el sistema operativo.
www.sophos.com
62
Servidores proxy anónimos Los servidores proxy anónimos permiten al usuario ocultar la actividad de navegación por Internet. Con frecuencia, se utilizan para eludir los filtros de seguridad de Internet; por ejemplo, para acceder a sitios bloqueados desde un ordenador del trabajo. Los servidores proxy anónimos representan importantes riesgos para las organizaciones: • Seguridad: los servidores proxy anónimos eluden la seguridad de Internet y permiten a los usuarios acceder a páginas web infectadas • Responsabilidad: las organizaciones pueden ser responsables en términos legales si sus ordenadores se utilizan para ver pornografía o material violento, o para incitar el comportamiento ilegal. También se observan repercusiones si los usuarios infringen las licencias de terceros mediante descargas ilegales de software, películas y MP3. • Productividad: los servidores proxy anónimos permiten a los usuarios visitar sitios que, si bien son seguros, con frecuencia se utilizan con fines ajenos al trabajo.
63
Simulación de identidad La simulación de identidad de correo electrónico ocurre cuando se falsifica la dirección del remitente de un correo electrónico con fines de ingeniería social. La simulación de identidad puede ponerse al servicio de diversos usos maliciosos. Las personas dedicadas a la suplantación de identidad (delincuentes que engañan a los usuarios para que revelen información confidencial) usan direcciones de remitentes falsificadas para que parezca que sus correos electrónicos provienen de una fuente de confianza, como por ejemplo su banco. El correo electrónico puede redirigirlo a un sitio web falso (por ejemplo, una imitación deuna web de un banco), donde puede robarse la información de cuenta y contraseña. Las personas dedicadas a la suplantación de identidad también pueden enviar correo electrónico que parezca provenir de su propia organización (por ejemplo, de un administrador del sistema), en los que se le solicita cambiar su contraseña o confirmar su información. Los delincuentes que utilizan el correo electrónico para cometer fraude o engaños pueden utilizar direcciones falsificadas para cubrir sus pistas y evitar la detección. Los creadores de correo no deseado pueden usar una dirección de remitente falsa para que parezca que una empresa o una persona inofensiva envía correo no deseado. Otra ventaja con la que cuentan es que no reciben cantidades de mensajes rechazados en su propio buzón de correo electrónico. Consulte Programas maliciosos de correo electrónico
www.sophos.com
64
65
Software de secuestro Es un programa que le impide el acceso a sus archivos hasta que pague una recompensa. En el pasado, el software malicioso generalmente dañaba o eliminaba datos; en su lugar, ahora puede secuestrar sus datos. Por ejemplo, el troyano Archiveus copia el contenido de la carpeta Mis documentos en un archivo protegido por contraseña y luego elimina los archivos originales. Deja un mensaje que le indica que necesita una contraseña de 30 caracteres para acceder a la carpeta y que se le enviará la contraseña si realiza compras en una farmacia de Internet. En dicho caso, como en la mayoría de los casos de software de secuestro hasta el momento, la contraseña o clave se oculta en el código del troyano y los analistas de programas maliciosos pueden recuperarla. Sin embargo, en el futuro, los piratas informáticos pueden usar un cifrado asimétrico o de clave pública (que utiliza una clave para cifrar los datos, pero otra diferente para descifrarlos) de modo que la contraseña no se almacene en su ordenador. En algunos casos, amenazar con impedir el acceso es suficiente. Por ejemplo, el troyano Ransom-A amenaza con eliminar un archivo cada 30 minutos hasta que pague por un código de desbloqueo a través de Western Union. Si introduce un código de desbloqueo incorrecto, el troyano le advierte que el ordenador se bloqueará en tres días. Sin embargo, las amenazas son falsos ya que Ransom-A no puede ejecutar estas acciones.
www.sophos.com
66
67
Suplantación de identidad Proceso mediante el cual se engaña a los destinatarios para compartir información confidencial con un tercero desconocido. Habitualmente, se recibe un correo electrónico que en apariencia proviene de una organización reconocida, como un banco. El correo electrónico aparentemente incluye un vínculo al sitio web de la organización. Sin embargo, si sigue el vínculo, se conecta a una réplica del sitio web. Cualquier información que introduzca, tal como números de cuenta, PIN o contraseñas, podrá ser robada y utilizada por los piratas informáticos que crearon el sitio falso. En ocasiones, el vínculo muestra un sitio web genuino, pero superpone una ventana emergente falsa. Es posible ver la dirección del sitio web real en un segundo plano, pero la información que introduzca en la ventana emergente puede ser robada. La suplantación de identidad se originó en la década de 1990, cuando los timadores utilizaban la técnica para recopilar datos de cuentas AOL para obtener acceso gratuito a Internet. Los datos robados recibieron el nombre de suplantación de identidad, ya que se recopilaban por “suplantadores” para los usuarios. Su escritura en inglés hace referencia al pirata informático de telefonía, que ataca las redes telefónicas. Para contar con una mejor protección contra los ataques de suplantación de identidad, resulta conveniente no hacer clic en los vínculos de los correos electrónicos. En su lugar, debe introducir la dirección del sitio web en el campo de direcciones y, a continuación, navegar hasta la página correcta o bien usar un vínculo de favoritos o marcador. Los ataques de suplantación de identidad a través del correo electrónico han comenzado a incluir un aspecto fuera de línea para convencer a los usuarios que están altamente capacitados en el robo de información perdida; hemos observado esquemas de suplantación de identidad que utilizaban números de teléfono y fax además de sitios web. El software contra correo no deseado puede bloquear diversos correos electrónicos relacionados con la suplantación de identidad y el software de seguridad de Internet puede bloquear el acceso a sitios web relacionados con la suplantación de identidad.
www.sophos.com
68
69
Suplantación de identidad selectiva La suplantación de identidad selectiva es la suplantación de identidad orientada, el uso de correo electrónico falso para persuadir a las personas de una empresa a revelar información confidencial o credenciales. A diferencia de la suplantación de identidad, que involucra el envío masivo de correo electrónico, la suplantación de identidad selectiva se realiza a pequeña escala y está selectivamente orientada. Las personas que se dedican a la suplantación de identidad selectiva envían correo electrónico a los usuarios de una empresa única. Los correos electrónicos aparentan provenir de otro miembro del personal de la misma empresa y le solicitan que confirme un nombre de usuario y contraseña. Una técnica común es pretender formar parte de un departamento de confianza que posiblemente precise dicha información, como por ejemplo Tecnología de la Información o Recursos Humanos. En ocasiones, se lo redirige a una versión falsa del sitio web o intranet de la empresa.
www.sophos.com
70
Troyanos (también denominados Caballos de Troya) Los troyanos son programas que aparentan ser software legítimo, pero en realidad incluyen funciones dañinas ocultas. Troyano es un término abarcativo que incluye diversos tipos de programas maliciosos: bots, troyanos de puerta trasera y descargadores troyanos. Los troyanos representan un importante porcentaje de los programas maliciosos actuales. Un programa troyano afirma tener una función, y hasta puede parecer que la realiza, pero en realidad realiza una acción diferente, generalmente sin su conocimiento. Por lo general, los troyanos se distribuyen con aplicaciones de software pirateadas y generadores de claves que crean códigos de licencia ilegales para software que se descarga. Consulte Troyanos de puerta trasera
71
Troyano de puerta trasera Un troyano de puerta trasera permite a una persona tomar control del ordenador de otro usuario a través de Internet sin su permiso. Un troyano de puerta trasera puede presentarse como un software legítimo a fin engañar a los usuarios para que lo ejecuten. O bien, una tendencia actual muy común, los usuarios pueden permitir el acceso de troyanos a sus ordenadores accediendo a un vínculo de un correo no deseado o visitando una página web maliciosa. Una vez que el troyano se ejecuta, éste se agrega a la rutina de inicio del ordenador. Luego, puede controlar el equipo hasta que el usuario se conecte a Internet. Cuando el ordenador se conecte, la persona que envió el troyano puede realizar diversas acciones; por ejemplo, ejecutar programas en el ordenador infectado, acceder a archivos personales, modificar y cargar archivos, realizar seguimiento de las pulsaciones de teclas del usuario o enviar correo no deseado. Alguno de los troyanos de puerta trasera más conocidos son: Zapchast, Subseven, BackOrifice y, más recientemente, PcClient. Para evitar los troyanos de puerta trasera, debe mantener los ordenadores actualizados con los parches más recientes (para cerrar las vulnerabilidades en el sistema operativo), y ejecutar software contra correo no deseado y antivirus. También debe ejecutar un cortafuegos que impida el acceso de troyanos a Internet y el contacto con el pirata informático.
www.sophos.com
72
73
Virus Los virus son programas informáticos que pueden propagarse al crear copias de sí mismos. Los virus informáticos se propagan de un ordenador a otro, y de una red a otra, al crear copias de sí mismos, generalmente sin el conocimiento del usuario. Los virus pueden tener efectos dañinos, desde la visualización de mensajes molestos hasta el robo de datos o la cesión del control de su ordenador a otros usuarios. Los virus pueden adjuntarse por su cuenta a otros programas u ocultarse en un código que se ejecuta automáticamente al abrir ciertos tipos de archivos. En ocasiones, pueden explotar los defectos de seguridad del sistema operativo de su equipo para ejecutarse y propagarse automáticamente. Puede recibir un archivo infectado de diversas maneras, por ejemplo, a través de un adjunto de correo electrónico, en una descarga desde Internet o en un disco. Consulte Virus parásitos, Programas maliciosos de correo electrónico, Gusanos de Internet, Programas maliciosos
www.sophos.com
74
Virus parásitos Los virus parásitos, también conocidos como virus de archivo, se propagan al adjuntarse a los programas. Cuando inicia un programa infectado con un virus parásito, se ejecuta el código del virus. A continuación, el virus devuelve el control al programa original con el fin de fin de ocultarse. El sistema operativo de su ordenador considera al virus como parte del programa que se intenta ejecutar y le otorga los mismos derechos. Estos derechos permiten que el virus se copie, se instale en la memoria o realice cambios en el equipo. Los virus parásitos aparecieron en los inicios de la historia de los virus y luego se volvieron poco frecuentes. Sin embargo, se están volviendo más comunes actualmente, y los ejemplos reciente incluyen Sality, Virut y Vetor.
75
Vulnerabilidades Las vulnerabilidades son errores en los programas de software que los piratas informáticos aprovechan para infectar los ordenadores. Las vulnerabilidades de seguridad vuelven a los usuarios más susceptibles a los ataques y pueden estar presentes en cualquier producto de software. Los proveedores de software responsables, al estar al tanto del problema, crean y emiten parches que lo solucionan. Existen empresas que pagan a investigadores o piratas informáticos éticos para que detecten las nuevas vulnerabilidades. También existen piratas informáticos que venden las nuevas vulnerabilidades en el mercado negro. Estos ataques de día cero hacen referencia a las vulnerabilidades que se explotan antes de que haya un parche disponible. Para evitar las vulnerabilidades, su sistema operativo y cualquier aplicación instalada deben ejecutar los últimos parches disponibles. Consulte Amenazas, Parches
www.sophos.com
76
77
Zombis Un zombi es un ordenador infectado que un pirata informรกtico controla de forma remota. Con frecuencia forma parte de una red de bots, que es una red de varios ordenadores zombis o bots. Una vez que un pirata informรกtico puede controlar el ordenador de forma remota mediante Internet, el ordenador es un zombi. Consulte Red de bots
www.sophos.com
78
79
Software de seguridad
80
Software contra correo no deseado Los programas contra correo no deseado pueden detectar correo electrónico no deseado y evitar que entre en los buzones de correo de los usuarios. Estos programas utilizan una combinación de métodos para decidir si un correo electrónico puede ser correo no deseado. Pueden: • Bloquear el correo electrónico proveniente de ordenadores de una lista de bloqueo. Puede tratarse de una lista a la venta en el mercado o una lista local de direcciones de ordenadores que enviaron correo no deseado anteriormente a su empresa. • Bloquear correo electrónico que incluye ciertas direcciones de Internet. • Comprobar si el correo electrónico proviene de una dirección de Internet o un nombre de dominio genuinos. Los creadores de correo no deseado con frecuencia usan direcciones falsas para tratar de eludir los programas contra correo no deseado. • Buscar palabras clave o frases que aparecen en el correo no deseado (por ejemplo, “tarjeta de crédito”, “perder peso”). • Buscar patrones que sugieran que el remitente del correo electrónico está intentando ocultar sus palabras (por ejemplo, “p0rnografía du*ra”). • Buscar código HTML innecesario (el código usado para crear páginas web) utilizado en el correo electrónico, ya que los creadores de correo no deseado con frecuencia lo utilizan para ocultar sus mensajes y confundir a los programas contra correo no deseado. • El programa combina toda la información que encuentra para decidir si un correo electrónico puede ser no deseado. Si las probabilidades son elevadas, puede eliminarlo, según la configuración que se seleccione. El software contra correo no deseado requiere la actualización frecuente con nuevas reglas que le permitan reconocer las técnicas más recientes utilizadas por los creadores de correo no deseado.
81
Software antivirus El software antivirus puede ofrecer protección contra virus y otras amenazas de programas maliciosos, que incluyen troyanos, gusanos y, según el producto, programas espía. El software antivirus utiliza un escáner para identificar programas que puedan ser maliciosos. El escáner puede detectar: • Virus conocidos: el escáner compara los archivos de su ordenador con una biblioteca de “identidades” para detectar virus conocidos. Si encuentra una coincidencia, emite una alerta y bloquea el acceso al archivo. • Virus conocidos con anterioridad: el escáner analiza el probable comportamiento de un programa. Si presenta todas las características de un virus, se bloquea el acceso, a pesar de que el archivo no coincida con ningún virus conocido. • Archivos sospechosos: el escáner analiza el probable comportamiento de un programa. Si dicho comportamiento se considera no deseable, el escáner advierte sobre la posibilidad de que sea un virus. La detección de virus conocidos depende de las frecuentes actualizaciones acerca de las identidades de virus más recientes. Existen escáneres en acceso y a petición, y la mayoría de los paquetes antivirus ofrecen ambos. Los escáneres en acceso permanecen activos en su ordenador siempre que esté en uso. Comprueban los archivos automáticamente al intentar abrirlos o ejecutarlos y pueden evitar el acceso a archivos infectados. Los escáneres a petición le permiten iniciar o programar un escaneo de unidades o archivos específicos.
www.sophos.com
82
Dispositivos (Appliances) Los dispositivos son elementos de seguridad de hardware y software que se combinan en una solución. Esto le permite conectarlos en lugar de instalar el software de forma independiente. Los tipos más comunes de dispositivos son los dispositivos de correo electrónico y dispositivos web. Éstos se ubican en la puerta de enlace entre los sistemas de TI de una organización e Internet y filtran el tráfico para bloquear programas maliciosos, correo no deseado y pérdida de datos. Los dispositivos de correo electrónico bloquean correo no deseado, suplantación de identidad, virus, programas espía y otros programas maliciosos y, de acuerdo con la solución, también emplean filtrado de contenido y cifrado para evitar la pérdida de información confidencial y delicada por correo electrónico. Los dispositivos web bloquean programas maliciosos, programas espía, suplantación de identidad, servidores proxy anónimos y otras aplicaciones no deseadas en la puerta de enlace de Internet. También pueden ofrecer herramientas para implementar las políticas de uso de Internet.
83
Restricción de aplicaciones La restricción de aplicaciones permite controlar el uso de aplicaciones que pueden ser inapropiadas para el uso en ordenadores o redes empresariales. El principal objetivo es controlar las aplicaciones que tienen el potencial de propagar programas maliciosos y pueden afectar de manera negativa la productividad del usuario y la red. Esto incluye diversas aplicaciones basadas en el consumidor, como el software de intercambio de archivos, juegos o reproductores multimedia. La restricción de aplicaciones puede usarse para implementar el uso de aplicaciones de negocios seleccionadas. Por ejemplo, puede establecerse una política que sólo permita el uso de Internet Explorer y bloquee todos los demás navegadores de Internet. Las categorías de aplicaciones que las empresas quizá deseen controlar incluyen: voz sobre IP (VoIP), herramientas de administración remota y clientes de mensajería instantánea.
www.sophos.com
84
Control de dispositivos El control de dispositivos ayuda a supervisar el uso de dispositivos de almacenamiento extraíbles, unidades ópticas y protocolos de redes inalámbricas. El control de dispositivos constituye un elemento central de las estrategias de prevención de fuga de datos y ayuda a prevenir los programas maliciosos que se propagan a través de las unidades USB. Diversas organizaciones utilizan el control de dispositivos para implementar las políticas relacionadas con el uso de dispositivos de almacenamiento extraíbles. De acuerdo con la solución utilizada, el control de dispositivos puede permitir a las organizaciones decidir qué dispositivos se pueden conectar a los ordenadores a través de una política central.
85
Software de cifrado Las soluciones de cifrado aseguran sus datos mediante el cifrado de sus ordenadores de escritorio, ordenadores portátiles, medios extraíbles, CD, correo electrónico, archivos y otros dispositivos. Sólo puede accederse a la información mediante la introducción de una clave de cifrado o contraseña. Ciertas soluciones de cifrado pueden configurarse de modo que los datos se descifren automáticamente para los usuarios autorizados, de manera que que éstos no deban introducir una clave de cifrado o contraseña para acceder a la información. De acuerdo con el producto, las soluciones de cifrado por lo general incluyen funciones de administración de claves (que facilitan el almacenamiento, el intercambio y la recuperación de claves de cifrado), cumplimiento de la política de cifrado, administración centralizada y la realización de informes. Las soluciones de cifrado le permiten proteger su información confidencial y cumplir con las normativas para la seguridad de datos.
www.sophos.com
86
Software de seguridad de estaciones de trabajo El software de seguridad de estaciones de trabajo protege los ordenadores o dispositivos contra una amplia gama de amenazas de seguridad, productividad y cumplimiento, y le permite realizar la administración centralizada de la seguridad de diversas estaciones de trabajo. Los productos de seguridad para estaciones de trabajo reúnen productos independientes individuales necesarios para ofrecer protección contra las amenazas actuales en una solución. A menudo integran la protección de varias funciones en un agente o consola central facilitando así la administración y realización de informes. Pueden incluir: • Software antivirus • Cortafuegos • Control de dispositivos • Control de acceso a la red (NAC) • Restricción de aplicaciones • Protección en tiempo de ejecución • Tecnología de cifrado • Prevención de fuga de datos (DLP)
87
Cortafuegos Un cortafuegos impide el acceso no autorizado a un ordenador o a una red. Como su nombre indica, un cortafuegos actúa como una barrera entre redes o partes de una red y bloquea el tráfico malicioso o evita los intentos de los piratas informáticos. Un cortafuegos de red se instala en el límite entre dos redes. Éste generalmente se ubica entre la red de la empresa e Internet. Puede ser una pieza de hardware o software en ejecución en un ordenador que actúa como puerta de enlace para la red de la empresa. Un cliente cortafuegos es un programa que se ejecuta en el ordenador de un usuario final y sólo protege ese ordenador. En cualquiera de los dos casos, el cortafuegos inspecciona todo el tráfico, entrante y saliente, para determinar si cumple con ciertos criterios. En caso afirmativo, es autorizado; de lo contrario, el cortafuegos lo bloquea. Los cortafuegos pueden filtrar el tráfico según: • Las direcciones de origen y destino y los números de puerto (filtrado de direcciones) • El tipo de tráfico de red (por ejemplo, filtrado de protocolo HTTP o FTP) • Los atributos o el estado de los paquetes de información enviados Un cortafuegos también puede advertir al usuario cada vez que un programa intenta realizar una conexión y consultar si la misma se debe permitir o bloquear. Puede aprender gradualmente de las respuestas del usuario, de modo que conoce los tipos de tráfico que el usuario permite.
www.sophos.com
88
Control de Acceso a la Red (NAC) Una solución NAC (Network Access Control) protege la red, y la información que contiene, de las amenazas que presentan los usuarios o dispositivos que acceden a la red. Existen tres aspectos principales en el control de acceso a la red: • La autenticación de usuarios y dispositivos: para comprobar la verdadera identidad de los usuarios • La evaluación de ordenadores que intentan acceder a la red: para garantizar que no contienen virus y cumplen con sus criterios de seguridad • El cumplimiento de políticas basadas en el rol del usuario: para que cada persona pueda acceder a la información específica de su rol, y así evitar el acceso inapropiado a otro tipo de información
89
Protección en tiempo de ejecución La protección en tiempo de ejecución protege contra intentos de acceso a las partes vulnerables de su ordenador. La protección en tiempo de ejecución analiza el comportamiento de todos los programas en ejecución en su ordenador y bloquea cualquier actividad que parezca maliciosa. Por ejemplo, comprueba cualquier cambio realizado en el registro de Windows, que puede indicar que se están instalando programas maliciosos de modo que se iniciarán automáticamente cuando se reinicie el ordenador. Las soluciones de protección en tiempo de ejecución incluyen los sistemas de prevención de intrusiones en el host (HIPS) y los sistemas de prevención de desbordamientos del búfer (BOPS), que protegen contra amenazas desconocidas al analizar el comportamiento antes de la ejecución del código.
www.sophos.com
90
91
Sugerencias de seguridad
92
Cómo: evitar virus, troyanos, gusanos y programas espía Utilice software de seguridad de estaciones de trabajo o antivirus Instale software de seguridad de estaciones de trabajo o antivirus en todos sus ordenadores de escritorio y servidores y asegúrese de que se mantengan actualizados. Los nuevos programas maliciosos pueden propagarse con una rapidez increíble; por lo tanto, mantenga una infraestructura que pueda actualizar todos los ordenadores de su empresa sin inconvenientes, de forma frecuente y con una anticipación breve. Para proteger su empresa de las amenazas de virus de correo electrónico, correo no deseado y programas espía, ejecute programas de filtrado de correo electrónico también en la puerta de enlace de su correo electrónico. Y no olvide dotar de protección a los ordenadores portátiles y de escritorio utilizados por las personas que trabajan desde el hogar. Los virus, gusanos y programas espía pueden usar fácilmente estos dispositivos para acceder a su empresa. Bloquee los tipos de archivo que con frecuencia ocultan programas maliciosos Bloquee los tipos de archivo ejecutables; resulta poco probable que su organización vaya a necesitar ese tipo de archivos de fuentes ajenas a la empresa. Bloquee los archivos que tengan más de un tipo de extensión Ciertas amenazas ocultan su identidad de programas mediante el uso de una extensión doble, como .TXT.VBS, después del nombre de archivo. A simple vista, un archivo como CARTA-DE-AMOR-PARA-USTED.TXT.VBS o ANNAKOURNIKOVA.JPG.VBS parecen un archivo de texto o un gráfico inofensivos. Bloquee cualquier archivo con doble extensión en la puerta de enlace de correo electrónico.
93
Suscríbase a un servicio de alerta de correo electrónico Un servicio de alerta puede advertirle acerca de los nuevos programas maliciosos y ofrecer identidades de programas maliciosos que permitirán que su software de seguridad de estaciones de trabajo pueda detectarlos. Sophos ofrece un servicio de alerta gratuito. Para obtener información detallada, consulte esp.sophos.com/security/notifications. Considere incorporar una fuente de información de programas maliciosos instantánea en su sitio web o intranet para asegurarse de que sus usuarios estén al tanto de las amenazas más recientes. Utilice cortafuegos en todos los equipos Debe utilizar un cortafuegos para proteger los ordenadores que están conectados a una red. Muchos gusanos pueden introducirse accidentalmente incluso en entornos de redes cerradas a través de dispositivos móviles, CD y unidades USB. Los ordenadores portátiles y las personas que trabajan desde el hogar también necesitarán protección cortafuegos. Realice la actualización permanente de los parches de software Esté pendiente de las novedades de seguridad y asegúrese de que los parches de los sistemas operativos y las aplicaciones estén actualizados. Estos parches con frecuencia cierran las vulnerabilidades que pueden exponerlo a las amenazas de programas maliciosos. Los responsables informáticos deben suscribirse a las listas de envío de correo de los proveedores de software, como las incluidas en www.microsoft.com/technet/ security/bulletin/notify.mspx. Los usuarios particulares que poseen ordenadores Windows pueden visitar http://windowsupdate.microsoft.com, desde donde pueden escanear su ordenador para detectar vulnerabilidades de seguridad y conocer qué parches instalar. Realice copias de seguridad de sus datos de forma regular Realice copias de seguridad de forma regular de los datos y trabajos importantes, y compruebe que se hayan realizado de forma correcta. También debe buscar un lugar seguro donde almacenar sus copias de seguridad, quizás en un lugar fuera de las instalaciones en caso de que ocurra un incendio. Si su ordenador está infectado con programas maliciosos, podrá recuperar los datos o programas perdidos. Cualquier información confidencial incluida en las copias de seguridad debe cifrarse y debe resguardarse su acceso físico.
www.sophos.com
94
Implemente una política de seguridad de ordenadores Cree una política de protección informática en el lugar de trabajo y distribúyala a todo el personal. Dicha política debe incluir: • No descargar archivos ejecutables ni documentos directamente de Internet. • No abrir programas, documentos ni hojas de cálculo no solicitados. • No jugar juegos de ordenador ni usar salvapantallas que no hayan venido incluidos con el sistema operativo. Otras recomendaciones: • Envíe los adjuntos de correo electrónico al departamento de informática para su revisión. • Guarde todos los documentos de Word como archivos RTF (formato de texto enriquecido), ya que los archivos DOC pueden alojar virus en macros. • Sospeche de cualquier correo electrónico no esperado. • Reenvíe las advertencias o falsas alarmas de virus directamente al departamento de informática (y a nadie más) para confirmar si son genuinas. • Desconéctese de la red e informe al departamento de informática inmediatamente si considera que su ordenador puede haberse infectado con programas maliciosos. Implemente un control de dispositivos Impida la conexión de dispositivos no autorizados a sus ordenadores. Los dispositivos no autorizados, como unidades USB, reproductores de música y teléfonos móviles pueden alojar programas maliciosos que infectarán un ordenador al conectarse. Desactive la característica de ejecución automática Los programas maliciosos utilizan frecuentemente la característica de ejecución automática de dispositivos para copiarse por su cuenta, como las unidades USB a los ordenadores host e incluso a unidades de red compartidas. Microsoft y otros proveedores de sistemas operativos ofrecen instrucciones sobre cómo desactivar la característica de ejecución automática (consulte http://support.microsoft.com/kb/967715).
95
Cómo evitar las falsas alarmas Cuente con una política empresarial sobre advertencias de virus Establezca una política empresarial sobre advertencias de virus. Por ejemplo: “No reenvíe ninguna advertencia de virus de ninguna clase a NINGUNA otra persona excepto el responsable de los problemas de antivirus. No tiene importancia si el virus proviene de un proveedor de antivirus, o si ha sido confirmado por una importante empresa informática o su mejor amigo. TODAS las advertencias de virus deben enviarse únicamente a [nombre de la persona responsable]. Es su trabajo notificar a todas las personas acerca de las advertencias de virus. Deben ignorarse las advertencias de virus que provengan de cualquier otra fuente”. Manténgase informado acerca de las falsas alarmas Manténgase informado acerca de las falsas alarmas visitando las páginas de falsas alarmas de su sitio web en esp.sophos.com/security/hoaxes/. No reenvíe correos en cadena No reenvíe correos en cadena, aunque le ofrezcan recompensas por hacerlo o afirmen que distribuyen información útil.
www.sophos.com
96
Cómo asegurar sus datos Realice el cifrado de sus ordenadores, correos electrónicos y demás dispositivos Al cifrar los datos, puede garantizar el acceso a la información sólo a los usuarios autorizados con la clave de cifrado o la contraseña adecuadas. Mediante el cifrado puede garantizar la seguridad de sus datos permanentemente, incluso si se pierde o le roban el ordenador portátil, CD u otro dispositivo donde se almacenan los datos, o si se intercepta el correo electrónico en el que se incluían. Utilice el control de dispositivos y aplicaciones Impida el acceso de los usuarios a las unidades USB y al intercambio de archivos; ambas son rutas de pérdida de datos frecuentes. Permita el acceso a la red únicamente a los ordenadores que cumplen con las políticas de seguridad Esto puede incluir los requisitos de cifrado o las tecnologías de control de aplicaciones o dispositivos. Implemente controles del contenido saliente Identifique los datos confidenciales que desea controlar (por ejemplo, cualquier archivo que incluya el término “confidencial” o información de tarjetas de crédito) y, a continuación, decida cómo pueden usarse estos archivos. Por ejemplo, es posible que desee presentar al usuario una advertencia acerca de la posible pérdida de datos o evitar la distribución de datos por correo electrónico, blogs o foros. Diversas soluciones de seguridad para ordenadores y aplicaciones web y de correo electrónico ofrecen filtrado de contenido como parte de la solución.
97
Cómo evitar el correo no deseado Utilice software de filtrado de correo electrónico en la puerta de enlace del correo electrónico Debe ejecutar el software de filtrado de correo electrónico en la puerta de enlace del correo electrónico, ya que de esta manera protegerá su empresa del correo no deseado y los programas espía, virus y gusanos de correo electrónico. No realice compras a través de un correo electrónico no solicitado Al realizar una compra, está financiando futuro correo no deseado. También es posible que su dirección de correo electrónico se agregue a las listas que se venden a otros creadores de correo no deseado y así recibirá incluso una mayor cantidad de spam. Peor aún, podría ser víctima de un fraude. Si no conoce el remitente de un correo no solicitado, elimínelo La mayor parte del correo no deseado es sólo una molestia, pero en ocasiones puede incluir un virus que dañe o ponga en peligro el ordenador al abrirlo. Nunca responda a los mensajes de correo no deseado ni haga clic en ningún vínculo del mensaje Si responde al correo no deseado, incluso para cancelar la suscripción a la lista de envío, confirmará que su dirección de correo electrónico es válida y promoverá el envío de una mayor cantidad de correo no deseado.
www.sophos.com
98
No utilice el modo de vista previa en el visor de su correo electrónico Muchos creadores de correo no deseado pueden rastrear cuando se visualiza un mensaje incluso aunque no se haga clic en el mismo. La configuración de “vista previa” efectivamente abre el correo electrónico y permite a los creadores de correo no deseado saber que recibe sus mensajes. Al verificar su correo electrónico, trate de decidir si un mensaje es o no deseado considerando la línea de asunto únicamente. Utilice el campo Cco si enviará un correo electrónico a varias personas simultáneamente El campo Cco o de copia oculta esconde la lista de destinatarios de los demás usuarios. Si coloca las direcciones en el campo A, los creadores de correo no deseado pueden recopilarlas y agregarlas a las listas de envío. Nunca suministre su dirección de correo electrónico en Internet No publique su dirección de correo electrónico en sitios web, listas de grupos de noticias u otros foros públicos en línea. Los creadores de correo no deseado usan programas que navegan por Internet para buscar direcciones en esos lugares. Únicamente suministre su dirección principal a las personas en quienes confía. Suministre su dirección de correo electrónico principal únicamente a amigos y colegas. Utilice una o dos direcciones de correo electrónico secundarias Si completa encuestas o formularios de registro en sitios de los que no desea recibir información posteriormente, utilice una dirección de correo electrónico secundaria. De esta manera protege su dirección principal contra el correo no deseado. Desactive la casilla de recepción de ofertas o información adicional Al completar formularios en sitios web, busque la casilla de verificación que le permite escoger si acepta recibir ofertas o información adicional. Marque o desmarque la casilla según corresponda.
99
Cómo evitar la suplantación de identidad No responda a los correos electrónicos que solicitan información financiera personal Debe sospechar de cualquier correo electrónico que le solicite información de su cuenta o contraseña, o que incluya vínculos para ello. Los bancos o empresas de comercio electrónico por lo general no envían estos correos electrónicos. Busque signos que indiquen que el correo electrónico es sospechoso Los correos electrónicos de suplantación de identidad generalmente utilizan un saludo genérico, como “Estimado cliente:” porque el correo electrónico es no deseado y el creador del mismo no conoce su nombre. También pueden incluir afirmaciones alarmantes (por ejemplo, que los datos de su cuenta se robaron o se perdieron). El correo electrónico con frecuencia incluye errores ortográficos o sustitución de caracteres (por ejemplo, “1nformaci0n”) en un esfuerzo por eludir el software contra correo no deseado. Visite los sitios web de los bancos escribiendo la dirección en la barra de direcciones No haga clic en los vínculos incorporados en el correo electrónico no solicitado. Las personas dedicadas a la suplantación de identidad con frecuencia los utilizan para dirigirlo a un sitio falso. En su lugar, debe escribir la dirección completa en la barra de direcciones de su navegador. Realice comprobaciones regulares de sus cuentas Inicie sesión regularmente en sus cuentas en Internet y verifique sus estados contables. Si observa cualquier transacción sospechosa, informe a su banco o proveedor de tarjetas de crédito.
www.sophos.com
100
Asegúrese de que el sitio web que visita sea seguro Compruebe la dirección web en la barra de direcciones. Si el sitio web que visita se encuentra en un servidor seguro, éste debe iniciar con “https://” (“s” significa seguro) en lugar del inicio habitual “http://”. Asimismo, busque un icono de candado pequeño en la barra de estado del navegador. Estos signos le indican que el sitio web utiliza cifrado. Sin embargo, incluso si un sitio es seguro, no existen garantías, ya que los piratas informáticos pueden crear sitios web que usen cifrado pero estén diseñados para robar información personal. Sea cuidadoso con el correo electrónico y los datos personales Siga las sugerencias de su banco sobre cómo realizar transacciones seguras. No dé a conocer a ninguna persona sus contraseñas o PIN, no los escriba y no use la misma contraseña para todas sus cuentas en Internet. No abra correo electrónico no deseado ni responda a éstos, ya que el remitente sabrá que su dirección es válida y podrá usarla para futuros fraudes. Mantenga protegido su ordenador El software contra correo no deseado impedirá que reciba gran cantidad de correo electrónico de suplantación de identidad. Un cortafuegos también ayuda a mantener protegida su información personal y bloquear las comunicaciones no autorizadas. También debe ejecutar software antivirus para detectar y desactivar los programas maliciosos, como programas espía o troyanos de puerta trasera, que pueden estar incluidos en los correos electrónicos de suplantación de identidad. Mantenga su navegador de Internet actualizado con los últimos parches de seguridad. Siempre informe de cualquier actividad sospechosa. Si recibe un correo electrónico y sospecha de su autenticidad, reenvíelo a la organización engañada. Muchas empresas poseen una dirección de correo electrónico para informar de estos abusos.
101
Cómo estar seguro en Internet Esta sección le ofrece consejos generales sobre cómo usar de forma segura el correo electrónico e Internet. También debe consultar nuestras sugerencias sobre Cómo evitar la suplantación de identidad y Cómo evitar virus, troyanos, gusanos y programas espía. Manténgase actualizado con los parches de seguridad. Los piratas informáticos con frecuencia explotan las vulnerabilidades en los sistemas operativos y programas en un intento por infectar los ordenadores. Tenga en cuenta que las actualizaciones de seguridad para el sistema operativo de su ordenador, el navegador, los complementos y otros códigos pueden ser el objetivo de los piratas informáticos. De ser posible, configure su ordenador para que descargue automáticamente los parches de seguridad. Use cortafuegos Un cortafuegos de la red se instala en el límite de su empresa y sólo admite tipos de tráfico autorizados. Se instala un cortafuegos en cada ordenador de su red y permite el tráfico autorizado únicamente; de esta manera se bloquean los piratas informáticos y los gusanos de Internet. Asimismo, impide que el ordenador se comunique por Internet mediante programas no autorizados. No haga clic en los vínculos de correos electrónicos no solicitados. Los vínculos de correos electrónicos no solicitados pueden conducirlo a sitios web falsos, donde cualquier información confidencial que introduzca, como información de cuenta y contraseña, puede robarse y usarse con fines indebidos. Asimismo, los piratas informáticos con frecuencia intentan dirigirlo a páginas web maliciosas mediante el envío de vínculos a través del correo electrónico.
www.sophos.com
102
Utilice diferentes contraseñas para cada sitio. Debe usar una contraseña diferente para cada sitio donde tenga una cuenta de usuario. De esta manera, si una contraseña está en peligro, sólo se verá afectada una cuenta. Asegúrese también de que sus contraseñas sean difíciles de adivinar y nunca use una palabra del diccionario como contraseña. Considere bloquear el acceso a ciertos sitios web o tipos de contenido web En el entorno de una empresa, es posible que desee impedir el acceso de los usuarios a sitios inapropiados para el lugar de trabajo o que supongan una amenaza para la seguridad (por ejemplo, al instalar programas espía en los ordenadores) o una ofensa para alguna persona. Puede conseguirlo con el software de filtrado web o un dispositivo de hardware. Incluso si los usuarios están autorizados a visitar los sitios web, debe asegurarse de que se escaneen todas las páginas web visitadas para detectar amenazas de seguridad. Escanee el correo electrónico para detectar programas maliciosos y correo no deseado. Los programas contra correo no deseado pueden detectar correo electrónico no deseado e impedir que entre en a los buzones de correo de los usuarios y también puede realizar escaneo para detectar programas maliciosos incluidos en el propio correo electrónico. No haga clic en mensajes emergentes. Si se observan ventanas emergentes no solicitadas, como un mensaje que advierte que el ordenador está infectado y ofrece la eliminación de virus, no siga los vínculos ni haga clic para aceptar descargas de software. Si lo hace, podría descargar un código malicioso, como un software antivirus falso. Utilice routers Puede usar un router para limitar las conexiones entre Internet y los ordenadores específicos. Muchos routers también incorporan un cortafuegos de la red.
103
Cómo seleccionar contraseñas seguras Las contraseñas son su protección contra el fraude y la pérdida de información confidencial, pero pocas personas seleccionan contraseñas verdaderamente seguras. Cree las contraseñas lo más largas posible Cuanto más larga sea la contraseña, más difícil será adivinarla o descubrirla intentando todas las posibles combinaciones (es decir, un ataque por fuerza bruta). Las contraseñas de 14 caracteres o más son mucho más difíciles de adivinar. Use diferentes tipos de caracteres Incluya números, signos de puntuación, símbolos y letras en mayúscula y minúscula. No utilice palabras del diccionario No utilice palabras, nombres o lugares que se encuentren habitualmente en los diccionarios. Los piratas informáticos pueden realizar un ataque de diccionario (es decir, probar todas las palabras del diccionario automáticamente) para adivinar estas contraseñas. No utilice información personal Es probable que otras personas conozcan dicha información, como su cumpleaños, el nombre de su cónyuge o hijo, o su número telefónico, y pueden suponer que la ha utilizado como contraseña. No use su nombre de usuario No utilice una contraseña que sea igual a su nombre de usuario o número de cuenta.
www.sophos.com
104
Utilice contraseñas que sean difíciles de identificar al escribirlas. Asegúrese de no utilizar caracteres repetidos o teclas cercanas en el teclado. Considere usar una frase de contraseña Una frase de contraseña es una cadena de palabras en lugar de una única palabra. A diferencia de las combinaciones de palabras, la cadena de palabras puede ser difícil de adivinar. Intente memorizar su contraseña Memorice su contraseña en vez de anotarla. Utilice una cadena de caracteres que tenga significado para usted o use técnicas nemotécnicas para ayudarse a recordar la contraseña. Existen programas gratuitos de calidad disponibles que lo ayudarán a administrar sus contraseñas. Los programas de administración de contraseñas de renombre pueden ayudarlo a seleccionar contraseñas únicas, cifrarlas y almacenarlas de forma segura en su ordenador. Los ejemplos incluyen KeePass, RoboForm y 1Password. Si escribe su contraseña, manténgala en un lugar seguro No guarde sus contraseñas junto al ordenador o en un lugar fácilmente accesible. Use diferentes contraseñas para cada cuenta De esta forma, si un pirata informático adivina una de sus contraseñas, al menos sólo una cuenta estará en peligro. No informe a nadie su contraseña Si recibe una solicitud de confirmación de su contraseña, incluso si parece provenir de una institución de confianza o de alguien dentro de su organización, no la divulgue nunca (consulte Suplantación de identidad).
105
No utilice su contraseña en un ordenador público No introduzca su contraseña en un ordenador públicamente disponible (por ejemplo., en un hotel o cibercafé). Es posible que estos ordenadores no sean seguros y pueden tener registradores de pulsaciones de teclas instalados. Cambie sus contraseñas regularmente Cuantos más cortas y simples sean sus contraseñas, con mayor frecuencia deberá reemplazarlas.
www.sophos.com
106
Cómo usar medios extraíbles de forma segura Ofrezca formación a los usuarios Muchos usuarios no están al tanto de los posibles peligros que representan los medios extraíbles (como unidades USB y CD), como la propagación de programas maliciosos y la pérdida de datos. Formar a los usuarios ayuda a reducir los riesgos de manera significativa. Identifique los tipos de dispositivos Los ordenadores interactúan con una variedad de medios extraíbles cada vez mayor, como unidades flash USB, reproductores MP3 y teléfonos inteligentes. Tener en vista qué medios extraíbles intentan conectarse a su red puede ayudar a establecer las restricciones o los permisos apropiados. Implemente un control de dispositivos Controlar el tipo de medios extraíbles permitidos y los datos cuyo intercambio está permitido es un componente vital de la seguridad de la red. Seleccione soluciones que puedan establecer permisos (o restricciones) para dispositivos individuales, así como clases completas de dispositivos. Realice el cifrado de sus datos El cifrado de datos evita la pérdida de datos. Esto es particularmente útil para los medios extraíbles que pueden perderse o robarse con facilidad, ya que quien no esté autorizado, no podrá visualizar ni copiar los datos.
107
Cómo comprar por Internet de forma segura ¿Puede confiar en su sentido común e intuición? Desafortunadamente, no resulta práctico para los usuarios determinar si un sitio web es seguro a simple vista. Si bien no resulta perceptible para el cliente de Internet que visita un sitio web, los piratas informáticos con frecuencia apuntan a sitios web legítimos asegurados de manera inapropiada. El hecho de ser una empresa importante y de sólida reputación no representa ninguna garantía de que el sitio sea seguro. Al realizar compras desde ordenadores o dispositivos seguros que ejecuten los más recientes parches de seguridad, software antivirus y cortafuegos, se reducirán significativamente sus posibilidades de convertirse en víctima. No haga clic en vínculos provenientes de comunicaciones en línea no solicitadas, como el correo electrónico, Twitter o Facebook. Los creadores de correo no deseado y los piratas informáticos utilizan técnicas de ingeniería social como señuelos para atraer a las víctimas a sitios web infectados o fraudulentos. Sólo dé a conocer información confidencial, como detalles personales o financieros, cuando esté completamente seguro de la legitimidad de la empresa. Familiarícese con las Condiciones de uso y la Política de protección de datos Lea la letra pequeña. Las condiciones en ocasiones pueden detallar obligaciones o costes ocultos o inesperados. Únicamente realice compras a través de sitios web con cifrado Las direcciones URL que comienzan con “https://” en lugar de “http://” (la “s” significa seguro) cifran la información durante la transferencia. Otro indicador de que un sitio web utiliza cifrado es un pequeño icono de candado que se muestra en el navegador de Internet. www.sophos.com
108
Sin embargo, no existen garantías de que estos sitios sean seguros, ya que los piratas informáticos pueden crear sitios web que usen cifrado pero que se hayan diseñado para robar información personal. Suministre la menor cantidad de información personal Deje en blanco los campos opcionales. Segundo nombre, fecha de nacimiento, número de teléfono móvil, pasatiempos… diversos operadores de las páginas web solicitan información opcional junto con la información necesaria para procesar una transacción comercial. Los campos obligatorios con frecuencia se identifican con un asterisco. Nunca comparta su contraseña Incluso si otra persona está realizando la compra por usted, deberá teclear la contraseña usted mismo y no compartirla con otras personas. Para impedir que otros usuarios obtengan acceso a su cuenta sin autorización, no seleccione la opción “recordar mi contraseña” en un ordenador compartido. Realice la compra de forma local siempre que sea posible Cuando el vendedor se ubica en otro país, puede resultar mucho más difícil y costoso resolver cualquier problema e y hacer cumplir la legislación de derechos del consumidor. Revise sus extractos bancarios Revise las transacciones de sus extractos bancarios regularmente, en especial después de realizar compras por Internet para asegurarse de que todos los pagos sean legítimos. Si descubre pagos que no puede identificar, informe a su banco de inmediato. Conserve las confirmaciones de pedidos y recibos Siempre conserve cualquier información importante relacionada con una compra en formato electrónico o impreso. Esta información será muy útil para resolver cualquier problema relacionado con la compra.
109
Cómo permanecer seguro en movimiento Ofrezca educación de los usuarios Los riesgos de pérdida de datos de medios extraíbles u ordenadores portátiles inseguros no deben subestimarse. Las organizaciones deben desarrollar políticas claras en relación con el uso de dispositivos móviles. Utilice contraseñas seguras Las contraseñas constituyen las primeras barreras de defensa y deben ser siempre lo más resistentes posible. Consulte Cómo seleccionar contraseñas seguras Lleve a cabo comprobaciones de seguridad adicionales Las tarjetas inteligentes o tokens le exigen que introduzca información adicional (por ejemplo, un código de token junto con su contraseña) para obtener acceso a su ordenador. En el caso de los lectores de huellas digitales, debe confirmar la identidad con su huella digital durante el arranque o inicio de sesión. Realice el cifrado de todos los datos importantes Si realiza el cifrado de los datos, éstos permanecerán seguros incluso si pierde o le roban su ordenador portátil o medio extraíble. Si no desea cifrar el disco duro completo, puede crear un disco virtual para almacenar información confidencial de forma segura. Lleve a cabo una restricción en Plug and Play Plug and Play permite a las unidades USB, reproductores MP3 o discos duros externos conectarse a los ordenadores portátiles automáticamente y así facilitan la copia de los datos. En su lugar, bloquee el ordenador para que únicamente los dispositivos autorizados puedan conectarse.
www.sophos.com
110
Descripción cronológica de los virus ¿Cuándo comenzar a ser una amenaza los virus, los troyanos y los gusanos? La mayoría de las historias de virus comienzan con el virus Brain, creado en 1986. Sin embargo, ése fue simplemente el primer virus para un ordenador Microsoft. Existe el antecedente de programas con todas las características de virus que se presentaron con anterioridad. Aquí se presenta una descripción cronológica que indica los momentos clave en la historia de los virus.
1949 “Autómata celular” de reproducción automática John von Neumann, el padre de la cibernética, publicó un ensayo que sugería que un programa informático podía reproducirse automáticamente.
1959 Core Wars H. Douglas McIlroy, Victor Vysottsky y Robert P. Morris de los Laboratorios Bell desarrollaron un juego de ordenador llamado Core Wars, en el que los programas llamados organismos competían por el tiempo de procesamiento del ordenador.
1960 Programas “conejo” Los programadores comenzaron a crear marcadores de posición para ordenadores de sistemas complejos. Si no había trabajos en espera, estos programas agregaban una copia de sí mismos al final de la cola. Se les apodó “conejos” ya que se multiplicaban y consumían los recursos del sistema.
1971 El primer gusano Bob Thomas, un desarrollador que trabajaba en ARPANET, precursor de Internet, creó un programa llamado Creeper que se transmitía de ordenador en ordenador mostrando un mensaje.
111
1975
Código de replicación A. K. Dewdney creó el programa Pervade como una subrutina para un juego ejecutado en ordenadores que utilizaban el sistema UNIVAC 1100. Cuando un usuario jugaba el juego, éste copiaba silenciosamente la última versión del mismo en cada directorio accesible, incluidos los directorios compartidos, y por consiguiente, se propagaba en toda la red.
1978 El gusano Vampire John Shoch y Jon Hupp en Xerox PARC comenzaron a experimentar con gusanos diseñados para realizar tareas útiles. El gusano Vampire permanecía inactivo durante el día, pero durante la noche asignaba tareas a los ordenadores de uso insuficiente.
1981 Virus de Apple Joe Dellinger, un estudiante de la Universidad A&M de Texas, modificó el sistema operativo en los disquetes Apple II para que se comportasen como un virus. Debido a que el virus tenía efectos secundarios no planeados, éste nunca se lanzó, pero se crearon versiones posteriores que se propagaron.
1982 Virus de Apple con efectos secundarios Rich Skrenta, de 15 años, creó Elk Cloner para el sistema operativo Apple II. Elk Cloner se ejecutaba cada vez que se iniciaba un ordenador desde un disquete infectado e infectaba cualquier otro disquete que se introdujera en la unidad de disco. Mostraba un mensaje a los 50 inicios del ordenador.
1985 Troyano de correo electrónico El troyano EGABTR se distribuía mediante los buzones de correo electrónico simulando ser un programa diseñado para mejorar la visualización de gráficos. Sin embargo, una vez ejecutado, borraba todos los archivos del disco duro y mostraba un mensaje.
112
1986 El primer virus de ordenadores El primer virus para ordenadores IBM, Brain, fue creado según se dice por dos hermanos en Pakistán, cuando notaron que otras personas copiaban su software. El virus colocaba una copia de sí mismo y un mensaje de copyright en cualquier copia en disquete que realizaran sus clientes.
1987
El gusano Árbol de navidad Ésta era una tarjeta de navidad por correo electrónico que incluía un código de programa. Si el usuario lo ejecutaba, dibujaba un árbol de navidad como prometía pero también se reenviaba a todas las personas incluidas en la libreta de direcciones del usuario. El tráfico paralizó la red mundial de IBM.
1988
El Gusano de Internet Robert Morris, un estudiante de 23 años, lanzó un gusano en la red de la agencia DARPA de los EE. UU. Éste se propagó a miles de ordenadores y, debido a un error, continuó infectando los ordenadores varias veces provocando el bloqueo.
1989
Troyano exige recompensa El troyano AIDS se introdujo mediante un disquete que ofrecía información sobre SIDA y VIH. El troyano cifraba el disco duro del ordenador y exigía un pago a cambio de la contraseña.
1991
El primer virus polimórfico Tequila fue el primer virus polimórfico masivo. Los virus polimórficos dificultan la detección por parte de los antivirus, ya que cambian su apariencia con cada nueva infección.
1992
El pánico por Michelangelo El virus Michelangelo se diseñó para borrar el disco duro de los ordenadores el 6 de marzo de cada año (cumpleaños de Miguel Ángel). Después de que dos empresas distribuyeron accidentalmente ordenadores y discos infectados, se generó pánico en todo el mundo, pero pocos ordenadores se infectaron.
113
1994
La primera falsa alarma de virus de correo electrónico La primera falsa alarma de correo electrónico advertía sobre un virus malicioso que borraba el disco duro completo con sólo abrir un correo electrónico con el asunto “Good Times”.
1995
El primer virus de documento Apareció Concept, el primer virus de documento o en “macro”. Se propagaba mediante las macros de Microsoft Word.
1998 El primer virus que afectó el hardware CIH o Chernobyl se convirtió en el primer virus que paralizó el hardware del ordenador. El virus atacaba el BIOS, que es necesario para iniciar el ordenador.
1999
Virus de correo electrónico Melissa, un virus que se reenvía automáticamente por correo electrónico, se propagó en todo el mundo. Bubbleboy, el primer virus capaz de infectar un ordenador al visualizarse el correo electrónico, apareció en escena.
2000
Ataques de negación de servicio Los ataques de “negación de servicio distribuidos” por parte de piratas informáticos dejaron a Yahoo, eBay, Amazon y otros sitios web de alto nivel sin conexión durante varias horas. Love Bug se convirtió en el virus de correo electrónico más exitoso hasta la fecha.
2000
Virus para Palm El primer virus para el sistema operativo de Palm; ningún usuario fue infectado.
114
2001 Propagación de virus a través de sitios web o recursos de red compartidos Los programas maliciosos comenzaron a explotar las vulnerabilidades en el software para poder propagarse sin la intervención del usuario. Nimda infectaba a los usuarios que sólo navegaban por un sitio web. Sircam utilizaba su propio programa de correo electrónico para propagarse y también lo hacía a través de recursos de red compartidos.
2004
Bots IRC Se desarrollaron bots IRC (Internet Relay Chat) maliciosos. Los troyanos podían colocar bots en un ordenador, desde donde se conectaba a un canal IRC sin el conocimiento del usuario y cedía el control del ordenador a los piratas informáticos.
2003
Zombi, Suplantación de identidad El gusano Sobig cedía a los piratas informáticos el control de los ordenadores y éstos se convertían en “zombis”, que podían utilizarse para enviar correo no deseado. El gusano Mimail se presentaba como un correo electrónico de Paypal y solicitaba la confirmación de información sobre tarjetas de crédito.
2005
Rootkits El sistema de protección contra copia DRM de Sony, incluido en los CD de música, instaló un “rootkit” en los ordenadores de los usuarios, que ocultaban archivos a fin de que no se pudieran duplicar. Los piratas informáticos crearon troyanos para explotar esta debilidad en la seguridad e instalar una “puerta trasera” oculta.
2006
Fraudes de cotización Se volvieron comunes los correos no deseados que publicitaban acciones de pequeñas empresas (correo no deseado de “timos bursátiles”).
115
2006
Software de secuestro Los programas troyanos Zippo y Archiveus, que cifraban los archivos de usuarios y exigían un pago a cambio de la contraseña fueron los primeros ejemplos de software de secuestro.
2008
Software antivirus falso Las tácticas de alarmismo impulsan a las personas a suministrar información sobre tarjetas de crédito por productos antivirus falsos, como AntiVirus 2008.
2009
Conficker se convierte en noticia de actualidad Conficker, un gusano que inicialmente infecta a través de equipos sin parches, crea una tormenta mediática en todo el mundo.
2009
Virus polimórficos en auge nuevamente Los virus complejos regresan para vengarse; entre ellos Scribble, un virus que muta de aspecto con cada infección y utiliza múltiples vectores de ataque.
esp.sophos.com www.sophos.com
Si es un profesional de informรกtica, utiliza un ordenador en el trabajo o simplemente navega por Internet, este libro es para usted. Le ofrecemos informaciรณn acerca de las amenazas para sus ordenadores y sus datos en un lenguaje simple y fรกcil de comprender.
esp.sophos.com