Download ES_WP_The wild world of malware
Document related concepts
no text concepts found
Transcript
El salvaje mundo del malware: mantenga su empresa a salvo Las amenazas evolucionan constantemente. Sin embargo, es posible que la protección que ofrece su cortafuegos no haga lo mismo. Es hora de mirar más allá de la seguridad de red tradicional e incorporar protección contra el malware y los exploits que atraviesan los PCs y dispositivos móviles cuando los usuarios navegan por Internet, envían o reciben emails y descargan aplicaciones. A medida que aumentan el número y la gravedad de los crímenes cibernéticos, es fundamental conocer los diversos tipos de malware y entender su funcionamiento. Ello es especialmente importante para las empresas pequeñas y medianas, que a menudo no cuentan con personal de TI dedicado exclusivamente a la seguridad de la red. En el presente documento se analizan los factores que actualmente impulsan el desarrollo de malware, se exponen en detalle las características de cada uno de ellos, se describe cómo se manifiestan en la red y se explica cómo pueden remediarse. Aunque los nombres de algunos tipos de malware pueden resultarnos familiares, estas amenazas evolucionan constantemente, obligando a todo aquel que desee garantizar la seguridad de su sistema a adaptarse a estos continuos cambios. En la actualidad, la mayor amenaza informática procede de los criminales profesionales. Aunque es cierto que aún hay algunos aficionados que, simplemente por diversión o para impresionar a sus amigos, programan y lanzan diferentes tipos de malware, las bandas criminales organizadas transnacionales que distribuyen malware con fines de lucro son mucho más peligrosas. Los principales métodos utilizados por estos cibercriminales incluyen: • • La extorsión. Consiste en bloquear ordenadores o interrumpir su funcionamiento para posteriormente cobrar dinero por solucionar los supuestos problemas. En este tipo de ataques, a menudo se realizan escaneos inútiles de los ordenadores o se vende software "antivirus" igualmente inútil. Esta técnica puede utilizarse para obtener información de tarjetas de crédito. En ocasiones, el software que adquieren las víctimas es "scareware", que les lleva a comprar otros supuestos productos de software o a pagar servicios de suscripción inútiles. El robo de recursos electrónicos. Entre los recursos electrónicos que se roban con mayor frecuencia se encuentran los datos de identificación personal (robo de identidad) de los registros de empleados o de clientes; información y contraseñas de cuentas financieras; datos comerciales y de negocio propietarios que pueden venderse a competidores; cuentas de correo electrónico —incluidos los contactos—, que pueden utilizarse para enviar mensajes spam (desde fuentes aparentemente fiables); e incluso recursos informáticos propiamente dichos (zombies), que son controlados por los criminales para perpetrar todo tipo de ataques: desde mensajes spam hasta el hospedaje de contenidos pornográficos. El software utilizado para cometer este tipo de crímenes pertenece a la categoría de malware. Aunque el malware es un problema cada vez más preocupante, existen formas sencillas y extremadamente efectivas de combatirlo. Pero antes, es importante que conozca bien los distintos tipos de malware que existen. A continuación le presentamos los seis más importantes: virus, gusanos, troyanos, spyware, adware y rootkits. Virus Los virus son probablemente el tipo de malware más conocido. Aunque estas amenazas existen desde hace décadas, sus características básicas siguen siendo las mismas. Los virus informáticos generalmente están diseñados para dañar los equipos de los usuarios finales. Son capaces de purgar todo el disco duro de un ordenador, despojando a los datos de toda utilidad en cuestión de un momento. Del mismo modo que los virus biológicos se autoreplican al infectar una célula huésped, los virus informáticos a menudo se replican y se propagan en los sistemas infectados. También existen otros tipos de virus que se utilizan para "buscar y destruir" tipos de archivos específicos o determinadas porciones del disco duro. Los ladrones cibernéticos a menudo utilizan virus en los sistemas atacados una vez que han extraído la información deseada, con el fin de destruir posibles pruebas forenses contra ellos. Originalmente, los virus informáticos se propagaban a través de disquetes infectados compartidos. Sin embargo, el método de distribución de los virus ha evolucionado de forma paralela a la tecnología. Hoy en día, por regla general, los virus se propagan a través de documentos compartidos, descargas Web y archivos adjuntos de correo electrónico. Para infectar un sistema, el virus debe ejecutarse en dicho sistema; los virus informáticos latentes que no han sido ejecutados no suponen una amenaza inmediata. Puesto que la finalidad de los virus no suele ser legítima, en algunos países su posesión es ilegal. Gusanos A pesar de que existen desde finales de los años 80, los gusanos informáticos no se convirtieron en una amenaza común hasta que se generalizó el uso de infraestructuras de red en las organizaciones. A diferencia de los virus informáticos, los gusanos tienen la capacidad de propagarse por las redes sin interacción humana alguna. Los sistemas infectados por un gusano escanean la red local en busca de otras posibles víctimas. Una vez detectado un objetivo, el gusano explota las vulnerabilidades de software del sistema remoto y le inyecta código malicioso para completar el ataque. Por su método de ataque, los gusanos solo pueden infectar con éxito sistemas de la red que funcionan con determinados sistemas operativos. Los gusanos a menudo se consideran más como una molestia que como una verdadera amenaza. Sin embargo, pueden utilizarse para propagar otros tipos de malware o para dañar los sistemas objetivo. Troyanos atacador pueda acceder posteriormente. Este tipo de ataques a menudo se utilizan para la creación de botnets. Spyware / Adware Al igual que algunos tipos de troyanos, el spyware se utiliza para recopilar información sensible y transmitírsela al perpetrador del ataque. Aunque resulta molesto, el spyware generalmente no es malicioso por naturaleza. Suele infectar navegadores Web, dejándolos prácticamente inutilizables. El spyware a menudo se utiliza con fines de marketing engañoso, por ejemplo para monitorizar la actividad de los usuarios sin que éstos se den cuenta. En ocasiones, el spyware se hace pasar por una aplicación legítima que proporciona ciertas ventajas al usuario, y una vez instalado registra patrones de comportamiento y de uso sin que los usuarios lo sepan. Al igual que el spyware, el adware también constituye una gran molestia para los usuarios y tampoco suele ser malicioso por naturaleza. Como su propio nombre indica, el adware generalmente se utiliza para distribuir anuncios publicitarios que proporcionan algún tipo de ventaja financiera al perpetrador del ataque. Cuando las víctimas de un ataque de adware intentan acceder a Internet, son bombardeadas con ventanas emergentes, barras de herramientas y otros tipos de anuncios publicitarios. El adware normalmente no causa daños permanentes en los ordenadores. No obstante, si no se elimina correctamente, puede dejar el sistema completamente inutilizable. Al igual que los virus, los troyanos normalmente requieren algún tipo de interacción por parte de los usuarios para infectar un sistema. Sin embargo, a diferencia de la mayoría de gusanos y virus, los troyanos a menudo tratan de permanecer en el sistema comprometido sin ser detectados. Los troyanos son pequeñas porciones de código ejecutable que se embeben en otra aplicación. Normalmente, el archivo infectado es una aplicación que la víctima utiliza de forma regular (como Microsoft Word o Calculator). El objetivo es que la víctima, sin saberlo, ejecute el código malicioso al iniciar un programa por lo demás inocente. Con frecuencia, el resultado es que los troyanos infectan los sistemas sin que los usuarios reciban ningún tipo de notificación. Rootkits Existen diversos tipos de troyanos, cada uno de ellos con una finalidad diferente. Algunos están diseñados específicamente para extraer información sensible del sistema infectado. Este tipo de troyanos suelen instalar keyloggers o hacer capturas de pantalla del ordenador de la víctima y transmitir automáticamente la información al atacador. Otros troyanos más peligrosos son los llamados RATs (troyanos de acceso remoto), que toman el control del sistema infectado y abren una puerta trasera para que el La presencia de malware en el tráfico de red o en un ordenador puede detectase de tres modos: Los rootkits son posiblemente el tipo de malware más peligroso. Al igual que los troyanos de acceso remoto, los rootkits proporcionan al atacador el control del sistema infectado. Sin embargo, a diferencia de los troyanos, los rootkits son excepcionalmente difíciles de detectar y eliminar, ya que se suelen instalar en los recursos de nivel inferior del sistema (por debajo del sistema operativo), de modo que a menudo no son detectados por los productos de software antivirus convencionales. Cuando un sistema está infectado con un rootkit, los perpetradores pueden acceder de forma ilimitada a toda la red a través de él. ¿Cómo puede saber que tiene malware en su sistema? • Ciertos sistemas de seguridad de red, entre ellos los cortafuegos, son capaces de detectar las "definiciones" de malware, que son huellas o patrones en los archivos, incluso antes de que éstos lleguen al ordenador. Si un archivo contaminado llega al ordenador, el software antivirus/antimalware instalado en el equipo debería detectarlo. • Si aparece un tipo de archivo sospechoso fuera de contexto, como un ejecutable (.exe) o un valor de registro oculto en un archivo comprimido, como un zip. • A través del comportamiento: los rootkits pueden delatarse a sí mismos al "llamar" al operador que los controla. Si este comportamiento no es normal—por ejemplo por el volumen o la hora del día—ello puede ser un indicio de que el sistema está infectado. La instalación de software antivirus dinámicamente actualizado en todos los equipos es una medida de seguridad estándar que permite evitar los ataques más comunes, ya que sus definiciones o "huellas dactilares" los delatan. Las empresas de seguridad de red mantienen "honeypots" en todo el mundo, como la red colaborativa multivector GRID de Dell SonicWALL, que atraen deliberadamente todas las nuevas versiones de malware con el fin de identificar sus definiciones y distribuirlas en las actualizaciones antimalware rutinarias. Al disponer de la definición, el software de seguridad puede identificar el malware nada más aparece y tomar las correspondientes contramedidas. No obstante, los proveedores de sistemas de seguridad más sofisticados van más allá. Por ejemplo, la red GRID de Dell SonicWALL transfiere las definiciones de las nuevas amenazas a una base de datos en la nube en seguida que aparecen en cualquier parte del mundo. Los dispositivos de seguridad de Dell SonicWALL complementan las decenas de miles de definiciones de amenazas almacenadas de forma local con esta base de datos en la nube. Los archivos escaneados se comparan en tiempo real con esta extensa base de datos de ejecutables maliciosos para ofrecer una protección más eficaz. No obstante, reconocer un tipo de archivo oculto resulta ligeramente más difícil. Algunas empresas tienen normas globales que determinan los tipos de archivos que están permitidos en la red. Por ejemplo, hay organizaciones que no permiten ningún tipo de archivo comprimido dentro del cortafuegos. Sin embargo, esta medida puede alterar los flujos de tráfico normales. Existe un enfoque más sofisticado y menos perjudicial, que consiste en realizar una Inspección profunda de paquetes sin reensamblado (RFDPI) de cada paquete de datos que circula por la red. Eso es lo que hacen los cortafuegos de marcas de alta gama, como los de Dell SonicWALL, que literalmente miran dentro de la carga útil de los datos para ver qué contiene con el fin de detectar y eliminar posibles amenazas ocultas. El comportamiento es el indicador más difícil de detectar. Si algún tipo de malware logra infectar un sistema, la mayoría de las personas no se dan cuenta hasta que el rendimiento del equipo infectado empieza a fallar o a disminuir. Los cortafuegos de próxima generación son capaces de identificar comportamientos sospechosos incluso antes de que el rendimiento se vea afectado. Al ser capaces de reconocer actividades poco habituales en la red, como p.ej. volúmenes extraordinariamente grandes de correo electrónico enviado desde un mismo equipo, los cortafuegos de próxima generación pueden ayudar a los administradores a aislar el malware con el fin de eliminarlo. Estos sistemas de seguridad inteligentes pueden configurarse para reforzar políticas sobre las actividades permitidas en la red, similares a las políticas corporativas que regulan el comportamiento de los empleados. Por ejemplo, se puede establecer una política que prohíba la mensajería instantánea, pero que permita la transmisión de archivos a través de mensajes instantáneos. En el caso de que tales actividades no sean necesarias, el hecho de que un ordenador esté intentando realizarlas puede ser un indicio de que el equipo está siendo controlado por alguien distinto del empleado, muy probablemente como consecuencia de un ataque de malware. Toda actividad peligrosa es automáticamente bloqueada. Más vale prevenir que curar Tal y como ocurre con las infecciones biológicas, la mejor medicina es la prevención. Todo sistema de seguridad eficaz incluye medidas preventivas. Los cortafuegos de próxima generación equipados con las funciones anteriormente descritas son capaces de identificar la inmensa mayoría de los tipos de malware que pueden intentar penetrar la red corporativa. Detectan, por ejemplo, los mensajes spam, las páginas Web falsas (phishing) y las descargas ocultas o "drive-by downloads", que inyectan malware durante la visita a una página aparentemente segura. Cada uno de estos métodos de infección utiliza un enfoque diferente, de modo que su identificación también requiere un método específico. Los cortafuegos de próxima generación pueden aplicar todos estos métodos de forma simultánea desde un único dispositivo de seguridad. Los cortafuegos de próxima generación de alta gama, como los de Dell SonicWALL, ofrecen funciones opcionales de identificación de amenazas en mensajes spam, archivos ocultos y descargas ocultas, basadas en definiciones o en comportamientos. Las descargas ocultas merecen especial atención, ya que hoy en día se realizan numerosas transacciones online, p.ej. para acceder a información remota o para realizar compras. Los ataques de malware pueden hacerse pasar por transacciones Web 2.0 legítimas. Por lo tanto, para ser eficaces, las soluciones de cortafuegos de próxima generación deben escanear el tráfico de Internet con el fin de detectar este tipo de aplicaciones engañosas. Las soluciones de seguridad que utilizan la tecnología RFDPI solo necesitan escanear una vez los archivos que tratan de acceder a la red para detectar posibles amenazas. Gracias a ello, el tráfico de la red puede circular de forma más fluida, mejorando la experiencia del usuario y aumentando la productividad. Además, de este modo se aumenta la rentabilidad de las conexiones de alta velocidad e incluso se puede reducir el nivel de ancho de banda necesario, con el consecuente ahorro de costes. Al mismo tiempo, las tecnologías consolidadas de los cortafuegos de próxima generación eliminan la necesidad de disponer de múltiples dispositivos, como cortafuegos y filtros antispam y de contenido. En definitiva, los cortafuegos de próxima generación constituyen una opción eficaz y económica. Resumen No hay duda de que el malware continúa plagando las redes corporativas. Los ataques de malware perpetrados por los cibercriminales son cada vez más numerosos y sofisticados. Sin embargo, la tecnología que los combate también ha evolucionado. En la actualidad, incluso las empresas más pequeñas pueden disfrutar de niveles de protección que prácticamente los inmunizan contra numerosos tipos de malware por un precio verdaderamente económico. Con solo reconocer la amenaza que representan los ataques de malware actuales e implementar una solución de seguridad moderna, las empresas pueden dejar atrás el salvaje mundo del malware y centrarse en sus actividades comerciales disfrutando de un alto nivel de seguridad, eficacia y rentabilidad. Acerca de Dell SonicWALL Dell™ SonicWALL™ proporciona soluciones inteligentes de seguridad de red y protección de datos que permiten a los clientes y partners de todo el mundo proteger, controlar y escalar sus redes globales de forma dinámica. Construido sobre una red compartida de millones de puntos de contacto globales, nuestro concepto de Seguridad Dinámica se basa en los análisis, conocimientos y datos que proporcionan la red GRID y el Centro de amenazas de Dell SonicWALL sobre la naturaleza y el comportamiento dinámico de las amenazas a nivel mundial. El laboratorio de investigación de Dell SonicWALL procesa continuamente estos datos y pone a disposición defensas y actualizaciones dinámicas para contrarrestar las más recientes amenazas. Con su tecnología patentada de Inspección profunda de paquetes sin reensamblado, y su arquitectura de hardware multinúcleo de alta velocidad en paralelo, Dell SonicWALL ofrece funciones simultáneas de escaneo y análisis multiamenaza a velocidad de cable en una solución altamente escalable capaz de adaptarse a redes del más elevado ancho de banda. Disponibles tanto para pymes como para empresas grandes, las soluciones de Dell SonicWALL se han implementado con éxito en entornos de campus de gran tamaño, empresas distribuidas, instituciones gubernamentales, puntos de venta minoristas, instituciones sanitarias y proveedores de servicios. Copyright 2012 Dell, Inc. Todos los derechos reservados. Dell SonicWALL es una marca registrada de Dell, Inc. y los demás nombres de productos y servicios así como eslóganes de Dell SonicWALL son marcas registradas o marcas comerciales registradas de Dell, Inc. Los demás nombres de productos y empresas aquí mencionados pueden ser marcas registradas y/o marcas comerciales registradas de sus respectivos propietarios. 07/12