Download ES_WP_The wild world of malware

page
1
page
2
page
3
page
4
Document related concepts
no text concepts found
Transcript 
El salvaje mundo del malware:
mantenga su empresa a salvo
Las amenazas evolucionan constantemente. Sin embargo, es posible que la protección que ofrece su cortafuegos no haga lo
mismo. Es hora de mirar más allá de la seguridad de red tradicional e incorporar protección contra el malware y los exploits que
atraviesan los PCs y dispositivos móviles cuando los usuarios navegan por Internet, envían o reciben emails y descargan
aplicaciones.
A medida que aumentan el número y la gravedad de
los crímenes cibernéticos, es fundamental conocer
los diversos tipos de malware y entender su
funcionamiento. Ello es especialmente importante
para las empresas pequeñas y medianas, que a
menudo no cuentan con personal de TI dedicado
exclusivamente a la seguridad de la red. En el presente
documento se analizan los factores que actualmente
impulsan el desarrollo de malware, se exponen en
detalle las características de cada uno de ellos, se
describe cómo se manifiestan en la red y se explica
cómo pueden remediarse.
Aunque los nombres de algunos tipos de malware
pueden resultarnos familiares, estas amenazas
evolucionan constantemente, obligando a todo
aquel que desee garantizar la seguridad de su sistema
a adaptarse a estos continuos cambios. En la
actualidad, la mayor amenaza informática procede
de los criminales profesionales. Aunque es cierto que
aún hay algunos aficionados que, simplemente por
diversión o para impresionar a sus amigos,
programan y lanzan diferentes tipos de malware, las
bandas criminales organizadas transnacionales que
distribuyen malware con fines de lucro son mucho
más peligrosas. Los principales métodos utilizados
por estos cibercriminales incluyen:
•
•
La extorsión. Consiste en bloquear ordenadores o
interrumpir su funcionamiento para posteriormente
cobrar dinero por solucionar los supuestos
problemas. En este tipo de ataques, a menudo se
realizan escaneos inútiles de los ordenadores o se
vende software "antivirus" igualmente inútil. Esta
técnica puede utilizarse para obtener información de
tarjetas de crédito. En ocasiones, el software que
adquieren las víctimas es "scareware", que les lleva a
comprar otros supuestos productos de software o a
pagar servicios de suscripción inútiles.
El robo de recursos electrónicos. Entre los recursos
electrónicos que se roban con mayor frecuencia se
encuentran los datos de identificación personal (robo
de identidad) de los registros de empleados o de
clientes; información y contraseñas de cuentas
financieras; datos comerciales y de negocio propietarios que
pueden venderse a competidores; cuentas de correo
electrónico —incluidos los contactos—, que pueden utilizarse
para enviar mensajes spam (desde fuentes aparentemente
fiables); e incluso recursos informáticos propiamente dichos
(zombies), que son controlados por los criminales para
perpetrar todo tipo de ataques: desde mensajes spam hasta el
hospedaje de contenidos pornográficos.
El software utilizado para cometer este tipo de crímenes
pertenece a la categoría de malware. Aunque el malware es un
problema cada vez más preocupante, existen formas sencillas y
extremadamente efectivas de combatirlo. Pero antes, es
importante que conozca bien los distintos tipos de malware que
existen. A continuación le presentamos los seis más
importantes: virus, gusanos, troyanos, spyware, adware y
rootkits.
Virus
Los virus son probablemente el tipo de malware más conocido.
Aunque estas amenazas existen desde hace décadas, sus
características básicas siguen siendo las mismas. Los virus
informáticos generalmente están diseñados para dañar los
equipos de los usuarios finales. Son capaces de purgar todo el
disco duro de un ordenador, despojando a los datos de toda
utilidad en cuestión de un momento.
Del mismo modo que los virus biológicos se autoreplican al
infectar una célula huésped, los virus informáticos a menudo se
replican y se propagan en los sistemas infectados. También
existen otros tipos de virus que se utilizan para "buscar y destruir"
tipos de archivos específicos o determinadas porciones del
disco duro. Los ladrones cibernéticos a menudo utilizan virus en
los sistemas atacados una vez que han extraído la información
deseada, con el fin de destruir posibles pruebas forenses contra
ellos.
Originalmente, los virus informáticos se propagaban a través de
disquetes infectados compartidos. Sin embargo, el método de
distribución de los virus ha evolucionado de forma paralela a la
tecnología. Hoy en día, por regla general, los virus se propagan a
través de documentos compartidos, descargas Web y
archivos adjuntos de correo electrónico. Para
infectar un sistema, el virus debe ejecutarse en dicho
sistema; los virus informáticos latentes que no han
sido ejecutados no suponen una amenaza inmediata.
Puesto que la finalidad de los virus no suele ser
legítima, en algunos países su posesión es ilegal.
Gusanos
A pesar de que existen desde finales de los años 80,
los gusanos informáticos no se convirtieron en una
amenaza común hasta que se generalizó el uso de
infraestructuras de red en las organizaciones. A
diferencia de los virus informáticos, los gusanos
tienen la capacidad de propagarse por las redes sin
interacción humana alguna.
Los sistemas infectados por un gusano escanean la
red local en busca de otras posibles víctimas. Una vez
detectado un objetivo, el gusano explota las
vulnerabilidades de software del sistema remoto y le
inyecta código malicioso para completar el ataque.
Por su método de ataque, los gusanos solo pueden
infectar con éxito sistemas de la red que funcionan
con determinados sistemas operativos. Los gusanos
a menudo se consideran más como una molestia que
como una verdadera amenaza. Sin embargo, pueden
utilizarse para propagar otros tipos de malware o
para dañar los sistemas objetivo.
Troyanos
atacador pueda acceder posteriormente. Este tipo de ataques a
menudo se utilizan para la creación de botnets.
Spyware / Adware
Al igual que algunos tipos de troyanos, el spyware se utiliza para
recopilar información sensible y transmitírsela al perpetrador del
ataque.
Aunque resulta molesto, el spyware generalmente no es
malicioso por naturaleza. Suele infectar navegadores Web,
dejándolos prácticamente inutilizables. El spyware a menudo se
utiliza con fines de marketing engañoso, por ejemplo para
monitorizar la actividad de los usuarios sin que éstos se den
cuenta. En ocasiones, el spyware se hace pasar por una
aplicación legítima que proporciona ciertas ventajas al usuario,
y una vez instalado registra patrones de comportamiento y de
uso sin que los usuarios lo sepan.
Al igual que el spyware, el adware también constituye una gran
molestia para los usuarios y tampoco suele ser malicioso por
naturaleza. Como su propio nombre indica, el adware
generalmente se utiliza para distribuir anuncios publicitarios que
proporcionan algún tipo de ventaja financiera al perpetrador del
ataque. Cuando las víctimas de un ataque de adware intentan
acceder a Internet, son bombardeadas con ventanas
emergentes, barras de herramientas y otros tipos de anuncios
publicitarios. El adware normalmente no causa daños
permanentes en los ordenadores. No obstante, si no se elimina
correctamente, puede dejar el sistema completamente
inutilizable.
Al igual que los virus, los troyanos normalmente
requieren algún tipo de interacción por parte de los
usuarios para infectar un sistema. Sin embargo, a
diferencia de la mayoría de gusanos y virus, los
troyanos a menudo tratan de permanecer en el
sistema comprometido sin ser detectados. Los
troyanos son pequeñas porciones de código
ejecutable que se embeben en otra aplicación.
Normalmente, el archivo infectado es una aplicación
que la víctima utiliza de forma regular (como
Microsoft Word o Calculator). El objetivo es que la
víctima, sin saberlo, ejecute el código malicioso al
iniciar un programa por lo demás inocente. Con
frecuencia, el resultado es que los troyanos infectan
los sistemas sin que los usuarios reciban ningún tipo
de notificación.
Rootkits
Existen diversos tipos de troyanos, cada uno de ellos
con una finalidad diferente. Algunos están diseñados
específicamente para extraer información sensible
del sistema infectado. Este tipo de troyanos suelen
instalar keyloggers o hacer capturas de pantalla del
ordenador de la víctima y transmitir automáticamente
la información al atacador. Otros troyanos más
peligrosos son los llamados RATs (troyanos de
acceso remoto), que toman el control del sistema
infectado y abren una puerta trasera para que el
La presencia de malware en el tráfico de red o en un ordenador
puede detectase de tres modos:
Los rootkits son posiblemente el tipo de malware más
peligroso. Al igual que los troyanos de acceso remoto, los
rootkits proporcionan al atacador el control del sistema
infectado. Sin embargo, a diferencia de los troyanos, los
rootkits son excepcionalmente difíciles de detectar y eliminar,
ya que se suelen instalar en los recursos de nivel inferior del
sistema (por debajo del sistema operativo), de modo que a
menudo no son detectados por los productos de software
antivirus convencionales. Cuando un sistema está infectado
con un rootkit, los perpetradores pueden acceder de forma
ilimitada a toda la red a través de él.
¿Cómo puede saber que tiene malware en su
sistema?
•
Ciertos sistemas de seguridad de red, entre ellos los
cortafuegos, son capaces de detectar las "definiciones" de
malware, que son huellas o patrones en los archivos, incluso
antes de que éstos lleguen al ordenador. Si un archivo
contaminado llega al ordenador, el software
antivirus/antimalware instalado en el equipo debería detectarlo.
•
Si aparece un tipo de archivo sospechoso fuera de contexto,
como un ejecutable (.exe) o un valor de registro oculto en un
archivo comprimido, como un zip.
•
A través del comportamiento: los rootkits pueden
delatarse a sí mismos al "llamar" al operador que los
controla. Si este comportamiento no es normal—por
ejemplo por el volumen o la hora del día—ello puede
ser un indicio de que el sistema está infectado.
La instalación de software antivirus dinámicamente
actualizado en todos los equipos es una medida de
seguridad estándar que permite evitar los ataques
más comunes, ya que sus definiciones o "huellas
dactilares" los delatan. Las empresas de seguridad de
red mantienen "honeypots" en todo el mundo, como
la red colaborativa multivector GRID de Dell
SonicWALL, que atraen deliberadamente todas las
nuevas versiones de malware con el fin de identificar
sus definiciones y distribuirlas en las actualizaciones
antimalware rutinarias. Al disponer de la definición, el
software de seguridad puede identificar el malware
nada más aparece y tomar las correspondientes
contramedidas. No obstante, los proveedores de
sistemas de seguridad más sofisticados van más allá.
Por ejemplo, la red GRID de Dell SonicWALL
transfiere las definiciones de las nuevas amenazas a
una base de datos en la nube en seguida que
aparecen en cualquier parte del mundo. Los
dispositivos de seguridad de Dell SonicWALL
complementan las decenas de miles de definiciones
de amenazas almacenadas de forma local con esta
base de datos en la nube. Los archivos escaneados se
comparan en tiempo real con esta extensa base de
datos de ejecutables maliciosos para ofrecer una
protección más eficaz.
No obstante, reconocer un tipo de archivo oculto
resulta ligeramente más difícil. Algunas empresas
tienen normas globales que determinan los tipos de
archivos que están permitidos en la red. Por ejemplo,
hay organizaciones que no permiten ningún tipo de
archivo comprimido dentro del cortafuegos. Sin
embargo, esta medida puede alterar los flujos de
tráfico normales. Existe un enfoque más sofisticado y
menos perjudicial, que consiste en realizar una
Inspección profunda de paquetes sin reensamblado
(RFDPI) de cada paquete de datos que circula por la
red. Eso es lo que hacen los cortafuegos de marcas
de alta gama, como los de Dell SonicWALL, que
literalmente miran dentro de la carga útil de los datos
para ver qué contiene con el fin de detectar y eliminar
posibles amenazas ocultas.
El comportamiento es el indicador más difícil de
detectar. Si algún tipo de malware logra infectar un
sistema, la mayoría de las personas no se dan cuenta
hasta que el rendimiento del equipo infectado
empieza a fallar o a disminuir. Los cortafuegos de
próxima generación son capaces de identificar
comportamientos sospechosos incluso antes de que
el rendimiento se vea afectado. Al ser capaces de
reconocer actividades poco habituales en la red,
como p.ej. volúmenes extraordinariamente grandes
de correo electrónico enviado desde un mismo equipo, los
cortafuegos de próxima generación pueden ayudar a los
administradores a aislar el malware con el fin de eliminarlo.
Estos sistemas de seguridad inteligentes pueden configurarse
para reforzar políticas sobre las actividades permitidas en la red,
similares a las políticas corporativas que regulan el
comportamiento de los empleados. Por ejemplo, se puede
establecer una política que prohíba la mensajería instantánea,
pero que permita la transmisión de archivos a través de
mensajes instantáneos. En el caso de que tales actividades no
sean necesarias, el hecho de que un ordenador esté intentando
realizarlas puede ser un indicio de que el equipo está siendo
controlado por alguien distinto del empleado, muy
probablemente como consecuencia de un ataque de malware.
Toda actividad peligrosa es automáticamente bloqueada.
Más vale prevenir que curar
Tal y como ocurre con las infecciones biológicas, la mejor
medicina es la prevención. Todo sistema de seguridad eficaz
incluye medidas preventivas.
Los cortafuegos de próxima generación equipados con las
funciones anteriormente descritas son capaces de identificar la
inmensa mayoría de los tipos de malware que pueden intentar
penetrar la red corporativa. Detectan, por ejemplo, los mensajes
spam, las páginas Web falsas (phishing) y las descargas ocultas o
"drive-by downloads", que inyectan malware durante la visita a
una página aparentemente segura. Cada uno de estos métodos
de infección utiliza un enfoque diferente, de modo que su
identificación también requiere un método específico. Los
cortafuegos de próxima generación pueden aplicar todos estos
métodos de forma simultánea desde un único dispositivo de
seguridad.
Los cortafuegos de próxima generación de alta gama, como
los de Dell SonicWALL, ofrecen funciones opcionales de
identificación de amenazas en mensajes spam, archivos ocultos
y descargas ocultas, basadas en definiciones o en
comportamientos. Las descargas ocultas merecen especial
atención, ya que hoy en día se realizan numerosas
transacciones online, p.ej. para acceder a información remota o
para realizar compras. Los ataques de malware pueden hacerse
pasar por transacciones Web 2.0 legítimas. Por lo tanto, para ser
eficaces, las soluciones de cortafuegos de próxima generación
deben escanear el tráfico de Internet con el fin de detectar este
tipo de aplicaciones engañosas.
Las soluciones de seguridad que utilizan la tecnología RFDPI
solo necesitan escanear una vez los archivos que tratan de
acceder a la red para detectar posibles amenazas. Gracias a
ello, el tráfico de la red puede circular de forma más fluida,
mejorando la experiencia del usuario y aumentando la
productividad. Además, de este modo se aumenta la
rentabilidad de las conexiones de alta velocidad e incluso se
puede reducir el nivel de ancho de banda necesario, con el
consecuente ahorro de costes.
Al mismo tiempo, las tecnologías consolidadas de los
cortafuegos de próxima generación eliminan la
necesidad de disponer de múltiples dispositivos,
como cortafuegos y filtros antispam y de contenido.
En definitiva, los cortafuegos de próxima generación
constituyen una opción eficaz y económica.
Resumen
No hay duda de que el malware continúa plagando
las redes corporativas. Los ataques de malware
perpetrados por los cibercriminales son cada vez más
numerosos y sofisticados. Sin embargo, la tecnología
que los combate también ha evolucionado.
En la actualidad, incluso las empresas más pequeñas
pueden disfrutar de niveles de protección que
prácticamente los inmunizan contra numerosos tipos
de malware por un precio verdaderamente
económico. Con solo reconocer la amenaza que
representan los ataques de malware actuales e
implementar una solución de seguridad moderna, las
empresas pueden dejar atrás el salvaje mundo del
malware y centrarse en sus actividades comerciales
disfrutando de un alto nivel de seguridad, eficacia y
rentabilidad.
Acerca de Dell SonicWALL
Dell™ SonicWALL™ proporciona soluciones
inteligentes de seguridad de red y protección de datos
que permiten a los clientes y partners de todo el
mundo proteger, controlar y escalar sus redes
globales de forma dinámica. Construido sobre una
red compartida de millones de puntos de contacto
globales, nuestro concepto de Seguridad Dinámica
se basa en los análisis, conocimientos y datos que
proporcionan la red GRID y el Centro de amenazas
de Dell SonicWALL sobre la naturaleza y el
comportamiento dinámico de las amenazas a nivel
mundial. El laboratorio de investigación de Dell
SonicWALL procesa continuamente estos datos y
pone a disposición defensas y actualizaciones
dinámicas para contrarrestar las más recientes
amenazas.
Con su tecnología patentada de Inspección profunda
de paquetes sin reensamblado, y su arquitectura de
hardware multinúcleo de alta velocidad en paralelo,
Dell SonicWALL ofrece funciones simultáneas de
escaneo y análisis multiamenaza a velocidad de cable
en una solución altamente escalable capaz de
adaptarse a redes del más elevado ancho de banda.
Disponibles tanto para pymes como para empresas
grandes, las soluciones de Dell SonicWALL se han
implementado con éxito en entornos de campus de
gran tamaño, empresas distribuidas, instituciones
gubernamentales, puntos de venta minoristas,
instituciones sanitarias y proveedores de servicios.
Copyright 2012 Dell, Inc. Todos los derechos reservados. Dell SonicWALL es una marca registrada de Dell, Inc. y
los demás nombres de productos y servicios así como eslóganes de Dell SonicWALL son marcas registradas o
marcas comerciales registradas de Dell, Inc. Los demás nombres de productos y empresas aquí mencionados
pueden ser marcas registradas y/o marcas comerciales registradas de sus respectivos propietarios. 07/12
Related documents
DELITOS Y PELIGROS INFORMÁTICOS
DELITOS Y PELIGROS INFORMÁTICOS
Malware. Presentación 8/11/2014
Malware. Presentación 8/11/2014
Virus - TecnologiasInfo10-4
Virus - TecnologiasInfo10-4
software antimalware
software antimalware
Tipos de Virus informáticos clase 5
Tipos de Virus informáticos clase 5
seguridad
seguridad
Material necesario - Departamento de Informática y Sistemas
Material necesario - Departamento de Informática y Sistemas
Amenazas emergentes en la seguridad de las empresas
Amenazas emergentes en la seguridad de las empresas
Malware
Malware
spyware - adpagoro1227
spyware - adpagoro1227
Que no es malware
Que no es malware
Amenazas típicas para un pc
Amenazas típicas para un pc
Avast Free Antivirus: uno de los mejores antivirus gratuitos de la
Avast Free Antivirus: uno de los mejores antivirus gratuitos de la
seguridad informática
seguridad informática
SEGURIDAD EN INTERNET. MALWARE
SEGURIDAD EN INTERNET. MALWARE
Ejercicio 9
Ejercicio 9
Malware: Introducción, tipos y tendencias
Malware: Introducción, tipos y tendencias
TEMA 1: SISTEMAS OPERATIVOS
TEMA 1: SISTEMAS OPERATIVOS
Cuando un sistema es infectado por un determinado virus
Cuando un sistema es infectado por un determinado virus
Glosario de Tecnología Ona Systems
Glosario de Tecnología Ona Systems
MALWARE - SCProgress
MALWARE - SCProgress
Desarrollo Malware
Desarrollo Malware