Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 4, Número 41, Agosto de 2005

Nuevas tendencias del Malware

Luis Fernando Fuentes Serrano

 

La evolución del malware en el campo de la seguridad en cómputo se ha incrementado en los últimos años, por lo que hoy en día es uno de los principales problemas que enfrenta el campo de la seguridad informática, en el que tienen que luchar desde aquel usuario esporádico de Internet hasta el más osado de la red.

El malware es un término general que se le ha adjudicado a todo aquel software que perjudica a la computadora, ya sea un virus, un caballo de troya, un programa espía (spyware), hasta un devastador gusano que puede echar abajo toda una infraestructura, inclusive redes nacionales y corporativas. Proviene de la agrupación de las palabras malicious software y actualmente es una de las principales técnicas de intrusión que perfeccionan y utilizan los intrusos para penetrar un sistema de cómputo.

La ventaja que tiene el malware en comparación con otras sofisticadas técnicas de intrusión por las que muchos hackers se han hecho famosos, es que está basado, la mayoría de las ocasiones, en la inocencia de los usuarios; es decir, el intruso hace uso de la ingeniería social para engañar y abusar de sus víctimas, aunque no debemos dejar de lado el hecho de que las técnicas evolucionan de manera permanente.

Un ataque de ingeniería social es un engaño en el que el intruso emplea la interacción con el hombre (habilidad social) para conseguir su beneficio u objetivo. Un ejemplo clásico de este tipo de ataques es aquel donde el intruso se hace pasar por el administrador de un sistema de cómputo, y envía un correo al usuario víctima para pedirle su login y su password argumentando la solución de un error en su cuenta.

Aunado al malware se generan otro tipo de ataques informáticos como el spam, ocasionado por software spyware, el cual espía las consultas a los sitios de Internet que generalmente frecuenta el usuario o por ejemplo, también, el robo de información por medio de los keyloggers (spyware que recolecta las claves ingresadas por el usuario).

Es indiscutible que el malware es cada vez más sofisticado y aprovecha las ventajas de la tecnología para ser más nocivo, rápido y cauteloso o sutil en la forma de engañar a sus víctimas. Como consecuencia, la solución para contrarrestar estos ataques demora aún más.

La malicia de este tipo de software va más allá de una mala broma que hacían los intrusos para poner a prueba sus conocimientos, pues ahora también se busca un beneficio económico a través de la extorsión a sus víctimas. No sólo infectan un equipo, se propagan y obtienen direcciones de correo electrónico válidas para los spammers (individuos u organizaciones que envían información publicitaria a direcciones de correo electrónico), que hoy día “se usan principalmente para el robo de dinero”, como ejemplo de esto basta mencionar la evolución de los keyloggers que trabajan bajo un patrón de búsqueda definido: capturan todo lo tecleado en el equipo cuando su víctima consulta una página de un banco o realiza alguna operación en alguna organización financiera, y se encuentran correlacionados con los problemas de phishing que en nuestros días es común ver y escuchar en las páginas de los bancos. Los programas troyanos generalmente se distribuyen por redes P2P (kazaa, eMule, eDonkey, por mencionar algunas) y por sitios web maliciosos.

Debido a la clara evolución y tendencia del malware surge algo denominado criptovirología, que es la técnica de combinar los virus con el apoyo de la criptografía e investiga la forma de mejorar los programas maliciosos para hacer más daño, con la implementación de algoritmos criptográficos.

Los primeros indicios de este tipo de software malicioso surgieron en 1989 con el “AIDS trojan”, considerado uno de los primeros troyanos de la historia, el cual llevaba un contador de las veces que se iniciaba el sistema y, tras contabilizar un número determinado, cifraba la información del disco duro, solicitando un pago por la “licencia” para recuperar los datos. Afortunadamente el autor fue detenido y sus víctimas no tuvieron que pagar nada, debido a que el algoritmo de cifrado era muy débil y pudieron emplear herramientas gratuitas para recuperar la información.

Otro caso similar a AIDS trojan apareció el pasado mes de junio con PGPcoder. Este troyano cuando se ejecutaba en un sistema, cifraba todos los archivos que localizaba con las extensiones .xls, .doc, .txt, .rtf, .zip, .rar, .dbf, .htm, .html, .jpg, .db, .db1, .db2, .asc y .pgp. mientras dejaba unos archivos de texto, “ATTENTION!!!.txt”, con el siguiente mensaje:

Some files are coded.

To buy decoder mail: n781567@yahoo.com

with subject: PGPcoder 000000000032

Si el usuario infectado quería volver a acceder a sus documentos, hojas de cálculo, fotografías, etcétera, debía “comprar” el decodificador que supuestamente el autor le enviaría por e-mail.

Es notorio que los creadores de software malicioso pretenden utilizar algoritmos criptográficos mucho más complejos para que sea satisfactorio su cometido: la extorsión. Se trata de algoritmos complejos como los asimétricos o de llave pública, en donde prácticamente sería imposible recuperar los datos con los métodos de criptoanálisis y las herramientas de cómputo existentes.

Aunque se observa claramente una evolución en la tendencia del malware, cabe mencionar que el implementar algoritmos asimétricos requiere de varias partes para que sea satisfactorio y devastador el ataque, ya que entre más complejo sea el virus o gusano, es también más probable que falle. En primera instancia, este tipo de algoritmos requieren de dos llaves criptográficas, una que cifra la información y otra que la descifra, o bien, de una llave pública y privada. Así, si la técnica del creador del criptovirus es cifrar la información con una llave pública y exigir un pago para que el intruso envíe la llave privada que supuestamente descifra los datos, al hacerlo pierde el atributo de privacidad, lo que significa que el autor debe crear diferentes llaves para cada uno de sus ataques, esto implica que no puede hacer masivo el ataque de su criptovirus sino elegir a sus víctimas.

Otra cuestión importante es que el creador requiere un buen planteamiento de dónde pedirá el dinero que robará para evitar ser rastreado, aunado a esto deberá contar con la fortuna de que las víctimas que infecta no tengan respaldo de su información, o que la información perdida por el usuario no sea crítica, etcétera; aunque tampoco debemos menospreciar la capacidad y el tiempo que tienen este tipo de personas.

Un término que surge y que tal parece que hoy en día se ocupa como técnica de los creadores de este tipo de software malicioso es el Ransomware el cual, originalmente, lo ocuparon los creadores de software donde no liberaban su código fuente o no permitían realizar todas las operaciones de su aplicación, hasta que no se realizaba un pago para que el autor enviara la licencia o hiciera Open Source su herramienta. Sin embargo, y como ocurre en todo, hay gente que hace mal uso de las reglas para adecuarlas a su beneficio y dañar a terceros. Ahora los desarrolladores de la criptovirología realizan software que daña y piden dinero para el envío de la solución.

En la actualidad, es difícil evitar este tipo de ilícitos, ya que ni siquiera optando por la seguridad mediante la oscuridad, que consiste en ocultar el código fuente como lo hacen las herramientas de Microsoft, evitamos que los creadores de malware ocupen los códigos fuente de las herramientas para modificarlas y crear sus propios programas troyanos.

No cabe duda que la solución para combatir este tipo de técnicas de intrusión es promover la cultura de seguridad en nuestras organizaciones y utilizar métodos preventivos que difundan el uso de herramientas para la protección de los sistemas de cómputo.

En el Departamento de Seguridad en Cómputo/UNAM-CERT existe una lista de correo denominada malware donde se discuten tópicos relacionados con este tipo de software, además de que se proporciona información y soluciones sobre las nuevas variantes de esta técnica de intrusión. Esta lista de correo es gratuita y cualquier usuario puede suscribirse en la siguiente dirección http://www.seguridad.unam.mx/listas/malware/listas.php

El proyecto de seguridad en Windows del DSC/UNAM-CERT desarrolla herramientas y soluciones para contrarrestar estos ataques, y de forma constante monitorea la actividad de este tipo de incidentes informando a la comunidad a través de su portal http://www.seguridad.unam.mx/windows

Para boletines y nuevas vulnerabilidades relacionadas con este tipo de software malicioso acudir a http://www.cert.org.mx.

Inicio | Contacto |