Seguridad InformáticaSoftware II - EET468 - Rosario - Argentina

Índice general

1 Seguridad informática 11.1 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

1.2.1 Ingeniería Social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.2.2 Tipos de amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.2.3 Amenaza informática del futuro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.3 Análisis de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.3.1 Elementos de un análisis de riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

1.4 Análisis de impacto al negocio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.5 Puesta en marcha de una política de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.6 Técnicas para asegurar el sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.6.1 Respaldo de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61.6.2 Protección contra virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61.6.3 Protección física de acceso a las redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.6.4 Sanitización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.7 Algunas afirmaciones erróneas comunes acerca de la seguridad . . . . . . . . . . . . . . . . . . . 71.8 Organismos oficiales de seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.8.1 España . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81.8.2 Unión Europea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81.8.3 Alemania . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81.8.4 Estados Unidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.9 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81.10 Notas y referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81.11 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2 Malware 92.1 Propósito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.2 Malware infeccioso: virus y gusanos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102.3 Malware oculto: Backdoor o Puerta trasera, Drive-by Downloads, Rootkits y Troyanos . . . . . . . 10

2.3.1 Puertas traseras o Backdoors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.3.2 Drive-by Downloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.3.3 Rootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.3.4 Troyanos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

i

ii ÍNDICE GENERAL

2.4 Malware para obtener beneficios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.4.1 Mostrar publicidad: Spyware, Adware y Hijacking . . . . . . . . . . . . . . . . . . . . . . 122.4.2 Robar información personal: Keyloggers y Stealers . . . . . . . . . . . . . . . . . . . . . 132.4.3 Realizar llamadas telefónicas: Dialers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.4.4 Ataques distribuidos: Botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.4.5 Otros tipos: Rogue software y Ransomware . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.5 Grayware o greynet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142.6 Vulnerabilidades usadas por el malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.6.1 Eliminando código sobre-privilegiado . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152.7 Programas anti-malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152.8 Métodos de protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162.9 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2.9.1 Compañías Antimalware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162.10 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

3 Virus informático 193.1 Virus informáticos y sistemas operativos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

3.1.1 MS-Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193.1.2 Unix y derivados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

3.2 Características . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203.3 Métodos de propagación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203.4 Métodos de protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.4.1 Activos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213.4.2 Pasivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.5 Tipos de virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213.6 Acciones de los virus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233.7 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233.8 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

4 Antivirus 244.1 Métodos de contagio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244.2 Seguridad y métodos de protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

4.2.1 Tipos de antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244.2.2 Copias de seguridad (pasivo) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

4.3 Planificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254.3.1 Consideraciones de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254.3.2 Consideraciones de la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254.3.3 Formación del usuario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254.3.4 Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254.3.5 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254.3.6 Reemplazo de software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264.3.7 Centralización y backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

ÍNDICE GENERAL iii

4.3.8 Empleo de sistemas operativos más seguros . . . . . . . . . . . . . . . . . . . . . . . . . 264.3.9 Temas acerca de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

4.4 Sistemas operativos más atacados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264.4.1 Plataformas Unix, inmunes a los virus de Windows . . . . . . . . . . . . . . . . . . . . . 26

4.5 Véase también . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264.6 Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274.7 Enlaces externos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274.8 Texto e imágenes de origen, colaboradores y licencias . . . . . . . . . . . . . . . . . . . . . . . . 28

4.8.1 Texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284.8.2 Imágenes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294.8.3 Licencia de contenido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Capítulo 1

Seguridad informática

La seguridad informática o seguridad de tecnologíasde la información es el área de la informática que se en-foca en la protección de la infraestructura computacionaly todo lo relacionado con esta y, especialmente, la infor-mación contenida o circulante. Para ello existen una seriede estándares, protocolos, métodos, reglas, herramientasy leyes concebidas para minimizar los posibles riesgos ala infraestructura o a la información. La seguridad infor-mática comprende software (bases de datos, metadatos,archivos), hardware y todo lo que la organización valore ysignifique un riesgo si esta información confidencial llegaa manos de otras personas, convirtiéndose, por ejemplo,en información privilegiada.La definición de seguridad de la información no debe serconfundida con la de «seguridad informática», ya que es-ta última sólo se encarga de la seguridad en el medio in-formático, pero la información puede encontrarse en di-ferentes medios o formas, y no solo en medios informá-ticos.La seguridad informática es la disciplina que se ocupa dediseñar las normas, procedimientos, métodos y técnicasdestinados a conseguir un sistema de información seguroy confiable.Puesto simple, la seguridad en un ambiente de red es lahabilidad de identificar y eliminar vulnerabilidades. Unadefinición general de seguridad debe también poner aten-ción a la necesidad de salvaguardar la ventaja organiza-cional, incluyendo información y equipos físicos, talescomo los mismos computadores. Nadie a cargo de segu-ridad debe determinar quien y cuando se puede tomaracciones apropiadas sobre un ítem en específico. Cuandose trata de la seguridad de una compañía, lo que es apro-piado varía de organización a organización. Independien-temente, cualquier compañía con una red debe de teneruna política de seguridad que se dirija a conveniencia ycoordinación.

1.1 Objetivos

La seguridad informática debe establecer normas que mi-nimicen los riesgos a la información o infraestructurainformática. Estas normas incluyen horarios de funcio-

namiento, restricciones a ciertos lugares, autorizaciones,denegaciones, perfiles de usuario, planes de emergencia,protocolos y todo lo necesario que permita un buen ni-vel de seguridad informática minimizando el impacto enel desempeño de los trabajadores y de la organización engeneral y como principal contribuyente al uso de progra-mas realizados por programadores.La seguridad informática está concebida para protegerlos activos informáticos, entre los que se encuentran lossiguientes:

• La infraestructura computacional: Es una parte fun-damental para el almacenamiento y gestión de la in-formación, así como para el funcionamiento mismode la organización. La función de la seguridad infor-mática en esta área es velar que los equipos funcio-nen adecuadamente y anticiparse en caso de fallas,robos, incendios, boicot, desastres naturales, fallasen el suministro eléctrico y cualquier otro factor queatente contra la infraestructura informática.

• Los usuarios: Son las personas que utilizan la estruc-tura tecnológica, zona de comunicaciones y que ges-tionan la información. Debe protegerse el sistema engeneral para que el uso por parte de ellos no puedaponer en entredicho la seguridad de la informacióny tampoco que la información que manejan o alma-cenan sea vulnerable.

• La información: es el principal activo. Utiliza y resi-de en la infraestructura computacional y es utilizadapor los usuarios.

1.2 Amenazas

No solo las amenazas que surgen de la programación yel funcionamiento de un dispositivo de almacenamiento,transmisión o proceso deben ser consideradas, tambiénhay otras circunstancias que deben ser tomadas en cuentae incluso «no informáticas». Muchas son a menudo im-previsibles o inevitables, de modo que las únicas protec-ciones posibles son las redundancias y la descentraliza-ción, por ejemplo mediante determinadas estructuras de

1

2 CAPÍTULO 1. SEGURIDAD INFORMÁTICA

redes en el caso de las comunicaciones o servidores enclúster para la disponibilidad.Las amenazas pueden ser causadas por:

• Usuarios: causa del mayor problema ligado a la se-guridad de un sistema informático. En algunos casossus acciones causan problemas de seguridad, si bienen la mayoría de los casos es porque tienen permi-sos sobre dimensionados, no se les han restringidoacciones innecesarias, etc.

• Programas maliciosos: programas destinados a per-judicar o a hacer un uso ilícito de los recursos delsistema. Es instalado (por inatención o maldad) enel ordenador, abriendo una puerta a intrusos o bienmodificando los datos. Estos programas pueden serun virus informático, un gusano informático, untroyano, una bomba lógica, un programa espía ospyware, en general conocidos como malware.

• Errores de programación: La mayoría de los erro-res de programación que se pueden considerar comouna amenaza informática es por su condición de po-der ser usados como exploits por los crackers, aunquese dan casos donde el mal desarrollo es, en sí mismo,una amenaza. La actualización de parches de los sis-temas operativos y aplicaciones permite evitar estetipo de amenazas.

• Intrusos: persona que consiguen acceder a los da-tos o programas a los cuales no están autorizados(crackers, defacers, hackers, script kiddie o scriptboy, viruxers, etc.).

• Un siniestro (robo, incendio, inundación): una ma-la manipulación o una mala intención derivan a lapérdida del material o de los archivos.

• Personal técnico interno: técnicos de sistemas, ad-ministradores de bases de datos, técnicos de desa-rrollo, etc. Los motivos que se encuentran entre loshabituales son: disputas internas, problemas labora-les, despidos, fines lucrativos, espionaje, etc.

• Fallos electrónicos o lógicos de los sistemas infor-máticos en general.

• Catástrofes naturales: rayos, terremotos,inundaciones, rayos cósmicos, etc.

1.2.1 Ingeniería Social

Existen diferentes tipos de ataques en Internet como vi-rus, troyanos u otros, dichos ataques pueden ser contra-rrestados o eliminados pero hay un tipo de ataque, que noafecta directamente a los ordenadores, sino a sus usuarios,conocidos como “el eslabón más débil”. Dicho ataque escapaz de almacenar conseguir resultados similares a unataque a través de la red, saltándose toda la infraestructu-ra creada para combatir programas maliciosos. Además,

es un ataque más eficiente, debido a que es más comple-jo de calcular y prever. Se pueden utilizar infinidad deinfluencias psicológicas para lograr que los ataques a unservidor sean lo más sencillo posible, ya que el usuario es-taría inconscientemente dando autorización para que di-cha inducción se vea finiquitada hasta el punto de accesosde administrador.[1]

1.2.2 Tipos de amenaza

Existen infinidad de modos de clasificar un ataque y cadaataque puede recibir más de una clasificación. Por ejem-plo, un caso de phishing puede llegar a robar la contra-seña de un usuario de una red social y con ella realizaruna suplantación de la identidad para un posterior acoso,o el robo de la contraseña puede usarse simplemente paracambiar la foto del perfil y dejarlo todo en una broma (sinque deje de ser delito en ambos casos, al menos en paísescon legislación para el caso, como lo es España).

Amenazas por el origen

El hecho de conectar una red a un entorno externo nosda la posibilidad de que algún atacante pueda entrar enella,y con esto, se puede hacer robo de información o alte-rar el funcionamiento de la red. Sin embargo el hecho deque la red no esté conectada a un entorno externo, comoInternet, no nos garantiza la seguridad de la misma. Deacuerdo con el Computer Security Institute (CSI) de SanFrancisco aproximadamente entre el 60 y 80 por cientode los incidentes de red son causados desde dentro de lamisma. Basado en el origen del ataque podemos decir queexisten dos tipos de amenazas:

• Amenazas internas: Generalmente estas amenazaspueden ser más serias que las externas por varias ra-zones como son:

• Si es por usuarios o personal técnico, co-nocen la red y saben cómo es su funciona-miento, ubicación de la información, da-tos de interés, etc. Además tienen algúnnivel de acceso a la red por las mismasnecesidades de su trabajo, lo que les per-mite unos mínimos de movimientos.

• Los sistemas de prevención de intrusos oIPS, y firewalls son mecanismos no efec-tivos en amenazas internas por, habitual-mente, no estar orientados al tráfico in-terno. Que el ataque sea interno no tieneque ser exclusivamente por personas aje-nas a la red, podría ser por vulnerabilida-des que permiten acceder a la red directa-mente: rosetas accesibles, redes inalám-bricas desprotegidas, equipos sin vigilan-cia, etc.

1.3. ANÁLISIS DE RIESGOS 3

• Amenazas externas: Son aquellas amenazas que seoriginan fuera de la red. Al no tener informacióncertera de la red, un atacante tiene que realizar cier-tos pasos para poder conocer qué es lo que hay enella y buscar la manera de atacarla. La ventaja quese tiene en este caso es que el administrador de lared puede prevenir una buena parte de los ataquesexternos.

Amenazas por el efecto

El tipo de amenazas por el efecto que causan a quien re-cibe los ataques podría clasificarse en:

• Robo de información.

• Destrucción de información.

• Anulación del funcionamiento de los sistemas oefectos que tiendan a ello.

• Suplantación de la identidad, publicidad de datospersonales o confidenciales, cambio de información,venta de datos personales, etc.

• Robo de dinero, estafas,...

Amenazas por el medio utilizado

Se pueden clasificar por el modus operandi del atacante,si bien el efecto puede ser distinto para un mismo tipo deataque:

• Virus informático: malware que tiene por objeto al-terar el normal funcionamiento de la computadora,sin el permiso o el conocimiento del usuario. Los vi-rus, habitualmente, reemplazan archivos ejecutablespor otros infectados con el código de este. Los viruspueden destruir, de manera intencionada, los datosalmacenados en un computadora, aunque tambiénexisten otros más inofensivos, que solo se caracteri-zan por ser molestos.

• Phishing.

• Ingeniería social.

• Denegación de servicio.

• Spoofing: de DNS, de IP, de DHCP, etc.

1.2.3 Amenaza informática del futuro

Si en un momento el objetivo de los ataques fue cambiarlas plataformas tecnológicas ahora las tendencias ciber-criminales indican que la nueva modalidad es manipularlos certificados que contienen la información digital. Elárea semántica, era reservada para los humanos, se con-virtió ahora en el núcleo de los ataques debido a la evo-lución de la Web 2.0 y las redes sociales, factores quellevaron al nacimiento de la generación 3.0.

• Se puede afirmar que “la Web 3.0 otorga contenidosy significados de manera tal que pueden ser com-prendidos por las computadoras, las cuales -por me-dio de técnicas de inteligencia artificial- son capacesde emular y mejorar la obtención de conocimiento,hasta el momento reservada a las personas”.

• Es decir, se trata de dotar de significado a las pági-nas Web, y de ahí el nombre de Web semántica oSociedad del Conocimiento, como evolución de laya pasada Sociedad de la Información

En este sentido, las amenazas informáticas que viene enel futuro ya no son con la inclusión de troyanos en lossistemas o softwares espías, sino con el hecho de que losataques se han profesionalizado y manipulan el significa-do del contenido virtual.

• “La Web 3.0, basada en conceptos como elaborar,compartir y significar, está representando un desafíopara los hackers que ya no utilizan las plataformasconvencionales de ataque, sino que optan por mo-dificar los significados del contenido digital, provo-cando así la confusión lógica del usuario y permi-tiendo de este modo la intrusión en los sistemas”, Laamenaza ya no solicita la clave de homebanking deldesprevenido usuario, sino que directamente modi-fica el balance de la cuenta, asustando al internautay, a partir de allí, sí efectuar el robo del capital”.

• Obtención de perfiles de los usuarios por medios,en un principio, lícitos: seguimiento de las búsque-das realizadas, históricos de navegación, seguimien-to con geoposicionamiento de los móviles, análisisde las imágenes digitales subidas a Internet, etc.

Para no ser presa de esta nueva ola de ataques más sutiles,se recomienda:

• Mantener las soluciones activadas y actualizadas.

• Evitar realizar operaciones comerciales en compu-tadoras de uso público o en redes abiertas.

• Verificar los archivos adjuntos de mensajes sospe-chosos y evitar su descarga en caso de duda.

1.3 Análisis de riesgos

El análisis de riesgos informáticos es un proceso quecomprende la identificación de activos informáticos, susvulnerabilidades y amenazas a los que se encuentran ex-puestos así como su probabilidad de ocurrencia y el im-pacto de las mismas, a fin de determinar los controlesadecuados para aceptar, disminuir, transferir o evitar laocurrencia del riesgo.Teniendo en cuenta que la explotación de un riesgo cau-saría daños o pérdidas financieras o administrativas a una

4 CAPÍTULO 1. SEGURIDAD INFORMÁTICA

empresa u organización, se tiene la necesidad de poder es-timar la magnitud del impacto del riesgo a que se encuen-tra expuesta mediante la aplicación de controles. Dichoscontroles, para que sean efectivos, deben ser implementa-dos en conjunto formando una arquitectura de seguridadcon la finalidad de preservar las propiedades de confiden-cialidad, integridad y disponibilidad de los recursos ob-jetos de riesgo.

1.3.1 Elementos de un análisis de riesgo

El proceso de análisis de riesgo genera habitualmente undocumento al cual se le conoce como matriz de riesgo.En este documento se muestran los elementos identifica-dos, la manera en que se relacionan y los cálculos reali-zados. Este análisis de riesgo es indispensable para lograruna correcta administración del riesgo. La administracióndel riesgo hace referencia a la gestión de los recursos dela organización. Existen diferentes tipos de riesgos comoel riesgo residual y riesgo total así como también el tra-tamiento del riesgo, evaluación del riesgo y gestión delriesgo entre otras. La fórmula para determinar el riesgototal es:

RT (Riesgo Total) = Probabilidad x Impacto Promedio

A partir de esta fórmula determinaremos su tratamientoy después de aplicar los controles podremos obtener elriesgo residual.

1.4 Análisis de impacto al negocio

El reto es asignar estratégicamente los recursos para cadaequipo de seguridad y bienes que intervengan, basándoseen el impacto potencial para el negocio, respecto a losdiversos incidentes que se deben resolver.Para determinar el establecimiento de prioridades, el sis-tema de gestión de incidentes necesita saber el valor de lossistemas de información que pueden ser potencialmenteafectados por incidentes de seguridad. Esto puede impli-car que alguien dentro de la organización asigne un valormonetario a cada equipo y un archivo en la red o asignarun valor relativo a cada sistema y la información sobreella. Dentro de los valores para el sistema se pueden dis-tinguir: confidencialidad de la información, la integridad(aplicaciones e información) y finalmente la disponibili-dad del sistema. Cada uno de estos valores es un siste-ma independiente del negocio, supongamos el siguienteejemplo, un servidor web público pueden poseer la ca-racterística de confidencialidad baja (ya que toda la in-formación es pública) pero necesita alta disponibilidad eintegridad, para poder ser confiable. En contraste, un sis-tema de planificación de recursos empresariales (ERP)es, habitualmente, un sistema que posee alto puntaje enlas tres variables.

Los incidentes individuales pueden variar ampliamenteen términos de alcance e importancia.

1.5 Puesta en marcha de una polí-tica de seguridad

Actualmente las legislaciones nacionales de los Estados,obligan a las empresas, instituciones públicas a implantaruna política de seguridad. Por ejemplo, en España, la LeyOrgánica de Protección de Datos de carácter personalo también llamada LOPD y su normativa de desarrollo,protege ese tipo de datos estipulando medidas básicas ynecesidades que impidan la pérdida de calidad de la infor-mación o su robo. También en ese país, el Esquema Na-cional de Seguridad establece medidas tecnológicas parapermitir que los sistemas informáticos que prestan servi-cios a los ciudadanos cumplan con unos requerimientosde seguridad acordes al tipo de disponibilidad de los ser-vicios que se prestan.Generalmente se ocupa exclusivamente a asegurar los de-rechos de acceso a los datos y recursos con las herramien-tas de control y mecanismos de identificación. Estos me-canismos permiten saber que los operadores tienen sólolos permisos que se les dio.La seguridad informática debe ser estudiada para que noimpida el trabajo de los operadores en lo que les es ne-cesario y que puedan utilizar el sistema informático contoda confianza. Por eso en lo referente a elaborar una po-lítica de seguridad, conviene:

• Elaborar reglas y procedimientos para cada serviciode la organización.

• Definir las acciones a emprender y elegir las perso-nas a contactar en caso de detectar una posible in-trusión

• Sensibilizar a los operadores con los problemas liga-dos con la seguridad de los sistemas informáticos.

Los derechos de acceso de los operadores deben ser defi-nidos por los responsables jerárquicos y no por los admi-nistradores informáticos, los cuales tienen que conseguirque los recursos y derechos de acceso sean coherentescon la política de seguridad definida. Además, como eladministrador suele ser el único en conocer perfectamen-te el sistema, tiene que derivar a la directiva cualquierproblema e información relevante sobre la seguridad, yeventualmente aconsejar estrategias a poner en marcha,así como ser el punto de entrada de la comunicación alos trabajadores sobre problemas y recomendaciones entérmino de seguridad informática.

1.6. TÉCNICAS PARA ASEGURAR EL SISTEMA 5

1.6 Técnicas para asegurar el siste-ma

SMTPwww

DNS

Intranet(LAN)

Router (WAN)

DMZ

Dos firewalls permiten crear unaZona_desmilitarizada_(informática) donde alojar los princi-pales servidores que dan servicio a la empresa y la relacionancon Internet. Por ejemplo, los servidores web, los servidoresde correo electrónico,... El router es el elemento expuestodirectamente a Internet y, por tanto, el más vulnerable.

El activo más importante que se posee es la informacióny, por lo tanto, deben existir técnicas que la aseguren, másallá de la seguridad física que se establezca sobre los equi-pos en los cuales se almacena. Estas técnicas las brinda laseguridad lógica que consiste en la aplicación de barre-ras y procedimientos que resguardan el acceso a los datosy solo permiten acceder a ellos a las personas autorizadaspara hacerlo.Cada tipo de ataque y cada sistema requiere de un mediode protección o más (en la mayoría de los casos es unacombinación de varios de ellos)A continuación se enumeran una serie de medidas que seconsideran básicas para asegurar un sistema tipo, si bienpara necesidades específicas se requieren medidas extra-ordinarias y de mayor profundidad:

• Utilizar técnicas de desarrollo que cumplan con loscriterios de seguridad al uso para todo el softwareque se implante en los sistemas, partiendo de están-dares y de personal suficientemente formado y con-cienciado con la seguridad.

• Implantar medidas de seguridad físicas: sistemasanti incendios, vigilancia de los centros de proce-so de datos, sistemas de protección contra inun-daciones, protecciones eléctricas contra apagones ysobretensiones, sistemas de control de accesos, etc.

• Codificar la información: criptología, criptografía ycriptociencia. Esto se debe realizar en todos aque-llos trayectos por los que circule la información quese quiere proteger, no solo en aquellos más vulne-rables. Por ejemplo, si los datos de una base muyconfidencial se han protegido con dos niveles de fi-rewall, se ha cifrado todo el trayecto entre los clien-tes y los servidores y entre los propios servidores, se

utilizan certificados y sin embargo se dejan sin ci-frar las impresiones enviadas a la impresora de red,tendríamos un punto de vulnerabilidad.

• Contraseñas difíciles de averiguar que, por ejem-plo, no puedan ser deducidas a partir de los datospersonales del individuo o por comparación con undiccionario, y que se cambien con la suficiente pe-riodicidad. Las contraseñas, además, deben tener lasuficiente complejidad como para que un atacanteno pueda deducirla por medio de programas infor-máticos. El uso de certificados digitales mejora laseguridad frente al simple uso de contraseñas.

• Vigilancia de red. Las redes transportan toda la in-formación, por lo que además de ser el medio habi-tual de acceso de los atacantes, también son un buenlugar para obtener la información sin tener que acce-der a las fuentes de la misma. Por la red no solo cir-cula la información de ficheros informáticos comotal, también se transportan por ella: correo electró-nico, conversaciones telefónica (VoIP), mensajeríainstantánea, navegación Internet, lecturas y escritu-ras a bases de datos, etc. Por todo ello, proteger lared es una de las principales tareas para evitar robode información. Existen medidas que abarcan desdela seguridad física de los puntos de entrada hasta elcontrol de equipos conectados, por ejemplo 802.1x.En el caso de redes inalámbricas la posibilidad devulnerar la seguridad es mayor y deben adoptarsemedidas adicionales.

• Redes perimetrales de seguridad, o DMZ, permitengenerar reglas de acceso fuertes entre los usuariosy servidores no públicos y los equipos publicados.De esta forma, las reglas más débiles solo permitenel acceso a ciertos equipos y nunca a los datos, quequedarán tras dos niveles de seguridad.

• Tecnologías repelentes o protectoras: cortafuegos,sistema de detección de intrusos - antispyware,antivirus, llaves para protección de software, etc.

• Mantener los sistemas de información con las actua-lizaciones que más impacten en la seguridad.

• Copias de seguridad e, incluso, sistemas de respal-do remoto que permiten mantener la información endos ubicaciones de forma asíncrona.

• Controlar el acceso a la información por medio depermisos centralizados y mantenidos (tipo ActiveDirectory, LDAP, listas de control de acceso, etc.).Los medios para conseguirlo son:

• Restringir el acceso (de personas de la organizacióny de las que no lo son) a los programas y archivos.

• Asegurar que los operadores puedan tra-bajar pero que no puedan modificar losprogramas ni los archivos que no corres-pondan (sin una supervisión minuciosa).

6 CAPÍTULO 1. SEGURIDAD INFORMÁTICA

• Asegurar que se utilicen los datos, ar-chivos y programas correctos en/y/por elprocedimiento elegido.

• Asegurar que la información transmiti-da sea la misma que reciba el destinata-rio al cual se ha enviado y que no le lle-gue a otro. y que existan sistemas y pa-sos de emergencia alternativos de trans-misión entre diferentes puntos.

• Organizar a cada uno de los empleadospor jerarquía informática, con claves dis-tintas y permisos bien establecidos, en to-dos y cada uno de los sistemas o aplica-ciones empleadas.

• Actualizar constantemente las contrase-ñas de accesos a los sistemas de cómpu-to, como se ha indicado más arriba, e in-cluso utilizando programa que ayuden alos usuarios a la gestión de la gran canti-dad de contraseñas que tienen gestionaren los entornos actuales, conocidos habi-tualmente como gestores de identidad.

• Redundancia y descentralización.

1.6.1 Respaldo de información

La información constituye el activo más importante de lasempresas, pudiendo verse afectada por muchos factorestales como robos, incendios, fallas de disco, virus u otros.Desde el punto de vista de la empresa, uno de los proble-mas más importantes que debe resolver es la protecciónpermanente de su información crítica.La medida más eficiente para la protección de los datoses determinar una buena política de copias de seguridado backups. Este debe incluir copias de seguridad comple-ta (los datos son almacenados en su totalidad la primeravez) y copias de seguridad incrementales (solo se copianlos ficheros creados o modificados desde el último bac-kup). Es vital para las empresas elaborar un plan de bac-kup en función del volumen de información generada y lacantidad de equipos críticos.Un buen sistema de respaldo debe contar con ciertas ca-racterísticas indispensables:

• Continuo

El respaldo de datos debe ser completamenteautomático y continuo. Debe funcionar de for-ma transparente, sin intervenir en las tareas quese encuentra realizando el usuario.

• Seguro

Muchos softwares de respaldo incluyen cifradode datos, lo cual debe ser hecho localmente enel equipo antes del envío de la información.

• Remoto

Los datos deben quedar alojados en dependen-cias alejadas de la empresa.

• Mantenimiento de versiones anteriores de losdatos

Se debe contar con un sistema que permita larecuperación de, por ejemplo, versiones dia-rias, semanales y mensuales de los datos.

Hoy en día los sistemas de respaldo de información on-line, servicio de backup remoto, están ganando terrenoen las empresas y organismos gubernamentales. La ma-yoría de los sistemas modernos de respaldo de informa-ción online cuentan con las máximas medidas de seguri-dad y disponibilidad de datos. Estos sistemas permiten alas empresas crecer en volumen de información derivan-do la necesidad del crecimiento de la copia de respaldo aproveedor del servicio.

1.6.2 Protección contra virus

Los virus son uno de los medios más tradicionales de ata-que a los sistemas y a la información que sostienen. Parapoder evitar su contagio se deben vigilar los equipos y losmedios de acceso a ellos, principalmente la red.

Control del software instalado

Tener instalado en la máquina únicamente el softwarenecesario reduce riesgos. Así mismo tener controlado elsoftware asegura la calidad de la procedencia del mismo(el software obtenido de forma ilegal o sin garantías au-menta los riesgos). En todo caso un inventario de softwareproporciona un método correcto de asegurar la reinstala-ción en caso de desastre. El software con métodos de ins-talación rápidos facilita también la reinstalación en casode contingencia.

Control de la red

Los puntos de entrada en la red son generalmente el co-rreo, las páginas web y la entrada de ficheros desde discos,o de ordenadores ajenos, como portátiles.Mantener al máximo el número de recursos de red soloen modo lectura, impide que ordenadores infectados pro-paguen virus. En el mismo sentido se pueden reducir lospermisos de los usuarios al mínimo.Se pueden centralizar los datos de forma que detectoresde virus en modo batch puedan trabajar durante el tiempoinactivo de las máquinas.Controlar y monitorizar el acceso a Internet puede detec-tar, en fases de recuperación, cómo se ha introducido elvirus.

1.7. ALGUNAS AFIRMACIONES ERRÓNEAS COMUNES ACERCA DE LA SEGURIDAD 7

1.6.3 Protección física de acceso a las redes

Independientemente de las medidas que se adopten paraproteger los equipos de una red de área local y el softwareque reside en ellos, se deben tomar medidas que impidanque usuarios no autorizados puedan acceder. Las medidashabituales dependen del medio físico a proteger.A continuación se enumeran algunos de los métodos, sinentrar al tema de la protección de la red frente a ataqueso intentos de intrusión desde redes externas, tales comoInternet.

Redes cableadas

Las rosetas de conexión de los edificios deben estar prote-gidas y vigiladas. Una medida básica es evitar tener pun-tos de red conectados a los switches. Aun así siempre pue-de ser sustituido un equipo por otro no autorizado conlo que hacen falta medidas adicionales: norma de acceso802.1x, listas de control de acceso por MAC addresses,servidores de DHCP por asignación reservada, etc.

Redes inalámbricas

En este caso el control físico se hace más difícil, si bien sepueden tomar medidas de contención de la emisión elec-tromagnética para circunscribirla a aquellos lugares queconsideremos apropiados y seguros. Además se conside-ran medidas de calidad el uso del cifrado ( WPA, WPAv.2, uso de certificados digitales, etc.), contraseñas com-partidas y, también en este caso, los filtros de direccionesMAC, son varias de las medidas habituales que cuandose aplican conjuntamente aumentan la seguridad de for-ma considerable frente al uso de un único método.

1.6.4 Sanitización

Proceso lógico y/o físico mediante el cual se elimina in-formación considerada sensible o confidencial de un me-dio ya sea físico o magnético, ya sea con el objeto dedesclasificarlo, reutilizar el medio o destruir el medio enel cual se encuentra.

1.7 Algunas afirmaciones erróneascomunes acerca de la seguridad

• «Mi sistema no es importante para un hacker»

Esta afirmación se basa en la idea de que no introducircontraseñas seguras en una empresa no entraña riesgospues « ¿quién va a querer obtener información mía?».Sin embargo, dado que los métodos de contagio se rea-lizan por medio de programas automáticos, desde unas

máquinas a otras, estos no distinguen buenos de malos,interesantes de no interesantes, etc. Por tanto abrir siste-mas y dejarlos sin claves es facilitar la vida a los virus yde posibles atacantes. Otra consideración respecto a estaafirmación que la llevan a ser falsa es que muchos ataquesno tienen otro fin que el destruir por destruir sin evaluarla importancia.

• «Estoy protegido pues no abro archivos que noconozco»

Esto es falso, pues existen múltiples formas de contagio,además los programas realizan acciones sin la supervi-sión del usuario poniendo en riesgo los sistemas, si bienla medida es en sí acertada y recomendable.

• «Como tengo antivirus estoy protegido»

En general los programas antivirus no son capaces de de-tectar todas las posibles formas de contagio existentes, nilas nuevas que pudieran aparecer conforme los ordenado-res aumenten las capacidades de comunicación, ademáslos antivirus son vulnerables a desbordamientos de búferque hacen que la seguridad del sistema operativo se veamás afectada aún, aunque se considera como una de lasmedidas preventivas indispensable.

• «Como dispongo de un cortafuegos (firewall) nome contagio»

Esto únicamente proporciona una limitada capacidad derespuesta. Las formas de infectarse en una red son múlti-ples. Unas provienen directamente de accesos al sistema(de lo que protege un firewall) y otras de conexiones quese realizan (de las que no me protege). Emplear usuarioscon altos privilegios para realizar conexiones puede en-trañar riesgos, además los firewalls de aplicación (los másusados) no brindan protección suficiente contra técnicasde suplantación de identidad (spoofing). En todo caso, eluso de cortafuegos del equipo y de la red se consideranaltamente recomendables.

• «Tengo un servidor web cuyo sistema operativoes un Unix actualizado a la fecha y por tanto seguro»

Puede que esté protegido contra ataques directamente ha-cia el núcleo, pero si alguna de las aplicaciones web (PHP,Perl, Cpanel, etc.) está desactualizada, un ataque sobre al-gún script de dicha aplicación puede permitir que el ata-cante abra una shell y por ende ejecutar comandos en elunix. También hay que recordar que un sistema actuali-zado no está libre de vulnerabilidades sino que no se tieneninguna de las descubiertas hasta el momento.

8 CAPÍTULO 1. SEGURIDAD INFORMÁTICA

1.8 Organismos oficiales de seguri-dad informática

Existen organismos oficiales encargados de asegurar ser-vicios de prevención de riesgos y asistencia a los trata-mientos de incidencias, tales como el Computer Emer-gency Response Team Coordination Center[2] del Soft-ware Engineering Institute[3] de la Carnegie Mellon Uni-versity el cual es un centro de alerta y reacción frente a losataques informáticos, destinados a las empresas o admi-nistradores, pero generalmente estas informaciones sonaccesibles a todo el mundo.

1.8.1 España

El Instituto Nacional de Ciberseguridad (INCIBE) es unorganismo dependiente de Red.es y del Ministerio de In-dustria, Energía y Turismo de España.

1.8.2 Unión Europea

La Comisión Europea ha decidido crear el Centro Euro-peo de Ciberdelincuencia el EC3 abrió efectivamente el1 de enero de 2013 y será el punto central de la lucha dela UE contra la delincuencia cibernética , contribuyendoa una reacción más rápida a los delitos en línea. Se pres-tará apoyo a los Estados miembros y las instituciones dela UE en la construcción de una capacidad operacional yanalítico para la investigación , así como la cooperacióncon los socios internacionales .

1.8.3 Alemania

El 16 de junio de 2011, el ministro alemán del Interior,inauguró oficialmente el nuevo Centro Nacional de De-fensa Cibernética (NCAZ, o Nationales Cyber- Abwehr-zentrum) que se encuentra en Bonn. El NCAZ coopera es-trechamente con la Oficina Federal para la Seguridad dela Información (Bundesamt für Sicherheit in der Informa-tionstechnik, o BSI); la Oficina Federal de InvestigaciónCriminal (Bundeskriminalamt, BKA); el Servicio Federalde Inteligencia (Bundesnachrichtendienst, o BND); el Ser-vicio de Inteligencia Militar (Amt für den MilitärischenAbschirmdienst, o MAD) y otras organizaciones naciona-les en Alemania. Según el Ministro la tarea primordial dela nueva organización fundada el 23 de febrero de 2011,es detectar y prevenir los ataques contra la infraestructuranacional.

1.8.4 Estados Unidos

El 1 de julio de 2009, el senador Jay Rockefeller ( D -WV) introdujo la “Ley de Seguridad Cibernética de 2009 - S.773 " (texto completo ) en el Senado , el proyecto de ley,

co - escrito con los senadores Evan Bayh (D- IL), Barba-ra Mikulski (D -MD) , Bill Nelson (D -FL ) y OlympiaSnowe (R -ME ) , se remitió a la Comisión de Comercio,Ciencia y Transporte , que aprobó una versión revisadadel mismo proyecto de ley (el " Ley de ciberseguridadde 2010 ") el 24 de marzo de 2010. el proyecto de leybusca aumentar la colaboración entre el sector público yel sector privado en temas de ciberseguridad , en especiallas entidades privadas que poseen las infraestructuras queson fundamentales para los intereses de seguridad nacio-nales ( las comillas cuenta John Brennan, el Asistente delPresidente para la seguridad Nacional y Contraterroris-mo : " la seguridad de nuestra nación y la prosperidadeconómica depende de la seguridad, la estabilidad y laintegridad de las comunicaciones y la infraestructura deinformación que son en gran parte privados que operana nivel mundial " y habla de la respuesta del país a un“ciber - Katrina " .) , aumentar la conciencia pública so-bre las cuestiones de seguridad cibernética , y fomentarla investigación y la ciberseguridad fondo. Algunos de lospuntos más controvertidos del proyecto de ley incluyen elpárrafo 315 , que otorga al Presidente el derecho a " soli-citar la limitación o el cierre del tráfico de Internet haciay desde el Gobierno Federal comprometido o sistema deinformación de Estados Unidos o de las infraestructurascríticas de la red ". la Electronic Frontier Foundation ,una defensa de los derechos digitales sin fines de lucroy la organización legal con sede en los Estados Unidos ,que se caracteriza el proyecto de ley como la promociónde un " enfoque potencialmente peligrosa que favorece ladramática sobre la respuesta sobria " .

1.9 Véase también

1.10 Notas y referencias[1] Arcos S. (2011) Psicología aplicada a la seguridad infor-

mática M. Ribera Sancho Samsó

[2] CERT/CC

[3] SEI

1.11 Enlaces externos

Wikilibros

• Wikilibros alberga un libro o manual sobreSeguridad informática.

• Wikimedia Commons alberga contenido multi-media sobre Seguridad informática. Commons

• Seguridad informática en Open Directory Project.

Capítulo 2

Malware

El malware suele ser representado con símbolos de peligro o ad-vertencia de archivo malicioso.

El malware (del inglés malicious software), también lla-mado badware, código maligno, software malicioso osoftware malintencionado, es un tipo de software quetiene como objetivo infiltrarse o dañar una computadorao sistema de información sin el consentimiento de su pro-pietario. El término malware es muy utilizado por profe-sionales de la informática para referirse a una variedad desoftware hostil, intrusivo o molesto.[1] El término virusinformático suele aplicarse de forma incorrecta para re-ferirse a todos los tipos de malware, incluidos los virusverdaderos.El software se considera malware en función de losefectos que provoque en un computador. El términomalware incluye virus, gusanos, troyanos, la mayor par-te de los rootkits, scareware, spyware, adware intrusivo,crimeware y otros softwares maliciosos e indeseables.[2]

Malware no es lo mismo que software defectuoso; esteúltimo contiene bugs peligrosos, pero no de forma inten-cionada.Los resultados provisionales de Symantec publicados enel 2008 sugieren que «el ritmo al que se ponen en circu-lación códigos maliciosos y otros programas no deseados

podría haber superado al de las aplicaciones legítimas».[3]Según un reporte de F-Secure, «Se produjo tanto malwa-re en 2007 como en los 20 años anteriores juntos».[4]

Según Panda Security, durante los 12 meses del 2011 secrearon 73.000 nuevos ejemplares de amenazas informá-ticas por día, 10.000 más de la media registrada en to-do el año 2010. De éstas, el 73 por ciento fueron tro-yanos y crecieron de forma exponencial los del subtipodownloaders.[5][6]

2.1 Propósito

Trojan horses69.99%

Viruses 16.82%

Backdoor 1.89% Spyware 0.08%

Adware 2.27%

Worms 7.77%

Others 1.18%

March 16, 2011Malware by categories

Malware por categorías el 16 de marzo de 2011.

Algunos de los primeros programas infecciosos, inclui-do el Gusano Morris y algunos virus de MS-DOS, fueronelaborados como experimentos, como bromas o simple-mente como algo molesto, no para causar graves daños enlas computadoras. En algunos casos el programador no sedaba cuenta de cuánto daño podía hacer su creación. Al-gunos jóvenes que estaban aprendiendo sobre los viruslos crearon con el único propósito de demostrar que po-dían hacerlo o simplemente para ver con qué velocidad sepropagaban. Incluso en 1999 un virus tan extendido co-mo Melissa parecía haber sido elaborado tan sólo como

9

10 CAPÍTULO 2. MALWARE

una travesura.El software creado para causar daños o pérdida de datossuele estar relacionado con actos de vandalismo. Muchosvirus son diseñados para destruir archivos en disco duro opara corromper el sistema de archivos escribiendo datosinválidos. Algunos gusanos son diseñados para vandalizarpáginas web dejando escrito el alias del autor o del gru-po por todos los sitios por donde pasan. Estos gusanospueden parecer el equivalente informático del grafiti.Sin embargo, debido al aumento de usuarios de Internet,el software malicioso ha llegado a ser diseñado para sacarbeneficio de él, ya sea legal o ilegalmente. Desde 2003,la mayor parte de los virus y gusanos han sido diseña-dos para tomar control de computadoras para su explota-ción en el mercado negro. Estas computadoras infectadas“computadoras zombis” son usadas para el envío masivode spam por correo electrónico, para alojar datos ilega-les como pornografía infantil,[7] o para unirse en ataquesDDoS como forma de extorsión entre otras cosas.Hay muchos más tipos de malware producido con áni-mo de lucro, por ejemplo el spyware, el adware intrusi-vo y los hijacker tratan de mostrar publicidad no desea-da o redireccionar visitas hacia publicidad para benefi-cio del creador. Estos tipos de malware no se propagancomo los virus, generalmente son instalados aprovechán-dose de vulnerabilidades o junto con software legítimocomo aplicación informática P2P.

2.2 Malware infeccioso: virus y gu-sanos

Los tipos más conocidos de malware, virus y gusanos,se distinguen por la manera en que se propagan, más quepor otro comportamiento particular.[8]

El término virus informático se usa para designar un pro-grama que, al ejecutarse, se propaga infectando otrossoftwares ejecutables dentro de la misma computadora.Los virus también pueden tener un payload[9] que realiceotras acciones a menudo maliciosas, por ejemplo, borrararchivos. Por otra parte, un gusano es un programa quese transmite a sí mismo, explotando vulnerabilidades enuna red de computadoras para infectar otros equipos. Elprincipal objetivo es infectar a la mayor cantidad posi-ble de usuarios, y también puede contener instruccionesdañinas al igual que los virus.Nótese que un virus necesita de la intervención del usua-rio para propagarse mientras que un gusano se propagaautomáticamente. Teniendo en cuenta esta distinción, lasinfecciones transmitidas por correo electrónico o docu-mentos de Microsoft Word, que dependen de su aperturapor parte del destinatario para infectar su sistema, debe-rían ser clasificadas más como virus que como gusanos.

Código fuente del gusano Morris.

Virus de ping-pong.

2.3 Malware oculto: Backdooro Puerta trasera, Drive-byDownloads, Rootkits y Troya-nos

Para que un software malicioso pueda completar sus ob-jetivos, es esencial que permanezca oculto al usuario. Porejemplo, si un usuario experimentado detecta un progra-ma malicioso, terminaría el proceso y borraría el malwa-re antes de que este pudiera completar sus objetivos. Elocultamiento también puede ayudar a que el malware seinstale por primera vez en la computadora.

2.3. MALWAREOCULTO: BACKDOOROPUERTATRASERA,DRIVE-BYDOWNLOADS, ROOTKITS YTROYANOS 11

2.3.1 Puertas traseras o Backdoors

Un backdoor o puerta trasera es un método para elu-dir los procedimientos habituales de autenticación al co-nectarse a una computadora. Una vez que el sistema hasido comprometido (por uno de los anteriores métodos ode alguna otra forma), puede instalarse una puerta traserapara permitir un acceso remoto más fácil en el futuro. Laspuertas traseras también pueden instalarse previamente alsoftware malicioso para permitir la entrada de los atacan-tes.Los crackers suelen usar puertas traseras para asegurarel acceso remoto a una computadora, intentando perma-necer ocultos ante una posible inspección. Para instalarpuertas traseras los crackers pueden usar troyanos, gusa-nos u otros métodos.Se ha afirmado, cada vez con mayor frecuencia, que losfabricantes de ordenadores preinstalan puertas traseras ensus sistemas para facilitar soporte técnico a los clientes,pero no ha podido comprobarse con seguridad.[10]

Unmalware en Skype está siendo el problema reciente enla seguridad, debido a que a mayo del 2013, existían ya750mil afectados siendo el 67% en Latinoamérica. El có-digomalicioso afecta al equipo y se propaga entre los con-tactos a través de este mismo medio de comunicación.[11]

2.3.2 Drive-by Downloads

Google ha descubierto que una de cada 10 páginas webque han sido analizadas a profundidad puede contener losllamados drive by downloads, que son sitios que instalanspyware o códigos que dan información de los equipos sinque el usuario se percate. [12]

A estas acciones Niels Provos y otros colaboradores deGoogle Inc le denominaron, en un artículo, “El fantasmaen la computadora”[13] Por ello, se están realizando es-fuerzos para identificar las páginas que pudieran ser ma-liciosas.El término puede referirse a las descargas de algún tipode malware que se efectúa sin consentimiento del usuario,lo cual ocurre al visitar un sitio web, al revisar un mensajede correo electrónico o al entrar a una ventana pop-up, lacual puede mostrar un mensaje de error. Sin ser su ver-dadera intención, el usuario consiente la descarga de soft-ware indeseable o de malware, y estas vulnerabilidades seaprovechan.El proceso de ataque Drive-by Downloads se realiza demanera automática mediante herramientas que buscan enel sitio web alguna vulnerabilidad. Una vez encontrada,insertan un script malicioso dentro del código HTML delsitio violado. Cuando un usuario visita el sitio infectado,éste descargará dicho script en el sistema del usuario, ya continuación realizará una petición a un servidor HopPoint, donde se solicitarán nuevos scripts con exploits en-cargados de comprobar si el equipo tiene alguna vulnera-

bilidad que pueda ser explotada, intentando con ellas has-ta que tienen éxito, en cuyo caso se descargará un scriptque descarga el archivo ejecutable (malware) desde el ser-vidor.En la mayor parte de los navegadores se están agregandobloqueadores antiphishing y antimalware que contienenalertas que se muestran cuando se accede a una páginaweb dañada, aunque no siempre dan una total protección.

2.3.3 Rootkits

Las técnicas conocidas como rootkits modifican el sis-tema operativo de una computadora para permitir que elmalware permanezca oculto al usuario. Por ejemplo, losrootkits evitan que un proceso malicioso sea visible enla lista de procesos del sistema o que sus ficheros seanvisibles en el explorador de archivos. Este tipo de mo-dificaciones consiguen ocultar cualquier indicio de que elordenador esta infectado por un malware. Originalmente,un rootkit era un conjunto de herramientas instaladas porun atacante en un sistema Unix donde el atacante habíaobtenido acceso de administrador (acceso root). Actual-mente, el término es usado mas generalmente para refe-rirse a la ocultación de rutinas en un programa malicioso.Algunos programas maliciosos también contienen rutinaspara evitar ser borrados, no sólo para ocultarse. Un ejem-plo de este comportamiento puede ser:

“Existen dos procesos-fantasmas corriendo almismo tiempo. Cada proceso-fantasma debedetectar que el otro ha sido terminado y debeiniciar una nueva instancia de este en cuestiónde milisegundos. La única manera de eliminarambos procesos-fantasma es eliminarlos simul-táneamente, cosa muy difícil de realizar, o pro-vocar un error el sistema deliberadamente.” [14]

Uno de los rootkits más famosos fue el que la empre-sa Sony BMGMusic Entertainment. Secretamente inclu-yó, dentro de la protección anticopia de algunos CD demúsica, el software “Extended Copy Protection (XCP)y MediaMax CD-3”,[15] los cuales modificaban a Win-dows para que no lo pudiera detectar y también resultarindetectable por los programas anti-virus y anti-spyware.Actuaba enviando información sobre el cliente, ademásabrió la puerta a otros tipos de malware que pudieron in-filtrarse en las computadoras, además de que si se detec-taba, no podía ser eliminado, pues se dañaba el sistemaoperativo.Mikko Hypponen, jefe de investigación de la empresa deseguridad, F-Secure con sede en Finlandia, consideró aeste rootkit como uno de los momentos fundamentalesde la historia de los malware.[16]

12 CAPÍTULO 2. MALWARE

Captura de pantalla del Troyano “Beast”

2.3.4 Troyanos

El término troyano suele ser usado para designar a unmalware que permite la administración remota de unacomputadora, de forma oculta y sin el consentimiento desu propietario, por parte de un usuario no autorizado. Es-te tipo de malware es un híbrido entre un troyano y unapuerta trasera, no un troyano atendiendo a la definición.A grandes rasgos, los troyanos son programas malicio-sos que están disfrazados como algo inocuo o atractivoque invitan al usuario a ejecutarlo ocultando un softwaremalicioso. Ese software, puede tener un efecto inmedia-to y puede llevar muchas consecuencias indeseables, porejemplo, borrar los archivos del usuario o instalar másprogramas indeseables o maliciosos.Los tipos de troyanos son: backdoors, banker, botnets,dialer, dropper, downloaders, keylogger, password stea-ler, proxy.[17][18]

Los troyanos conocidos como droppers[19][20] son usadospara empezar la propagación de un gusano inyectándolodentro de la red local de un usuario.Una de las formas más comunes para distribuir spywarees mediante troyanos unidos a software deseable descar-gado de Internet. Cuando el usuario instala el softwareesperado, el spyware es puesto también. Los autores despyware que intentan actuar de manera legal pueden in-cluir unos términos de uso, en los que se explica de ma-nera imprecisa el comportamiento del spyware, que losusuarios aceptan sin leer o sin entender.

2.4 Malware para obtener benefi-cios

Durante los años 80 y 90, se solía dar por hecho que losprogramas maliciosos eran creados como una forma devandalismo o travesura. Sin embargo, en los últimos años

la mayor parte del malware ha sido creado con un fin eco-nómico o para obtener beneficios en algún sentido. Estoes debido a la decisión de los autores de malware de sa-car partido monetario a los sistemas infectados, es decir,transformar el control sobre los sistemas en una fuente deingresos.

2.4.1 Mostrar publicidad: Spyware, Ad-ware y Hijacking

Los programas spyware son creados para recopilar in-formación sobre las actividades realizadas por un usua-rio y distribuirla a agencias de publicidad u otrasorganizaciones interesadas. Algunos de los datos que re-cogen son las páginas web que visita el usuario y direc-ciones de correo electrónico, a las que después se envíaspam. La mayoría de los programas spyware son insta-lados como troyanos junto a software deseable bajadode Internet. Otros programas spyware recogen la infor-mación mediante cookies de terceros o barra de herra-mientas instaladas en navegadores web. Los autores despyware que intentan actuar de manera legal se presen-tan abiertamente como empresas de publicidad e incluyenunos términos de uso, en los que se explica de manera im-precisa el comportamiento del spyware, que los usuariosaceptan sin leer o sin entender.Por otra parte los programas adwaremuestran publicidadal usuario de forma intrusiva en forma de ventana emer-gente (pop-up) o de cualquier otra forma. Esta publici-dad aparece inesperadamente en el equipo y resulta muymolesta. Algunos programas shareware permiten usar elprograma de forma gratuita a cambio de mostrar publi-cidad, en este caso el usuario consiente la publicidad alinstalar el programa. Este tipo de adware no debería serconsiderado malware, pero muchas veces los términos deuso no son completamente transparentes y ocultan lo queel programa realmente hace.Los hijackers son programas que realizan cambios en laconfiguración del navegador web. Por ejemplo, algunoscambian la página de inicio del navegador por páginasweb de publicidad o página pornográfica, otros redirec-cionan los resultados de los buscadores hacia anunciosde pago o páginas de phishing bancario. El pharming esuna técnica que suplanta al DNS, modificando el archivohosts, para redirigir el dominio de una o varias páginasweb a otra página web, muchas veces una web falsa queimita a la verdadera. Esta es una de las técnicas usadaspor los hijackers o secuestradores del navegador de In-ternet. Esta técnica también puede ser usada con el obje-tivo de obtener credenciales y datos personales medianteel secuestro de una sesión.

2.4. MALWARE PARA OBTENER BENEFICIOS 13

Un ejemplo de cómo un hardware PS/2 keylogger está conectado.

2.4.2 Robar información personal: Key-loggers y Stealers

Cuando un software produce pérdidas económicas pa-ra el usuario de un equipo, también se clasifica comocrimeware[21] o software criminal, término dado por Pe-ter Cassidy para diferenciarlo de los otros tipos de soft-ware malicioso. Estos programas están encaminados alaspecto financiero, la suplantación de personalidad y elespionaje.Los keyloggers y los stealers son programas maliciososcreados para robar información sensible. El creador pue-de obtener beneficios económicos o de otro tipo a travésde su uso o distribución en comunidades underground.La principal diferencia entre ellos es la forma en la querecogen la información.Los keyloggers monitorizan todas las pulsaciones del te-clado y las almacenan para un posterior envío al creador.Por ejemplo al introducir un número de tarjeta de créditoel keylogger guarda el número, posteriormente lo envíaal autor del programa y este puede hacer pagos fraudu-lentos con esa tarjeta. Si las contraseñas se encuentranrecordadas en el equipo, de forma que el usuario no tieneque escribirlas, el keylogger no las recoge, eso lo hacenlos stealers. La mayoría los keyloggers son usados pararecopilar contraseñas de acceso pero también pueden serusados para espiar conversaciones de chat u otros fines.Los stealers también roban información privada pero so-lo la que se encuentra guardada en el equipo. Al ejecu-tarse comprueban los programas instalados en el equi-po y si tienen contraseñas recordadas, por ejemplo en losnavegadores web o en clientes de mensajería instantánea,descifran esa información y la envían al creador.

2.4.3 Realizar llamadas telefónicas: Dia-lers

Los dialers son programas maliciosos que toman el con-trol del módem dial-up, realizan una llamada a un númerode teléfono de tarificación especial, muchas veces inter-nacional, y dejan la línea abierta cargando el coste de di-cha llamada al usuario infectado. La forma más habitualde infección suele ser en páginas web que ofrecen con-tenidos gratuitos pero que solo permiten el acceso me-diante conexión telefónica. Suelen utilizar como señue-los videojuegos, salva pantallas, pornografía u otro tipode material.Actualmente la mayoría de las conexiones a Internet sonmediante ADSL y no mediante módem, lo cual hace quelos dialers ya no sean tan populares como en el pasado.

2.4.4 Ataques distribuidos: Botnets

Ciclo de spam(1): Sitio web de Spammers(2): Spammer(3): Spamware(4): equipos infectados(5): Virus o troyanos(6): Servidores de correo(7): Usuarios(8): Tráfico Web.

Las botnets son redes de computadoras infectadas, tam-bién llamadas “zombis”, que pueden ser controladas a lavez por un individuo y realizan distintas tareas. Este tipode redes son usadas para el envío masivo de spam o paralanzar ataques DDoS contra organizaciones como formade extorsión o para impedir su correcto funcionamiento.La ventaja que ofrece a los spammers el uso de ordena-dores infectados es el anonimato, que les protege de lapersecución policial.

14 CAPÍTULO 2. MALWARE

En una botnet cada computadora infectada por el malwa-re se loguea en un canal de IRC u otro sistema de chatdesde donde el atacante puede dar instrucciones a to-dos los sistemas infectados simultáneamente. Las botnetstambién pueden ser usadas para actualizar el malware enlos sistemas infectados manteniéndolos así resistentes an-te antivirus u otras medidas de seguridad.

2.4.5 Otros tipos: Rogue software y Ran-somware

Los rogue software hacen creer al usuario que la compu-tadora está infectada por algún tipo de virus u otro tipode software malicioso, esto induce al usuario a pagar porun software inútil o a instalar un software malicioso quesupuestamente elimina las infecciones, pero el usuario nonecesita ese software puesto que no está infectado.[22]

Los Ransomware

También llamados criptovirus o secuestradores, sonprogramas que cifran los archivos importantes para elusuario, haciéndolos inaccesibles, y piden que se pagueun “rescate” para poder recibir la contraseña que permiterecuperar los archivos.InfoSpyware reporta en su blog que a partir de mayo del2012, han existido 2 nuevas variantes del llamado “virusde la policía” ó “Virus Ukash”, que es producido por eltroyano Ransom.ab, que con el pretexto de que se entró apáginas de pornografía infantil, se les hace pagar una su-puesta multa para poder desbloquear sus equipos,[23] ac-tualmente también utilizando la propia cámara Web delequipo hacen unas supuestas tomas de vídeo que anexanen su banner de advertencia, para asustarlos más al ha-cerlos pensar que están siendo observado y filmado porla policía, siendo Rusia, Alemania, España y Brasil lospaíses más afectados ó la versión falsa del antivirus gra-tuito "Microsoft Security Essentials" que dice bloquear elequipo por seguridad y que para poder funcionar adecua-damente se ofrece un módulo especial que se tiene quepagar.[24]

La Brigada de Investigación Tecnológica de la PolicíaNacional de España, junto con Europol e Interpol, des-mantelaron en febrero del 2013, a la banda de piratas in-formáticos creadores del “Virus de la Policía”, responsa-bles de estafar alrededor de 1 millón de euros al año.[25]

A pesar de ello, han ido surgiendo nuevas versiones y va-riantes con características propias de unidades policialesde países de Latinoamérica, siendo los países afectadosArgentina, Bolivia, Ecuador, Uruguay y México, en esteúltimo saca la imagen de la desaparecida Policía FederalPreventiva.[26]

2.5 Grayware o greynet

Los términos grayware (o greyware) y graynet (o grey-net) (del inglés gray o grey, “gris”) suelen usarse paraclasificar aplicaciones o programas de cómputo que seinstalan sin la autorización del departamento de sistemasde una compañía; se comportan de modo tal que resul-tan molestos o indeseables para el usuario, pero son me-nos peligrosos que los malware. En este rubro se inclu-yen: adware, dialers, herramientas de acceso remoto, pro-gramas de bromas (Virus joke), programas para confe-rencias, programa de mensajería instantánea, spyware ycualesquiera otros archivos y programas no bienvenidosque no sean virus y que puedan llegar a dañar el fun-cionamiento de una computadora o de una red. El tér-mino grayware comenzó a utilizarse en septiembre del2004.[27][28][29][30]

2.6 Vulnerabilidades usadas por elmalware

Existen varios factores que hacen a un sistema más vulne-rable al malware: homogeneidad, errores de software,código sin confirmar, sobre-privilegios de usuario ysobre-privilegios de código.Una causa de la vulnerabilidad de redes, es la homo-geneidad del software multiusuario. Por ejemplo, cuan-do todos los ordenadores de una red funcionan con elmismo sistema operativo, si se puede comprometer esesistema, se podría afectar a cualquier ordenador que louse. En particular, Microsoft Windows[31]tiene la mayo-ría del mercado de los sistemas operativos, esto permitea los creadores de malware infectar una gran cantidad decomputadoras sin tener que adaptar el software maliciosoa diferentes sistemas operativos.La mayoría del software y de los sistemas operativos con-tienen bugs que pueden ser aprovechados por el malwa-re. Los ejemplos típicos son los desbordamiento de búfer(buffer overflow), en los cuales la estructura diseñada pa-ra almacenar datos en un área determinada de la memoriapermite que sea ocupada por más datos de los que le ca-ben, sobre escribiendo otras partes de la memoria. Estopuede ser utilizado por el malware para forzar al sistemaa ejecutar su código malicioso.Originalmente las computadoras tenían que ser booteadascon un disquete, y hasta hace poco tiempo era común quefuera el dispositivo de arranque por defecto. Esto signifi-caba que un disquete contaminado podía dañar la compu-tadora durante el arranque, e igual se aplica a CD y me-morias USB con la función AutoRun de Windows la queya ha sido modificada. Aunque eso es menos común aho-ra, sigue siendo posible olvidarse de que el equipo se ini-cia por defecto en un medio removible, y por seguridadnormalmente no debería haber ningún disquete, CD, etc.,al encender la computadora. Para solucionar este proble-

2.7. PROGRAMAS ANTI-MALWARE 15

Las memorias USB infectadas pueden dañar la computadora du-rante el arranque.

ma de seguridad basta con entrar en la BIOS del ordena-dor y cambiar el modo de arranque del ordenador.En algunos sistemas, los usuarios no administradores tie-nen sobre-privilegios por diseño, en el sentido que seles permite modificar las estructuras internas del siste-ma, porque se les han concedido privilegios inadecua-dos de administrador o equivalente. Esta es una de-cisión de la configuración por defecto, en los siste-mas de Microsoft Windows la configuración por defec-to es sobre-privilegiar al usuario. Esta situación es debi-da a decisiones tomadas por Microsoft para priorizar lacompatibilidad con viejos sistemas sobre la seguridad yporque las aplicaciones típicas fueron desarrollados sintener en cuenta a los usuarios no privilegiados. Como losexploits para escalar privilegios han aumentado, esta prio-ridad está cambiando para el lanzamiento de WindowsVista. Como resultado, muchas aplicaciones existentesque requieren excesos de privilegios pueden tener pro-blemas de compatibilidad con Windows Vista. Sin em-bargo, el control de cuentas de usuario (UAC en inglés)de Windows Vista intenta solucionar los problemas quetienen las aplicaciones no diseñadas para usuarios no pri-vilegiados a través de la virtualización, actuando comoapoyo para resolver el problema del acceso privilegiadoinherente en las aplicaciones heredadas.El malware, funcionando como código sobre-privilegiado, puede utilizar estos privilegios paramodificar el funcionamiento del sistema. Casi todoslos sistemas operativos populares y también muchasaplicaciones scripting permiten códigos con muchosprivilegios, generalmente en el sentido que cuando unusuario ejecuta el código, el sistema no limita ese códigoa los derechos del usuario. Esto hace a los usuarios vul-nerables al malware contenido en archivos adjuntos decorreos electrónicos, que pueden o no estar disfrazados.Dada esta situación, se advierte a los usuarios de queabran solamente archivos solicitados, y ser cuidadososcon archivos recibidos de fuentes desconocidas. Estambién común que los sistemas operativos sean dise-ñados de modo que reconozcan dispositivos de diversos

fabricantes y cuenten con drivers para estos hardwares,algunos de estos drivers pueden no ser muy confiables.

2.6.1 Eliminando código sobre-privilegiado

El código sobre-privilegiado se remonta a la época enla que la mayoría de programas eran entregados con lacomputadora. El sistema debería mantener perfiles deprivilegios y saber cuál aplicar según el usuario o progra-ma. Al instalar un nuevo software el administrador nece-sitaría establecer el perfil predeterminado para el nuevocódigo.Eliminar las vulnerabilidades en los drivers de dispositi-vos es probablemente más difícil que en los software eje-cutables. Una técnica, usada en VMS, que puede ayudares solo mapear en la memoria los registros de ese dispo-sitivo.Otras propuestas son:

• Varias formas de virtualización, permitiendo al có-digo acceso ilimitado pero solo a recursos virtuales.

• Varias formas de aislamiento de procesos tambiénconocido como sandbox.

• La virtualización a nivel de sistema operativo quees un método de abstracción del servidor en don-de el kernel del sistema operativo permite múltiplesinstancias de espacio de usuario llamadas contene-dores, VEs, SPV o jails, que pueden ser parecidas aun servidor real.

• Las funciones de seguridad de Java.

Tales propuestas, sin embargo, si no son completamenteintegradas con el sistema operativo, duplicarían el esfuer-zo y no serían universalmente aplicadas, esto sería perju-dicial para la seguridad.

2.7 Programas anti-malware

Como los ataques con malware son cada vez más frecuen-tes, el interés ha empezado a cambiar de protección fren-te a virus y spyware, a protección frente al malware, y losprogramas han sido específicamente desarrollados paracombatirlos.Los programas anti-malware pueden combatir el malwarede dos formas:

1. Proporcionando protección en tiempo real (real-time protection) contra la instalación de malware enuna computadora. El software anti-malware escaneatodos los datos procedentes de la red en busca demalware y bloquea todo lo que suponga una amena-za.

16 CAPÍTULO 2. MALWARE

2. Detectando y eliminando malware que ya ha sidoinstalado en una computadora. Este tipo de protec-ción frente al malware es normalmente mucho másfácil de usar y más popular.[32] Este tipo de progra-mas anti-malware escanean el contenido del registrode Windows, los archivos del sistema operativo, lamemoria y los programas instalados en la compu-tadora. Al terminar el escaneo muestran al usuariouna lista con todas las amenazas encontradas y per-miten escoger cuales eliminar.

La protección en tiempo real funciona idénticamente a laprotección de los antivirus: el software escanea los archi-vos al ser descargados de Internet y bloquea la actividadde los componentes identificados como malware. En al-gunos casos, también pueden interceptar intentos de eje-cutarse automáticamente al arrancar el sistema o modifi-caciones en el navegador web. Debido a quemuchas vecesel malware es instalado como resultado de exploits paraun navegador web o errores del usuario, usar un softwa-re de seguridad para proteger el navegador web puede seruna ayuda efectiva para restringir los daños que el malwa-re puede causar.

2.8 Métodos de protección

Siguiendo algunos sencillos consejos se puede aumentarconsiderablemente la seguridad de una computadora, al-gunos son:

Protección a través del número de cliente y la del generador declaves dinámicas

• Tener el sistema operativo y el navegador webactualizados.[33]

• Tener instalado un antivirus y un firewall y con-figurarlos para que se actualicen automáticamentede forma regular ya que cada día aparecen nuevasamenazas.[34]

• Utilizar una cuenta de usuario con privilegios limi-tados, la cuenta de administrador solo debe utilizar-se cuándo sea necesario cambiar la configuración oinstalar un nuevo software.

• Tener precaución al ejecutar software procedente deInternet o de medio extraíble como CD o memoriasUSB. Es importante asegurarse de que proceden dealgún sitio de confianza.

• Una recomendación en tablet, teléfono celular yotros dispositivos móviles es instalar aplicaciones detiendas muy reconocidas como App Store, GooglePlay o Nokia Store, pues esto garantiza que no ten-drán malware.[35]Existe además, la posibilidad deinstalar un antivirus para este tipo de dispositivos.

• Evitar descargar software de redes P2P, ya que real-mente no se sabe su contenido ni su procedencia.

• Desactivar la interpretación de Visual Basic Scripty permitir JavaScript, ActiveX y cookies sólo enpáginas web de confianza.

• Utilizar contraseñas de alta seguridad para evitarataques de diccionario.[36]

Es muy recomendable hacer copias de respaldo regular-mente de los documentos importantes a medios extraíblescomo CD, DVD o Disco duro externo, para poderlos re-cuperar en caso de infección por parte de algún malware,pero solamente si se esta 100% seguro que esas copiasestán limpias.Nota: El método de restauración de sistema de windows,podría restaurar también archivos infectados, que hayansido eliminados anteriormente por el antivirus, por tantoes necesario, desactivar ésta función antes de desinfectarel sistema, y posteriormente reactivarla.

2.9 Véase también• Antivirus

• Firewall

• Crimeware

• Heurística

• Malware en Linux

2.9.1 Compañías Antimalware

• Ad-Aware

• Avast!

• AVG

• Avira

• BitDefender

• ClamWin

• Dr. Web

2.10. REFERENCIAS 17

• ESET

• Fireeye

• HijackThis

• Iobit Malware Fighter

• Kaspersky

• Malwarebytes’ Anti-Malware

• McAfee

• Microsoft Security Essentials

• Norman

• Norton AntiVirus

• Panda Cloud Antivirus

• Panda Security

• Sokx Pro

• Spybot - Search & Destroy

• SpywareBlaster

• Symantec

• TrustPort

• Windows Defender

• Windows Live OneCare

• Winpooch

2.10 Referencias[1] Microsoft TechNet. «Defining Malware: FAQ» (en in-

glés).

[2] www.infospyware.com. «Tipos de malware».

[3] Symantec Corporation. «Symantec Internet Security Th-reat Report: Trends for July-December 2007 (ExecutiveSummary)» (en inglés).

[4] F-Secure Corporation. «F-Secure Reports Amount ofMalware Grew by 100% during 2007» (en inglés).

[5] Panda Labs. «La cantidad de malware creado aumenta en26% hasta llegar a más de 73,000 diarios». Consultado el21 de marzo de 2011.

[6] Panda Labs. «Informe anual Panda Labs Resumen 2011».Consultado el 16 de abril de 2012.

[7] PCWorld. «Zombie PCs: Silent, Growing Threat» (en in-glés).

[8] Von Neumann, John: “Theory of Self-Reproducing Auto-mata”, Part 1: Transcripts of lectures given at the Univer-sity of Illinois, Dec. 1949, Editor: A.W. Burks, Universityof Illinois, USA, (1966)

[9] ESET. «Tipos de malware y otras amenazas informáti-cas».

[10] Publicación diaria de MPA Consulting Group ® Dere-chos reservados © Copyright internacional 1997-2010.«Microsoft:"Windows Vista no tendrá puertas traseras"».

[11] El Universal .com, suplemento Tecnología. «suman 750mil afectados por virus en Skaype».

[12] Google. searches web’s dark side/ «BBC News» (en in-glés).

[13] Niels Provos. «The Ghost In The Browser, Analysis ofWeb-based Malware» (en inglés).

[14] Catb.org. «The Meaning of ‘Hack’» (en inglés).

[15] Bruce Schneier (Traducción al español por José M. Gó-mez). «El “rootkit” del DRM de Sony: la verdadera histo-ria (Sony’s DRM Rootkit: The Real Story)» (en español.).

[16] Bob Brown, NetworkWorld. «Sony BMG rootkit scandal:5 years later, Shocking rootkit revelation seen as “seminalmoment in malware history"» (en inglés).

[17] ESET. «Tipos de malware y otras amenazas informáti-cas».

[18] Kaspersky lab. «Programas troyanos (Caballos de Tro-ya)».

[19] Viruslist.com. «Droppers troyanos».

[20] Symantec Corporation. «Trojan.Dropper» (en inglés).

[21] ALEGSA. «Definición de Crimeware».

[22] InfoSpyware. «¿Qué es el Rogue Software o FakeAV?».

18 CAPÍTULO 2. MALWARE

[23] Marcelo Rivero. «Cronología del “virus de la Policía"».Consultado el 26 de abril de 2012.

[24] Marcelo Rivero. «Ransomware». Consultado el 23 deagosto de 2012.

[25] Luis Corrons. «Operation Ransom: Police Virus authorsarrested» (en inglés). Consultado el 14 de febrero de 2013.

[26] Marcelo Rivero, Microsoft MVP Enterprise Security -Founder & CEO to ForoSpyware & InfoSpyware. «El “vi-rus de la policía” Latinoamericano!». Consultado el 22 deabril de 2013.

[27] Definición de greyware en la Webopedia (en inglés)

[28] Sobre los riesgos del grayware (en inglés)

[29] Definición de graynet o greynet (en inglés)

[30] Definición de greyware (en inglés)

[31] Microsoft (14 de abril de 2009). «Documento informativosobre seguridad de Microsoft (951306), Una vulnerabili-dad en Windows podría permitir la elevación de privile-gios». Microsoft Tech Net.

[32] Fabián Romo:UNAM redes sociales. «10 sencillas formasde detectar el malware en la computadora».

[33] ESET Global LLC. «Mantenga su sistema operativo ac-tualizado».

[34] ESET Global LLC. «Consejos de Seguridad».

[35] DiarioTi.com,Año 14,Edición 3683. «Diez consejos paraun uso ciberseguro de los dispositivos móviles».

[36] Departamento de Seguridad en Computo/UNAM-CERT.«¿Cómo crear contraseñas seguras?».

Capítulo 3

Virus informático

Un virus informático es un malware que tiene por obje-tivo alterar el normal funcionamiento del ordenador, sinel permiso o el conocimiento del usuario. Los virus, habi-tualmente, reemplazan archivos ejecutables por otros in-fectados con el código de este. Los virus pueden destruir,de manera intencionada, los datos almacenados en unacomputadora, aunque también existen otros más inofen-sivos, que se caracterizan por ser molestos e inteligentes.Los virus informáticos tienen, básicamente, la función depropagarse a través de un software, son muy nocivos yalgunos contienen además una carga dañina (payload) condistintos objetivos, desde una simple broma hasta realizardaños importantes en los sistemas, o bloquear las redesinformáticas generando tráfico inútil.El funcionamiento de un virus informático es conceptual-mente simple. Se ejecuta un programa que está infectado,en la mayoría de las ocasiones, por desconocimiento delusuario. El código del virus queda residente (alojado) enla memoria RAM de la computadora, incluso cuando elprograma que lo contenía haya terminado de ejecutarse.El virus toma entonces el control de los servicios básicosdel sistema operativo, infectando, de manera posterior,archivos ejecutables que sean llamados para su ejecución.Finalmente se añade el código del virus al programa in-fectado y se graba en el disco, con lo cual el proceso dereplicado se completa.El primer virus atacó a una máquina IBM Serie 360 (yreconocido como tal). Fue llamado Creeper, creado en1972. Este programa emitía periódicamente en la pan-talla el mensaje: «I'm a creeper... catch me if you can!»(«¡Soy una enredadera... agárrame si puedes!»). Para eli-minar este problema se creó el primer programa antivirusdenominado Reaper (cortadora).Sin embargo, el término virus no se adoptaría hasta 1984,pero éstos ya existían desde antes. Sus inicios fueron enlos laboratorios de Bell Computers. Cuatro programado-res (H. Douglas Mellory, Robert Morris, Victor Vysot-tsky y Ken Thompson) desarrollaron un juego llamadoCore War, el cual consistía en ocupar toda la memoriaRAM del equipo contrario en el menor tiempo posible.Después de 1984, los virus han tenido una gran expan-sión, desde los que atacan los sectores de arranque dedisquetes hasta los que se adjuntan en un correo electró-

nico.

3.1 Virus informáticos y sistemasoperativos

Los virus informáticos afectan en mayor o menor medidaa casi todos los sistemas más conocidos y usados en laactualidad.Cabe aclarar que un virus informático mayoritariamenteatacará sólo el sistema operativo para el que fue desarro-llado, aunque ha habido algunos casos de virus multipla-taforma.

3.1.1 MS-Windows

Las mayores incidencias se dan en el sistema operativoWindows debido, entre otras causas, a:

• Su gran popularidad, como sistema operativo, entrelos computadores personales, PC. Se estima que, en2007, un 90 % de ellos usaba Windows.[cita requerida]Esta popularidad basada en la facilidad de uso sinconocimiento previo alguno, motiva a los creadoresde software malicioso a desarrollar nuevos virus; yasí, al atacar sus puntos débiles, aumentar el impactoque generan.

• Falta de seguridad en esta plataforma (situación a laque Microsoft está dando en los últimos años mayorprioridad e importancia que en el pasado). Al serun sistema tradicionalmente muy permisivo con lainstalación de programas ajenos a éste, sin requerirninguna autentificación por parte del usuario o pe-dirle algún permiso especial para ello en los sistemasmás antiguos. A partir de la inclusión del Control deCuentas de Usuario enWindows Vista y en adelante(y siempre y cuando no se desactive) se ha solucio-nado este problema, ya que se puede usar la confi-guración clásica de Linux de tener un usuario admi-nistrador protegido, pero a diario usar un Usuarioestándar sin permisos.

19

20 CAPÍTULO 3. VIRUS INFORMÁTICO

• Software como Internet Explorer y Outlook Ex-press, desarrollados por Microsoft e incluidos deforma predeterminada en las últimas versiones deWindows, son conocidos por ser vulnerables a losvirus ya que éstos aprovechan la ventaja de que di-chos programas están fuertemente integrados en elsistema operativo dando acceso completo, y prác-ticamente sin restricciones, a los archivos del sis-tema. Un ejemplo famoso de este tipo es el virusILOVEYOU, creado en el año 2000 y propagado através de Outlook.

• La escasa formación de un número importante deusuarios de este sistema, lo que provoca que no se to-men medidas preventivas por parte de estos, ya queeste sistema está dirigido de manera mayoritaria alos usuarios no expertos en informática. Esta situa-ción es aprovechada constantemente por los progra-madores de virus.

3.1.2 Unix y derivados

En otros sistemas operativos como las distribucionesGNU/Linux, BSD, OpenSolaris, Solaris, Mac OS X yotros basados en Unix las incidencias y ataques son prác-ticamente inexistentes. Esto se debe principalmente a:

• Los usuarios de este tipo de Sistemas Operativossuelen poseer conocimientos mucho mayores a losde los usuarios comunes de sistemas Windows porlo que están más alerta y saben mejor qué evitar yqué es seguro.

• Estos Sistemas Operativos cuentan con una cuota deuso mucho menor, por lo que son menos interesan-tes a la hora de llevar a cabo ataques de pishing osimilares cuyo principal objetivo es el de robar in-formación, por ejemplo para Data mining.

• Tradicionalmente los programadores y usuarios desistemas basados en Unix han considerado la segu-ridad como una prioridad por lo que hay mayoresmedidas frente a virus, tales como la necesidad deautenticación por parte del usuario como adminis-trador o root para poder instalar cualquier programaadicional al sistema.

• Los directorios o carpetas que contienen los archi-vos vitales del sistema operativo cuentan con per-misos especiales de acceso, por lo que no cualquierusuario o programa puede acceder fácilmente a ellospara modificarlos o borrarlos. Existe una jerarquíade permisos y accesos para los usuarios.

• Relacionado al punto anterior, a diferencia de losusuarios de Windows, la mayoría de los usuarios desistemas basados en Unix no pueden normalmenteiniciar sesiones como usuarios “administradores’ o

por el superusuario root, excepto para instalar o con-figurar software, dando como resultado que, inclusosi un usuario no administrador ejecuta un virus o al-gún software malicioso, éste no dañaría completa-mente el sistema operativo ya que Unix limita el en-torno de ejecución a un espacio o directorio reserva-do llamado comúnmente home. Aunque a partir deWindows Vista, se pueden configurar las cuentas deusuario de forma similar.

• Estos sistemas, a diferencia deWindows, son usadospara tareas más complejas como servidores que porlo general están fuertemente protegidos, razón quelos hace menos atractivos para un desarrollo de viruso software malicioso.

• En el caso particular de las distribuciones basadas enGNU/Linux y gracias al modelo colaborativo, las li-cencias libres y debido a que son más populares queotros sistemas Unix, la comunidad aporta constante-mente y en un lapso de tiempo muy corto actualiza-ciones que resuelven bugs y/o agujeros de seguridadque pudieran ser aprovechados por algún malware.

3.2 Características

Dado que una característica de los virus es el consumode recursos, los virus ocasionan problemas tales como:pérdida de productividad, cortes en los sistemas de infor-mación o daños a nivel de datos.Una de las características es la posibilidad que tienen dediseminarse por medio de replicas y copias. Las redes enla actualidad ayudan a dicha propagación cuando éstas notienen la seguridad adecuada.Otros daños que los virus producen a los sistemas infor-máticos son la pérdida de información, horas de paradaproductiva, tiempo de reinstalación, etc.Hay que tener en cuenta que cada virus plantea una situa-ción diferente.

3.3 Métodos de propagación

Existen dos grandes clases de contagio. En la primera, elusuario, en un momento dado, ejecuta o acepta de formainadvertida la instalación del virus. En la segunda, el pro-grama malicioso actúa replicándose a través de las redes.En este caso se habla de gusanos.En cualquiera de los dos casos, el sistema operativo in-fectado comienza a sufrir una serie de comportamientosanómalos o imprevistos. Dichos comportamientos pue-den dar una pista del problema y permitir la recuperacióndel mismo.Dentro de las contaminaciones más frecuentes por inter-acción del usuario están las siguientes:

3.5. TIPOS DE VIRUS 21

• Mensajes que ejecutan automáticamente programas(como el programa de correo que abre directamenteun archivo adjunto).

• Ingeniería social, mensajes como ejecute este progra-ma y gane un premio, o, más comúnmente: Haz 2clics y gana 2 tonos para móvil gratis..

• Entrada de información en discos de otros usuariosinfectados.

• Instalación de software modificado o de dudosa pro-cedencia.

En el sistema Windows puede darse el caso de que lacomputadora pueda infectarse sin ningún tipo de inter-vención del usuario (versiones Windows 2000, XP y Ser-ver 2003) por virus como Blaster, Sasser y sus variantespor el simple hecho de estar la máquina conectada a unared o a Internet. Este tipo de virus aprovechan una vulne-rabilidad de desbordamiento de buffer y puertos de redpara infiltrarse y contagiar el equipo, causar inestabili-dad en el sistema, mostrar mensajes de error, reenviarsea otras máquinas mediante la red local o Internet y has-ta reiniciar el sistema, entre otros daños. En las últimasversiones de Windows 2000, XP y Server 2003 se ha co-rregido este problema en su mayoría.

3.4 Métodos de protección

Los métodos para disminuir o reducir los riesgos asocia-dos a los virus pueden ser los denominados activos o pa-sivos.

3.4.1 Activos

• Antivirus: son programas que tratan de descubrir lastrazas que ha dejado un software malicioso, para de-tectarlo y eliminarlo, y en algunos casos contener oparar la contaminación. Tratan de tener controladoel sistema mientras funciona parando las vías cono-cidas de infección y notificando al usuario de posi-bles incidencias de seguridad. Por ejemplo, al verseque se crea un archivo llamado Win32.EXE.vbs enla carpeta C:\Windows\%System32%\ en segundoplano, ve que es comportamiento sospechoso, saltay avisa al usuario.

• Filtros de ficheros: consiste en generar filtros de fi-cheros dañinos si el computador está conectado auna red. Estos filtros pueden usarse, por ejemplo, enel sistema de correos o usando técnicas de firewall.En general, este sistema proporciona una seguridaddonde no se requiere la intervención del usuario,puede ser muy eficaz, y permitir emplear únicamen-te recursos de forma más selectiva.

3.4.2 Pasivos

• Evitar introducir a tu equipo medios de almacena-miento extraíbles que consideres que pudieran estarinfectados con algún virus.

• No instalar software “pirata”, pues puede tener du-dosa procedencia.

• No abrir mensajes provenientes de una direcciónelectrónica desconocida.

• No aceptar e-mails de desconocidos.

• Informarse y utilizar sistemas operativos más segu-ros.

• No abrir documentos sin asegurarnos del tipo de ar-chivo. Puede ser un ejecutable o incorporar macrosen su interior.

3.5 Tipos de virus

Existen diversos tipos de virus, varían según su función ola manera en que este se ejecuta en nuestra computadoraalterando la actividad de la misma, entre los más comunesestán:

• Troyano: Consiste en robar información o alterar elsistema del hardware o en un caso extremo permiteque un usuario externo pueda controlar el equipo.

• Gusano: Tiene la propiedad de duplicarse a sí mis-mo. Los gusanos utilizan las partes automáticas deun sistema operativo que generalmente son invisi-bles al usuario.

• Bombas lógicas o de tiempo: Son programas que seactivan al producirse un acontecimiento determina-do. La condición suele ser una fecha (Bombas deTiempo), una combinación de teclas, o ciertas con-diciones técnicas (Bombas Lógicas). Si no se pro-duce la condición permanece oculto al usuario.

• Hoax: Los hoax no son virus ni tienen capacidad dereproducirse por si solos. Son mensajes de conteni-do falso que incitan al usuario a hacer copias y en-viarla a sus contactos. Suelen apelar a los sentimien-tos morales (“Ayuda a un niño enfermo de cáncer”)o al espíritu de solidaridad (“Aviso de un nuevo vi-rus peligrosísimo”) y, en cualquier caso, tratan deaprovecharse de la falta de experiencia de los inter-nautas novatos.

• Joke: Al igual que los hoax, no son virus, pero sonmolestos, un ejemplo: una página pornográfica quese mueve de un lado a otro, y si se le llega a dara cerrar es posible que salga una ventana que diga:OMFG!! No se puede cerrar!.

22 CAPÍTULO 3. VIRUS INFORMÁTICO

Otros tipos por distintas características son los que se re-lacionan a continuación:

Virus residentes

La característica principal de estos virus es que se ocul-tan en la memoria RAM de forma permanente o residen-te. De este modo, pueden controlar e interceptar todaslas operaciones llevadas a cabo por el sistema operati-vo, infectando todos aquellos ficheros y/o programas quesean ejecutados, abiertos, cerrados, renombrados, copia-dos. Algunos ejemplos de este tipo de virus son: Randex,CMJ, Meve, MrKlunky.

Virus de acción directa

Al contrario que los residentes, estos virus no permane-cen en memoria. Por tanto, su objetivo prioritario es re-producirse y actuar en el mismo momento de ser ejecuta-dos. Al cumplirse una determinada condición, se activany buscan los ficheros ubicados dentro de su mismo direc-torio para contagiarlos.

Virus de sobreescritura

Estos virus se caracterizan por destruir la informacióncontenida en los ficheros que infectan. Cuando infectanun fichero, escriben dentro de su contenido, haciendo quequeden total o parcialmente inservibles.

Virus de boot (bot_kill) o de arranque

Los términos boot o sector de arranque hacen referenciaa una sección muy importante de un disco o unidad dealmacenamiento CD, DVD, memorias USB etc. En ellase guarda la información esencial sobre las característicasdel disco y se encuentra un programa que permite arran-car el ordenador. Este tipo de virus no infecta ficheros,sino los discos que los contienen. Actúan infectando enprimer lugar el sector de arranque de los dispositivos dealmacenamiento. Cuando un ordenador se pone en mar-cha con un dispositivo de almacenamiento, el virus deboot infectará a su vez el disco duro.Los virus de boot no pueden afectar al ordenador mien-tras no se intente poner en marcha a éste último con undisco infectado. Por tanto, el mejor modo de defender-se contra ellos es proteger los dispositivos de almacena-miento contra escritura y no arrancar nunca el ordenadorcon uno de estos dispositivos desconocido en el ordena-dor.Algunos ejemplos de este tipo de virus son: Polyboot.B,AntiEXE.

Virus de enlace o directorio

Los ficheros se ubican en determinadas direcciones (com-puestas básicamente por unidad de disco y directorio),que el sistema operativo conoce para poder localizarlos ytrabajar con ellos.Los virus de enlace o directorio alteran las direccionesque indican donde se almacenan los ficheros. De este mo-do, al intentar ejecutar un programa (fichero con exten-sión EXE o COM) infectado por un virus de enlace, loque se hace en realidad es ejecutar el virus, ya que éstehabrá modificado la dirección donde se encontraba origi-nalmente el programa, colocándose en su lugar.Una vez producida la infección, resulta imposible locali-zar y trabajar con los ficheros originales.

Virus cifrados

Más que un tipo de virus, se trata de una técnica utiliza-da por algunos de ellos, que a su vez pueden pertenecera otras clasificaciones. Estos virus se cifran a sí mismospara no ser detectados por los programas antivirus. Pararealizar sus actividades, el virus se descifra a sí mismo y,cuando ha finalizado, se vuelve a cifrar.

Virus polimórficos

Son virus que en cada infección que realizan se cifran deuna forma distinta (utilizando diferentes algoritmos y cla-ves de cifrado). De esta forma, generan una elevada can-tidad de copias de sí mismos e impiden que los antiviruslos localicen a través de la búsqueda de cadenas o firmas,por lo que suelen ser los virus más costosos de detectar.

Virus multipartites

Virus muy avanzados, que pueden realizar múltiples in-fecciones, combinando diferentes técnicas para ello. Suobjetivo es cualquier elemento que pueda ser infectado:archivos, programas, macros, discos, etc.

Virus del fichero

Infectan programas o ficheros ejecutables (ficheros conextensiones EXE y COM). Al ejecutarse el programa in-fectado, el virus se activa, produciendo diferentes efectos.

Virus de FAT

La tabla de asignación de ficheros o FAT (del inglés FileAllocation Table) es la sección de un disco utilizada paraenlazar la información contenida en éste. Se trata de unelemento fundamental en el sistema. Los virus que ata-can a este elemento son especialmente peligrosos, ya queimpedirán el acceso a ciertas partes del disco, donde sealmacenan los ficheros críticos para el normal funciona-miento del ordenador.

3.8. ENLACES EXTERNOS 23

3.6 Acciones de los virus

Algunas de las acciones de algunos virus son:

• Unirse a un programa instalado en el computadorpermitiendo su propagación.

• Mostrar en la pantalla mensajes o imágenes humo-rísticas, generalmente molestas.

• Ralentizar o bloquear el computador.

• Destruir la información almacenada en el disco, enalgunos casos vital para el sistema, que impedirá elfuncionamiento del equipo.

• Reducir el espacio en el disco.

• Molestar al usuario cerrando ventanas, moviendo elratón...

3.7 Véase también

3.8 Enlaces externos

• Wikimedia Commons alberga contenido multi-media sobre Virus informático. Commons

• Centro de Respuesta a Incidentes de Seguridad(INTECO-CERT) del Gobierno de España - Virusy el software malicioso

• Antivirus en Open Directory Project

• Linux y virus, no sólo cuestión de popularidad enKriptópolis.

• Enciclopedia de virus informáticos

Capítulo 4

Antivirus

En informática los antivirus son programas cuyo obje-tivo es detectar o eliminar virus informáticos. Nacierondurante la década de 1980. Con el transcurso del tiem-po, la aparición de sistemas operativos más avanzadose internet, ha hecho que los antivirus hayan evoluciona-do hacia programas más avanzados que no sólo buscandetectar virus informáticos, sino bloquearlos, desinfectararchivos y prevenir una infección de los mismos. Actual-mente son capaces de reconocer otros tipos de malware,como spyware, gusanos, troyanos, rootkits, etc.

4.1 Métodos de contagio

Existen dos grandes grupos de propagación: los virus cu-ya instalación el usuario, en un momento dado, ejecuta oacepta de forma inadvertida; y los gusanos, con los queel programa malicioso actúa replicándose a través de lasredes.En cualquiera de los dos casos, el sistema operativo in-fectado comienza a sufrir una serie de comportamientosanómalos o no previstos. Dichos comportamientos sonlos que dan la traza del problema y tienen que permitirla recuperación del mismo.Dentro de las contaminaciones más frecuentes por inter-acción del usuario están las siguientes:

• Mensajes que ejecutan automáticamente programas,como el programa de correo que abre directamenteun archivo adjunto.

• Ingeniería social, mensajes como «Ejecute este pro-grama y gane un premio».

• Entrada de información en discos de otros usuariosinfectados.

• Instalación de software que pueda contener uno ovarios programas maliciosos.

• A través de unidades extraíbles de almacenamiento,como memorias USB.

4.2 Seguridad ymétodos de protec-ción

Losmétodos para contener o reducir los riesgos asociadosa los virus pueden ser los denominados activos o pasivos.

4.2.1 Tipos de antivirus

• Sólo detección: son vacunas que sólo actualizan ar-chivos infectados, sin embargo, no pueden eliminar-los o desinfectarlos.

• Detección y desinfección: son vacunas que detectanarchivos infectados y que pueden desinfectarlos.

• Detección y aborto de la acción: son vacunas quedetectan archivos infectados y detienen las accionesque causa el virus.

• Comparación por firmas: son vacunas que compa-ran las firmas de archivos sospechosos para saber siestán infectados.

• Comparación de firmas de archivo: son vacunasque comparan las firmas de los atributos guardadosen tu equipo.

• Por métodos heurísticos: son vacunas que usanmétodos heurísticos para comparar archivos.

• Invocado por el usuario: son vacunas que se acti-van instantáneamente con el usuario.

• Invocado por la actividad del sistema: son vacu-nas que se activan instantáneamente por la actividaddel sistema operativo.

4.2.2 Copias de seguridad (pasivo)

Mantener una política de copias de seguridad garantiza larecuperación de los datos y la respuesta cuando nada delo anterior ha funcionado.Asimismo, las empresas deberían disponer de un plan ydetalle de todo el software instalado para tener un plan decontingencia en caso de problemas.

24

4.3. PLANIFICACIÓN 25

4.3 Planificación

La planificación consiste en tener preparado un plan decontingencia en caso de que una emergencia de virus seproduzca, así como disponer al personal de la formaciónadecuada para reducir al máximo las acciones que puedanpresentar cualquier tipo de riesgo. Cada antivirus puedeplanear la defensa de una manera, es decir, un antiviruspuede hacer un escaneado completo, rápido o de vulne-rabilidad según elija el usuario.

4.3.1 Consideraciones de software

El software es otro de los elementos clave en la parte deplanificación. Se debería tener en cuenta la siguiente listade comprobaciones para tu seguridad:

1. Tener el software indispensable para el funciona-miento de la actividad, nunca menos pero tampocomás. Tener controlado al personal en cuanto a la ins-talación de software es una medida que va implíci-ta. Asimismo, tener controlado el software asegurala calidad de la procedencia del mismo (no deberíapermitirse software pirata o sin garantías). En todocaso un inventario de software proporciona un mé-todo correcto de asegurar la reinstalación en caso dedesastre.

2. Disponer del software de seguridad adecuado. Cadaactividad, forma de trabajo y métodos de conexióna Internet requieren una medida diferente de aproxi-mación al problema. En general, las soluciones do-mésticas, donde únicamente hay un equipo expues-to, no son las mismas que las soluciones empresa-riales.

3. Métodos de instalación rápidos. Para permitir la re-instalación rápida en caso de contingencia.

4. Asegurar licencias. Determinados softwares impo-nen métodos de instalación de una vez, que dificul-tan la reinstalación rápida de la red. Dichos progra-mas no siempre tienen alternativas pero ha de bus-carse con el fabricante métodos rápidos de instala-ción.

5. Buscar alternativas más seguras. Existe software quees famoso por la cantidad de agujeros de seguridadque introduce. Es imprescindible conocer si se pue-de encontrar una alternativa que proporcione igualesfuncionalidades pero permitiendo una seguridad ex-tra.

4.3.2 Consideraciones de la red

Disponer de una visión clara del funcionamiento de la redpermite poner puntos de verificación de filtrado y detec-ción ahí donde la incidencia es más claramente identifi-

cable. Sin perder de vista otros puntos de acción es con-veniente:

1. Mantener al máximo el número de recursos de reden modo de sólo lectura. De esta forma se impideque computadoras infectadas los propaguen.

2. Centralizar los datos. De forma que detectores devirus en modo batch puedan trabajar durante la no-che.

3. Realizar filtrados de firewall de red. Eliminar losprogramas que comparten datos, como pueden serlos P2P; Mantener esta política de forma rigurosa,y con el consentimiento de la gerencia.

4. Reducir los permisos de los usuarios al mínimo, demodo que sólo permitan el trabajo diario.

5. Controlar y monitorizar el acceso a Internet. Parapoder detectar en fases de recuperación cómo se haintroducido el virus, y así determinar los pasos a se-guir.

4.3.3 Formación del usuario

Esta es la primera barrera de protección de la red.

4.3.4 Antivirus

Es conveniente disponer de una licencia activa de anti-virus. Dicha licencia se empleará para la generación dediscos de recuperación y emergencia. Sin embargo, no serecomienda en una red el uso continuo de antivirus.El motivo radica en la cantidad de recursos que dichosprogramas obtienen del sistema, reduciendo el valor delas inversiones en hardware realizadas. Aunque si los re-cursos son suficientes, este extra de seguridad puede sermuy útil.Sin embargo, los filtros de correos con detectores de virusson imprescindibles, ya que de esta forma se aseguraráuna reducción importante de elecciones de usuarios noentrenados que pueden poner en riesgo la red.

4.3.5 Firewalls

Filtrar contenidos y puntos de acceso. Eliminar progra-mas que no estén relacionados con la actividad. Tenermonitorizado los accesos de los usuarios a la red, permi-te asimismo reducir la instalación de software que no esnecesario o que puede generar riesgo para la continuidaddel negocio. Su significado es barrera de fuego y no per-mite que otra persona no autorizada tenga acceso desdeotro equipo al tuyo.

26 CAPÍTULO 4. ANTIVIRUS

4.3.6 Reemplazo de software

Los puntos de entrada en la red la mayoría de las vecesson el correo, las páginas web, y la entrada de ficherosdesde discos, o de computadoras ajenas a la empresa.Muchas de estas computadoras emplean programas quepueden ser reemplazados por alternativas más seguras.Es conveniente llevar un seguimiento de cómo distribuyenbancos, y externos el software, valorar su utilidad.

4.3.7 Centralización y backup

La centralización de recursos y garantizar el backup de losdatos es otra de las pautas fundamentales en la política deseguridad recomendada.La generación de inventarios de software, centralizacióndel mismo y la capacidad de generar instalaciones rápidasproporcionan métodos adicionales de seguridad.Es importante tener localizado dónde se sitúa la informa-ción en la empresa. De esta forma podemos realizar lascopias de seguridad de forma adecuada.Control o separación de la informática móvil, dado queesta está más expuesta a las contingencias de virus.

4.3.8 Empleo de sistemas operativos másseguros

Para servir ficheros no es conveniente disponer de losmismos sistemas operativos que se emplean dentro de lasestaciones de trabajo, ya que toda la red en este caso estáexpuesta a los mismos retos. Una forma de prevenir pro-blemas es disponer de sistemas operativos con arquitec-turas diferentes, que permitan garantizar la continuidadde negocio.

4.3.9 Temas acerca de la seguridad

Existen ideas instaladas por parte de las empresas de an-tivirus parte en la cultura popular que no ayudan a man-tener la seguridad de los sistemas de información.

• Mi sistema no es importante para un cracker.Este tema se basa en la idea de que no introducirpasswords seguras en una empresa no entraña ries-gos pues «¿Quién va a querer obtener informaciónmía?» Sin embargo, dado que los métodos de con-tagio se realizan por medio de programas automá-ticos, desde unas máquinas a otras, estos no distin-guen buenos de malos, interesantes de no interesan-tes. Por tanto abrir sistemas y dejarlos sin claves esfacilitar la vida a los virus.

• Estoy protegido pues no abro archivos que no co-nozco. Esto es falso, pues existen múltiples formas

de contagio, además los programas realizan accio-nes sin la supervisión del usuario poniendo en riesgolos sistemas.

• Como tengo antivirus estoy protegido. Única-mente estoy protegido mientras el antivirus sepa alo que se enfrenta y como combatirlo. En general losprogramas antivirus no son capaces de detectar to-das las posibles formas de contagio existentes, ni lasnuevas que pudieran aparecer conforme las compu-tadoras aumenten las capacidades de comunicación.

• Como dispongo de un firewall no me contagio.Esto únicamente proporciona una limitada capaci-dad de respuesta. Las formas de infectarse en unared son múltiples. Unas provienen directamente deaccesos a mi sistema (de lo que protege un firewall)y otras de conexiones que realizó (de las que no meprotege). Emplear usuarios con altos privilegios pa-ra realizar conexiones tampoco ayuda.

• Tengo un servidor web cuyo sistema operativo esun UNIX actualizado a la fecha. Puede que esteprotegido contra ataques directamente hacia el nú-cleo, pero si alguna de las aplicaciones web (PHP,Perl, Cpanel, etc.) está desactualizada, un ataque so-bre algún script de dicha aplicación puede permitirque el atacante abra una shell y por ende ejecutarcomandos en el UNIX.

4.4 Sistemas operativos más ataca-dos

Las plataformas más atacadas por virus informáticosson la línea de sistemas operativos Windows de Micro-soft. Respecto a los sistemas derivados de Unix comoGNU/Linux, BSD, Solaris, Mac OS X, estos han corri-do con mayor suerte debido en parte al sistema de per-misos. No obstante en las plataformas derivadas de Unixhan existido algunos intentos que más que presentarse co-mo amenazas reales no han logrado el grado de daño quecausa un virus en plataformas Windows.

4.4.1 Plataformas Unix, inmunes a los vi-rus de Windows

Un virus informático sólo atacará la plataforma para laque fue desarrollado.

4.5 Véase también• Lista de software antivirus

• Heurística en antivirus

4.7. ENLACES EXTERNOS 27

• Antispyware

• Aislamiento de procesos (informática)

• CARO

• EICAR

4.6 Referencias

4.7 Enlaces externos• Microsoft: Ayuda y soporte técnico - Lista de pro-veedores de software antivirus

• Centro de Respuesta a Incidentes de Seguridad (In-formación actualizada sobre todas las amenazas quecirculan por la red) del Gobierno de España - Soft-ware antivirus

28 CAPÍTULO 4. ANTIVIRUS

4.8 Texto e imágenes de origen, colaboradores y licencias

4.8.1 Texto• Seguridad informática Fuente: https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica?oldid=82958820 Colaboradores: Ema-ri~eswiki, Soniautn, JorgeGG, InfoAudit, Sanbec, Zwobot, Dodo, Sms, Tostadora, Tano4595, NathyMig, Cinabrium, Fmariluis, Loco085,Iescriva, Kordas, Edupedro, Renabot, Deleatur, Pchamorro, Airunp, Edub, Emijrp, Rembiapo pohyiete (bot), Magister Mathematicae,OMenda, Orgullobot~eswiki, RobotQuistnix, Thr41N, Platonides, Alhen, H4l9k, Superzerocool, Inu~eswiki, Caiserbot, Yrbot, Amadís,Baifito, Seanver, Oscar ., Adrruiz, Maleiva, Vitamine, Oscarif, Mortadelo2005, GermanX, Crisborghe, LoquBot, The Photographer, Ti-gerfenix, Santiperez, MIGUEL OJEDA, HECTOR ARTURO AZUZ SANCHEZ, Banfield, Er Komandante, Ciencia Al Poder, Chlewbot,Tomatejc, Uncorreotemporal, Nihilo, Cad, BOTpolicia, RamonVeres, Daniel121, JEDIKNIGHT1970, CEM-bot, Gabriel Acquistapace,333, Laura Fiorucci, -jem-, Alexav8, Gerval, Retama, Baiji, Roberpl, Gafotas, Montgomery, FrancoGG, Thijs!bot, Draugmor, Srengel,Cansado, Yeza, RoyFocker, Alakasam, Cratón, Isha, Egaida, Bernard, Arcibel, Mpeinadopa, Jurgens~eswiki, JAnDbot, Jugones55, Man-soncc, Death Master, Aosoriod, Sarampión, Ing.armandolopez, Muro de Aguas, Iulius1973, TXiKiBoT, Humberto, Netito777, BrWri-ter2~eswiki, Mjsoto, Sausaf, NaSz, Fixertool, Chabbot, Seguridad informática, Pólux, Rogeliowar, BL, Jmvkrecords, P kos, Pitlik, Vanes-saalexandra, Bucephala, AchedDamiman, Cinevoro, VolkovBot, Snakeyes, Technopat, Galandil, Queninosta, Montejo, Matdrodes, Elabrasanchez, House, DJ Nietzsche, BlackBeast, Lucien leGrey, Luis1970, Muro Bot, Javiergtz, Mushii, Rimac, BOTarate, Gustavodiazjaimes,Mel 23, OboeCrack, Manwë, Nubecosmica, Magrox, Greek, PipepBot, Ivanics, Héctor Guido Calvo, Tirithel, Javierito92, HUB, Nicop,Aikurn, DragonBot, McMalamute, Giannii, Eduardosalg, Leonpolanco, Pan con queso, Ricardo abarca, Botito777, Petruss, Cybermeis, Po-co a poco, Demex, BodhisattvaBot, Osado, UA31, SergioN, AVBOT, David0811, TheDarkFear, Agox, Angel GN, Vituzzu, Diegusjaimes,Rodri cyberdog, Arjuno3, Jmquintas1973, Andreasmperu, Luckas-bot, Centroamericano, Nallimbot, Roinpa, Romz, Bk26, Fmartagong,ArthurBot, M3thod.mdf, Laozmdq, Gromerol, SuperBraulio13, Xqbot, Simeón el Loco, Jkbw, Irbian, Cxocommunity, Ricardogpn, Ren-natot, Romel.rivas, Alex299006, Botarel, B3rN9, BOTirithel, Hprmedina, Halfdrag, RedBot, Kizar, KrumVik, JUANCARLOSMTZT,JoanCalderón, Jihernandez, Leugim1972, Urruedelp, PatruBOT, H3dicho, Fran89, Manuchansu, Tarawa1943, Nachosan, Rafa2386, Eds-lov, EmausBot, Savh, ZéroBot, Internetsinacoso, Intecocert, Rubpe19, Mecamático, ChuispastonBot, MadriCR, Waka Waka, K-F.U.N2, Luis 414, Jramio, Lotje, Palissy, ILoveSugar, Antonorsi, MerlIwBot, Santi1212, Renly, Damianiencowiki, Travelour, Ginés90, Metro-Bot, Lucifer8k, Acorletti, Allan Aguilar, Gusama Romero, MarcosJHofer, Rodriguemus, Aziku, Acratta, LlamaAl, Asqueladd, Neburor,Helmy oved, Makecat-bot, YaiElSa, Tsunderebot, CEVICAS, Syum90, Omarngo, Sergio Mendez Galindo, Nayeli.Inteli, MaKiNeoH, Bee-socialmx, Lejocum, WebResearcher!, Addbot, Mettallzoar, Balles2601, Curredsoc, Ferdol123, Juanepomucenux, ElsaMaile, IrvingCarR,Karlacastro.kvcm, Jarould, Baltazarmarquez, Bananoff, Paquitodrogon, Nereagernekua, Euphotoshop, Susanazv, Raquel apastegui, Eariz-rod y Anónimos: 685

• Malware Fuente: https://es.wikipedia.org/wiki/Malware?oldid=83366944 Colaboradores: Lourdes Cardenal, Vanbasten 23, Paz.ar, Do-do, Sms, Elwikipedista, Galio, Schummy, Alarga, Z80user, Edupedro, Renabot, Raas, Petronas, Airunp, Edub, Aadrover, Further (bot),RobotQuistnix, Platonides, Alhen, H4l9k, Chobot, Yrbot, Amadís, YurikBot, GermanX, Gaijin, Gothmog, Kazem, Tigerfenix, Banfield,Fravia, Ignacios, Tempere, Ciencia Al Poder, Tomatejc, Aguilasainz, Paintman, Jago84, BOTpolicia, Qwertyytrewqqwerty, CEM-bot, Lau-ra Fiorucci, Maxtermind, Josergc, -jem-, Alexav8, Mrtn z, Retama, Baiji, IvanStepaniuk, Rastrojo, Antur, Martínhache, CF, FrancoGG,Thijs!bot, Gpastor, Jorgebarrios, Bot que revierte, RoyFocker, Patriciadedo, Isha, Gragry, MSBOT, Mpeinadopa, Doreano, JAnDbot,Kved, Mansoncc, EGFerreiro, Death Master, Satin, Lobizon, BetBot~eswiki, Muro de Aguas, CommonsDelinker, TXiKiBoT, Netito777,Ale flashero, Rei-bot, Pokefan SPD, Nioger, Pólux, AchedDamiman, Almupeta, AlnoktaBOT, Cinevoro, VolkovBot, Snakeyes, Techno-pat, Galandil, Queninosta, Balamacab, Matdrodes, BlackBeast, Lucien leGrey, Muro Bot, Edmenb, Holalola, Corydora, SieBot, PaintBot,Loveless, Macarrones, Obelix83, Conejjo22, BOTarate, Totoclasta, Correogsk, Greek, Chico512, Tirithel, FRuBeNZ, Mutari, Javieri-to92, HUB, MetsBot~eswiki, StarBOT, Antón Francho, Kikobot, Pctek, JOKblogger, Eduardosalg, Veon, Leonpolanco, Pan con queso,Alecs.bot, Darkicebot, Valentin estevanez navarro, BodhisattvaBot, Ravave, Ernesto23, SilvonenBot, Camilo, Shalbat, Ente X, AVBOT,Mememax, LucienBOT, Volnig, Colin25, Diegusjaimes, Linfocito B, Arjuno3, Andreasmperu, Luckas-bot, No.faking.time, Ptbotgourou,Jotterbot, GRamirezC, CayoMarcio, ArthurBot, SuperBraulio13, Almabot, Xqbot, Jkbw, SassoBot, Rubinbot, Plasmoid, FrescoBot, King-powl, Botarel, D'ohBot, Yabama, TiriBOT, MAfotBOT, Hprmedina, TobeBot, Raytown, RedBot, Kizar, Cmiram, Fitoschido, Wmarin,PatruBOT, Gomgc, Dinamik-bot, ShenHatarNoe, Ripchip Bot, Tarawa1943, Dark Bane, Jorge c2010, Foundling, Wikiléptico, Edslov,EmausBot, Savh, AVIADOR, ChessBOT, Internetsinacoso, J. A. Gélvez, Grillitus, JackieBot, KLBot, MKernel, Rubpe19, WikitanvirBot,Lcampospousa, ILoveSugar, MerlIwBot, KLBot2, TeleMania, VR0, Vagobot, Deivis, MetroBot, Invadibot, Santyago0805, WikiCesar-Pro, Allan Aguilar, Espectrus95, Érico Júnior Wouters, Elvisor, Creosota, Santga, Helmy oved, HeMaCh, EduLeo, Totemkin, Addbot,Joaquin2020, Balles2601, Pachangola, Wilovisu, JuanDelOlmo, Juanito Bananas 19, TheGSGgamer, Soufianmoro18, Jarould, Crystalli-zedcarbon, BenjaBot, Adolfi15 y Anónimos: 340

• Virus informático Fuente: https://es.wikipedia.org/wiki/Virus_inform%C3%A1tico?oldid=83353275 Colaboradores: Brion VIBBER,Macar~eswiki, Joseaperez, Sabbut, Moriel, Abgenis, JorgeGG, Pilaf, Lourdes Cardenal, Hashar, Sanbec, Zwobot, Comae, Aloriel, In-terwiki, Ejmeza, Triku, Ascánder, Sms, Jondel, Tano4595, Murphy era un optimista, Cinabrium, Fmariluis, Arrt-932, Quesada, ManuP,Txuspe, Edupedro, Richy, FAR, Soulreaper, Petronas, Airunp, JMPerez, Edub, Taichi, Emijrp, Rembiapo pohyiete (bot), Magister Mat-hematicae, Josemanib, RobotQuistnix, Platonides, Alhen, Superzerocool, Chobot, Yrbot, Amadís, Nemo, Oscar ., FlaBot, Varano, Ma-leiva, Vitamine, .Sergio, Dangarcia, YurikBot, Icvav, GermanX, FACCE, Beto29, ElPiedra, KnightRider, Libero, Santiperez, Erick dm,HECTOR ARTURO AZUZ SANCHEZ, Kekkyojin, Fravia, Alejandra 55, Kepler Oort, Maldoror, Er Komandante, Javierdekai, Ca-mima, Tomatejc, Zanaqo, Smrolando, Filipo, Sking, Sigmanexus6, BOTpolicia, Alfa989, Qwertyytrewqqwerty, AngelsCry, CEM-bot,Pinar~eswiki, Kaninchen, Alexav8, Sebastiano~eswiki, Baiji, Ugur Basak Bot~eswiki, Bostok I, Rastrojo, N4D13, Antur, Juanfran GG,Germo, Gafotas, BRiemann, Dorieo, Montgomery, FrancoGG, Thijs!bot, Airwolf, Ty25, Balboa13, Furrykef, Tortillovsky, Mahadeva,CesarWoopi, Luiswtc73, Roberto Fiadone, Yeza, RoyFocker, Kirtash, Will vm, Cratón, Isha, Egaida, Chuck es dios, Gusgus, Mpeinadopa,Rrmsjp, JAnDbot, TARBOT, RETEGA, 4aDimension, VanKleinen, Kved, Mansoncc, Rafa3040, EGFerreiro, Death Master, Satin, Murode Aguas, Marcmasmiquel, CommonsDelinker, TXiKiBoT, Cronos x, Gustronico, Millars, Elisardojm, Humberto, Netito777, Numenor 90,Timmy turner123, Pabloallo, Frango com Nata~eswiki, ZrzlKing, Nioger, Pólux, BL, Fdelrio89~eswiki, Marco94, AlnoktaBOT, Volkov-Bot, Snakeyes, Technopat, Queninosta, Raystorm, Mstreet linux, Matdrodes, Fernando Estel, Elabra sanchez, House, Rebanvi, BlackBeast,Lucien leGrey, Barri, AlleborgoBot, Muro Bot, Edmenb, Ana isabel montufar, YonaBot, SieBot, Ctrl Z, Juli 2007, Carmin, Drinibot,Bigsus-bot, BOTarate, Cacatua777, Mel 23, Gurgut, Manwë, Greek, El bot de la dieta, Cheu, Mafores, PipepBot, Tirithel, XalD,robot, Jarisleif, Montehermoso-spain, HUB, StarBOT, Alexistorrez, Jareyes, Mamosi, STARPLAYER, MATADOR-Z, JOKblogger, Pi-xelBot, Eduardosalg, Veon, Fanattiq, Leonpolanco, Pan con queso, Alejandroml, LuisArmandoRasteletti, Alecs.bot, BetoCG, Alexbot,Tinom 94, Arhendt, Gabriel-rocksarino, Ferrari 707, Camilo, UA31, Ucevista, Ente X, AVBOT, Elliniká, David0811, Dermot, Markps96,

4.8. TEXTO E IMÁGENES DE ORIGEN, COLABORADORES Y LICENCIAS 29

MarcoAurelio, Winjaime, Diegusjaimes, Davidgutierrezalvarez, Linfocito B, Victormoz, CarsracBot, Arjuno3, Serail, WikiDreamer Bot,Spirit-Black-Wikipedista, Borboteo, Elhorrego, Jotterbot, Vic Fede, Hack-Master, M303, LyingB, Matiash93, Markoszarrate, Rmarmole-jor, Voiceterms~eswiki, La Corona, Nara Shikamaru, Monicagorzy, Yaneli'm, Hampcky, Ornitododo, Alvarittox, Chapapapa, ArthurBot,FedericoF, SuperBraulio13, Ortisa, Kender00, Manuelt15, Xqbot, Jkbw, Dreitmen, Ricardogpn, Jusaheco, Tophia, Jacorream, Pitototote,Blacki4, Jakeukalane, TobeBot, RedBot, Kizar, Vubo, Phyrokarma, TorQue Astur, PatruBOT, Ganímedes, KamikazeBot, Dinamik-bot,Carolchin, Pincho76, Ripchip Bot, Tarawa1943, K312W1N, AstroF7, Nachosan, Foundling, Alex music24, EmausBot, AVIADOR, Zé-roBot, HRoestBot, Internetsinacoso, Sergio Andres Segovia, ChuispastonBot, WikitanvirBot, Diamondland, Metrónomo, Rezabot, Mer-lIwBot, General Pico, KLBot2, VR0, AvicBot, AvocatoBot, MetroBot, Invadibot, Makecat-bot, Legobot, Perikiyo, Addbot, Balles2601,WikiFurrySwift, Jarould, Egis57, Crystallizedcarbon, Renato Hernández, BenjaBot, AlbertoProGamer, Francheskapb, Marco gonzalezfiorillo y Anónimos: 656

• Antivirus Fuente: https://es.wikipedia.org/wiki/Antivirus?oldid=83296434 Colaboradores: Joseaperez, Abgenis, JorgeGG, Lourdes Car-denal, Julie, Sms, Tostadora, Tano4595, Jsanchezes, Barcex, Troels Nybo~eswiki, Porao, Ap0st0L, Elsenyor, FAR, Jabov5, Alexan,Petronas, Orgullomoore, Airunp, JMPerez, Edub, Natrix, Taichi, Emijrp, Rembiapo pohyiete (bot), Anrfernandez, Hectordanielopez,Magister Mathematicae, Orgullobot~eswiki, RobotQuistnix, Francosrodriguez, Platonides, Alhen, Superzerocool, Palica, Yrbot, BOT-Superzerocool, Oscar ., FlaBot, Vitamine, BOTijo, Skywalker309, YurikBot, Al59, GermanX, Ferbr1, Gaijin, KnightRider, Gothmog,Libero, Carutsu, C-3POrao, Santiperez, FedericoMP, HECTOR ARTURO AZUZ SANCHEZ, Banfield, Ignacios, Grizzly Sigma, Lázaro,Ciencia Al Poder, Dmlambea~eswiki, Zanaqo, Filipo, Siabef, Folkvanger, The worst user, Jorgechp, BOTpolicia, Qwertyytrewqqwerty,CEM-bot, Laura Fiorucci, -jem-, Mrtn z, Xexito, Retama, Pacostein, Baiji, Roberpl, Antur, Montgomery, FrancoGG, Thijs!bot, Latinoyar-gentino, CharlieWiki, Alvaro qc, Srengel, Mahadeva, Bot que revierte, Yeza, RoyFocker, Alavisan,Will vm, Canopus49, Cratón, Isha, FFD,Mpeinadopa, Rrmsjp, El loko, JAnDbot, Kved, Beta15, Gacelo, Satin, Muro de Aguas, Gaius iulius caesar, Gsrdzl, TXiKiBoT, Orcaj001,Carlos e64, Aristarco de Samotracia, Gacq, Elisardojm, Humberto, Netito777, SeñorDarcy, NaSz, Nioger, Behemot leviatan, Mother-Forker, Idioma-bot, Pólux, Recuperamosdatos, Jmvkrecords, Jtico, AchedDamiman, Cipión, Cinevoro, Ricardovo, VolkovBot, LordNes,Technopat, Queninosta, Matdrodes, Elabra sanchez, Mrexcel, BlackBeast, Vatelys, 3coma14, Muro Bot, Edmenb, Racso, BotMultichill,Corydora, Mjollnir1984, Sealight, Jmvgpartner, SieBot, Mushii, PaintBot, Ensada, Carmin, Bigsus-bot, Marcelo, Mel 23, OboeCrack,Manwë, Nubecosmica, Sebasgnokrbipahbdfg, BuenaGente, Aleposta, Mafores, PipepBot, Chico512, Tirithel, Mutari, ArSk8, robot,Javierito92, HUB, Soruz, Rodrigofeu, STARPLAYER, Nicop, Khattab01~eswiki, Eduardosalg, Veon, Bulimaster, Wedrey, Leonpolanco,ElMeBot, Pan con queso, Botito777, Petruss, Clauswifi, Zeytin, BetoCG, Tonchizerodos, Alexbot, Rαge, Frei sein, Raulshc, Açipni-Lovrij,Julian leonardo paez, Camilo, UA31, AVBOT, Elliniká, Jonadad, Elmejoramigodelhombre, Angel GN, MarcoAurelio, NjardarBot, Ialad,Ezarate, Diegusjaimes, Davidgutierrezalvarez, Linfocito B, CarsracBot, Margueniz, Andreasmperu, Luckas-bot, Jotterbot, Hack-Master,Dangelin5, LyingB, Jjmama, Misi91, Hampcky, Nixón, XZeroBot, Asael31, Lifnob, SuperBraulio13, PAULOGARCIA2005, Ortisa, Si-meón el Loco, Jkbw, RAMDOM X, SassoBot, Dx4, Ricardogpn, ChenzwBot, Guadalupe Emmanuel, Foxinlee, Rockerorocky, Botarel,Cesarth15, Alexlp182, Elgrandezon, Panderine!, Diego1105, Lissitax, Hprmedina, Vubo, Sermed, Jprm, Dartozitho, Cris7593, Ec uv,PatruBOT, CVBOT, Ganímedes, Mr.Ajedrez, Panda Madrid, Tarawa1943, Foundling, Vacarreno, EmausBot, Savh, HRoestBot, J. A.Gélvez, Judioxx, Rubpe19, MercurioMT, Emiduronte, Jcaraballo, Peter Griffin~eswiki, ChuispastonBot, WikitanvirBot, Jxvierrm, Dai-mond, EdoBot, Anma12345678910, MerlIwBot, KLBot2, Firewalldefender, Si brigith jaja, Painandloveaxl, Dragonager, Allan Aguilar,Javiergtareveron, Vichock, Gabi turretoh, Creosota, Asqueladd, Santga, Justincheng12345-bot, Helmy oved, Estefania avila, Chevebot,AITDIV, 2rombos, Baute2010, Sergio Mendez Galindo, Orlandodj, Argenis86, Beesocialmx, Legobot, Canopus49Puppet, EL NEGROFERIA, Perman, -ecarv-, Claudiameme, Addbot, 9javivi, Balles2601, Nasterapolo, Sayiling, Marilyn vanely, MrCharro, Jarould, Matiia,Crystallizedcarbon y Anónimos: 850

4.8.2 Imágenes• Archivo:Application-pgp-signature.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/0/00/Application-pgp-signature.svg Licencia: CC BY-SA 2.0 Colaboradores: http://gnome-look.org/content/show.php/Tango+mine?content=76316 Artista original: JakubSteiner

• Archivo:Beast_RAT_client.jpg Fuente: https://upload.wikimedia.org/wikipedia/commons/9/9a/Beast_RAT_client.jpg Licencia: Publicdomain Colaboradores: Trabajo propio Artista original: V.H.

• Archivo:Circle_of_spam.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/0/08/Circle_of_spam.svg Licencia: CC-BY-SA-3.0 Colaboradores: own work, based on png version from English-languageWikipedia (by Fubar Obfusco &Admrboltz)Artista original:odder

• Archivo:Commons-emblem-issue.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/b/bc/Commons-emblem-issue.svgLicencia: GPL Colaboradores: File:Gnome-emblem-important.svg Artista original: GNOME icon artists and User:ViperSnake151

• Archivo:Commons-logo.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/4/4a/Commons-logo.svg Licencia: Public do-main Colaboradores: This version created by Pumbaa, using a proper partial circle and SVG geometry features. (Former versions usedto be slightly warped.) Artista original: SVG version was created by User:Grunt and cleaned up by 3247, based on the earlier PNG version,created by Reidab.

• Archivo:CryptoCard_two_factor.jpg Fuente: https://upload.wikimedia.org/wikipedia/commons/e/ef/CryptoCard_two_factor.jpg Li-cencia: GFDL Colaboradores: Photographed by uploader Artista original: Brian Ronald

• Archivo:DMZ_network_diagram_2_firewall.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/6/60/DMZ_network_diagram_2_firewall.svg Licencia: Public domain Colaboradores: http://en.wikipedia.org/wiki/Image:DMZ_network_diagram_2_firewalls.png Artista original: en:User:Pbroks13

• Archivo:Keylogger-hardware-PS2-example-connected.jpg Fuente: https://upload.wikimedia.org/wikipedia/commons/d/dc/Keylogger-hardware-PS2-example-connected.jpg Licencia: GFDL Colaboradores: http://www.weboctopus.nl/webshop/img/p/59-430-large.jpg Artista original: http://www.weboctopus.nl

• Archivo:Kingston_USB_Memory.jpg Fuente: https://upload.wikimedia.org/wikipedia/commons/c/c2/Kingston_USB_Memory.jpg Li-cencia: Public domain Colaboradores: Trabajo propio Artista original: Powerresethdd

• Archivo:Malware_logo.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/f/ff/Malware_logo.svg Licencia: LGPL Colabo-radores:

30 CAPÍTULO 4. ANTIVIRUS

• Skull_and_crossbones.svg Artista original: Skull_and_crossbones.svg: Silsor• Archivo:Malware_statics_2011-03-16-en.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/e/ec/Malware_statics_2011-03-16-en.svg Licencia: CC BY-SA 3.0 Colaboradores:

• Malware_statics_2011-03-16-es.svg Artista original:Malware_statics_2011-03-16-es.svg: Kizar• Archivo:Morris_Worm.jpg Fuente: https://upload.wikimedia.org/wikipedia/commons/b/b6/Morris_Worm.jpg Licencia:CCBY-SA 2.0Colaboradores:Museum of Science - Morris Internet Worm Artista original: Go Card USA from Boston, USA

• Archivo:Virus-ping-pong.jpg Fuente: https://upload.wikimedia.org/wikipedia/commons/c/cd/Virus-ping-pong.jpg Licencia: CC-BY-SA-3.0 Colaboradores: Captured from Screen Artista original: Dorival Afonso Cardozo

• Archivo:Wikibooks-logo.svg Fuente: https://upload.wikimedia.org/wikipedia/commons/f/fa/Wikibooks-logo.svg Licencia: CC BY-SA3.0 Colaboradores: Trabajo propio Artista original: User:Bastique, User:Ramac et al.

4.8.3 Licencia de contenido• Creative Commons Attribution-Share Alike 3.0