En esta ocasión, ha sido la empresa Cyveillance la que ha presentado su polémico informe sobre la detección de malware por parte de los antivirus. Según se afirma en este informe, las empresas antivirus tan solo detectan de media un 19% del nuevo malware, subiendo ese porcentaje hasta el 61% pasado un mes. Esta tasa de detección especialmente baja puede hacer sonar las alarmas en más de un usuario preocupado por su seguridad, por lo que convendría aclarar algunos aspectos sobre cómo se ha realizado esa comparativa y porque difiere tanto de otras comparativas con mas reputación.

Como ya se han encargado de comentar mis compañeros Randy Abrams de ESET y Sergio de los Santos de Hispasec, hay una serie de aspectos que no quedan del todo claros tras analizar esta comparativa:

- El primero de ellos es que el número de muestras usadas (1708) es, a todas luces, insuficiente. Hablar de esa cantidad, en un escenario en la que los laboratorios de ESET detectan una media cercana a 200.000 muestras únicas al día, es quedarse muy corto.

- La elección de las muestras también resulta polémica. Según la empresa que hizo la comparativa, para catalogar una muestra como malware, esta debía ser detectada por, al menos, 3 de los 13 motores antivirus analizados. Como bien apunta Sergio , su experiencia en el servicio Virustotal demuestra que la detección de malware “fresco” es, normalmente, menor a esos 3 motores y que, además, se produce un elevado número de falsos positivos, lo que podría llevar a catalogar como malware archivos inofensivos.

- Aunque no se indica, todo apunta a que solamente se ha usado el método de detección por firmas de virus para realizar esta comparativa. Este método que fue clave hace años, ahora es tan solo una parte más de los motores antivirus, ya que es imposible crear bases de firmas para la ingente cantidad de malware que se detecta cada día. Es por ello que los antivirus integran otros métodos como la heurística o el análisis dinámico, permitendo la detección de amenazas observando su comportamiento o analizando su código. Poner unos antivirus a intentar detectar muestras en un entorno cerrado, usando tan solo una parte de su capacidad de detección, no es representativo del entorno real que tienen los usuarios.

No obstante, hay que recordar que el antivirus no es la panacea infalible que nos protege frente a cualquier amenaza. Desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que un antivirus es una capa de seguridad básica y fundamental pero que ha de ser complementada con otras medidas, como puede ser la instalación y gestión de un cortafuegos, evitar usar el sistema con permisos de administrador y actualizar el sistema y las aplicaciones que usemos con los parches de seguridad. Todo eso, añadido al uso del sentido común, nos ayudará a evitar problemas de seguridad en nuestro sistema.

Josep Albors

De dicho informe cabe destacar la reducción de ataques durante 2009 respecto al año 2008, aunque dichos ataques han sido más sofisticados y por ello han generado un mayor impacto y repercusión que en 2008.

Al respecto de los puntos importantes tratados en el informe, ofrecemos un pequeño resumen a continuación:

• Podemos ver que Estados Unidos continúa ocupando el puesto número uno del ranking respecto a procedencia de los ataques.

• Los ataques cibernéticos coordinados contra objetivos de carácter religioso, político o económico son cada vez más frecuentes. Esto ha provocado que todas las Naciones tomen medidas al respecto.

• El fraude online desciende en España por primera vez en cuatro años, aunque como comentábamos anteriormente, el impacto ahora es mayor.

• Durante el año 2009 se ha reducido el número total de vulnerabilidades detectadas. Las más llamativas son las de los controles ActiveX de Microsoft y archivos PDF de Adobe y Acrobat Reader.

Pueden leer el informe completo aquí.

Alguna de las conclusiones que se pueden obtener de este informe son, que aunque el volumen de ataques es menor, el malware es más sofisticado y produce un mayor impacto. Además, para su propagación se aprovecha de vulnerabilidades, tanto de los sistemas operativos, como de aplicaciones de uso cotidiano como Adobe. Para evitarlo en la medida de lo posible, desde el departamento técnico de Ontinet.com, aconsejamos a los usuarios realizar las actualizaciones pertinentes en el sistema operativo y también en aplicaciones de uso cotidiano, como navegadores de Internet, Adobe, etc.

Departamento técnico de Ontinet.com

Ingeniería Social:

Los ataques de ingeniería social continuarán en crecimiento debido al reforzamiento en la seguridad de los nuevos sistemas operativos como Windows 7. Así pues, preveemos que resultará mas fácil engañar al usuario para que instale códigos maliciosos que no aprovechar vulnerabilidades en el propio SO.

Aunque algunos aun opinen que la educación no sirve para prevenir los ataques realizados usando la ingeniería social, se ha demostrado que los usuarios prevenidos son menos propensos a caer en este tipo de ataques.

Aplicaciones de terceros:

Las aplicaciones de terceros serán el principal objetivo cuando hablemos del aprovechamiento de vulnerabilidades. Con las mejoras actuales y futuras en los sistemas operativos, será mas fácil atacar a aplicaciones como navegadores, aplicaciones de Adobe, iTunes o clientes de mensajería instantánea. Por desgracia, los usuarios seguirán prestando menos atención a la actualización de estas aplicaciones que a las del sistema operativo.

Ataques a dispositivos móviles:

Aunque se prevé que los ataques a iPhones desbloqueados se incrementarán, el número de los mismos afectados irá disminuyendo con el tiempo puesto que muchos de los usuarios instalarán aplicaciones o se darán cuenta por si mismos de la necesidad de cambiar las contraseñas por defecto. Aquellos usuarios con tarifa plana de datos serán los mas propensos a seguir expuestos a los ataques.

No obstante, los ataques a los smartphones en general sufrirán un aumento mientras los desarrolladores sigan confiando en un modelo de sistema cerrado que anima el desbloqueo de los mismos. El modelo de listas blancas de aplicaciones es probable que reciba mas atención, incluso por parte de Apple.

Control de usuarios infectados:

Los prestadores de servicios de Internet continuarán identificando a usuarios infectados y tomarán medidas para evitar, por ejemplo, el envío masivo de spam. Es muy probable que se incremente el número de usuarios que son desconectados de Internet por su propio ISP hasta que su máquina quede limpia.

Fuga/perdida de datos:

El traslado de datos a sistemas basados “en la nube” incrementará la perdida y el robo de los mismos. Aunque los sistemas “en la nube” son relativamente recientes, el continuo almacenamiento de datos sensibles en ellos los hará cada vez mas atractivos para un atacante. Ya se ha visto como los proveedores de hosting web y los que gestionan el negocio online almacenando tarjetas de crédito han sido atacados.

Falsos antivirus:

Aumentarán los falsos antivirus que intentan estafar a un usuario para que compren su producto. La detección de falsas amenazas se verá complementada con una supuesta optimización de los recursos del sistema para hacer mas atractivo el falso programa de cara a la víctima.

Especialización del ciber-crimen:

Observaremos como las organizaciones que crean códigos maliciosos colaborarán mas entre ellas, intercambiando datos y servicios. Por ejemplo, algunas organizaciones podrían ocuparse de la ofuscación del malware, otras de los centros de control y comunicación, otras de robo de información, etc.

Diversificación de objetivos:

Habrá mas códigos maliciosos que intentarán afectar a otros sistemas operativos que no sean Windows, tales como GNU/Linux o MAC OS X, según vayan incrementando su cuota de mercado. Esto probablemente signifique mas malware escrito en lenguajes de programación de alto nivel (Bash, Perl, Python, etc.) que pueden ejecutarse en varios SO.

Redes sociales y privacidad:

Las redes sociales como Facebook, LinkedIn, Twitter o la española Tuenti verán incrementados los ataques hacia las mismas, tanto desde el punto de vista de la ingeniería social (engañando al usuario para que proporciones sus datos de acceso) como usando técnicas de cross-site scripting.

El robo de datos desde las redes sociales seguirá incrementándose puesto que esta información puede resultar muy valiosa a la hora de preparar ataques específicos. Este es un problema de base de las redes sociales puesto que animan a sus usuarios a compartir el máximo número de datos.

Asimismo, los datos que los usuarios suben a sus perfiles en las redes sociales pueden ser aprovechados por empresas comerciales que se dediquen a recopilarlos en gigantescas bases de datos y a enviar campañas de publicidad personalizada. Obviamente, está en manos del usuario el denunciar estos abusos ante la agencia de protección de datos.

Virtualización:

Con el incremento en la virtualización de máquinas, se verán nuevos ataques destinados a aprovechar sus debilidades, aunque muchos de estos resultarán impracticables por necesitar acceso físico a la máquina que se desee atacar.

Juegos:

Los juegos online seguirán siendo un objetivo de los ataques puesto que las pertenencias virtuales de los jugadores pueden ser intercambiadas por dinero real. Asimismo, es mucho mas difícil perseguir estas actividades delictivas que el phishing tradicional.

Las consolas de videojuegos también podrían verse afectadas por códigos maliciosos aunque con resultados limitados, debido sobretodo a la naturaleza cerrada de la arquitectura de su servicio de acceso a Internet.

Redes Wi-Fi:

Las continuas investigaciones acerca de los ataques a redes inalámbricas (802.11n Wi-Fi, WIMAX, conexiones de datos sobre redes móviles, etc) y la interceptación de datos que viajen usando el protocolo SSL harán mas peligroso el realizar operaciones bancarias o de compra online usando estas conexiones.

Actualizaciones y parcheo de sistemas:

La gestión de actualizaciones seguirá siendo una de las prioridades de los departamentos de informática de las empresas. Es muy probable que veamos una caída de las infecciones mediante AUTORUN.INF debido a la mejora en la gestión de esta característica incorporada en Windows 7.

Como vemos, el nuevo año se presenta lleno de desafíos en lo referente a la seguridad informática por lo que recomendamos a nuestros usuarios que sigan informándose acerca de cómo prevenir las amenazas futuras.

Josep Albors

La aparición de España como primera en este ranking no nos sorprende a los que seguimos de cerca este tipo de noticias ya que, si bien los usuarios españoles hemos mejorado bastante la seguridad de nuestros sistemas en los últimos años, también es cierto que nuestra presencia en la red de redes ha experimentado un crecimiento exponencial (redes sociales, foros, descargas P2P, etc.).

Si analizamos a fondo estas amenazas observaremos que todo empieza por la infección de un sistema vulnerable sin protección antivirus o con esta mal configurada. Una vez el sistema se encuentra infectado, pasará a formar parte de un botnet que empleará los recursos de esa máquina infectada para enviar spam, códigos maliciosos o ataques a máquinas criticas como son los servidores web.

Es por eso que, si deseamos que los ataques provenientes desde Internet no representen la amenaza que son ahora, debemos empezar por las máquinas que usamos los usuarios para que estas no puedan ser empleadas por los creadores de malware con fines maliciosos. Tal y como se ha venido recomendando, mantener el sistema y los programas que usamos actualizados a la vez que contar con una protección antivirus eficaz es el primer paso para hacer que España abandone ese primer puesto del ranking.

Josep Albors

El resultado de uno de los ataques, es que las búsquedas realizadas en el famoso Google, pueden contener enlaces a sitios que han sido comprometidos por los supuestos hackers para que descarguen códigos maliciosos en nuestra maquina sin darnos cuenta de ello, para así tratar de infectarnos. Según la información que barajamos pueden ser miles los sitios web comprometidos.

En la siguiente imagen podemos ver uno de los códigos ofuscados que se inyectan en las páginas web comprometidas

Otra clase de ataque, ha comprometido a miles de sitios webs legítimos, a través de vulnerabilidades en los programas utilizados. Esto incluye los ataques a sitios con el archiconocido WordPress, etc. En los dos patrones de ataques, las páginas web afectadas, intentan explotar agujeros en el software que está desactualizado o tiene una vulnerabilidad no descubierta por el fabricante y si lo han hecho los atacantes. Es importante tener muy en cuenta que no estamos hablando solo de los navegadores de internet (i. Explorer. Mozilla Opera) u el propio sistema operativo, sino que también afecta a software de terceros. Esto incluye, RealPlayer, Adobe Reader, Adobe Flash, QuickTime, Sun Java, iTunes, Winamp, el nuevo Safari, entre otros.

Aquí es donde entra en juego el papel del webmaster o el administrador de los servidores que debe de ser consciente de que su servidor de paginas web debe de estar actualizado con todos los parches de seguridad, para no infectar a sus visitantes.

Desde aquí nos gustaría hacer una recomendación muy simple y es no utilizar cuentas con privilegios de administrador , una practica muy extendida y que nos puede traer muchas mas penas que alegrías. Y por supuesto usar software de seguridad actualizado. Esto ya no solo se refiere a un Antivirus si no que también debemos instalar un buen cortafuegos.

R.R

No es de extrañar, pues, que sea uno de los códigos maliciosos que mas seguimiento tenga por parte de los fabricantes de software de seguridad. Buen ejemplo de esto es el documento escrito por nuestro compañero Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica, donde se describe sus formas de infección y comportamiento. Además, aporta consejos a los usuarios para que eviten ser infectados por este código malicioso y, en caso de ya estarlo, como desinfectarse.

Aquellos usuarios interesados en revisar esta guía pueden descargarla desde el siguiente enlace:

Análisis técnico ESET Virtumonde

Esperamos que esta guía sea útil a todos aquellos que deseen conocer un poco mas de esta amenaza tan característica de nuestros días y esperamos poder ofrecerles nuevos informes tanto en nuestro blog como en el de nuestros compañeros de ESET Latinoamérica.

Josep Albors

Por otra parte los troyanos bancarios siguen su crecimiento, robando las claves de acceso a las entidades de banca electrónica, para poder después vaciar las cuentas corrientes de los usuarios. Cada vez se usan técnicas mas elaboradas aunque la ingeniería social sigue suponiendo la mayor amenaza.

En otro nivel de seguridad, aquella que atañe a grandes corporaciones y gobiernos, se han producido incidentes que involucran a gobiernos como el chino o el ruso atacando a administraciones y servicios críticos de países como Alemania, Reino Unido, Estonia o Estados Unidos, entre otros. Es lo que la prensa ha llamado cyber guerra fría y que implica que algunos países estén organizando ejércitos electrónicos para probar las defensas de sus enemigos o robar información confidencial.

En el año entrante preveemos que se continuará intentando infectar los ordenadores de lo usuarios para introducirlos en botnets cada vez mas grandes, aunque es muy probable que se usen nuevos vectores de ataques no usados hasta ahora. Así mismo, el fraude y las estafas electrónicas reportan grandes beneficios a los ciber delincuentes, a pesar de las medidas de seguridad emprendidas por las entidades bancarias, por lo que creemos que, lejos de desaparecer, estas actividades irán en aumento.

Josep Albors y Rafael Richart