Estrategias para la administración de riesgos de malware

miércoles, 10 de septiembre de 2008

Publicado por Soluciones Work Peru

A medida que el malware o software malintencionado evoluciona y se vuelve más sofisticado, también deben desarrollarse las tecnologías de software y hardware a fin de evitar los ataques y las amenazas de malware.

Las amenazas de malware han resultado muy costosas para las medianas empresas, tanto en las tecnologías de respuesta y defensa de ataques como en las operaciones. Internet ha elevado considerablemente el perfil de las amenazas externas dirigidas a las medianas empresas, al tiempo que las grandes amenazas aún continúan como, por ejemplo, los ataques internos.

Los ataques internos que tienen el mayor potencial de daño se derivan de las actividades del personal interno que ocupan los puestos de mayor confianza, como los administradores de red. Es muy posible que este personal implicado en actividades malintencionadas tengan metas y objetivos específicos, como colocar un caballo de Troya o explorar sin autorización los sistemas de archivos y conservar a la vez un acceso legítimo a los sistemas. Por lo general, el personal interno no tiene intenciones malintencionadas pero podría colocar un software malintencionado al conectar involuntariamente sistemas o dispositivos infectados a una red interna, lo que pondría en peligro la integridad/confidencialidad del sistema o podría afectar al rendimiento, la disponibilidad y/o la capacidad de almacenamiento del sistema.

Los análisis de las amenazas internas y externas han llevado a muchas medianas empresas a investigar sistemas que ayuden a supervisar las redes y a detectar ataques, entre los que se incluyen recursos para ayudar a administrar los riesgos de malware en tiempo real.

Definición

Malware es la abreviación de los términos en inglés "malicious software" (software malintencionado). Se trata de un nombre colectivo que incluye virus, gusanos y caballos de Troya que realizan expresamente tareas malintencionadas en un sistema informático. Técnicamente, un malware es un código malintencionado.

Consideraciones acerca de los diferentes tipos de malware

En las siguientes subsecciones se describen las diferentes categorías de malware.

Ocultación

• Caballo de Troya. Programa que parece útil o inofensivo pero que contiene un código oculto diseñado para aprovechar o dañar el sistema en el que se ejecuta. Los caballos de Troya (también denominados códigos troyanos), por lo general, llegan al usuario a través de mensajes de correo electrónico que provocan una representación equivocada de la funcionalidad y finalidad del programa. Los caballos de Troya realizan esta operación suministrando una tarea o carga malintencionada cuando se ejecutan.

Malware infeccioso

• Gusano. Un gusano utiliza un código malintencionado de autopropagación que se puede distribuir automáticamente de un equipo a otro a través de las conexiones de red. Un gusano puede producir daños como el consumo de recursos del sistema local o de la red que posiblemente provoquen un ataque de denegación de servicio. Algunos gusanos se pueden ejecutar y propagar sin la intervención del usuario, mientras que otros necesitan que el usuario ejecute el código de gusano directamente para poder propagarse. Los gusanos también pueden suministrar una carga además de la replicación.
  

• Virus. Un virus utiliza un código escrito con la intención expresa de autorreplicarse. Un virus intenta propagarse de un equipo a otro adjuntándose automáticamente a un programa host. Puede dañar el hardware, el software o los datos. Al ejecutar el host, también se ejecuta el código del virus, infectando nuevos host y, a veces, suministrando una carga adicional.

Malware para beneficios

• Spyware. A veces, este tipo de software se conoce como spybot o software de seguimiento. El spyware utiliza otras formas de programas y software engañosos que realizan determinadas actividades en un equipo sin tener el correspondiente consentimiento del usuario. Entre estas actividades se incluyen la recopilación de información personal y el cambio de los parámetros de configuración del explorador de Internet. Además de ser una molestia, el spyware origina una variedad de problemas que van desde la degradación del rendimiento general del equipo a la infracción de la privacidad personal.Los sitios web que distribuyen spyware utilizan distintos trucos para conseguir que los usuarios los descarguen e instalen en sus equipos. Entre estos trucos se incluye la creación de experiencias de usuario engañosas y la incorporación encubierta de spyware con otros programas que puedan desear los usuarios, como un software de intercambio de archivos gratuito.
  

• Adware. Tipo de software para mostrar publicidad, en especial, determinadas aplicaciones ejecutables cuyo principal propósito es suministrar contenido publicitario de un modo o con un contexto que los usuarios no esperen o deseen. Muchas aplicaciones adware también realizan funciones de seguimiento y, por tanto, también se pueden clasificar como tecnologías de seguimiento. Puede que algunos consumidores deseen eliminar los adware si les molesta realizar tal seguimiento, si no desean ver la publicidad originada por el programa o si no les gustan los efectos que tienen sobre el rendimiento del sistema. Y al contrario, puede que algunos usuarios deseen conservar determinados programas de adware si con su presencia se subvenciona el coste de un servicio o producto deseado o bien si proporcionan una publicidad útil o deseada como, por ejemplo, anuncios que sean competitivos con el que el usuario está buscando o lo complementen.

Para obtener más información, consulte el tema Malware en Wikipedia en http://en.wikipedia.org/wiki/Malware y el tema ¿Qué es Malware? en la Guía de defensa en profundidad antivirus en www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#ELF (pueden estar en inglés).

Consideraciones sobre los comportamientos de Malware

Las distintas características que cada categoría de malware puede presentar suelen ser muy similares. Por ejemplo, es posible que tanto un virus como un gusano utilicen la red como mecanismo de transporte. Sin embargo, un virus intentará infectar los archivos mientras que un gusano simplemente intentará copiarse a sí mismo. En la siguiente sección se proporcionan unas breves explicaciones de las características típicas de malware.

Entornos objetivo

Cuando el malware intenta atacar a un sistema host, se requiere un número específico de componentes para que el ataque tenga éxito. Los siguientes componentes son ejemplos típicos de los componentes que puede necesitar el malware para lanzar un ataque contra un host:

• Dispositivos. Algunos malware se centrarán específicamente en un tipo de dispositivo, por ejemplo PC, un equipo Apple Macintosh o incluso un asistente digital personal (PDA). Los dispositivos portátiles, como los teléfonos móviles, se están convirtiendo en dispositivos objetivo cada vez más populares.

• Sistemas operativos. Puede que se requiera un sistema operativo específico para que el malware sea efectivo. Por ejemplo, el virus Chernobyl o CIH de finales de los 90 sólo podía atacar a equipos con Microsoft® Windows® 95 o Windows 98. Los sistemas operativos más actuales son más seguros. Desgraciadamente, el malware también es cada vez más sofisticado.

• Aplicaciones. Puede que malware necesite que haya una aplicación específica instalada en el equipo objetivo para suministrar su carga o replicarse. Por ejemplo, el virus LFM.926 de 2002 sólo podía atacar si podían ejecutarse archivos Shockwave Flash (.swf) en el equipo local.

Objetos portadores

Si el malware es un virus, intentará alcanzar un objeto portador (también conocido como host) para infectarlo. El número y tipo de los objetos portadores objetivo varía mucho entre las diferentes formas de malware. En la siguiente lista se proporcionan ejemplos de los operadores objetivo más comunes:

• Archivos ejecutables. Estos operadores son los objetivos del tipo de virus "clásico" que se replica al adjuntarse a un programa host. Además de los archivos ejecutables típicos que utilizan la extensión .exe, los archivos con las siguientes extensiones también se pueden utilizar con dicho fin: .com, .sys, .dll, .ovl, .ocx y .prg.
  

• Scripts. Los ataques que utilizan scripts como operadores se centran en archivos que utilizan un lenguaje de scripting como, por ejemplo, Microsoft Visual Basic® Script, JavaScript, AppleScript o Perl Script. Entre las extensiones de archivos de este tipo se incluyen: .vbs, .js, .wsh y .prl.

• Macros. Estos operadores son archivos que admiten un lenguaje de scripting de macros de una aplicación específica como, por ejemplo, una aplicación de procesador de texto, hojas de cálculo o base de datos. Por ejemplo, los virus que utilizan lenguajes de macro en Microsoft Word y Lotus Ami Pro para producir una serie de efectos incluyen desde las travesuras (cambiar el orden de las palabras en un documento o cambiar los colores) hasta los malware (dar formato al disco duro del equipo).
  

Mecanismos de transporte

Un ataque puede utilizar uno de los muchos métodos diferentes para intentar replicarse entre sistemas informáticos. En esta sección se proporciona información sobre algunos de los mecanismos de transporte más comunes utilizados por un malware.

• Medios extraíbles. El trasmisor de virus informáticos y otros malware original y probablemente más prolífico corresponde a la transferencia de archivos (al menos hasta hace poco). Este mecanismo comenzó con los disquetes, después se trasladó a las redes y, en la actualidad, está buscando nuevos medios como los dispositivos USB (bus serie universal) y Firewire. El índice de infección no es tan rápida como con los malware que utilizan la red, aunque la amenaza sigue presente y es difícil de erradicar por completo debido a la necesidad de intercambiar datos entre sistemas.

• Recursos compartidos de red. Cuando se proporcionó un mecanismo para que los equipos se conectaran entre sí directamente a través de una red, los creadores de malware encontraron otro mecanismo de transporte que tenía potencial para superar las capacidades de los medios extraíbles a fin de propagar un código malintencionado. Un sistema de seguridad implementado de forma incorrecta en los recursos compartidos de red produce un entorno donde los malware se pueden replicar en un gran número de equipos conectados a la red. Este método ha sustituido en buena parte al método manual de utilizar medios extraíbles.

• Redes punto a punto (P2P). Para que se produzcan transferencias de archivos P2P, un usuario debe instalar un componente cliente de la aplicación P2P que vas a utilizar la red.

Para obtener información adicional, consulte la sección "Características de malware" de la Guía de defensa en profundidad antivirus en www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#EQAAC (puede estar en inglés).

Lo que no se incluye en la definición de malware

Existe una de amenaza que no se considera malware porque no son programas informáticos creados con mala intención. Sin embargo, estas amenazas sí que pueden tener implicaciones financieras y de seguridad para las medianas empresas. En la siguiente lista se describen algunos de los ejemplos más frecuentes de amenazas que podrían tomarse en consideración y entender cuándo se desarrolla una estrategia de seguridad completa.

Software de virus. Las aplicaciones de simulación de virus están diseñadas para provocar una sonrisa o, a lo sumo, para hacerle perder el tiempo a alguien. Estas aplicaciones existen desde que la gente comenzó a utilizar los equipos. Puesto que no se han desarrollado con mala intención y se identifican claramente como una broma, no se han considerado como malware a los efectos de esta guía. Existen muchos ejemplos de aplicaciones de simulación de virus que provocan de todo, desde interesantes efectos de pantalla hasta divertidos juegos o animaciones.

Falsificaciones. Un ejemplo de falsificación sería un mensaje engañoso que advierte de un virus que en realidad no existe. Al igual que otras formas de malware, las falsificaciones utilizan ingeniería social con la finalidad de intentar engañar a los usuarios de los equipos para que lleven a cabo un determinado acto. Sin embargo, no existe ningún código que ejecutar en la falsificación; el falsificador normalmente sólo intenta engañar a la víctima. Un ejemplo común de falsificación es un mensaje de correo electrónico o una cadena de mensajes de correo que avisa de que se ha descubierto un nuevo tipo de virus y pide que se reenvíe el mensaje para avisar a los amigos. Este tipo de mensajes falsos hace perder el tiempo a la gente, ocupa recursos de servidores de correo electrónico y consume el ancho de banda de la red. Sin embargo, las falsificaciones pueden provocar daños si ordenan al usuario que cambie la configuración del equipo (por ejemplo, que elimine las claves de Registro o los archivos del sistema).

Estafas. Un ejemplo común de estafa es un mensaje de correo electrónico que intenta engañar al destinatario para que revele información personal importante que pueda utilizarse con fines ilegales (por ejemplo, información de cuentas bancarias). Existe un tipo específico de estafa que se conoce como suplantación de identidad (phishing) y que también se conoce como suplantación de marca o carding.

Correo electrónico no deseado. El correo electrónico no deseado es correo electrónico no solicitado que se genera para anunciar algún servicio o producto. Por lo general, este fenómeno resulta molesto, pero no es un malware. No obstante, el drástico aumento del correo no deseado que se envía constituye un problema para la infraestructura de Internet. El correo electrónico no deseado también provoca una pérdida de productividad de los empleados que se ven obligados a ver esos mensajes y a borrarlos todos los días.

Cookies de Internet. Las cookies de Internet son archivos de texto que colocan en el equipo de un usuario los sitios web que éste visita. Las cookies contienen y proporcionan información identificable sobre el usuario a los sitios web que las colocan en su equipo, junto con cualquier información que los sitios deseen retener sobre la visita del usuario.Las cookies son herramientas legítimas que utilizan muchos sitios web para realizar un seguimiento de la información del visitante. Desgraciadamente, es sabido que algunos desarrolladores de sitios web utilizan las cookies para recopilar información sin que el usuario lo sepa. Es posible que algunos engañen a los usuarios o hagan caso omiso de sus directivas. Por ejemplo, puede que realicen un seguimiento de los hábitos de exploración en la Web en muchos sitios web diferentes sin informar al usuario. De este modo, los desarrolladores de sitios pueden utilizar esta información para personalizar los anuncios que el usuario ve en un sitio web, lo que se considera una invasión de la privacidad.

Para obtener información más detallada sobre los malware y sus características, consulte la Guía de defensa en profundidad antivirus en Microsoft TechNet en www.microsoft.com/technet/security/topics/serversecurity/avdind_0.mspx (puede estar en inglés).

Consideraciones acerca de la administración de riesgos y malware

Microsoft define la administración de riesgos como el proceso mediante el cual se identifican los riesgos y se determina su impacto.

El hecho de intentar poner en marcha un plan de administración de riesgos de seguridad puede ser una sobrecarga para las medianas empresas. Entre los posibles factores se incluyen la falta de experiencia interna, recursos presupuestarios o instrucciones para subcontratar.

La administración de riesgos de seguridad proporciona un enfoque proactivo que puede ayudar a las medianas empresas a planear sus estrategias contra las amenazas de malware.

Un proceso formal de administración de riesgos de seguridad permite que las medianas empresas trabajen del modo más rentable con un nivel conocido y aceptable de riesgo empresarial. También proporciona una ruta clara y coherente para organizar y dar prioridad a los recursos limitados con el fin de administrar los riesgos.

Para facilitar las tareas de administración de riesgos, Microsoft ha desarrollado la Guía de administración de riesgos de seguridad, que proporciona instrucciones acerca de los siguientes procesos:

1. Valoración de riesgos. Identificar y establecer la prioridad de los riesgos para la empresa.
2. Soporte para la toma de decisiones. Identificar y evaluar las soluciones de control que se basan en un proceso de análisis de la relación coste-beneficio definido.
3. Implementación de controles. Implementar y operar las soluciones de control para ayudar a reducir los riesgos de las empresas.
4. Cuantificación de la efectividad del programa. Analizar el proceso de administración de riesgos en relación con la eficacia y comprobar que los controles proporcionan el grado de protección esperado.

La información detallada sobre este tema queda fuera del objetivo de este artículo. No obstante, es fundamental comprender el concepto y los procesos para poder planear, desarrollar e implementar una estrategia de solución dirigida a los riesgos de malware. En la siguiente figura se muestran los cuatro procesos principales de la administración de riesgos.