Norman resume 2009: predicciones para el año que se inicia

Oslo, Noruega – 28 de diciembre de 2009 - Diciembre es el mes en que habitualmente se echa un vistazo al año que acaba. La observación más significativa en materia de actividad de malware durante el año que pasó es que diferentes redes sociales —como Twitter y Facebook— se han convertido en un importante objetivo para los autores de programas maliciosos.

Tendencias de seguridad en Internet de Norman 2009

• Conficker - aunque este gusano apareció por primera vez a finales de 2008, fue en 2009 cuando provocó los mayores problemas a los usuarios finales, especialmente organizaciones. El gusano mantuvo su mayor nivel de actividad durante la primera parte de 2009, aunque todavía sigue activo cuando, a final del año, escribimos estas líneas.
• W32/Virut es una familia de virus altamente polimórficos. Los virus de la familia Virut han estado activos durante todo el año, y posiblemente sus nuevas variantes van a acompañarnos durante 2010.
• W32/Koobface es interesante sobre todo porque utiliza mecanismos de propagación a través de redes sociales como Facebook. Aunque hizo su debú en 2008, fue en 2009 cuando su actividad alcanzó su pico máximo.
• En los "buenos viejos tiempos" de los programas maliciosos, las organizaciones de seguridad y los usuarios tenían que abordar el malware de manera diferente a lo que lo hacen ahora. A la sazón, la técnica más utilizada por los autores de malware consistía en crear un programa malicioso, utilizando diferentes técnicas de propagación. Con el correr de los años, esta situación ha cambiado y hoy es fundamentalmente diferente. Ahora, la tendencia general son los cócteles de malware. Estos “brebajes” están compuestos por una amplia variedad de diferentes tipos de programas maliciosos, así como por tipos idénticos de funcionalidad diversificada.

Tendencias generales:

• El crecimiento del software malicioso. Uno de los indicadores que demuestra el crecimiento del software malicioso durante un período de tiempo es el número de firmas de programas maliciosos en los archivos de detección de virus de Norman. En 2007 se añadieron más firmas que en todos los años anteriores juntos. En 2008 se habían añadido más firmas que el número total de principios de año. En 2009 se agregaron apenas menos firmas que el número total de principios de año. Esto parece indicar que el crecimiento se ha estabilizado hasta ser más lineal, a diferencia del incremento exponencial de los anos anteriores a 2008. No obstante, el número total de nuevas firmas en este momento es impresionante en comparación con la cantidad de principios de la década.
• Software legítimo identificado como malicioso. El hecho de que la cantidad de software malicioso sea tan grande representa un riesgo adicional, ya que el software legítimo puede ser detectado como malicioso por corresponderse con una parte de los archivos de firma de los proveedores de antimalware u otras tecnologías de detección de software maligno. Esto ya  ha ocurrido este año con software de seguridad de diversos proveedores, incluyendo Norman. Lamentablemente, es inevitable que vuelva a ocurrir. El reto más importante para los proveedores de seguridad es evitar estos incidentes en los archivos críticos del sistema y en aplicaciones críticas de uso habitual. Para ello, los proveedores de software de seguridad realizan importantes inversiones en equipos que les permiten verificar los archivos de detección de malware con todo tipo de software legítimo antes de publicar los archivos de firmas en la base de clientes general.
• Más programas informáticos malintencionados. Los programas informáticos que pretenden ser lo que no son han existido siempre. En 2009 continuó la tendencia observada en 2008, al detectarse un número creciente de programas informáticos maliciosos que simulan ser aplicaciones antivirus y antispyware. Durante 2009, este problema incluso se multiplicó. Hacia finales de año, los programas informáticos maliciosos habían crecido hasta convertirse en una  industria sustancial. El potencial de obtención de beneficios económicos para los implicados es importante, mientras que el riesgo que les supone es mínimo.
• Uso de las redes sociales para la propagación del malware. Durante este año, las redes sociales como Facebook y Twitter han adquirido una creciente popularidad. No es de sorprender que ello se haya correspondido con el uso de dichas redes como mecanismos de propagación de malware. Si tuviésemos que elegir un problema de seguridad específico como el más importante de 2009, diríamos que es el uso de las redes sociales como objetivos para la propagación y aprovechamiento del malware, por lo general utilizando la ingeniería social.
• Las vulnerabilidades de sistemas operativos y aplicaciones siguen siendo aprovechadas. Observamos que continúa la tendencia de los autores de software malicioso de aprovechar las vulnerabilidades de sistemas operativos y aplicaciones para propagarlo. Las aplicaciones más populares, como los exploradores web, las aplicaciones de Adobe, los sistemas de oficina, etc. fueron afectadas por este fenómeno. No solamente fueron objeto de ataque las aplicaciones más usadas de Microsoft, sino también los programas de software de otros proveedores.
  
  En años anteriores, los autores de malware se centraban fundamentalmente en las vulnerabilidades de los sistemas operativos. No obstante, esto ha cambiado recientemente, y las ampliamente utilizadas aplicaciones como las ya mencionadas han pasado a ser sus objetivos. Un problema específico de los usuarios es que no existe ninguna norma para la distribución de actualizaciones y parches de las aplicaciones, lo que implica que deben utilizarse multitud de mecanismos de actualización.

• Los creadores de malware son muy rápidos en utilizar las nuevas vulnerabilidades creando aplicaciones intrusas. Una de las consecuencias que esto ha tenido es que los fabricantes de software deben intentar reaccionar más rápidamente con parches de seguridad y otras soluciones provisionales.
  
  Los autores de malware son cada vez más sofisticados en la creación de programas que aprovechan no solamente una, sino varias vulnerabilidades —parcheadas y no parcheadas— en el mismo malware. Esto les ha resultado todavía más fácil por el hecho de que pueden elegir en Internet su propio conjunto de códigos de explotación y utilizarlo en sus programas maliciosos.
  
  Hoy en día es posible crear un programa malintencionado sin necesidad de tener conocimientos de programación. Una de las consecuencias es que las aptitudes en ingeniería social de parte del "diseñador" del malware son más importantes para que un programa de malware concreto tenga más éxito que otros.

• Los titulares de noticias se utilizan como desencadenantes de distribución del malware. No se trata de una observación nueva ni revolucionaria. Sin embargo, durante 2009 hemos observado que esta tendencia se ha incrementado. Los autores del malware se han especializado en canalizar el malware utilizando técnicas de ingeniería social vinculadas a los titulares de noticias. Hemos visto varios ejemplos de ello. Quizá el más destacado es el vinculado a la muerte y funerales de Michael Jackson.
• El software malicioso aprovecha los nuevos dispositivos. Este año hemos observado dos ejemplos: malware en cajeros automáticos y malware que aprovecha routers y módems ADSL. Posiblemente se trate de la punta del iceberg. En el futuro, los dispositivos de ataque de malware nunca considerados vulnerables ni peligrosos por los usuarios corrientes pueden convertirse precisamente en eso.
• Las amenazas de Internet llegan a los altos escalafones políticos. Por último, es digno de destacar que a mediados de año se hizo hincapié en la importancia de Internet como parte fundamental de la infraestructura de las sociedades modernas. El presidente estadounidense Barack Obama se centró en este tema en el muy comentado discurso que pronunció el 29 de mayo.'

Predicciones para 2010:

• Mayor aprovechamiento, y más sofisticado, de las redes sociales.
• El software de seguridad malicioso mantendrá su popularidad.
• Persistirán los cócteles de malware; serán más flexibles y se desarrollará una tecnología de rootkits cada vez más avanzada.
• Las actualizaciones automáticas del malware serán más innovadoras.