Resumiendo 2009: predicciones para el año que se inicia

Introducción

Diciembre es el mes en que habitualmente se echa un vistazo al año que acaba, y en este artículo intentaremos resumir la situación desde el punto de vista de una empresa de seguridad. La observación más significativa en materia de actividad de malware durante el año que pasó es que diferentes redes sociales se han convertido en un importante objetivo para los autores de programas maliciosos.

Programas de malware especialmente dignos de destacar

Se han producido una serie de incidentes de malware que requieren particular atención.

Conficker

Aunque este gusano apareció por primera vez a finales de 2008, fue en 2009 cuando provocó los mayores problemas a los usuarios finales, especialmente organizaciones. El gusano mantuvo su mayor nivel de actividad durante la primera parte de 2009, aunque todavía sigue activo cuando, a final del año, escribimos estas líneas.

W32/Conficker existe en diversas variantes y es un gusano que se propaga por las redes, con la capacidad de actualizarse a sí mismo mediante descargas desde Internet. Estas descargas se efectúan desde un subconjunto de servidores que el gusano elige entre un conjunto muy amplio de potenciales servidores de descarga que genera.

La característica más destacada de este gusano es que uno de sus mecanismos de propagación aprovecha una vulnerabilidad de Windows Server Service. Esta vulnerabilidad permite que el gusano active una descarga de sí mismo en el ordenador remoto sin que el usuario lo sepa.

Además, el gusano se propaga por los elementos compartidos de Windows en una red y en/desde unidades extraíbles, como por ejemplo memorias USB. Lo primero dificulta mucho eliminarlo de una red, en tanto que su segunda característica ha provocado numerosas infecciones en organizaciones de alto nivel, que suelen tener instalados sistemas de seguridad adecuados.

Los gusanos de Conficker tienen sistemas bastante avanzados para protegerse contra desactivaciones por antivirus y otras aplicaciones de seguridad.

Encontrará información más detallada acerca de Conficker en la descripción del virus de Norman.

Virut

W32/Virut es una familia de virus altamente polimórficos. Utiliza diversos mecanismos de propagación, incluyendo la función de autoejecución de memorias USB, que ejecuta el virus cuando el dispositivo se conecta al ordenador (salvo que dicha funcionalidad esté desactivada).

Además de su naturaleza altamente polimórfica, la característica más destacada de Virut es que algunas variantes tienen la capacidad de desactivar el sistema de protección de archivos de Windows para infectar archivos del sistema Windows protegidos esenciales.

Los virus de Virut utilizan técnicas para protegerse contra la desactivación mediante antivirus y otras aplicaciones de seguridad al bloquear el acceso desde los ordenadores infectados a una serie de sitios web de seguridad.

Los virus de la familia Virut han estado activos durante todo el año, y posiblemente sus nuevas variantes van a acompañarnos durante 2010.

Encontrará información más detallada acerca de Virut en la escripción del virus de Norman.

Koobface

W32/Koobface es interesante sobre todo porque utiliza mecanismos de propagación a través de redes sociales como Facebook. Aunque hizo su debú en 2008, fue en 2009 cuando su actividad alcanzó su pico máximo (hasta el momento).

Un ordenador infectado por Koobface envía automáticamente mensajes con vínculos maliciosos a los contactos que el usuario del ordenador tiene en diversos sitios sociales. El gusano buscará en las cookies del ordenador las credenciales de inicio de sesión a los sitios de redes sociales. Utilizando la información recogida en las cookies, el gusano se conectará a estos sitios y empezará a enviar mensajes a amigos y contactos.

Encontrará información más detallada acerca de Koobface en la descripción del virus de Norman.

Cócteles de malware

En los "buenos viejos tiempos" de los programas maliciosos, las organizaciones de seguridad y los usuarios tenían que abordar el malware de manera diferente a lo que lo hacen ahora. A la sazón, la técnica más utilizada por los autores de malware consistía en crear un programa malicioso, utilizando diferentes técnicas de propagación.

Con el correr de los años, esta situación ha cambiado y hoy es fundamentalmente diferente. Ahora, la tendencia general son los cócteles de malware. Estos “brebajes” están compuestos por una amplia variedad de diferentes tipos de programas maliciosos, así como por tipos idénticos de funcionalidad diversificada.

Normalmente, estos cócteles se sirven con un rootkit, lo cual provoca que la detección resulte significativamente más compleja. Algunos de los rootkits estándar utilizan una tecnología muy avanzada de ocultación de sí mismo y de los demás componentes del cóctel.

Como lo describió brillantemente uno de los analistas de malware de Norman: "es como una navaja del ejército suizo de malware".

Por consiguiente, el reto para "los buenos" ha cambiado fundamentalmente, ya que ahora no basta con detectar y eliminar un programa malicioso específico. Los demás componentes del cóctel de malware pueden seguir activos en el ordenador o red infectado, y reinfectar y/o descargar nuevos componentes. Esta situación, obviamente, complica enormemente la tarea de limpiar sistemas infectados.

Tendencias generales

El crecimiento del software malicioso

Uno de los indicadores que demuestra el crecimiento del software malicioso durante un período de tiempo es el número de firmas de programas maliciosos en los archivos de detección de virus de Norman. En 2007 se añadieron más firmas que en todos los años anteriores juntos. En 2008 se habían añadido más firmas que el número total de principios de año. En 2009 se agregaron apenas menos firmas que el número total de principios de año.

Esto parece indicar que el crecimiento se ha estabilizado hasta ser más lineal, a diferencia del incremento exponencial de los anos anteriores a 2008. No obstante, el número total de nuevas firmas en este momento es impresionante en comparación con la cantidad de principios de la década.

La siguiente imagen refleja el crecimiento de archivos de firma de malware de Norman durante 2008 y hasta mediados de diciembre de 2009.

Software legítimo identificado como malicioso

El hecho de que la cantidad de software malicioso sea tan grande representa un riesgo adicional, ya que el software legítimo puede ser detectado como malicioso por corresponderse con una parte de los archivos de firma de los proveedores de antimalware u otras tecnologías de detección de software maligno. Esto ya ha ocurrido este año con software de seguridad de diversos proveedores, incluyendo Norman.

Lamentablemente, es inevitable que vuelva a ocurrir. El reto más importante para los proveedores de seguridad es evitar estos incidentes en los archivos críticos del sistema y en aplicaciones críticas de uso habitual. Para ello, los proveedores de software de seguridad realizan importantes inversiones en equipos que les permiten verificar los archivos de detección de malware con todo tipo de software legítimo antes de publicar los archivos de firmas en la base de clientes general.

En un artículo de seguridad publicado a principios de este año tratamos este tema de manera general utilizando un  problema similar en un sistema de Google para identificar sitios web maliciosos as the basis for the discussion.

Más programas informáticos malintencionados

Los programas informáticos que pretenden ser lo que no son han existido siempre en la era de la informática. En 2009 continuó la tendencia observada en 2008, al detectarse un número creciente de programas informáticos maliciosos que simulan ser aplicaciones antivirus y antispyware.

Durante 2009, este problema incluso se multiplicó. Hacia finales de año, los programas informáticos maliciosos habían crecido hasta convertirse en una industria sustancial. El potencial de obtención de beneficios económicos para los implicados es importante, mientras que el riesgo que les supone es mínimo.

Uso de las redes sociales para la propagación del malware

Durante este año, las redes sociales como Facebook y Twitter han adquirido una creciente popularidad. No es de sorprender que ello se haya correspondido con el uso de dichas redes como mecanismos de propagación de malware.

Koobface, que hemos tratado más arriba, es un ejemplo de la utilización de las redes sociales por los autores de malware. Y es que hay muchas. Lo importante es ser conscientes del hecho de que las técnicas de ingeniería social inteligentes suelen estar involucradas en los ataques.

Como ya lo hemos dicho en la introducción: Si tuviésemos que elegir un problema de seguridad específico como el más importante de 2009, diríamos que es el uso de las redes sociales como objetivos para la propagación y aprovechamiento del malware, por lo general utilizando la ingeniería social.

Este año hemos abordado diferentes aspectos de las redes sociales como temas de nuestros debates de seguridad. Por ejemplo::

• Redes sociales: ¿las mejores amigas de los delincuentes o sus enemigas?
• Producción de identidad maliciosa
• Otra forma de usar Twitter
• ¿Dicen los “twitters” la verdad?
• ¡HOLA! Mi casa está preparada para los ladrones

Las vulnerabilidades de sistemas operativos y aplicaciones siguen siendo aprovechadas

Observamos que continúa la tendencia de los autores de software malicioso de aprovechar las vulnerabilidades de sistemas operativos y aplicaciones para propagarlo. Las aplicaciones más populares, como los exploradores web, las aplicaciones de Adobe, los sistemas de oficina, etc. fueron afectadas por este fenómeno. No solamente fueron objeto de ataque las aplicaciones más usadas de Microsoft, sino también los programas de software de otros proveedores.

En años anteriores, los autores de malware se centraban fundamentalmente en las vulnerabilidades de los sistemas operativos. No obstante, esto ha cambiado recientemente, y las ampliamente utilizadas aplicaciones como las ya mencionadas han pasado a ser sus objetivos. Un problema específico de los usuarios es que no existe ninguna norma para la distribución de actualizaciones y parches de las aplicaciones, lo que implica que deben utilizarse multitud de mecanismos de actualización.

Los creadores de malware son muy rápidos en utilizar las nuevas vulnerabilidades creando aplicaciones intrusas. Una de las consecuencias que esto ha tenido es que los fabricantes de software deben intentar reaccionar más rápidamente con parches de seguridad y otras soluciones provisionales.

Los autores de malware son cada vez más sofisticados en la creación de programas que aprovechan no solamente una, sino varias vulnerabilidades —parcheadas y no parcheadas— en el mismo malware. Esto les ha resultado todavía más fácil por el hecho de que pueden elegir en Internet su propio conjunto de códigos de explotación y utilizarlo en sus programas maliciosos.

Hoy en día es posible crear un programa malintencionado sin necesidad de tener conocimientos de programación. Una de las consecuencias es que las aptitudes en ingeniería social de parte del "diseñador" del malware son más importantes para que un programa de malware concreto tenga más éxito que otros.

Durante 2009 tratamos en detalle estos temas en nuestros artículos de seguridad, como por ejemplo

• Software más susceptible a ataques exitososs
• Anuncios en Internet: una importante vía de propagación de malware
• Complementos de aplicaciones: caldo de cultivo para el malware

Los titulares de noticias se utilizan como desencadenantes de distribución del malware

No se trata de una observación nueva ni revolucionaria. Sin embargo, durante 2009 hemos observado que esta tendencia se ha incrementado. Los autores del malware se han especializado en canalizar el malware utilizando técnicas de ingeniería social vinculadas a los titulares de noticias.

Hemos visto varios ejemplos de este fenómeno. Posiblemente el más destacado ha sido el vinculado a de la muerte y funerales de Michael Jackson.

Una persona que desee utilizar sus aptitudes de ingeniería social y combinarlas con instrumentos de Internet tiene a su disposición numerosas herramientas. En los artículos especiales de seguridad de este año hemos tratado temas como::

• Uso de las direcciones URL abreviadas para ocultar el destino real de un vínculo
• Registro de nombres de dominio con eventos importantes como parte del nombre de dominio

El software malicioso aprovecha los nuevos dispositivos

¡Un interesante fenómeno! Este año observamos dos ejemplos, los cuales merecieron un análisis en sendos artículos de seguridad:

• Malware en cajeros automáticos
• Malware que aprovecha routers y módems ADSL

Posiblemente se trate de la punta del iceberg. En el futuro, los dispositivos de ataque de malware nunca considerados vulnerables ni peligrosos por los usuarios corrientes pueden convertirse precisamente en eso. Esto es especialmente aterrador, y tenemos que repetirlo una y otra vez: los usuarios han tenido que aprender a tomar precauciones contra el malware que se distribuye por medios tradicionales. En cuanto se utilizan nuevos mecanismos de propagación, las defensas fallan.

Las amenazas de Internet llegan a los altos escalafones políticos

Por último, es digno de destacar que a mediados de año se hizo hincapié en la importancia de Internet como parte fundamental de la infraestructura de las sociedades modernas. El presidente estadounidense Barack Obama se centró en este tema en el muy comentado discurso que pronunció el 29 de mayo.

Sus palabras fueron objeto de una cálida bienvenida en la comunidad de seguridad por el hecho de que una serie de problemas que venía destacando han llegado ahora a tan alto nivel. Las comunidades modernas, como tales, reconocen ahora que los problemas de seguridad vinculados a Internet y a su infraestructura deben situarse en el centro del debate y considerarse como una amenaza para la capacidad de funcionar adecuadamente de una nación.

Encontrará información más detallada en nuestro artículo de seguridad:

• The Internet's challenges recognized at highest leveReconocimiento de los retos de Internet al máximo nivel

Predicciones para 2010

Nuestras previsiones para 2010 apuntan a que, fundamentalmente, no aparecerán nuevos problemas de seguridad (aunque ello puede ocurrir, por supuesto). Más bien, nuestro pronóstico es que habrá "un creciente hincapié en las tendencias populares recientes".

Para 2010, consideramos que los creados de malware se centrarán en las siguientes tendencias de seguridad::

• Mayor aprovechamiento, y más sofisticado, de las redes sociales.
• El software de seguridad malicioso mantendrá su popularidad.
• Persistirán los cócteles de malware; serán más flexibles y se desarrollará una tecnología de rootkits cada vez más avanzada.
• Las actualizaciones automáticas del malware serán más innovadoras.

Habrá dos problemas específicos que ponemos "bajo estrecha observación":

• ¿Aparecerá finalmente un malware para telefonía móvil que represente una amenaza real para un importante número de usuarios?
• ¿Será posible aprovechar de manera maliciosa la tecnología "en nube"?

Los debates del año anterior pueden consultarse en los siguientes vínculos