Artículos de Seguridad Threat Center ESET Online Scanner Amenazas Explicadas Niveles de Amenazas Consejos Prácticos Casos de Estudio ThreatSense ESET Live Grid
 
Amenazas Explicadas

ESET lo ayuda a protegerse brindándole conocimientos sobre los diferentes peligros que circulan por Internet.

Tipos de amenazas


Una amenaza es un software malicioso que intenta entrar en el computador de un usuario y dañarlo.

Virus

Un virus informático es una amenaza que daña los archivos que haya en el computador. Su nombre se debe a los virus biológicos, ya que usan técnicas similares para pasar de un computador a otro.

Los virus informáticos atacan sobre todo a archivos ejecutables, scripts y documentos. Para reproducirse, un virus adjunta su "cuerpo" al final de un archivo de destino.

En resumen, he aquí cómo funciona un virus informático: después de la ejecución del archivo infectado, el virus se activa (antes de la aplicación original) y realiza la tarea que tenga predefinida. Después, se ejecuta el programa original. Un virus no puede infectar un computador a menos que un usuario (accidental o deliberadamente) ejecute o abra el programa malicioso.

Los virus informáticos pueden tener diversos fines y niveles de gravedad. Algunos, debido a su capacidad para eliminar archivos del disco duro de forma deliberada, son muy peligrosos. Sin embargo, otros virus no causan daños reales: solo sirven para molestar al usuario y demostrar las capacidades técnicas de sus autores.

Es importante mencionar que los virus (si se comparan con los troyanos o el spyware) son cada vez menos habituales, ya que no son atractivos desde un punto de vista comercial para los autores de software malicioso. Además, el término virus se utiliza incorrectamente con mucha frecuencia para abarcar todo tipo de amenazas. Este término está desapareciendo gradualmente y se está sustituyendo por el término código malicioso, que es más preciso.

Si su computador se infecta con un virus, debe restaurar los archivos infectados a su estado original, es decir, desinfectarlos con un programa antivirus.

Gusanos (Worms)

Un gusano informático es un programa que contiene código malicioso que ataca a los computadores y se extiende a través de una red. La principal diferencia entre un virus y un gusano es que estos últimos tienen la capacidad de reproducirse y propagarse por sí mismos: no dependen de otros archivos (ni de sectores de inicio). Los gusanos se extienden a través de las direcciones de correo electrónico de la lista de contactos o aprovechan las vulnerabilidades de seguridad de las aplicaciones de red.

Por tanto, los gusanos son mucho más viables que los virus informáticos. Debido a la gran disponibilidad de Internet, se pueden extender por el mundo entero en cuestión de horas desde su lanzamiento y, en algunos casos, incluso en cuestión de minutos. Esta capacidad para reproducirse de forma independiente y rápida los hace más peligrosos que otros tipos de código malicioso.

Un gusano activado en un sistema puede causar una serie de problemas: puede eliminar archivos, degradar el rendimiento del sistema o incluso desactivar algunos programas. Además, su naturaleza le permite servir de "medio de transporte" para otros tipos de amenazas.

Si el computador está infectado con un gusano, es recomendable eliminar los archivos infectados, pues podrían contener código malicioso.

Troyanos (Trojans horses)

Históricamente, los troyanos informáticos se han definido como una clase de amenaza que intenta presentarse como un programa útil, engañando así a los usuarios para que permitan su ejecución.

Hoy en día, los troyanos ya no necesitan ocultarse bajo otra identidad. Su único fin es infiltrarse lo más fácilmente posible y cumplir sus malintencionados objetivos.

"Troyano" se ha convertido en un término muy general con el que describir cualquier amenaza que no entre en ninguna clase de amenaza específica.

Dado que se trata de una categoría muy amplia, con frecuencia se divide en muchas subcategorías:

Downloader (Descargador): programa malintencionado con capacidad para descargar otras amenazas de Internet.

Dropper (Lanzador): tipo de troyano diseñado para lanzar otros tipos de código malicioso en computadores vulnerables.

Backdoor (Puerta trasera): aplicación que se comunica con atacantes remotos y les permite acceder a los sistemas para tomar su control.

Keylogger (Registrador de teclas): programa que registra todas las teclas pulsadas por el usuario y envía la información a atacantes remotos.

Dialer (Discador): los discadores son programas diseñados para conectarse con números de tarificación adicional. Es casi imposible que un usuario note que se ha creado una conexión. Los discadores solo pueden causar daño a los usuarios con módems de discado telefónico, que ya prácticamente no se utilizan.

Por lo general, los troyanos parecen archivos ejecutables. Si se detecta un troyano en su computador, es recomendable que lo elimine, ya que lo más probable es que contenga códigos maliciosos.

Rootkits

Los rootkits son programas malintencionados que conceden a los atacantes de Internet acceso ilimitado a un equipo o a una red, al tiempo que ocultan su presencia. Una vez que han accedido al sistema (normalmente explotando alguna vulnerabilidad del mismo), estos programas usan funciones del sistema operativo para evitar su detección por parte del antivirus, ocultando procesos y archivos. Por este motivo, es casi imposible detectarlos con las técnicas de detección normales.

Hay dos niveles de detección disponibles para evitar los rootkits:

1. Cuando intentan acceder a un sistema. Aún no están presentes y, por lo tanto, están inactivos. La mayoría de los sistemas antivirus pueden eliminar rootkits en este nivel (suponiendo que realmente detectan dichos archivos como infectados).

2. Cuando se ocultan en el proceso normal de análisis.

Adware

Adware es la forma abreviada de ADvertising-supported softWARE ("software soportado con publicidad"). Los programas que muestran material publicitario se incluyen en esta categoría. Por lo general, las aplicaciones de adware abren automáticamente una ventana emergente nueva con anuncios en el navegador de Internet o cambian la página de inicio del mismo. El adware suele instalarse con programas gratuitos, lo que permite que los desarrolladores de esos programas cubran los costes de desarrollo de sus aplicaciones (normalmente útiles).

El adware no es peligroso en sí: lo único que molesta a los usuarios es la publicidad. El peligro reside en el hecho de que el adware también puede realizar funciones de seguimiento (como sucede con el spyware).

Si decide utilizar un producto gratuito, preste especial atención al programa de instalación. La mayoría de los instaladores le informarán sobre la instalación de un programa de adware adicional. Por lo general, podrá cancelarlo e instalar el programa sin el adware.

Sin embargo, algunos programas no se instalarán sin el adware o su funcionalidad se verá limitada. Esto significa que el adware puede acceder al sistema de manera "legal" a menudo, pues los usuarios así lo han aceptado. En este caso, es mejor prevenir que curar. Si se detecta un archivo de adware en su computador, se recomienda eliminarlo, ya que es muy posible que contenga código malicioso.

Spyware

Esta categoría abarca todas las aplicaciones que envían información privada sin el consentimiento o conocimiento del usuario. El spyware usa funciones de seguimiento para enviar diversos datos estadísticos, como una lista de sitios web visitados, direcciones de correo electrónico de la lista de contactos del usuario o una lista de teclas pulsadas.

Los autores de spyware afirman que el objetivo de estas técnicas es averiguar más sobre las necesidades y los intereses de los usuarios, así como permitir una publicidad mejor gestionada. El problema es que no existe una distinción clara entre aplicaciones útiles y aplicaciones malintencionadas, por lo que nadie puede estar seguro de que la información recuperada se vaya a utilizar correctamente.

Los datos que obtienen las aplicaciones spyware pueden contener códigos de seguridad, códigos PIN, números de cuentas bancarias, etc.

Con frecuencia, el spyware se instala junto con versiones gratuitas de programas con los que el autor pretende generar ingresos u ofrecer un incentivo para que se compre el software. A menudo, se informa a los usuarios acerca de la presencia de spyware durante la instalación de un programa con el fin de ofrecerles un incentivo para la adquisición de una versión de pago que no contenga dicha aplicación.

Algunos ejemplos de productos gratuitos conocidos que se instalan junto con spyware son las aplicaciones de redes P2P (peer to peer). Spyfalcon o Spy Sheriff (y muchos más) pertenecen a una subcategoría específica de spyware: parecen programas antispyware, pero en realidad son aplicaciones spyware.

Packers (Empaquetadores)

Un "packer" es un archivo ejecutable autoextraíble en tiempo de ejecución, lo que permite extraer y ejecutar varios tipos de códigos maliciosos en un solo paquete.

Los más comunes son UPX, PE_Compact, PKLite y ASPack. El mismo código malicioso se puede detectar de manera diferente cuando se comprime con un empaquetador diferente. Los "packers" también tienen la capacidad de hacer que sus "firmas" muten con el tiempo, haciendo que el código malicioso sea más difícil de detectar y eliminar.

Aplicaciones potencialmente peligrosas

Existen muchos programas legítimos que sirven para simplificar la administración de computadores en red. Sin embargo, si caen en las manos equivocadas podrían utilizarse con fines maliciosos. Los productos de ESET proporcionan la opción de detectar estas amenazas.

"Aplicaciones potencialmente peligrosas" es la clasificación que se utiliza para el software comercial legítimo. Esta clasificación incluye programas como herramientas de acceso remoto, aplicaciones para detectar contraseñas y registradores de pulsaciones (programas que graban todas las teclas pulsadas por un usuario).

Si detecta la presencia de una aplicación potencialmente peligrosa que esté en ejecución en su computador (y no la ha instalado usted), consulte con el administrador de la red o elimine la aplicación.

Aplicaciones potencialmente indeseables

Las aplicaciones potencialmente indeseables (PUA por sus siglas en inglés), no tienen por qué ser maliciosas, pero pueden afectar al rendimiento del computador de forma negativa. Dichas aplicaciones suelen necesitar que se consienta su instalación. Si se encuentran en su computador, el sistema se comportará de manera diferente (en comparación con el comportamiento previo a la instalación). Los cambios más importantes son:

  • Se abren ventanas nuevas que no se habían visto anteriormente
  • Se activan y ejecutan procesos ocultos
  • Se produce un mayor uso de los recursos del sistema
  • Hay cambios en los resultados de búsqueda
  • La aplicación se comunica con servidores remotos

Tipos de ataques remotos

Existen muchas técnicas especiales que permiten a los atacantes poner en peligro a sistemas remotos. Se dividen en varias categorías.

Ataques por denegación de servicio (DoS)

DoS (o Denegación de Servicio) es un intento de impedir la disponibilidad de un computador o de una red para sus usuarios. La comunicación entre usuarios afectados se bloquea y no se puede continuar de una manera funcional. Normalmente, los computadores expuestos a ataques DoS deben reiniciarse para que vuelvan a funcionar correctamente.

En la mayoría de casos, los objetivos son servidores web y la intención es que no estén disponibles para los usuarios durante un período de tiempo determinado.

Envenenamiento DNS (DNS Poisoning)

Mediante el envenenamiento DNS (servidor de nombres de dominio), los piratas informáticos pueden engañar al servidor DNS de cualquier computador para que crea que los datos falsos que le proporcionan son legítimos y auténticos. Como resultado, los usuarios que intenten acceder a sitios web, serán redirigidos a otros que pueden ser falsos (se pueden producir ataques de robo de identidad cuando se ingresan datos en una página que parece ser la verdadera), o descargarán en sus computadores virus o gusanos, en lugar del contenido original de los sitios.

Ataques de gusanos (Worms attacks)

Un gusano informático es un programa con código malicioso que ataca a los computadores y se extiende a través de una red.

Los gusanos de la red explotan las vulnerabilidades de seguridad de varias aplicaciones Debido a la disponibilidad de Internet, se pueden extender por todo el mundo en cuestión de horas desde su lanzamiento, y en algunos casos, incluso en minutos.

La mayoría de los ataques de gusanos (Sasser, SqISlammer) se pueden evitar usando la configuración de seguridad predeterminada del cortafuegos o bloqueando los puertos que no están protegidos o no se usan. También es fundamental que el sistema operativo esté actualizado con los parches de seguridad más recientes.

Análisis de puertos (Port scanning)

El análisis de puertos sirve para determinar los puertos del computador que están abiertos. El software de análisis de puertos se ha diseñado para encontrar dichos puertos.

Un puerto de computador es un punto virtual que administra los datos entrantes y salientes; esto es crucial desde el punto de vista de la seguridad. En una red grande, la información recopilada por el análisis de puertos puede ayudar a identificar posibles vulnerabilidades. Este uso es legítimo.

Sin embargo, es habitual que los delincuentes informáticos utilicen los análisis de puertos para vulnerar la seguridad. Su primer paso es enviar paquetes a cada puerto. En función del tipo de respuesta, es posible determinar los puertos que están en uso. El análisis en sí no causa daños, pero tenga en cuenta que esta actividad puede revelar posibles vulnerabilidades y permitir a los atacantes tomar el control de computadores remotos.

Se aconseja a los administradores de red bloquear todos los puertos no usados, abrir solo los que se necesiten y protegerlos contra el acceso no autorizado.

Desincronización TCP (TCP desynchronization)

La desincronización TCP es una técnica que se usa en ataques de secuestro de TCP. Se desencadena mediante un proceso en el que el número secuencial de paquetes entrantes difiere del número secuencial previsto. Se rechazan los paquetes con un número secuencial no previsto (o se guardan en el almacén del búfer, si están presentes en la ventana de comunicación actual).

En caso de desincronización, ambos puntos finales de comunicación rechazan los paquetes recibidos y es entonces cuando los atacantes remotos pueden infiltrarse y proporcionar paquetes con un número secuencial correcto. Los atacantes incluso pueden manipular o modificar la comunicación.

El objetivo de los ataques de secuestro de TCP es interrumpir las comunicaciones servidor-cliente o de igual a igual (Peer-To-Peer). Muchos ataques se pueden evitar usando autenticación para cada segmento de TCP. También se aconseja usar las configuraciones recomendadas para los dispositivos de red.

Transmisión SMB (SMB Relay)

SMBRelay y SMBRelay2 son programas especiales para llevar a cabo un ataque contra computadores remotos. Los programas aprovechan el protocolo para compartir archivos Bloque de mensajes del servidor, que tiene capas en NetBIOS. La mayoría de los usuarios que comparten una carpeta o directorio en la red local utilizan este protocolo de uso compartido de archivos.

Dentro de la comunicación de red local, se intercambian hashes de contraseña.

SMBRelay recibe una conexión en los puertos UDP 139 y 445, transmite los paquetes intercambiados por el cliente y el servidor, y los modifica Una vez realizadas la conexión y la autenticación, el cliente se desconecta. SMBRelay crea una nueva dirección IP virtual. SMBRelay transmite la comunicación del protocolo SMB, excepto la relacionada con la negociación y la autenticación. Los atacantes remotos pueden usar la dirección IP, siempre que el computador cliente esté conectado.

SMBRelay2 funciona según el mismo principio que SMBRelay, con la diferencia de que usa nombres de NetBIOS en lugar de direcciones IP. Ambos pueden realizar ataques "hombre en medio". Estos ataques permiten a los atacantes remotos leer, insertar y modificar mensajes intercambiados entre dos puntos finales de comunicación sin ser detectados.

Normalmente, los computadores expuestos a dichos ataques dejan de responder o se reinician inesperadamente.

Para evitar ataques, es recomendable utilizar contraseñas o claves de autenticación.

Ataques ICMP (ICMP attacks)

El ICMP (Protocolo de Mensajes de Control de Internet) es un protocolo de Internet muy conocido, utilizado fundamentalmente para enviar distintos mensajes de error entre equipos conectados en red.

Los atacantes remotos intentan aprovecharse de los puntos débiles del protocolo ICMP, que está diseñado para la comunicación unidireccional sin autenticación. De esta manera, los ataques remotos pueden activar los denominados ataques DoS (Denegación de Servicio) o los ataques que proporcionan a personas no autorizadas el acceso a paquetes entrantes y salientes.

Entre los ejemplos más habituales de ataques ICMP se encuentran los ataques "flood" mediante Ping, "flood" de ICMP_ECHO y los ataques Smurf (denegación de servicio). Los computadores expuestos al ataque ICMP se vuelven significativamente más lentos (afecta a todas las aplicaciones que usen Internet) y tienen problemas para conectarse a la red.

Correo electrónico

El correo electrónico es una forma de comunicación moderna que ofrece muchas ventajas: es flexible, rápido y directo, y tuvo un papel fundamental en la expansión de Internet a principios de los años 90.

Lamentablemente, a causa de su alto nivel de anonimato, el correo electrónico e Internet dan cabida a actividades ilegales como la distribución de correo no deseado.

El correo no deseado incluye anuncios no solicitados e información falsa, así como la difusión de software malicioso (malware). Sus inconvenientes y peligros para el usuario son mayores porque el envío de correo no deseado tiene un coste mínimo, y los autores de este tipo de correo disponen de muchas herramientas para obtener nuevas direcciones de correo electrónico.

Además, la cantidad y la variedad de correo no deseado dificultan en gran medida su regulación. Cuanto más utilice su dirección de correo electrónico, mayores serán las posibilidades de que acabe en la base de datos de un motor de correo no deseado. A continuación le ofrecemos algunos consejos para su prevención:

  • Si es posible, no publique su dirección de correo electrónico en Internet.
  • Proporcione su dirección de correo electrónico únicamente a personas de confianza.
  • Si es posible, no utilice alias comunes; cuanto más complicado sean los alias, menor será la posibilidad de que puedan obtenerlos.
  • No conteste a los mensajes no deseados que lleguen a su bandeja de entrada.
  • Tenga cuidado cuando rellene formularios en Internet, preste especial atención a casillas del tipo "Sí, deseo recibir información".
  • Utilice direcciones de correo electrónico "especializadas". Por ejemplo, una para el trabajo, otra para comunicarse con sus amigos, etc.
  • Utilice una solución contra correo no deseado (antispam).

Publicidad

La publicidad en Internet es una de las que presenta un crecimiento más rápido. Sus principales ventajas de marketing son los costes mínimos, un contacto muy directo, y lo más importante, el hecho de que los mensajes se entregan de forma casi inmediata.

Muchas empresas utilizan herramientas de marketing por correo electrónico para comunicarse eficazmente con sus clientes actuales y potenciales.

Este tipo de publicidad es legítimo, ya que es posible que el usuario esté interesado en recibir información comercial sobre algunos productos. No obstante, son muchas las empresas que envían mensajes publicitarios no deseados en serie. En estos casos, la publicidad por correo electrónico sobrepasa sus límites y se convierte en correo no deseado (spam).

Actualmente, la enorme cantidad de correo no solicitado constituye un problema y no tiene visos de disminuir. Los autores de correos electrónicos no solicitados intentan disfrazar el correo no deseado como mensajes legítimos.

Información falsa (Hoaxes)

La información falsa u "hoax", se extiende a través de Internet. Normalmente, la información falsa se envía mediante herramientas de comunicación o correo electrónico como ICQ y Skype. El mensaje en sí suele ser una broma o una "leyenda urbana".

Los "hoaxes" sobre virus de computadora, pretenden generar miedo, incertidumbre y duda en los destinatarios, haciéndoles creer que existe un "virus indetectable" que elimina archivos y recupera contraseñas, o que realiza ciertas acciones que pueden provocar daños en el sistema.

Algunos elementos de información falsa solicitan a los destinatarios que reenvíen los mensajes a sus contactos, divulgando así dicha información. La información falsa también se transmite a través de teléfonos móviles, peticiones de ayuda, personas que se ofrecen a enviarle dinero desde países extranjeros, etc. Por lo general, es imposible averiguar la intención del creador.

Si recibe un mensaje donde se le solicita que lo reenvíe a todas las personas que conozca, es muy probable que se trate de información falsa. En Internet encontrará muchos sitios web que pueden verificar la legitimidad de un mensaje de correo electrónico. Antes de reenviarlo, realice una búsqueda en Internet sobre cualquier mensaje que sospeche que contiene información falsa.

Phishing

El término phishing define una actividad delictiva que usa técnicas de ingeniería social (manipulación del propio usuario para obtener información confidencial mediante engaños). Su objetivo es acceder a datos confidenciales como números de cuentas bancarias, códigos PIN, etc.

Normalmente, el acceso se consigue mediante el envío de correos electrónicos disfrazados de personas o empresas serias (como instituciones financieras o compañías de seguros, etc.). La apariencia del correo electrónico puede ser muy genuina, y contener gráficos y texto originales de la fuente por la que desean hacerse pasar. En el mensaje se le pide que escriba, con varios pretextos (verificación de datos, operaciones financieras, etc.), algunos de sus datos personales: números de cuentas bancarias o nombres de usuario y contraseñas. Dichos datos, si se envían, pueden ser fácilmente sustraídos o utilizados de forma fraudulenta.

Los bancos, las compañías de seguros y otras empresas legítimas nunca le pedirían sus nombres de usuario y contraseña en un correo electrónico no solicitado.

Scams

Se le dice SCAM a los engaños, mezcla de SPAM (correo basura) y HOAXES (bromas o falsas alertas) que circulan por la red, generalmente con la intención de cometer algún tipo de fraude.

Los scam (o estafas) son bastante parecidas al phishing, pero generalmente no apuntan a obtener datos del usuario, sino que apelan a la compasión o a la ambición humana. Por ejemplo, cada desastre (terremoto, inundación, guerra, hambruna) ha generado grandes cantidades de estafas, en general peticiones de ayuda caritativa para una causa "válida".

Los fraudes (a veces llamados SCAM-419) le ofrecen la oportunidad de obtener hasta miles de dólares, etc., supuestamente ayudando al estafador a transferir sumas de dinero aun mayores fuera de un país (habitualmente de un país africano como Nigeria).

Estos engaños siempre terminan en un pedido a la víctima para que la misma envíe al estafador un poco de dinero para cubrir costos "administrativos" (en general unos cientos de dólares).

Reconocimiento de "scams"

Por lo general, son varios los indicadores que pueden ayudarle a identificar este tipo de mensajes en su buzón de correo. Si un mensaje cumple, como mínimo, una de las siguientes condiciones, es muy probable que se trate de un mensaje de correo no deseado.

  • La dirección del remitente no pertenece a ninguna persona de su lista de contactos.
  • En el mensaje se le ofrece una gran cantidad de dinero, pero previamente tiene que proporcionar una pequeña cantidad "para gastos", por ejemplo.
  • En el mensaje se le pide con varios pretextos (verificación de datos, operaciones financieras, etc.), que escriba algunos de sus datos personales: números de cuentas bancarias, nombres de usuario y contraseñas, etc.
  • Está escrito en otro idioma.
  • Se le solicita que adquiera un producto en el que no está interesado. Si decide comprarlo de todos modos, compruebe que el remitente del mensaje es un proveedor fiable (consulte al fabricante del producto original).
  • Algunas palabras están mal escritas para intentar engañar a su filtro de correo no deseado. Por ejemplo, "vaigra" en vez de "viagra", etc.






Principio de la página Página anterior Imprimir esta página