OscarRalOrtegaPacheco

esde la aparicin de las primeras computadoras han existido fallas en los sistemas, las cuales ocurren en ocasiones de modo inesperado pero tambin pueden ocurrir intencionalmente y es en este punto donde surgen los programas de cdigo malicioso o malware,quesonprogramasconlatareafundamentaldeocasionaralgndaoenelequipode cmputo o en la informacin para finalmente obtener algn beneficio para su creador o distribuidor. motivacinquevamsalldelreconocimiento personal,puesatravsdelacreacindeestas herramientas es posible obtener algn beneficio derivado del robo de informacin o abuso de los recursos del equipo comprometido (Ortega, 2008), lo que ha permitido la formacin de organizaciones dedicadas a desarrollar y distribuir malware. Esta nueva manera de pensar, de reconocimiento a negocio, ha trado consigo una gran variedad de cdigos maliciosos que podemos clasificar de la siguiente manera (Jimnez,2007): Virus:Programasinformticososecuencias decomandosqueintentanpropagarsesinel consentimiento y conocimiento del usuario (Fuentes,2006)yquerealizanalgunaaccin maliciosa. Entre sus principales caractersticas podemos identificar las siguientes: o Se presentan como archivos ejecutables, o han adherido su cdigo malicioso a imgenes,hojasdeclculoodocumentos. o No pueden reproducirse por s mismos, es decir para infectar otras computadoras es necesarioqueelusuariointervenga. o Llevanacabounaactividadmaliciosa.

El primer programa de cdigo malicioso, Darwin,surgicomounjuegoinformticoque consistaencrearunaseriedeprogramasque competanporlamemoriadelacomputadora, siendoganadoraquelprogramaquecapturara la mayor cantidad de memoria y lograra eliminarasuscompetidores.Estacaracterstica de competir por los recursos del equipo (memoria, almacenamiento, etctera) se convirti en un elemento bsico del malware, pues en los primeros programas de cdigo malicioso era posible identificar cuando nuestro equipo era infectado ya que su rendimiento o capacidad de almacenamiento disminua drsticamente, pero hoy en da los creadores de malware han desarrollado tcnicas capaces de ocultar sus actividades maliciosas para prevenir que el usuario se percate de su existencia y as puedan garantizar su estancia en el equipo infectado (Roberts, 2008). Esto se debe a que su propsito ha cambiado pues inicialmente los desarrolladores de malware buscaban demostrar sus conocimientos y en muchas ocasiones trabajaban para alcanzar algn reconocimiento de la comunidad, bastaba con lograr que su programa fuera identificado por algnsoftwareantivirus.Ennuestrostiempos, desarrollar cdigos maliciosos responde a una

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

Caballo de troya (troyano): Programa de computadora que aparenta tener una funcin til, pero que contiene cdigo posiblemente malicioso para evadir mecanismos de seguridad, a veces explotandoaccesoslegtimosenunsistema. (UNAMCERT,s.a.) Gusanos: Son programas que buscan propagarselomsrpidoposibletratandode infectarelmayornmeroposibledeequipos, loqueenocasionestienecomoconsecuencia el colapso de las comunicaciones en la red. (Lpez,2006) Bot:Programaoscriptquerealizafunciones que de otra manera habra que hacer manualmente. Tambin se refiere a una computadora que ha sido comprometida y que ejecuta las instrucciones que el intruso ordena.(UNAMCERT,s.a.) Spyware: Tambin conocido como programa espa y comnmente se refiere a aplicacionesquerecopilaninformacinsobre una persona u organizacin, las cuales se instalanyseejecutansinelconocimientodel usuario.(Jimnez,2005) Adware:Sonprogramasqueseinstalanenel equipoconosinintervencindelusuario,su objetivo principal es descargar publicidad la computadorainfectada. Dialers: Programas que utilizan el modem para realizar llamadas a servicios telefnicos conaltocosto. Puertas traseras: Son programas que tienen por objetivo hacer alguna modificacin que permita a un tercero tener acceso total al equipo,alaredy/oalainformacin.
Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

Cabe sealar que los desarrolladores de malware mezclan las diversas clasificaciones por lo que no es difcil encontrar programas maliciosos que se comportan como gusanos peroquetienencaractersticasdevirusobots. Hasta el momento hemos mencionado que estos programas realizan alguna actividad maliciosa en el equipo infectado, pero qu tipodeactividadmaliciosa?Entrelasacciones msrepresentativasdelmalwareencontramos lassiguientes: Robodeinformacin.Entrelainformacin quepuedebuscarunintrusoatravsdeun cdigo maliciosos encontramos: informacin relacionada con juegos, datos personales,informacindeiniciodesesin (usuarios y contraseas) y tambin informacin relacionada con la actividad que realizamos en nuestra computadora, incluyendo hbitos de navegacin y programas. Envo de correo no deseado (spam). Algunos programas maliciosos utilizan nuestra computadora e Internet para enviar correos publicitarios o con contenido malicioso a mltiples usuarios enInternet. Control remoto. Esta accin permite a un usuariomaliciosotomarcontroldenuestro equipo, esto le permitira utilizar nuestros recursos para almacenar ms malware o para instalar programas o eliminar datos; aunquetambinpodrautilizarseelequipo parallevaracaboataquesaotrosequipos deInternet. Ataques de ingeniera social. Existe una nueva tendencia de fabricar malware que tiene por objetivo intimidar, espantar o

 molestar a los usuarios para que compren ciertos productos (Roberts, 2008). Por ejemplo, existe cdigo malicioso que se hace pasar por un antivirus y alerta a los usuarios de que el equipo est supuestamente infectado y que la nica manera de eliminar la infeccin es adquiriendo un software promocionado porelmalware(Garnham,2009). Estos problemas ocasionados por los cdigos maliciosos pueden ser mitigados si como usuarios de los sistemas establecemos mecanismos para prevenir o erradicar una infeccin. Para ello es indispensable que identifiquemos si nuestro equipo ha sido infectado; anteriormente hemos mencionado que los desarrolladores de malware han mejorado sus tcnicas para prevenir que los usuarioslocalicensupresencia,apesardeello an existen caractersticas que nos permiten identificar si nuestra computadora est infectada: Disminucin del rendimiento del equipo: Cuando un cdigo malicioso se ejecuta utiliza recursos de memoria y procesamiento por lo que podemos identificar la presencia de malware si nuestro equipo se vuelve ms lento sin raznaparente. Problemasenlared:Debidoaquealgunos cdigos maliciosos hacen uso de la conexin a red, podemos detectar su presencia si se presentan fallas en la red (no es posible conectarse a sitios, no se pueden compartir archivos, etctera) o simplemente si nuestras transferencias tardanmsdeloesperado. Aparicininesperadadepublicidad.
Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

Prdidainesperadadeinformacin. Aparicin de nuevos archivos no creados porelusuario:Algunoscdigosmaliciosos crean archivos en el sistema por lo que la disminucinrepentinadeespacioendisco, as como la aparicin de archivos en el sistema que no hayan sido creados por el usuariopuedeserunsntomadeinfeccin. Desactivacin del antivirus y otro software de seguridad: Algunas variantes de cdigos maliciosos son capaces de desactivar la proteccin antivirus y del software de seguridad de nuestro equipo comofirewall,antispyware,etctera.

Unavezidentificadalainfeccinpormalwareen nuestroequipoesnecesario: Realizar un escaneo con un antivirus y antispyware actualizados: Un antivirus y un antispyware actualizados podran localizar la infeccin y erradicarla por completo del equipo. El escaneo se puede realizar medianteelantivirusinstaladoenelequipoo utilizandoelserviciodeunantivirusenlnea. Utilizar programas de eliminacin automtica: Podemos encontrar en Internet herramientas automatizadas que permiten eliminar cdigos maliciosos,ladesventajaes que solamente eliminan una variedad o un cdigomaliciosomuyespecfico. Eliminar manualmente: Si investigamos acerca del cdigo malicioso que afecta al sistemaencontramosculessonlasacciones que realiza y cmo se eliminara manualmente, sin embargo estos procedimientosserecomiendansolamentea usuariosexperimentados.

Reinstalar el sistema operativo: Este mtodoslodebeserutilizadocuando no esposibleeliminaralmalwareporninguna de las recomendaciones anteriores, sin olvidar que se debe respaldar la informacin antes de llevar a cabo sta accin. Analizar los archivos con un antivirus antes de abrirlos. Es recomendable solicitar al antivirus que lleve a cabo un anlisis antes de que abramos un archivo, en especial debemos realizar esta accin cuando son archivos que abrimos por primera vez y/o que provienen de otro equipo. Analizar medios extrables como: disquetes, memorias usb, cds, etctera. Cuando insertamos medios extrables en otrosequipospuedencontagiarsedealgn tipodecdigomalicioso,porloqueantes de abrir el dispositivo y los archivos que contiene debemos analizarlo con un antivirusenbsquedademalware. Actualizar el sistema constantemente. Algunos virus pueden tomar ventaja de algunas vulnerabilidades no actualizadas en el sistema, por lo que es indispensable instalar las actualizaciones de seguridad ms recientes. Esto permitir estar protegido contra posibles ataques de distintosvirusquetratendetomarventaja de una vulnerabilidad no actualizada. (Fuentes,2006)

Sin embargo no es suficiente tomar acciones reactivasanteunainfeccinpormalware,pues actuarsolamentecuandoelmalwarehatenido algnefectopodratraerconsigoundaoalas computadoras o a la informacin que pudiera ser irreversible, por lo que es necesario que tambin establezcamos acciones preventivas quenosayudenadisminuirlasprobabilidades dequecdigosmaliciososnosafecten: Instalar y actualizar un software antivirus.Unsoftwareantivirusnoevitala infeccinporpartedeunvirusdeInternet, perosiayudaaladeteccindestetipode cdigo malicioso. Es necesario instalar, administrar y actualizar un software antivirus de forma correcta, pero no debe ser el nico software de seguridad en el equipo(Fuentes,2006). Noabrirarchivosadjuntoscontenidosen correos electrnicos de procedencia extraa.Unagrandiversidaddevirusenel Internet se propagan a travs del correo electrnico,adjuntandoaestosunarchivo infectado con lo cual se puedan seguir propagando (Fuentes, 2006), por lo que slo deben de ser abiertos aquellos documentos adjuntos que provengan de una fuente confiable y siempre que haya sido analizado por un antivirus antes de abrirlo.

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

IvnMauricioAlvaradoLimones JulioCsarGarcaVizcano

ace algunos aos era imposible pensar en la existencia de cdigos maliciosos para dispositivosmviles(telfonoscelulares,PDAs,memoriasUSB,etctera).Sinembargo, cdigos como Cabir, Comwar o Skuller.gen, nos ponen en alerta, pues los cdigos maliciosos en dispositivos mviles son un problema que debemos enfrentar para prevenir que estos sistemas accedan, modifiquen o alteren la informacin o el funcionamiento de nuestros dispositivos. Internet sin autorizacin del propietario del dispositivo. Pero estos no son los nicos ataquesexistentesenlosdispositivosmviles, pues debido a las actividades que llevamos a cabo podemosencontrarataquesde smishing que son ataques que buscan obtener informacin confidencial de los usuarios a travsdemensajesSMS.Yaunquesonmuchas las vulnerabilidades explotadas y los cdigos maliciosos desarrollados para dispositivos mviles, la principal vulnerabilidad no est en los sistemas, si no en la desinformacin y la falta de cultura de seguridad informtica existente entre los usuarios de tecnologa mvil, pues los distribuidores de cdigos maliciososutilizantcnicasdeingenierasocial para convencer al usuario de ejecutar su cdigomalicioso. De manera que para mejorar la seguridad en losdispositivosmvilespodemosllevaracabo algunasactividadescomolassiguientes: Mantener desactivada las tecnologas de comunicacininalmbricacomoBluetooth eInfrarrojomientrasnoseestutilizando, pues muchos cdigos maliciosos aprovechanestemedioparapropagarse.

Susurgimientohasidograciasalrpidoavance enlatecnologamvilyaqueprecisamente,la capacidadyelmtododealmacenamientode datos,lasincronizacinconlacomputadorade laoficinaodelacasa,laintegracindelcorreo electrnico y el desarrollo de aplicaciones empresariales y personales que nos permiten guardar datos y realizar operaciones que normalmente realizaramos con una PC y si bien este tipo de ataques se ha considerado comonuevo,larealidadesquesontcnicas que se han manejado en el mundo de las computadoras personales desde sus inicios, pues los cdigos en dispositivos mviles, al igual que en las computadoras, son cdigos capacesdeocasionaralgndaoenelsistema oenlainformacin. Entre las diferentes versiones o variantes de estos cdigos existen comportamientos muy similares ya que aprovechan vulnerabilidades que permiten robar informacin personal, replicarse hacia sus contactos de la agenda para continuar la infeccin, establecer contacto remoto con alguna entidad externa para que sta controle por completo el dispositivo siendo capaz de descargar imgenes, realizar llamadas y conectarse a

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

 Noaceptartransferenciasdearchivos,ni descargas de fuentes no confiables, as como tambin, evitar el acceso a sitios Webdesconocidos. Utilizar una contrasea de inicio del equipo y otra diferente para el acceso a losdatosoinformacinimportante. Actualizar constantemente el sistema operativo y las aplicaciones del dispositivo. Sisemanejainformacinconfidencialen estosdispositivos,serecomiendacifrarla paraevitarsulecturaencasodeextravo orobodeldispositivo. Efectuar un respaldo peridico de informacin.

En las empresas podran implementarse polticasdeseguridadquedefinaneluso adecuado de los dispositivos mviles, al tiempo que definan mecanismos de control de acceso a los recursos compartidosmediantemviles.

Esimportantemencionarqueenelmercado existenotrosmtodosdeproteccincomola adquisicin de software de seguridad para dispositivos mviles que provean de proteccinalainformacinanteeventosde robo. Sabemos que no existe seguridad al 100%,peroesposibledisminuirlosriesgosa los que nos enfrentamos si como usuarios realizamosunusoadecuadoyconscientede la tecnologa, conociendo los peligros existentes y lo ms importante adoptando medidasparaprotegernos.

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

RubnAquinoLuna

n los meses recientes y particularmente en los primeros meses de 2009 casi todos hemos escuchado hablar sobre el gusano Conficker a travs de los medios de comunicacin. Es probable tambin que muchas veces no quede totalmente claro por qu este gusano parece tan importante y por qu es distinto a otros. En este artculo se describequesConficker,suevolucinysuimpactoenredesdeMxico. explotacindelavulnerabilidaddocumentada en el boletn MS08067, buscando equipos vulnerablesenlared.

Elorigen
El 20 de noviembre de 2008 se comenz a propagar un gusano que aprovechaba la vulnerabilidad en el servicio de servidor de sistemasWindowsdocumentadaenelboletn de seguridad Microsoft MS08067 que fue liberado de manera extraordinaria el 23 de octubrede2008. El nuevo gusano, sin embargo, no fue el primerartefactoconocidoqueaprovechaba la vulnerabilidad en el servicio de servidor y que permita la ejecucin de cdigo de manera remota a travs del envo de paquetes RPC diseados especialmente al puerto445/TCPdelamquinavctima.Desde septiembre de 2008 se distribua un toolkit, que permita explotar un nuevo hueco de seguridad en un componentedelossistemas Windows (llamado (RPCDCOM), a un costo de37USD. Los primeros intentos por vulnerar de forma masiva PCs a travs del nuevo hueco de seguridad fueron relativamente infructuosos. Hasta el 23 de octubre de 2008 en que comenzlapropagacindelgusanoConficker, o Downadup como tambin se le conoce. La primera versin, conocida como Conficker.A, se propaga masivamente a travs de la

Evolucin
Conficker no es un gusano que nicamente busca propagarse e infectar otros equipos. Adems del comportamiento de auto propagacin propia de un gusano, una vez que ha infectado un equipo, Conficker busca descargar archivos maliciosos adicionales o actualizaciones desde un conjunto de dominios que genera diariamente de manera aleatoria. Estecomportamientopermiteconformaruna botnet controlada de forma descentralizada con las instrucciones enviadas a los bots a travs de la descarga de archivos desde los sitios web direccionados a travs de dominiosaleatorios. Cadada,cadainstanciadeConfickergenera una nueva lista de dominios a los cuales buscar conectarse. Esta caracterstica de operacin se aprovech tambin como elemento de mitigacin, ya que a partir del anlisisdelbinario,sedescubrielalgoritmo degeneracindelosnombrededominiosy los responsables de los Top Level Domains

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

 (como NICMX en Mxico) pudieron actuar de manera conjunta para registrar los nombres de dominio que usara Conficker y redirigir el trfico hacia sinkholes, que son instrumentosdemitigacinymonitoreo.Los sinkholeshanpermitidoengaaralgusano que busca actualizarse y, en lugar de conectarse a un sitio de actualizacin, se conectaaunequipocontroladoenelqueno serespondeasuspeticionesdedescargade archivos y slo se registran sus datos para identificarelequipoinfectado. Existen diversas variantes de Conficker que han ido surgiendo y cambiando desde la primera versin de Conficker.A. Desde noviembre de 2008 se han observado al menos 3 variantes de esta amenaza, de las cuales las versiones A y B han sido las de mayorimpactodesdesuaparicinyhastala actualidad.LavarianteBdeConfickeragreg mtodos de propagacin que resultaron muy eficientes. Adems de buscar la vulnerabilidad en el servicio de servidor de Windows,Conficker.Bsepropagaatravsde recursos compartidos en red a travs de NetBIOS. Busca recursos compartidos sin restricciones y si es necesario, realiza ataquesdefuerzabrutaparabuscarvulnerar los objetivos. Adems, implementa la propagacin a travs de dispositivos de almacenamiento USB, copindose en el autorun.infenlosdispositivosremovibles,lo quehacequeelbinarioseejecutecadavez que el dispositivo USB se conecta a un equipo.

Durante su evolucin, Conficker tambin ha tenido vulnerabilidades significativas. Conficker.B implement el uso del algoritmo hash MD6 para ofuscar la informacin que se transmita entre las PCsinfectadasylossitiosdecontrol.El15 de enero de 2009 el MIT publica una vulnerabilidaden MD6y almismo tiempo libera el parche. Esta vulnerabilidad exponelainformacintransmitidaentre sitios de control y bots. La ofuscacin en los datos se implant en Conficker para evitar que bandas rivales tomaran control de la botnet. La versin C de Conficker incluyeelparchedelavulnerabilidadpero adems incluye el intercambio de informacin a travs de protocolos P2P entre bots, lo cual descentraliza totalmente el control de la botnet y complicasudeteccinymonitoreo. El siguiente grfico muestra una lnea de tiempoconlainformacinmsimportante sobrelaevolucindeConficker.

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

 El impacto inicial y el potencial malicioso de Conficker hizo que muchas de las principales organizaciones relacionadas con la seguridad informtica en el mundo canalizaran los esfuerzos de mitigacin de esta amenaza a travs de la creacin del Conficker Working Group, desde donde han surgido muchas de las acciones de mitigacinglobales.

El pas con mayor nmero de infecciones era China y en Latinoamrica Brasil, Argentina, Chile y Colombia superaban a Mxico en nmero de direcciones IP infectadas. Los pases que se encuentran en los primeros 18 lugares en nmero de infecciones, de acuerdo a este censo, se listanenlasiguientetabla.
Pas CN BR RU IN AR TW IT CL UA MY KR DE US RO CO TH ID MX Total 2,649,674 1,017,825 835,970 607,172 569,445 413,762 374,513 280,182 274,411 212,477 201,107 195,923 191,531 182,790 169,597 165,080 164,794 151,861 Conficker.A 1,265,792 314,574 229,497 296,544 458,403 311,305 94,210 208,514 35,422 102,099 38,340 76,154 121,323 38,497 99,603 39,000 66,623 95,694 Conficker.B 1,558,286 786,014 718,883 423,945 240,301 125,779 290,102 136,799 255,889 135,737 169,911 122,682 75,262 153,666 94,134 135,546 123,717 72,287

ConfickerenMxico
En las redes de Mxico hemos padecido y seguimos padeciendo el efecto de la propagacin de Conficker en sus distintas versiones. A lo largo de estos meses hemos visto redes completas que en algn momento se vuelven prcticamente inoperantesdebidoalaactividaddelgusano que,unavezhabiendoinfectadounequipo, sepropagarpidamentealrestodelaredsi enellaseencuentranequiposvulnerableso que comparten recursos sin ninguna restriccin. Desde finales de Marzo de 2008, UNAM CERT realiza un monitoreo diario de la cantidad de equipos en redes de Mxico que estn infectados con alguna variante de Conficker. La evolucin de la infeccin desdeesafechasemuestraenlagrfica2. De acuerdo a un censo realizado por SRI International, desde el inicio de la propagacin de Conficker y hasta principios de marzo de este ao, se haba observadoactividaddelgusanoen151,861 direcciones IP distintas en redes de Mxico.

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

Internet, proveedores de servicio de nombres, equipos de respuesta a incidentes,etc.

Conclusiones
Conficker y sus diversas variantes han mostradoelpotencialmaliciosoquepuede llegaratenerenlaactualidadunaamenaza informticaquesepropagamasivamentey cmo sta puede evolucionar rpidamente parahacersemseficienteensuoperacin. Algunas de las tcnicas que usa Conficker parapropagarsenosonnuevas.Aprovecha de manera eficaz, una vez ms, el eslabn ms dbil de la seguridad informtica. La propagacin inicial aprovechaba una vulnerabilidad conocida para la cual ya existaunparche.Otraformamuyeficiente de propagacin de este gusano es a travs del intercambio de dispositivos de almacenamiento USB, lo cual permite evadir la proteccin perimetral con que muchas organizaciones cuentan en la actualidad.Nosrecuerda,portanto,quela proteccinperimetralnoessuficientepara asegurar los activos informticos de una organizacin. Por otro lado, la colaboracin construida entre diversas organizaciones dedicadas a proveer productos y servicios de seguridad informtica funcion de manera notable para lograr contener el impacto de Conficker y representa una importante leccin sobre la forma en que puede mitigarse una amenaza informtica global de este tipo. En la contencin de la amenaza participaron fabricantes de antivirus, organizaciones dedicadas al anlisisdecdigosmaliciosos,analistasde amenazas informticas, proveedores de

Referencias
[1]http://www.confickerworkinggroup.org [2]http://mtc.sri.com/Conficker/ [3]http://www.honeynet.org [4]http://www.microsoft.com/latam/ technet/seguridad/boletines/2008/ms08 067.mspx [5]http://www.seguridad.unam.mx

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.


JulioCsarGarcaVizcano OscarRalOrtegaPacheco

travs de los aos hemos visto gran cantidad de productos orientados a proteger a nuestros equipos de cmputo y, en especial, a la informacin que contienen. Los productos ms comunes han sido los antivirus y dado que las necesidades de proteccin han incrementado encontramos en el mercado productos como antispyware,barrasantiphishing,proteccinparacorreoelectrnico,etctera.Manejarestos productosporseparadocomplicaausuariosyadministradoresverificarsufuncionamientoy niveldeactualizaciones,loquepodraponerenriesgoalainformacindelacompaaode nuestro hogar, es por ello que los diversos fabricantes de software de seguridad han introducidolassuitesdeseguridad.

Unasuitedeseguridadesunconjuntode aplicaciones que se ejecutan en un sistema de cmputo para proveer de proteccin ante agentes externos que puedan afectar la integridad, disponibilidad y confidencialidad de la informacinalmacenadaeneseequipode cmputo [] (Garca, 2009:29), es decir una suite de seguridad incorpora a diversos productos de proteccin a la informacin, por ejemplo, en el mercado podemos encontrar suites que provean proteccinantivirusalmismotiempoque nosprotegendeataquesenInternetode robo de identidad. Esto nos lleva a plantear los tipos de suites de seguridad queexistenenelmercado: Solucionescorporativas:sonaplicaciones que proveen de proteccin a equipos pero que trabajan en una administracin centralizada,estosignificaqueatravsde un servidor central se puede instalar, configuraroeliminarreglasdeproteccin.

Su principal mercado son entornos empresariales. Soluciones de usuario final: son aplicacionesqueproveendeproteccina equipos de trabajo y sus configuraciones se pueden realizar directamente en el equiposinla necesidad de contar con un servidor. Estas aplicaciones se recomiendan para hogaresyconpocoequipodecmputo. Prcticamente todas las suites de seguridad proveen proteccin contra cdigos maliciosos con un buen nivel de respuesta, esto se debe a que combinan diversas tcnicas de deteccin y erradicacin, por lo que antes de considerar adquirir una debemos tomar encuentaotrascaractersticasquevayan ms all de la proteccin de cdigos maliciosos: Integracin con el sistema operativo: se debe de asegurar que la suite de seguridadpuedaejecutarsesinproblemas ennuestrosistemaoperativo.

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinlaautorizacin deltitulardelaobra.

 Proteccin proactiva al navegar en Internet: la suite debe de ser capaz de prevenirataquesprovenientesdeInternet, as como tambin de la capacidad de detener la descarga de archivos que sean perjudicialesparaelequipodecmputo. Proteccinparacorreoelectrnico:mucha de la informacin que se comparte con diferentes usuarios es mediante el correo electrnico, es por ello que el software malicioso podra utilizar este medio para infectar el equipo de cmputo. La proteccin que pueda proveer para el correo electrnico ser mediante los diferentes protocolos: POP3, IMAP, MAPI, Exchange,SMTP. Proteccincontrarobodeidentidad:enla actualidad es comn el robo de identidad, la solucin que se adquiera debe de tener la capacidad de proteger al usuario del robodeinformacinconfidencial,estolose verificarsilasuitedeseguridadcontieneun componente que proteja los datos que incluimosenunformularioositienealgn mecanismo para evitar que las claves almacenadas en el equipo sean descubiertas. Proteccincontraprdidadeinformacin: lacapacidaddedesinfectararchivosvamuy de la mano con el manejo que la suite de seguridad pueda realizar en el sistema de archivos. Un manejo incorrecto puede ocasionar prdidas de datos. La suite de seguridadseleccionadadebedecontarcon mecanismosquepermitanlarecuperacin dearchivosinfectados. Proteccin de firewall: la solucin debe de proveer un firewall que permita bloquearelaccesoalequipodecmputo as como tambin de conexiones no deseadas generadas hacia y desde nuestroequipodecmputo. Proteccinentiemporeal:aladquiriruna suite de seguridad es necesario que mantenga protegido a nuestro equipo y engeneralalainformacinqueenlest almacenado.Laproteccinentiemporeal significatenerunoovariosprocesosdela suitedeseguridadqueentranenaccinal detectaractividadmaliciosaenelequipo, porejemploladescargadeunarchivoque contiene algn malware o la apertura de un archivo en un dispositivo de almacenamiento externo. El primer mecanismodeproteccindeunasuitede seguridadeslaproteccinentiemporeal. Finalmente, al momento de adquirir una suite de seguridad recomendamos tener en cuenta las necesidades de nuestro hogar o nuestra empresa, as como las caractersticasadicionalesqueprovea,sin olvidarquetodoslosproductosinstalados en nuestra computadora deben estar actualizadosyenelcasoparticulardelas suites de seguridad es importante observar que se actualice su base antivirus todos das y que se mantenga activa la proteccin en tiempo real.

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinlaautorizacin deltitulardelaobra.

OscarRalOrtegaPacheco TaniaGabrielaMonteroTrejo JulioCsarGarcaVizcano

1.Actualizatusistemaoperativoy aplicaciones Frases como Est disponible la nueva versin del programa, Hay actualizaciones listasparainstalaroHayactualizacionesde softwareaparecen con ciertafrecuenciaen nuestros sistemas de cmputo y es que los fabricantes de los sistemas emiten actualizacionesconciertaperiodicidad,pues a pesar de que los sistemas de cmputo se someten a diversas pruebas de calidad y seguridad antes de ser distribuidos al pblico, es posible identificar fallas en su funcionamiento. Estos errores derivan en problemas de seguridad, es decir, podran permitir a un atacante realizar acciones maliciosas en nuestro equipo, como instalar programas; leer, modificar o eliminar nuestros datos; o utilizar nuestra computadora como un medio para hacer otros ataques en Internet. Es por ello que como usuarios de los sistemas de cmputo debemos mantener al da nuestros sistemas pues las actualizaciones que proporcionan los fabricantes solucionan las vulnerabilidades existentes, adems de que algunas de ellas pueden mejorar el rendimiento de las aplicaciones o proporcionar caractersticas adicionales que facilitennuestrasactividades. Para nosotros como usuarios existen varios mecanismos para actualizar nuestras aplicaciones, el ms sencillo de ellos es solicitarle a nuestro sistema que nos avise cuandoexistannuevasactualizacionesysies posible solicitar que las instale de manera

automtica. La otra opcin es estar al pendiente de cul es la versin ms actual del programa y si apareciera una nueva versin,irdirectamentealsitiodelfabricante ydescargarelpaquetedeactualizacinpara finalmente instalarlo. Para ms informacin recomendamoselsiguienteartculo: Mtodos y herramientas de actualizacin http://www.seguridad.unam.mx/usu ariocasero/secciones/herramientas.dsc 2.Utilizaunacuentadecorreoalternativa Unodelosgrandesproblemasquesevivea diario en el mundo de las tecnologas de informacin y telecomunicaciones es el correo spam o correo no deseado, estos mensajes electrnicos que pueden contener publicidad o software malicioso se han convertido en un gran reto de seguridad pues llegan a saturar servidores de correo y hastaanchodebandadeunared.Anosotros comousuariosestecorreonosocasionagran prdida de tiempo al momento de seleccionar los mensajes vlidos de aquellos que son spam, adems del riesgo de recibir virus, gusanos, spyware y otros cdigos maliciosos. Debemos de tomar en cuenta que cuando acabamos de crear una cuenta de correo recibimos una cantidad muy pequea de spam, sin embargo conforme pasa el tiempo esta cantidad aumenta, ello se debe al uso que damos a nuestra cuenta

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

 de correo, pues al inscribirla en foros, listas de correo, suscripciones gratuitas, servicios en lnea, etctera incrementamos las probabilidadesderecibircorreonodeseado, ya sea de los sitios a los que nos hemos inscrito, o de otros pues en ocasiones algunossitiosvendenlalistadesuscriptores aspammers.Esporelloquerecomendamos tener una cuenta de correo alternativa, es decir, manejar una cuenta de correo para actividades de trabajo, as como para mantener contacto con nuestros amigos y conocidos y una segunda cuenta que utilicemoscuandoaccedemosaserviciosque nossolicitanunregistro. 3.Protgetedelphishing El phishing es un conjunto de tcnicas y mecanismos empleados por los intrusos o hackers con el propsito de robar informacin personal de un usuario y as poder suplantar su identidad (UNAMCERT, s.a.). Normalmente la informacin ms buscadaporlosintrusosestrelacionadacon informacin financiera (usuarios, claves y nmeros de cuenta), aunque otro tipo de informacincomocuentasycontraseasde correoelectrnicoodeaccesoaalgnportal o equipo dentro de una compaa tambin es altamente recurrida. La pregunta que surgees,cmopodemosprevenirestetipo de ataques? Antes de responder a la pregunta debemos explicar cmo se lleva a cabounataquedephishing.Inicialmenteun intruso crea un sitio Web con el objetivo de hacer creer a un usuario que es el sitio verdadero, posteriormente el intruso enva
Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

una serie de correos electrnicos a los usuarios tratando de persuadirlos para que ingresen al sitio y enven los datos solicitados; una vez que el usuario ha enviadolosdatos,elintrusopuedeutilizarlos libremente. Entonces para prevenir que estos ataques tengan xito te sugerimos lo siguiente: Norespondasacorreosquesoliciten informacinpersonal. Instituciones serias nosolicitan a los usuarios que confirmen su usuario y contrasea a travs de un correo electrnico, por lo que si recibes un correo de este tipo te recomendamos no acceder al sitio mencionadoenelcorreo. Algunosnavegadorestienenincluido un filtro antiphishing as que te sugerimos lo mantengas activo pues estetipodefiltrospodranadvertirte cuando accedas a un sitio falso. En casodequeelnavegadornocuente con este filtro podras obtener una barraantiphishingdeInternet. 4.Actualizacindesuitedeseguridad Una forma de proteger a tu equipo de cmputoesmedianteelusodeunasuitede seguridad mejor conocida como antivirus, programaqueteprotegedeamenazascomo virus, gusanos, software espa, etctera. Ahorabienlasuitedeseguridadrequierede la actualizacin de los archivos utilizados paraprotegerlainformacindetuequipo.La forma de realizar dicha proteccin es mediante la descarga de archivos, desde el

 sitio del fabricante, mismo, que contiene informacin precisa para la deteccin de las distintas amenazas. Una incorrecta configuracinylanoactualizacindetusuite de seguridad podran hacer vulnerable tu equipo a las distintas amenazas desconocidas por la propia suite de seguridad. La manera ms sencilla de actualizar tu suite de seguridad consiste en verificar que tu software se actualice diariamente.Laformadeverificarestoes,en la pestaa de configuracin del producto y dentrodelaseccindeactualizacin. 5.ImportanciadelFirewall Un firewall en simples palabras es un filtro que controla el intercambio de informacin entreredes,examinandoeltrficoentrantey saliente, permitiendo o negando el acceso dependiendodelasreglasopolticasquese hayan definido. Nos brinda distintas alternativas para proteger la red, dependiendo de la configuracin de est, podemos realizar el filtrado de paquetes a partir de los distintos campos de los

protocolos de comunicacin, por ejemplo si utilizamos el protocolo TCP/IP podemos utilizar las direcciones IP para establecer reglasdefiltradohaciaydesdenuestrared. El controlar los datos que entran y salen de nuestra red nos permite protegernos de accesosnoautorizadosdelexterior,proteger informacin sensible de la organizacin, optimizar los accesos y comunicacin entre los diferentes elementos de la infraestructura. Contar con las ventajas que proporciona un firewallennuestrarednospermitetenerun mayor nivel de seguridad en la misma, sin embargo el muro protector que levantamos con un firewall no es infalible por lo que no podemosdejartodalaseguridaddenuestra redaesteelemento.Encontrastenocontar con la proteccin de un firewall es equivalenteadejarlapuertadenuestracasa abierta,dejandoquecualquierpersonaentre ytomeloquedeseesinpoderloevitar. Tener un firewall en nuestra red puede ahorrarnos muchos dolores de cabeza.

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

 Garca, Julio (2009). Metodologa para el anlisis decomportamientodecdigosmaliciosos.Tesina de licenciatura, Facultad de Ingeniera, UNAM, CiudaddeMxico,febrerode2009. Garnham,Oliver(2009).ScamAntivirusApp SpreadsMalware[enlnea].PCWorld,Febrero 2009.Recuperadoel12demarzode2009de http://www.pcworld.com/article/159974/suppos ed_antivirus_program_spreads_malware.html. Jimnez,Jess(2005).Spyware[enlnea].Ciudad deMxico,UNAMCERT,Marzo2005.Recuperado el 12 de marzo de 2009 de http://www.seguridad.unam.mx/usuario casero/secciones/spyware.dsc. Jimnez, Jess (2007). Qu es malware? [en lnea]. Ciudad de Mxico, UNAMCERT, Junio 2007. Recuperado el 4 de marzo de 2009 de http://www.seguridad.unam.mx/usuario casero/secciones/segumalware.dsc. Lpez,Juan,etal.(2006).Gusanodeinternet[en lnea]. Ciudad de Mxico, UNAMCERT, Junio 2008. Recuperado el 12 de marzo de 2009 de http://www.seguridad.unam.mx/usuario casero/secciones/gusanos.dsc. Ortega,Oscar;etal.(2008).50aosdeseguridad en cmputo. Pster conmemorativo para el Congreso de Seguridad en Cmputo 2008, septiembrede2008,UNAMCERT. Ortega, Oscar; et al. (2008). Cdigos Maliciosos. Evolucin. Enter@te [en lnea] N 70. Ciudad de Mxico, Mxico: Universidad Nacional Autnoma deMxico.Recuperadoel4demarzode2009de http://www.enterate.unam.mx/artic/2008/j unio/art6.html. Bibliografa Fuentes, Luis (2005). Nuevas tendencias del Malware. Enter@te [en lnea] N 41. Ciudad de Mxico, Mxico: Universidad Nacional Autnoma deMxico.Recuperadoel4demarzode2009de http://www.enterate.unam.mx/Articulos/2005/ag osto/malware.htm. Fuentes,Luis(2005).Troyano[enlnea].Ciudadde Mxico, UNAMCERT, Noviembre 2005. Recuperado el 12 de marzo de 2009 de http://www.seguridad.unam.mx/usuario casero/secciones/troyano.dsc. Fuentes, Luis (2006). Anlisis de Malware en el UNAMCERT [en lnea]. En: Semana de la Seguridad Informtica 2006, Instituto Politcnico Nacional. Recuperado el 4 de marzo de 2009 de http://www.malware.unam.mx/descarga_archivo. dsc?doc_id=23. Fuentes, Luis, et al. (2006). Combatiendo cdigos maliciosos [en lnea]. En: Da Internacional de la SeguridadenCmputo2006,noviembrede2006, UNAMCERT. Recuperado el 4 de marzo de 2009 de http://www.malware.unam.mx/descarga_archivo. dsc?doc_id=22. Fuentes,Luis,etal.(2006).Virus[enlnea].Ciudad de Mxico, UNAMCERT, Junio 2006. Recuperado el 12 de marzo de 2009 de http://www.seguridad.unam.mx/usuario casero/secciones/virus.dsc. Fuentes, Luis, et al. (2007). Cdigos maliciosos y otros ataques informticos [en lnea]. En: XV AniversariodelcentroNuevoLendelaDireccin GeneraldeServiciosdeCmputoAcadmico,abril de 2007, DGSCAUNAM. Recuperado el 4 de marzo de 2009 de http://www.malware.unam.mx/descarga_archivo. dsc?doc_id=55

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.

 Symantec Corp. (s.a.). Cmo Atacan [en lnea].Recuperadoel4demarzode2009de http://www.symantec.com/es/mx/norton/se curity_response/malware.jsp. UNAMCERT (s.a.). Diccionario [en lnea]. Recuperado el 12 de marzo de 2009 de http://www.seguridad.unam.mx/usuario casero/secciones/diccionario.dsc. Roberts, Raymond (2008). Malware development life cycle [en lnea]. Virus BulletinConferenceOctober2008,Microsoft Corp., Australia. Recuperado el 4 de marzo de 2009 de http://download.microsoft.com/download/9 /3/b/93b3344c15f04f13b915 d8954ac1604f/RobertsVB2008.pdf

Copyright.Todoslosderechosreservados.Prohibidasucopia,distribucinparcialototalsinla autorizacindeltitulardelaobra.