El salvaje mundo del malware:
mantenga su empresa a salvo
Las amenazas evolucionan constantemente. Sin embargo, es posible que la protección que ofrece su cortafuegos no haga lo
mismo. Es hora de mirar más allá de la seguridad de red tradicional e incorporar protección contra el malware y los exploits que
atraviesan los PCs y dispositivos móviles cuando los usuarios navegan por Internet, envían o reciben emails y descargan
aplicaciones.
A medida que aumentan el número y la gravedad de
los crímenes cibernéticos, es fundamental conocer
los diversos tipos de malware y entender su
funcionamiento. Ello es especialmente importante
para las empresas pequeñas y medianas, que a
menudo no cuentan con personal de TI dedicado
exclusivamente a la seguridad de la red. En el presente
documento se analizan los factores que actualmente
impulsan el desarrollo de malware, se exponen en
detalle las características de cada uno de ellos, se
describe cómo se manifiestan en la red y se explica
cómo pueden remediarse.
Aunque los nombres de algunos tipos de malware
pueden resultarnos familiares, estas amenazas
evolucionan constantemente, obligando a todo
aquel que desee garantizar la seguridad de su sistema
a adaptarse a estos continuos cambios. En la
actualidad, la mayor amenaza informática procede
de los criminales profesionales. Aunque es cierto que
aún hay algunos aficionados que, simplemente por
diversión o para impresionar a sus amigos,
programan y lanzan diferentes tipos de malware, las
bandas criminales organizadas transnacionales que
distribuyen malware con fines de lucro son mucho
más peligrosas. Los principales métodos utilizados
por estos cibercriminales incluyen:
• La extorsión. Consiste en bloquear ordenadores o
interrumpir su funcionamiento para posteriormente
cobrar dinero por solucionar los supuestos
problemas. En este tipo de ataques, a menudo se
realizan escaneos inútiles de los ordenadores o se
vende software "antivirus" igualmente inútil. Esta
técnica puede utilizarse para obtener información de
tarjetas de crédito. En ocasiones, el software que
adquieren las víctimas es "scareware", que les lleva a
comprar otros supuestos productos de software o a
pagar servicios de suscripción inútiles.
• El robo de recursos electrónicos. Entre los recursos
electrónicos que se roban con mayor frecuencia se
encuentran los datos de identificación personal (robo
de identidad) de los registros de empleados o de
clientes; información y contraseñas de cuentas
financieras; datos comerciales y de negocio propietarios que
pueden venderse a competidores; cuentas de correo
electrónico —incluidos los contactos—, que pueden utilizarse
para enviar mensajes spam (desde fuentes aparentemente
fiables); e incluso recursos informáticos propiamente dichos
(zombies), que son controlados por los criminales para
perpetrar todo tipo de ataques: desde mensajes spam hasta el
hospedaje de contenidos pornográficos.
El software utilizado para cometer este tipo de crímenes
pertenece a la categoría de malware. Aunque el malware es un
problema cada vez más preocupante, existen formas sencillas y
extremadamente efectivas de combatirlo. Pero antes, es
importante que conozca bien los distintos tipos de malware que
existen. A continuación le presentamos los seis más
importantes: virus, gusanos, troyanos, spyware, adware y
rootkits.
Virus
Los virus son probablemente el tipo de malware más conocido.
Aunque estas amenazas existen desde hace décadas, sus
características básicas siguen siendo las mismas. Los virus
informáticos generalmente están diseñados para dañar los
equipos de los usuarios finales. Son capaces de purgar todo el
disco duro de un ordenador, despojando a los datos de toda
utilidad en cuestión de un momento.
Del mismo modo que los virus biológicos se autoreplican al
infectar una célula huésped, los virus informáticos a menudo se
replican y se propagan en los sistemas infectados. También
existen otros tipos de virus que se utilizan para "buscar y destruir"
tipos de archivos específicos o determinadas porciones del
disco duro. Los ladrones cibernéticos a menudo utilizan virus en
los sistemas atacados una vez que han extraído la información
deseada, con el fin de destruir posibles pruebas forenses contra
ellos.
Originalmente, los virus informáticos se propagaban a través de
disquetes infectados compartidos. Sin embargo, el método de
distribución de los virus ha evolucionado de forma paralela a la
tecnología. Hoy en día, por regla general, los virus se propagan a
través de documentos compartidos, descargas Web y
archivos adjuntos de correo electrónico. Para atacador pueda acceder posteriormente. Este tipo de ataques a
infectar un sistema, el virus debe ejecutarse en dicho menudo se utilizan para la creación de botnets.
sistema; los virus informáticos latentes que no han
sido ejecutados no suponen una amenaza inmediata. Spyware / Adware
Puesto que la finalidad de los virus no suele ser
legítima, en algunos países su posesión es ilegal. Al igual que algunos tipos de troyanos, el spyware se utiliza para
recopilar información sensible y transmitírsela al perpetrador del
ataque.
Gusanos
Aunque resulta molesto, el spyware generalmente no es
A pesar de que existen desde finales de los años 80,
malicioso por naturaleza. Suele infectar navegadores Web,
los gusanos informáticos no se convirtieron en una
dejándolos prácticamente inutilizables. El spyware a menudo se
amenaza común hasta que se generalizó el uso de
utiliza con fines de marketing engañoso, por ejemplo para
infraestructuras de red en las organizaciones. A
monitorizar la actividad de los usuarios sin que éstos se den
diferencia de los virus informáticos, los gusanos
cuenta. En ocasiones, el spyware se hace pasar por una
tienen la capacidad de propagarse por las redes sin
aplicación legítima que proporciona ciertas ventajas al usuario,
interacción humana alguna.
y una vez instalado registra patrones de comportamiento y de
Los sistemas infectados por un gusano escanean la uso sin que los usuarios lo sepan.
red local en busca de otras posibles víctimas. Una vez
Al igual que el spyware, el adware también constituye una gran
detectado un objetivo, el gusano explota las
molestia para los usuarios y tampoco suele ser malicioso por
vulnerabilidades de software del sistema remoto y le
naturaleza. Como su propio nombre indica, el adware
inyecta código malicioso para completar el ataque.
generalmente se utiliza para distribuir anuncios publicitarios que
Por su método de ataque, los gusanos solo pueden
proporcionan algún tipo de ventaja financiera al perpetrador del
infectar con éxito sistemas de la red que funcionan
ataque. Cuando las víctimas de un ataque de adware intentan
con determinados sistemas operativos. Los gusanos
acceder a Internet, son bombardeadas con ventanas
a menudo se consideran más como una molestia que
emergentes, barras de herramientas y otros tipos de anuncios
como una verdadera amenaza. Sin embargo, pueden
publicitarios. El adware normalmente no causa daños
utilizarse para propagar otros tipos de malware o
permanentes en los ordenadores. No obstante, si no se elimina
para dañar los sistemas objetivo.
correctamente, puede dejar el sistema completamente
inutilizable.
Troyanos
Al igual que los virus, los troyanos normalmente Rootkits
requieren algún tipo de interacción por parte de los
Los rootkits son posiblemente el tipo de malware más
usuarios para infectar un sistema. Sin embargo, a
peligroso. Al igual que los troyanos de acceso remoto, los
diferencia de la mayoría de gusanos y virus, los
rootkits proporcionan al atacador el control del sistema
troyanos a menudo tratan de permanecer en el
infectado. Sin embargo, a diferencia de los troyanos, los
sistema comprometido sin ser detectados. Los
rootkits son excepcionalmente difíciles de detectar y eliminar,
troyanos son pequeñas porciones de código
ya que se suelen instalar en los recursos de nivel inferior del
ejecutable que se embeben en otra aplicación.
sistema (por debajo del sistema operativo), de modo que a
Normalmente, el archivo infectado es una aplicación
menudo no son detectados por los productos de software
que la víctima utiliza de forma regular (como
antivirus convencionales. Cuando un sistema está infectado
Microsoft Word o Calculator). El objetivo es que la
con un rootkit, los perpetradores pueden acceder de forma
víctima, sin saberlo, ejecute el código malicioso al
ilimitada a toda la red a través de él.
iniciar un programa por lo demás inocente. Con
frecuencia, el resultado es que los troyanos infectan
los sistemas sin que los usuarios reciban ningún tipo ¿Cómo puede saber que tiene malware en su
de notificación. sistema?
Existen diversos tipos de troyanos, cada uno de ellos La presencia de malware en el tráfico de red o en un ordenador
con una finalidad diferente. Algunos están diseñados puede detectase de tres modos:
específicamente para extraer información sensible • Ciertos sistemas de seguridad de red, entre ellos los
del sistema infectado. Este tipo de troyanos suelen cortafuegos, son capaces de detectar las "definiciones" de
instalar keyloggers o hacer capturas de pantalla del malware, que son huellas o patrones en los archivos, incluso
ordenador de la víctima y transmitir automáticamente antes de que éstos lleguen al ordenador. Si un archivo
contaminado llega al ordenador, el software
la información al atacador. Otros troyanos más
antivirus/antimalware instalado en el equipo debería detectarlo.
peligrosos son los llamados RATs (troyanos de
• Si aparece un tipo de archivo sospechoso fuera de contexto,
acceso remoto), que toman el control del sistema como un ejecutable (.exe) o un valor de registro oculto en un
infectado y abren una puerta trasera para que el archivo comprimido, como un zip.
• A través del comportamiento: los rootkits pueden
delatarse a sí mismos al "llamar" al operador que los
controla. Si este comportamiento no es normal—por
ejemplo por el volumen o la hora del día—ello puede
ser un indicio de que el sistema está infectado.
La instalación de software antivirus dinámicamente
actualizado en todos los equipos es una medida de
seguridad estándar que permite evitar los ataques
más comunes, ya que sus definiciones o "huellas
dactilares" los delatan. Las empresas de seguridad de
red mantienen "honeypots" en todo el mundo, como
la red colaborativa multivector GRID de Dell
SonicWALL, que atraen deliberadamente todas las
nuevas versiones de malware con el fin de identificar
sus definiciones y distribuirlas en las actualizaciones
antimalware rutinarias. Al disponer de la definición, el
software de seguridad puede identificar el malware
nada más aparece y tomar las correspondientes
contramedidas. No obstante, los proveedores de
sistemas de seguridad más sofisticados van más allá.
Por ejemplo, la red GRID de Dell SonicWALL
transfiere las definiciones de las nuevas amenazas a
una base de datos en la nube en seguida que
aparecen en cualquier parte del mundo. Los
dispositivos de seguridad de Dell SonicWALL
complementan las decenas de miles de definiciones
de amenazas almacenadas de forma local con esta
base de datos en la nube. Los archivos escaneados se
comparan en tiempo real con esta extensa base de
datos de ejecutables maliciosos para ofrecer una
protección más eficaz.
No obstante, reconocer un tipo de archivo oculto
resulta ligeramente más difícil. Algunas empresas
tienen normas globales que determinan los tipos de
archivos que están permitidos en la red. Por ejemplo,
hay organizaciones que no permiten ningún tipo de
archivo comprimido dentro del cortafuegos. Sin
embargo, esta medida puede alterar los flujos de
tráfico normales. Existe un enfoque más sofisticado y
menos perjudicial, que consiste en realizar una
Inspección profunda de paquetes sin reensamblado
(RFDPI) de cada paquete de datos que circula por la
red. Eso es lo que hacen los cortafuegos de marcas
de alta gama, como los de Dell SonicWALL, que
literalmente miran dentro de la carga útil de los datos
para ver qué contiene con el fin de detectar y eliminar
posibles amenazas ocultas.
El comportamiento es el indicador más difícil de
detectar. Si algún tipo de malware logra infectar un
sistema, la mayoría de las personas no se dan cuenta
hasta que el rendimiento del equipo infectado
empieza a fallar o a disminuir. Los cortafuegos de
próxima generación son capaces de identificar
comportamientos sospechosos incluso antes de que
el rendimiento se vea afectado. Al ser capaces de
reconocer actividades poco habituales en la red,
como p.ej. volúmenes extraordinariamente grandes
de correo electrónico enviado desde un mismo equipo, los
cortafuegos de próxima generación pueden ayudar a los
administradores a aislar el malware con el fin de eliminarlo.
Estos sistemas de seguridad inteligentes pueden configurarse
para reforzar políticas sobre las actividades permitidas en la red,
similares a las políticas corporativas que regulan el
comportamiento de los empleados. Por ejemplo, se puede
establecer una política que prohíba la mensajería instantánea,
pero que permita la transmisión de archivos a través de
mensajes instantáneos. En el caso de que tales actividades no
sean necesarias, el hecho de que un ordenador esté intentando
realizarlas puede ser un indicio de que el equipo está siendo
controlado por alguien distinto del empleado, muy
probablemente como consecuencia de un ataque de malware.
Toda actividad peligrosa es automáticamente bloqueada.
Más vale prevenir que curar
Tal y como ocurre con las infecciones biológicas, la mejor
medicina es la prevención. Todo sistema de seguridad eficaz
incluye medidas preventivas.
Los cortafuegos de próxima generación equipados con las
funciones anteriormente descritas son capaces de identificar la
inmensa mayoría de los tipos de malware que pueden intentar
penetrar la red corporativa. Detectan, por ejemplo, los mensajes
spam, las páginas Web falsas (phishing) y las descargas ocultas o
"drive-by downloads", que inyectan malware durante la visita a
una página aparentemente segura. Cada uno de estos métodos
de infección utiliza un enfoque diferente, de modo que su
identificación también requiere un método específico. Los
cortafuegos de próxima generación pueden aplicar todos estos
métodos de forma simultánea desde un único dispositivo de
seguridad.
Los cortafuegos de próxima generación de alta gama, como
los de Dell SonicWALL, ofrecen funciones opcionales de
identificación de amenazas en mensajes spam, archivos ocultos
y descargas ocultas, basadas en definiciones o en
comportamientos. Las descargas ocultas merecen especial
atención, ya que hoy en día se realizan numerosas
transacciones online, p.ej. para acceder a información remota o
para realizar compras. Los ataques de malware pueden hacerse
pasar por transacciones Web 2.0 legítimas. Por lo tanto, para ser
eficaces, las soluciones de cortafuegos de próxima generación
deben escanear el tráfico de Internet con el fin de detectar este
tipo de aplicaciones engañosas.
Las soluciones de seguridad que utilizan la tecnología RFDPI
solo necesitan escanear una vez los archivos que tratan de
acceder a la red para detectar posibles amenazas. Gracias a
ello, el tráfico de la red puede circular de forma más fluida,
mejorando la experiencia del usuario y aumentando la
productividad. Además, de este modo se aumenta la
rentabilidad de las conexiones de alta velocidad e incluso se
puede reducir el nivel de ancho de banda necesario, con el
consecuente ahorro de costes.
 Al mismo tiempo, las tecnologías consolidadas de los
cortafuegos de próxima generación eliminan la
necesidad de disponer de múltiples dispositivos,
como cortafuegos y filtros antispam y de contenido.
En definitiva, los cortafuegos de próxima generación
constituyen una opción eficaz y económica.
Resumen
No hay duda de que el malware continúa plagando
las redes corporativas. Los ataques de malware
perpetrados por los cibercriminales son cada vez más
numerosos y sofisticados. Sin embargo, la tecnología
que los combate también ha evolucionado.
En la actualidad, incluso las empresas más pequeñas
pueden disfrutar de niveles de protección que
prácticamente los inmunizan contra numerosos tipos
de malware por un precio verdaderamente
económico. Con solo reconocer la amenaza que
representan los ataques de malware actuales e
implementar una solución de seguridad moderna, las
empresas pueden dejar atrás el salvaje mundo del
malware y centrarse en sus actividades comerciales
disfrutando de un alto nivel de seguridad, eficacia y
rentabilidad.
Copyright 2012 Dell, Inc. Todos los derechos reservados. Dell SonicWALL es una marca registrada de Dell, Inc. y
los demás nombres de productos y servicios así como eslóganes de Dell SonicWALL son marcas registradas o
marcas comerciales registradas de Dell, Inc. Los demás nombres de productos y empresas aquí mencionados
pueden ser marcas registradas y/o marcas comerciales registradas de sus respectivos propietarios. 07/12
Acerca de Dell SonicWALL
Dell™ SonicWALL™ proporciona soluciones
inteligentes de seguridad de red y protección de datos
que permiten a los clientes y partners de todo el
mundo proteger, controlar y escalar sus redes
globales de forma dinámica. Construido sobre una
red compartida de millones de puntos de contacto
globales, nuestro concepto de Seguridad Dinámica
se basa en los análisis, conocimientos y datos que
proporcionan la red GRID y el Centro de amenazas
de Dell SonicWALL sobre la naturaleza y el
comportamiento dinámico de las amenazas a nivel
mundial. El laboratorio de investigación de Dell
SonicWALL procesa continuamente estos datos y
pone a disposición defensas y actualizaciones
dinámicas para contrarrestar las más recientes
amenazas.
Con su tecnología patentada de Inspección profunda
de paquetes sin reensamblado, y su arquitectura de
hardware multinúcleo de alta velocidad en paralelo,
Dell SonicWALL ofrece funciones simultáneas de
escaneo y análisis multiamenaza a velocidad de cable
en una solución altamente escalable capaz de
adaptarse a redes del más elevado ancho de banda.
Disponibles tanto para pymes como para empresas
grandes, las soluciones de Dell SonicWALL se han
implementado con éxito en entornos de campus de
gran tamaño, empresas distribuidas, instituciones
gubernamentales, puntos de venta minoristas,
instituciones sanitarias y proveedores de servicios.