Perspectiva sobre seguridad de McAfee® Avert® Labs Otoño de 2008

IngenIería socIal la principal amenaza de seguridad del mundo

Troyanos, falsos clic y anuncios de dinero fácil son algunos de los vectores utilizados por los creadores de malware para aprovecharse de los usuarios de Internet

McAfee Security Journal otoño 2008

índice

Redactor jefe Dan sommer Colaboradores anthony Bettini Hiep Dang Benjamin edelman elodie grandjean Jeff green aditya Kapoor rahul Kashyap Markus Jacobsson Karthik raman craig schmugar Estadísticas Toralv Dirro shane Keats David Marcus François Paget craig schmugar Ilustrador Doug ross Diseño PaIr Design, llc Agradecimientos Muchas personas han contribuido a la creación de este número de McAfee Security Journal. citaremos únicamente algunos de los colaboradores más destacados: los directivos de Mcafee, Inc. y Mcafee avert labs que han prestado su apoyo a esta creación; nuestro equipo de revisores—carl Banzhof, Hiep Dang, David Marcus, craig schmugar, anna stepanov y Joe Telafici; nuestros autores y sus jefes y compañeros que les han aportado sus ideas y comentarios; los especialistas en marketing cari Jaquet, Mary Karlton, Beth Martinez y Jennifer natwick; el especialista en relaciones públicas Joris evers, su equipo internacional y red consultancy ltd.; nuestra agencia de diseño, Pair Design; nuestra imprenta, rr Donnelley, y Derrick Healy y su equipo en nuestra oficina de localización de cork, Irlanda, que ha coordinado la traducción de esta publicación a muchos idiomas. ¡gracias a todos; esta publicación no sería una realidad sin vuestra inestimable contribución! Dan sommer redactor jefe

4

Los orígenes de la ingeniería social Desde el caballo de Troya de la odisea hasta el phishing en Internet: el eterno engaño. Hiep Dang Pedid y se os dará la psicología de la ingeniería social: ¿Por qué funciona? Karthik Raman Ingeniería social 2.0: ¿Y ahora qué? el fraude del clic se vislumbra como una de las amenazas más importantes que deberemos afrontar en el futuro cercano. Markus Jakobsson Los Juegos Olímpicos de Pekín: Un objetivo perfecto para el malware de ingeniería social los Juegos olímpicos, junto con otros grandes eventos, constituyen una atracción irresistible para los creadores de malware. Elodie Grandjean Vulnerabilidades en los mercados de valores ¿Pueden los piratas informáticos obtener ganancias del Martes de parches y otras noticias de las empresas? Anthony Bettini El futuro de los sitios de redes sociales la afluencia de usuarios y dinero convierte a los sitios sociales en un objetivo más del malware. Craig Schmugar La nueva cara de las vulnerabilidades Trucos de ingeniería social pueden empujar a los usuarios a agujeros de software. Rahul Kashyap Typosquatting: Aventuras involuntarias de navegantes el navegante imprudente puede acabar en el lugar equivocado. Benjamin Edelman ¿Qué ha sido del adware y el spyware? Una legislación más severa puede haber apaciguado el adware, pero los programas potencialmente no deseados (PUP) y troyanos siguen entre nosotros. Aditya Kapoor Estadísticas ¿cuál es el riesgo para los dominios de primer nivel? David Marcus

9 13

16

22

28

31 34

38

44

¿le ha gustado? ¿no le ha gustado? envíe sus comentarios a security_Journal@mcafee.com.

el debut de "Mcafee security Journal"
Jeff Green

Bienvenido al primer número de nuestra revista de seguridad McAfee Security Journal. aunque lo llamamos "primer número", en realidad no es la primera vez que realizamos esta publicación. le hemos cambiado el nombre; hasta ahora era Análisis de amenazas globales (gTr). en McAfee Security Journal, observará la actitud crítica de siempre, junto a todo el contenido dinámico que puede esperar de los mejores investigadores y autores en el campo de la investigación de la seguridad informática: los especialistas de Mcafee® avert® labs. en este número, abordamos el vector de ataque más insidioso e invasivo de todos: la ingeniería social. ¡Tibet libre! ¡Nuevas imágenes de la III Guerra Mundial! ¡Secretos para evadir impuestos! ¡Nuevas tecnologías para ahorrar electricidad! ¡Medicinas a buen precio a través de Internet! y la lista podría seguir, pero creo que ha quedado claro. ahora más que nunca el envío de mensajes seductores que lleguen a las víctimas potenciales es clave para el éxito de los desarrolladores de malware y los ladrones de identidad. sin embargo, el uso de la ingeniería social como método de estafa no es precisamente nuevo: existe desde que los humanos se comunican. Tú tienes algo que yo quiero. Te convenzo para que me lo des o para que hagas lo que yo quiero. el factor humano hace de la ingeniería social una de las amenazas más difíciles de combatir. es posible que la forma más fácil de apoderarse de la identidad de otra persona sea simplemente pedírsela. Todas las técnicas de ingeniería social —estafas Ponzi, timos, estafas piramidales, fraudes sencillos, phishing o spam —siguen patrones similares. ya sean físicas o digitales, todas tienen elementos en común. comparten el mismo objetivo y en muchos casos incluso emplean las mismas técnicas. Todas pretenden manipular a las víctimas aprovechando un “fallo” en el hardware humano. Todas crean escenarios especialmente diseñados para convencer a las víctimas de que divulguen determinada información o realicen una acción concreta. Hemos reunido a otro destacable grupo de investigadores y autores para analizar este tema y documentarlo para nuestros lectores. Incluso hemos incorporado una novedad a nuestra revista: será la primera vez que contamos con colaboradores invitados. empezamos con dos de los mejores: el Dr. Markus Jacobsson del centro de investigación Palo alto research center y el profesor Benjamin edelman de la universidad de estudios empresariales Harvard Business school.

empezaremos con una mirada retrospectiva a la historia del engaño. a continuación, analizaremos el trasfondo psicológico de este tipo de ataques. Después examinaremos la posible evolución de la ingeniería social en los próximos años. los Juegos olímpicos de Pekín de 2008 han terminado, y una vez más los autores de malware han intentado engañar a los aficionados para que visitaran sitios Web falsos. ¿se puede ganar dinero en la bolsa programando eventos como los Martes de parches de Microsoft o falsificando noticias de empresas? en nuestra exhaustiva investigación hallarán una respuesta. ¿y qué ocurrirá a partir de ahora con los sitios de redes sociales? ¿se reforzará la seguridad o están condenados a convertirse en objetivos fáciles debido a un exceso de confianza de los usuarios? Vamos a ver también cómo atacan los creadores de malware algunas vulnerabilidades del software y cómo aprovechan los errores cometidos al escribir el nombre de los sitios Web, técnica conocida como typosquatting. nuestro artículo final dará una respuesta a la pregunta “¿Qué ha pasado con el adware y el spyware?” Terminaremos con algunos datos estadísticos que muestran cómo varía el porcentaje de amenazas dirigidas a dominios de nivel superior en todo el mundo. esperamos que encuentre este número tan interesante e inquietante como nosotros. gracias por acompañarnos de nuevo en nuestro viaje a las profundidades de la seguridad informática.

Jeff Green es Vicepresidente primero de Mcafee avert labs y del departamento de Desarrollo de productos. es responsable a nivel mundial de toda la organización de investigación de Mcafee, que se extiende por los continentes americano, europeo y asiático. su tarea es supervisar los equipos de investigación que se ocupan de los virus, ataques dirigidos y ataques de piratas, spyware, spam, phishing, vulnerabilidades y parches, así como de las tecnologías de detección/prevención de intrusiones en hosts y redes. además, green lidera la investigación sobre seguridad a largo plazo con el fin de garantizar que Mcafee vaya siempre un paso por delante de las amenazas emergentes.

oToÑo 2008

3

los orígenes de la ingeniería social
Hiep Dang

sería difícil hoy en día leer un artículo de prensa o un libro sobre seguridad informática sin que apareciera el término ingeniería social más de una vez.
Popularizada por Kevin Mitnick (posiblemente el ingeniero social más tristemente famoso de la era informática moderna), la ingeniería social es en esencia el arte de la persuasión: convencer a las personas para que revelen datos confidenciales o realicen alguna acción. aunque el término ingeniería social es relativamente nuevo, las técnicas y filosofías que la sustentan están presentes desde los albores de la humanidad. existen historias de engaño y manipulación en muchas páginas de la historia, el folclore, la mitología, la religión y la literatura. más de ingeniería social contra Zeus, Prometeo robó “el brillo que se ve de lejos del infatigable fuego en una hueca cañaheja” del monte olimpos y se lo legó a los hombres. como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada día llegaba un águila que le comía el hígado; por la noche éste le volvía a crecer. como castigo para los hombres, Zeus creó a la primera mujer, Pandora, quien portaba un ánfora que ella abrió por curiosidad, liberando incontables plagas.

el ataque de phishing de Jacob y rebeca Prometeo: ¿el Dios de la ingeniería social?
según la mitología griega, el nivel de competencia actual del ser humano en la ingeniería social es probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le llevaron a creer que podía engañar a Zeus, el mayor de los dioses. en la Teogonía y Trabajos y días, el poeta épico Hesíodo narra la historia de Prometeo, un Titán conocido por sus mañas y sus astutos ardides. se le atribuye la creación del hombre, modelado a partir de barro. en lo que se conoce como el "engaño de Mecona", Prometeo presentó a Zeus dos ofrendas para dirimir una disputa entre dioses y mortales. Una ofrenda era la carne de un buey metida en el interior de su estómago, la otra era el esqueleto del buey cubierto con brillante grasa. la una era alimento envuelto en cobertura vil mientras la otra era ofrenda incomestible, aunque muy tentadora a la vista. Zeus eligió la última y, como consecuencia, en lo sucesivo la humanidad debería sacrificar a los dioses sólo huesos y grasa, conservando la carne para sí. enojado por el engaño de Prometeo, Zeus castigó a los mortales quitándoles el fuego. sin embargo, en un acto Del antiguo Testamento proviene la historia de Jacob y su madre rebeca, quien utilizó una técnica de ingeniería social que es la base de los actuales ataques de phishing: hacer creer a la víctima que el atacante es alguien diferente. el padre de Jacob y esposo de rebeca, Isaac, se quedó ciego en los últimos años de su vida. Mientras se preparaba para morir, ordenó a su hijo mayor, esaú: “tráeme caza y prepárame un buen guisado como a mí me gusta y tráemelo para que yo coma y que mi alma te bendiga antes que yo muera.” (génesis 27:2-4.) como quería que fuera Jacob en lugar de esaú el que recibiera las bendiciones de Isaac, rebeca concibió un plan. Jacob, reacio al principio, dijo: "esaú mi hermano es hombre velludo y yo soy lampiño. Quizá mi padre me toque, y entonces seré para él un engañador y traeré sobre mí una maldición y no una bendición.” (génesis 27:11-12.) Para engañar a Isaac y hacerle creer que estaba con esaú, rebeca preparó la comida de Isaac, vistió a Jacob con las mejoras ropas de esaú y le puso piel de cabrito en las partes lampiñas de las manos y el cuello. Jacob le entregó la comida a Isaac, superó la prueba de autenticación y consiguió las bendiciones que debían ser para esaú.

4

McaFee secUrITy JoUrnal

' cuando tu corazón no está conmigo?” “Me has engañado tres veces y no me has declarado dónde reside tu gran fuerza. los piratas informáticos con fines malintencionados se dieron cuenta enseguida de que podían inducir a los usuarios a ejecutar un código malintencionado sencillamente disfrazándolo como un juego o una utilidad. Tras ser capturado por los troyanos.) en cuanto sansón se durmió. los griegos derrotaron a los troyanos. los soldados griegos ocultos en el interior del caballo mataron a los guardias y abrieron las puertas al resto del ejército. dirigidos por Ulises.) sansón se resistió a desvelar su secreto antes de sucumbir a su capacidad de persuasión. Durante la guerra de Troya.100 monedas de plata. no creáis en el caballo!” la falta de juicio de los troyanos fue su perdición. los vídeos. oToÑo 2008 5 . los filisteos la convencieron para que averiguara el secreto de la fuerza de sansón a cambio de 1. la Odisea. famosa gracias a la obra épica del poeta griego Homero. De modo que le dijo: ”nunca ha pasado navaja sobre mi cabeza. los creadores de malware todavía emplean esta técnica de ingeniería social siglos después. y ve dónde está su gran fuerza. estando en gaza. la Eneida. o se ha fabricado en daño de nuestros muros.sansón y Dalila: espionaje a sueldo sansón fue un personaje bíblico de enorme fuerza que peleó contra los filisteos. el tipo de malware más frecuente que se encuentra en la actualidad. entonces cada uno de nosotros te dará 1. les atrae la tentación de la música. tras insistir y acosarlo día y noche. y cómo podríamos dominarlo para atarlo y castigarlo. “¡Oh miserables ciudadanos! ¡Qué locura tan grande! ¿Qué increíble locura es ésta? ¿Pensáis que se han alejado los Griegos de vuestras costas? ¿Así conocemos a Ulises? O en esa armazón de madera. y de laocoonte. el primer caballo de Troya la historia del caballo de Troya.” (Jueces 16:5. pues he sido nazareo para Dios desde el vientre de mi madre. esa noche. o algún otro engaño esconde. los griegos alejaron su flota de barcos y solo dejaron en la playa un gran caballo de madera junto con un soldado griego llamado sinón. el astuto guerrero griego Ulises concibió una estratagema para inducir a los troyanos a creer que los griegos habían abandonado el asedio de la ciudad. el relato fue tan tentador que los troyanos introdujeron el caballo de madera tras las murallas de la ciudad. gracias a la ingeniosa táctica de ingeniería social ideada por Ulises. mi fuerza me dejará y me debilitaré y seré como cualquier otro hombre.” Finalmente.” (Jueces 16:15–17. el software gratuitos y los simpáticos mensajes electrónicos de anónimos “seres queridos”. Debido a la simplicidad y efectividad de los troyanos. “Persuádelo. el secreto de su fuerza estaba en su largo cabello. antes de Internet. fue uno de los engaños de ingeniería social más inteligentes de la historia de la humanidad. los griegos no pudieron derribar las murallas que circundaban la ciudad. quien en la Eneida exclamó: el caballo de Troya actual cuando Ulises trazó su plan para infiltrarse en Troya. y a la del poeta romano Virgilio. el número de usuarios de Pc que se dejan infectar con troyanos es alarmante. poco imaginaba él que estaba sentando un precedente para los siglos venideros. hay gente aqui va oculta. ya que ello les traería mala suerte a los griegos. Debilitado como quedó. un sacerdote troyano. le sacaron los ojos. Dalila se aprovechó de su vulnerabilidad y le cortó el pelo. en la actualidad. se rindió. los usuarios de Pc que querían compartir archivos de software lo hacían mediante dispositivos físicos (como discos flexibles o unidades de cinta) o conectándose a los sistemas de tablón de anuncios (BBs). ¡No confiéis en sus regalos. que fue maldita con la habilidad de predecir el futuro sin que nadie la creyera jamás. a pesar de los avisos de casandra. así que ella le dijo: “¿cómo puedes decir: 'Te quiero. sansón se enamoró de Dalila. el término "caballo de Troya" electrónico lo acuñó Daniel edwards de la agencia de seguridad nacional de estados Unidos en los años setenta. lo encadenaron y encarcelaron para siempre. sinón les dijo que los griegos habían dejado el enorme caballo de madera como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que lo habían hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la ciudad. si me cortan el cabello. los filisteos prendieron a sansón. edwards le puso ese nombre por la técnica de ingeniería social utilizada por los griegos.100 monedas de plata. con objeto de explorar nuestras moradas y dominar desde su altura la ciudad.

este por así llamarlo prisionero contaba con que el estafador recaudaría la cantidad necesaria para el rescate. ha circulado durante décadas y sigue siendo uno de los tipos de spam más prolíficos. Hoy conocemos numerosas variantes de la carta. bajo la promesa de enormes ganancias. Virus y bots Troyanos PUP Un timo actualizado el fraude del pago por adelantado. aproximadamente un 1% de los destinatarios acaba respondiendo. el timo nigeriano atrae a sus víctimas con la tentadora promesa de un pago multimillonario a cambio de una “inversión” de sólo unos pocos miles de dólares. el número “419” hace referencia a la sección del código Penal de nigeria que prohíbe esta práctica. En 1998 entraron en escena los generadores de virus.. según los servicios secretos de ee. UU. en 2003 y 2004 se popularizaron los remitentes de correo masivo. aunque la mayoría de los receptores comprenden que la oferta es demasiado buena para ser cierta. sus orígenes se remontan al siglo dieciséis. los timadores estafaron a sus víctimas una media de 100 millones de dólares anuales. se envía casi exclusivamente a través del correo electrónico. 6 McaFee secUrITy JoUrnal . el estafador abordaba a la víctima contándole la historia y “permitía” que él o ella le ayudaran con una parte de la recaudación de fondos. esta táctica de ingeniería social de “enriquecimiento rápido” llegó en forma de carta y empezó a distribuirse por correo postal en los setenta. en la actualidad. en 2004 y 2005 aumentaron las redes de bots y en 2006 y 2007 despegaron los troyanos. pero el concepto es el mismo. cuando se conocía como el timo del prisionero español. el timo evolucionó hacia faxes no solicitados en los ochenta y.Crecimiento del malware y los programas PUP Distintas familias desde el año 1997 al 2007 en miles 140 130 120 110 100 90 80 70 60 50 40 30 20 10 0 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 Figura 1: La frecuencia de malware y programas potencialmente no deseados (PUP) en los archivos de firmas de McAfee ha tenido varios momentos álgidos en la última década. el plan es bien sencillo: se informa a una víctima ingenua sobre un prisionero español enormemente rico que necesita ayuda para ser liberado. más conocido como timo nigeriano (timo 419).

muchos piratas informáticos se aprovecharon de las ofertas de prueba gratuita del servicio de Internet de america online (aol) utilizando números falsos de tarjetas de crédito generados automáticamente. números de tarjeta de crédito y otros datos personales. oToÑo 2008 7 . Proviene de fishing (pesca) porque esta técnica de ingeniería social engaña a sus víctimas para que desvelen sus nombres de usuario. que no se correspondían con cuentas reales. amazon y otras) que realizaban transacciones comerciales electrónicas. Después de que aol mejorase su seguridad y las pruebas de validación de tarjetas de crédito para garantizar que los números de dichas tarjetas fueran legítimos. eBay. Muchas víctimas desprevenidas facilitaron sus datos y a continuación se les facturaron actividades y compras que los piratas informáticos realizaron en sus cuentas. los cibercriminales enseguida se dieron cuenta del margen potencial de beneficios y la tasa de éxito de tales ataques y dirigieron sus miradas a las empresas (bancos.Informes sobre casos de phishing En miles 60 50 40 30 20 10 0 Nov de 2003 Mayo de 2004 Nov de 2004 Mayo de 2005 Nov de 2005 Mayo de 2006 Nov de 2006 Mayo de 2007 Nov de 2007 Figura 2: Los informes sobre phishing muestran un crecimiento sostenido y el número de nuevos sitios de phishing se ha incrementado espectacularmente en los dos últimos años. empezaron enviando correos electrónicos y mensajes instantáneos falsos que parecían proceder del servicio técnico de aol. en los años noventa. (Fuente: AntiPhishing Working Group) Informes de nuevos casos de phishing Nuevos sitios de phishing Phishing el término phishing fue acuñado por los piratas informáticos. contraseñas. los malhechores se lanzaron a la búsqueda de nombres de usuario y contraseñas reales para introducirse en las redes de aol.

Se crea ARPANET (precursor de Internet). (Traducción de e. Podemos desarrollar el software más seguro que exista para proteger nuestros equipos. mientras sigamos dejándonos arrastrar por la curiosidad y la codicia sin preocuparnos de las consecuencias. Aparece Brain (el primer virus para PC). sobre planificación de tecnología para la seguridad informática) U. La Ilíada. El progreso no consiste en cambio. bots y spyware. de “La vida de la razón o fases del progreso humano”. J. (Un tesoro de mentira) new york: The Penguin group. phishing. (2002). Phishing and Countermeasures. Hace aparición el spam (correo electrónico no solicitado). Spyware y adware se convierten en términos de uso común. incluyendo virus. (Traducción de a. (1972). no quedan restos que mejorar ni dirección que definir para la posible mejora: y cuando la experiencia no se retiene. La Eneida. M. BIBLIOGRAfíA • anderson. Aparece el gusano Morris (el primer virus que se autorreplica). (el arte del engaño) Indianapolis. La vida de la razón o fases del progreso humano. En la actualidad. Indiana: Hiep Dang es director del departamento de Mcafee avert labs encargado de la investigación de las aplicaciones de malware. A Treasury of Deception. estafas. 1948 1965 1969 1971 1978 1980 1982 1983 1984 1986 1988 1995 1996 2000 2002 2008 Aparece Elk Cloner (el primer virus para Apple). John von Neumann publica su teoría del autómata autorreproductor. editorial Tecnos • Virgilio (1993). además. están condenados a repetirlo. troyanos. gusanos. Pérez Jiménez) • Hesíodo (1914) Trabajos y días. la infancia es perpetua. la historia se repite ya se llame ingeniería social. sin embargo. Se publica en ARPANET Creeper (el primer virus informático). La película “Juegos de guerra” dramatiza sobre las consecuencias de la piratería.—George Santayana. intrusiones de red e intrusiones en host. artimañas. • Farquhar. Se crea el correo electrónico. como ocurre entre salvajes. spyware. análisis y respuesta a los brotes de malware. Dang práctica con entusiasmo el Kung Fu de la Mantis religiosa del norte Wah lum Tam Tui y el Tai chi. Aquellos que no recuerdan el pasado. John Draper (alias Cap’n Crunch) descubre que un silbato de juguete que venía en una caja de cereales permite utilizar la red telefónica de forma ilegal. (el phishing y las medidas para combatirlo) John Wiley & sons. sino que depende de la capacidad de retentiva.s. sesgos cognitivos o timos.Historia de la seguridad informática Comienzan a aparecer caballos de Troya en sistemas BBS. II. correremos el riesgo de sufrir nuestra propia versión de una tragedia troyana. McAfee Avert Labs se convierte en el primer equipo de respuesta de emergencia antivirus internacional de la industria. (Traducción de a. Frederick Cohen publica “Virus Informáticos: teoría y experimentos” y reconoce a Leonard Adleman acuñando el término virus informático. gusanos. • Myers. convendrán que las personas somos el eslabón más débil de la cadena de seguridad. dominios malignos. spam. (estudio • Mitnick. MsnBc. McAfee Avert Labs protege a sus clientes contra virus. es el responsable de la coordinación del equipo mundial de investigadores de malware de Mcafee dedicado a la investigación. el concepto de aprovecharse de la ingenuidad y la confianza de una persona es tan frecuente en la actualidad como lo ha sido desde los albores del tiempo. Pérez Jiménez) • Homero. Se crea el primer sistema de tablón de anuncios (BBS) público. g. K. Ha sido entrevistado por el Wall Street Journal. air Force. (1905). vulnerabilidades. (2007). M. Cuando el cambio es absoluto. crespo) Wiley Publishing. Inc. Se crea INTERNET a partir de ARPANET. troyanos. Dang escribe regularmente en los blogs y libros blancos de avert labs y en la publicación McAfee Security Journal. Se concibe el primer ataque de phishing para robar contraseñas de usuarios de AOL. • Hesíodo (1914) Teogonía. The Art of Deception. en la actualidad se encuentra en un paréntesis de su vida como formador concentrándose en la industria de la seguridad informática. en “La razón en el sentido común”. Dr. Figura 3: Cronología de los principales eventos de ingeniería social. programas PUP. implantar las directivas de seguridad más restrictivas e intentar lograr la utópica educación del usuario. Kevin Mitnick publica “The Art of Deception” (El arte del engaño). (Traducción de J. • santayana. en el que describe su dominio de la ingeniería social. si se pregunta a expertos en seguridad. J. de echave sustaeta) 8 McaFee secUrITy JoUrnal . PC Magazine y otras muchas publicaciones y medios sobre las nuevas amenazas y las tendencias del malware. P. (2005). poco después de que el público tuviera acceso a Internet. El Dr. Computer Security Technology Planning Study vol.

en el cerebro. incluidos los lóbulos frontal y temporal del córtex. el software antispam era un troyano que recababa información de los clientes y que los delincuentes utilizaban para conectarse al sitio Web del banco y robar dinero1. como observó Isaac asimov en su libro El cerebro humano4: Según parece. como el neocórtex3. sino que muchas partes. el prestigioso experto en seguridad Bruce schneier identificó cuatro áreas de investigación—economía del comportamiento. psicología de la toma de decisiones. las personas son el punto débil de todo sistema de seguridad. Para los autores del fraude del nordea Bank era más sencillo pedir a los clientes del banco que instalaran un troyano que entrar en una cámara acorazada para robar dinero. las emociones parecen emerger de las partes internas más antiguas. el escritor científico steven Johnson señala que la respuesta al miedo es “una combinación orquestal de instrumentos psicológicos que se suceden con una velocidad y precisión magistrales”5: Es lo que en lenguaje llano denominamos respuesta de lucha o huida.000 euros de clientes del banco sueco nordea Bank. la naturaleza humana permanece inalterable. las partes del cerebro responsables de la emoción y la razón a veces pueden actuar en convergencia o en divergencia. y 250 descargaron e instalaron el software “antispam” tal como se les pedía en el mensaje. y por el que le resulta fácil a la emoción imponerse a la razón cuando ambas se contradicen. oToÑo 2008 9 . lo que significa que los ingenieros sociales pueden manipular nuestros sentimientos y pensamientos. Parte de su complejidad radica en su complicada estructura e intrincada interacción de subsistemas. según un principio de seguridad universal. nos piden algo y muy a menudo se lo damos. realizar pruebas con datos aleatorios para detectar nuevas vulnerabilidades de software o aumentar la complejidad del malware. los clientes recibieron un correo electrónico supuestamente procedente del nordea Bank. y el razonamiento de las partes externas más recientes. codiciosos y curiosos. como la amígdala. Sentir como se activa es uno de los mejores modos de percibir el cerebro y el cuerpo como un sistema autónomo que funciona independientemente de la voluntad consciente. Dos cerebros el cerebro humano es posiblemente el sistema más complejo del universo. las emociones no surgen de una pequeña parte del cerebro en particular. en este análisis.Pedid y se os dará Karthik Raman en enero de 2007. ¿por qué nos comportamos de este modo? en un estudio pionero sobre la psicología de la seguridad. si bien los ataques contra la seguridad y las medidas de protección desarrolladas para responder a dichos ataques siguen evolucionando. nos rendimos a la respuesta emocional aunque podamos pensar de forma objetiva que la respuesta no está fundamentada. por ejemplo. psicología del riesgo y neurociencia—que pueden ayudar a explicar por qué nuestra sensación de seguridad difiere de la realidad2. la psicología de la toma de decisiones y la psicología social básica para analizar por qué nos dejamos embaucar por la ingeniería social sin percatarnos del engaño. la ingeniería social es más eficaz y ofrece resultados más rápidos que efectuar un ataque de fuerza bruta en algoritmos de cifrado. examinemos cómo nos enfrentamos al miedo. cuando volvemos a experimentar las condiciones que desencadenaron una respuesta de lucha o huida en el pasado. recurriremos a la neurociencia. en realidad. Para un agresor informático. ese es el motivo por el que nos resulta difícil mantener separadas razón y emoción. somos crédulos. un grupo de ciberdelincuentes recurrió a tácticas de ingeniería social para cometer el fraude online más importante del mundo del que se tienen datos: el robo de 877. participan en una interacción compleja. Pero. al analizar cómo reaccionamos ante un peligro inminente. Pero los centros de la emoción y la razón no son mutuamente excluyentes. esta edición de Mcafee security Journal y este artículo en concreto se centran en un aspecto de la seguridad: la ingeniería social.

Sesgo de confirmación recabamos e interpretamos la información de modo que confirme nuestros puntos de vista13. el psicólogo robert cialdini explica esta necesidad9: No se puede pretender que reconozcamos y analicemos todos los aspectos de cada persona. nuestras vidas serían demasiado complicadas si tuviéramos que analizar detenidamente todo lo que percibimos. la curiosidad puede ayudar a motivarnos y aprender algo nuevo. conocidas como heurística o reglas generales. es un hecho arraigado que estas emociones son universales. todos sentimos miedo o curiosidad o nos dejamos llevar por la codicia o la compasión. espías y estafadores saben que apelar a las emociones —especialmente al miedo— para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. necesitamos desesperadamente nuestros atajos mentales. Teorías de la ingeniería social Manipulación de las emociones Muchos ingenieros sociales se centran en las emociones de miedo. Un simple mensaje de spam podría parecer una recomendación más y llevar al comprador a proporcionar los datos de su tarjeta de crédito a un sitio Web fraudulento. cuando una heurística falla. Efecto de exposición nos gustan las cosas (y otras personas) según lo familiarizados que estemos con ellas14. los delincuentes que sobornan a sus víctimas manipulan su codicia y los que fingen necesitar ayuda. los ingenieros sociales transforman nuestra heurística en errores “graves y sistemáticos”11. nuestras reglas generales. las noticias sobre desastres naturales y provocados por el hombre a menudo dan pie a sitios Web de phishing que se aprovechan • Atajos mentales erróneos en ocasiones. Debemos recurrir muy a menudo a nuestros estereotipos. supongamos que acme corporation firma un contrato con Best Printers para el mantenimiento de sus impresoras y que el personal de servicio de Best Printers viste camisa gris de manga larga con placa de identificación. Activación de sesgos cognitivos Un sesgo cognitivo es un error mental causado por una estrategia de procesamiento de la información simplificada10. codicia y compasión. en abril de 2007. espías y estafadores saben que apelar a las emociones —especialmente al miedo— para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. si bien hay que admitir que nuestra heurística es falible. para • 10 McaFee secUrITy JoUrnal . su compasión. y no ser conminado a identificarse debido al sesgo de confirmación de los empleados de acme. se convierte en un sesgo. Intentan alterar nuestras reglas mentales de procesamiento de la información. los ingenieros sociales mantienen viva esta tradición. con el tiempo. Los ingenieros sociales mantienen viva esta tradición. algunos ataques pueden perpetrarse incluso sin que el ingeniero social esté presente. escapar de un edificio en llamas es algo positivo. los empleados de acme se acostumbrarán a ver al personal de servicio de Best Printers con sus uniformes e identificarán a cualquier persona con una camisa gris de manga larga y una placa de identificación como un técnico. Un internauta podría habituarse a comprar artículos con descuento en Internet a partir de recomendaciones de amigos. es un ejemplo de malware que manipulaba el miedo: cifraba los archivos de los usuarios y exigía un rescate a cambio de descifrarlos8. el troyano gPcoder.i. decimos o hacemos. analicemos cómo los ingenieros sociales pueden provocar en nosotros respuestas automáticas que les beneficien. también hay que decir que no podemos funcionar sin ella. curiosidad. manipulando la curiosidad de una víctima. Un ingeniero social podría confeccionar o robar un uniforme de Best Printers para hacerse pasar por personal de servicio. se dejaron en un aparcamiento de londres varias unidades UsB infectadas con un troyano bancario. en algún momento. aún así. No disponemos de tiempo. clasificar las cosas en función de algunas características clave y luego responder de forma mecánica cuando alguna de estas características de activación se manifiesta. actuar movidos por el miedo o la curiosidad puede empujarnos a hacer cosas peligrosas o no deseadas6. De igual forma. a continuación se describen algunos sesgos cognitivos que pueden explicar la ingeniería social: • Sesgo de la elección comprensiva recordamos una elección que hemos hecho en el pasado con más aspectos positivos que negativos12. los delincuentes que amenazan o chantajean a sus víctimas manipulan su miedo. los ingenieros sociales apelan a un elemento externo a nuestras emociones. el miedo y la curiosidad son útiles en muchas situaciones. energía ni capacidad para ello. Veamos un ejemplo hipotético. conectaron las unidades a sus equipos y los infectaron de malware7. los que no pudieron resistir la tentación de saber qué contenían esas unidades.Políticos deshonestos. que hizo su aparición en junio de 2008. circunstancia y situación con las que nos encontramos incluso en un solo día. Políticos deshonestos. probablemente contentos por hacerse con un dispositivo de almacenamiento gratis.

cumplimiento y obediencia alterando nuestro comportamiento. se pueden hacer pasar por un cliente trajeado o por un guardia uniformado. no se han registrado ataques de ingeniería social en grupo. Conformidad. Un ingeniero social de Madrid que pretenda infiltrarse en una empresa de sevilla. un medio para lograr un fin. al tiempo que se valen de su confianza”18. el reputado ingeniero social Kevin Mitnick señala que los agresores lo saben y elaboran una petición para sus víctimas que “parezca tan razonable que no levante sospechas. De niños. Efecto de saliencia Dado un grupo de personas. Por lo tanto. o dominante a la hora de coaccionar a sus víctimas para que hagan algo. dado su historial de condescendencia. Varios ingenieros sociales podrían hacerse pasar por empleados legítimos e incomodar a una recepcionista hasta conseguir que les dejara entrar en la oficina espetando frases como “no nos haga perder el tiempo” o “Déjenos hacer nuestro trabajo”. Éste es el error de las primeras impresiones equivocadas. otra técnica distinta que se sabe que utilizan los espías es relacionarse durante un tiempo con la víctima. • Anclaje las personas nos centramos en un rasgo de identificación inicialmente manifiesto cuando tomamos decisiones sobre algo16. e intercambiar unas palabras al respecto con la recepcionista utilizando acento de sevilla con tal de conseguir acceso a las instalaciones como “técnico de mantenimiento”. presionada para satisfacer la siguiente solicitud. el agresor solicita en un primer momento información "inocente" a la víctima y posteriormente intenta sonsacarle información confidencial. con ejemplos de cómo los ingenieros sociales se aprovechan de ellos: • Error fundamental de atribución las personas asumimos que los comportamientos de los demás reflejan sus características internas estables19. pero nunca por un malabarista con zancos. aunque haya otros indicadores de seguridad que les alerten del engaño17. • los medios de tergiversar el efecto de saliencia en su favor.de ese sentimiento15. las personas expuestas a estas noticias podrían ser fácilmente manipuladas para que visiten sitios Web de phishing que afirman guardar algún tipo de relación con estas noticias. las víctimas pueden no percatarse de que sus interlocutores son actores y de que su comportamiento es circunstancial. pero son perfectamente viables. puede saber que “ana” ha vuelto a ser madre o que “Julio” va a dejar la empresa para irse a la competencia. los ingenieros sociales son expertos en mezclarse y confundirse con su entorno. a continuación se incluye una lista de valoraciones o errores sociales comunes. tendemos a creer que la persona con mayor o menor influencia es la que más sobresale20. Un ingeniero social se empleará con diligencia para crear una primera impresión favorable. los ingenieros sociales se aprovechan del diseño de nuestro esquema social. Provocación de errores en esquemas los psicólogos sociales definen un “esquema” como la imagen de la realidad que utilizamos como referencia para poder extraer conclusiones sobre nuestro entorno. Por último. Un sitio Web falso de un banco que muestre ostensiblemente el logotipo específico de la entidad puede engañar a los usuarios. la víctima se siente atrapada. cumplimiento y obediencia respondemos a las presiones de conformidad. aprendemos que tratar bien a los demás es algo bueno. Un agresor podría mostrarse amable a la hora de hacer una solicitud. Una ingeniera social podría hacerse pasar por una ejecutiva de visita y persuadir a un joven guardia de seguridad para que la dejara entrar en las instalaciones pese a no llevar placa de identificación. y tratan por todos • oToÑo 2008 11 .) el guardia podría sentirse abrumado y obedecer. (la promesa de la agresora en forma de recompensa o amenaza de castigo puede suponer otro elemento de presión para el guardia. o se arriesga a sufrir algún tipo de chantaje. la recepcionista simplemente podría dejarles pasar para no ganarse la antipatía de los demás. anécdotas o empleados de una empresa. Muchos ataques de ingeniería social pueden explicarse a partir de las respuestas predecibles de las víctimas a estas presiones. su exposición a las noticias podría hacerles bajar la guardia en relación con la naturaleza maliciosa del sitio Web que están visitando. la confusión no se limita exclusivamente a la vestimenta y al aspecto: también puede implicar conocer la jerga. e incluso imitar acentos regionales.

toca la guitarra y estudia idiomas. “confirmation Bias: a Ubiquitous Phenomenon in Many guises” (sesgo de confirmación: un fenómeno ubicuo con muchas formas). la encuesta no incluía a los encuestados que no tenían un programa de formación sobre ataques de ingeniería social. México: ra-Ma. Barcelona: ediciones Toray. “cultivating curiosity.usc. Kevin D. y Malone. la curiosidad. http://psiexp. s. 21 computer security Institute. science.com/vil/content/v_145334.. 185.T. D. T. http://www.pdf 12 Mather. nueva york: Harpercollins.co. 1-27 (1968). “Judgment under uncertainty: Heuristics and biases” (Juicio ante la incertidumbre: heurística y sesgos).. schecter.org/emperor/ 18 Mitnick. Madrid: ediciones Turner. no. Center for the Study of Intelligence.ss. y somos propensos a cometer errores mentales. y Johnson.i. Hemos nacido con nuestras emociones y razón divididas. ozment. J. D. raman se licenció en Informática y seguridad Informática en la norwich University (Vermont) en 2006. s. Disponible en http://psiexp. Karthik Raman. William l. http://psychologytoday. cIa (2002). “Point of view and perception so causality” (Punto de vista y percepción de la causalidad). “Hackers debut malware loaded UsB ruse” (los piratas estrenan la estratagema de las unidades UsB infectadas con malware).bbc. 2006.com/forms/csi_survey.com/Virginia-Tech-massacre-may-spawn-phishing-scams/ article/105989/ 16 Tversky. sólo un 13% de los encuestados manifestó haber comprobado cuán eficaz era la formación de sus empleados frente a los ataques de ingeniería social21. Review of General Psychology. “The Psychology of Intelligence analysis” (la psicología del análisis de la inteligencia).uci. D. 21–38 (1995). e. 1124-1130 (1974).edu/research/teaching/Tversky_Kahneman_1974. 5 Johnson. 9 de junio de 2008. pero dicho comportamiento es peligroso bajo el dictado de los ingenieros sociales.html 3 Ibid.1 millones de dólares a causa de un fraude online). 2. además de la seguridad. r. 32.au. y Kahneman. 185.pdf 14 Zajonc. esto es normal. “The emperor’s new security Indicators: an evaluation of website authentication and the effect of role playing on usability studies” (los nuevos indicadores de seguridad de emperor: una evaluación de la autenticación de sitios Web y el efecto de los juegos de rol en los estudios de la usabilidad). los materiales formativos de los usuarios también serán más eficaces si incluyen los sesgos cognitivos que suelen aprovechar los ingenieros sociales. 2. http://vil. Psychological Bulletin..pdf.. cómo explorar el mundo: el desarrollo del sentido del asombro puede ser su propia recompensa). r. M. 1998. 2007. Jr. 132-138 (2000). “Virginia Tech massacre may spawn phishing scams” (la masacre de Virginia Tech puede dar pie a fraudes de tipo phishing). 175-220 (1998). http://news. s. 2. Un paso obvio es crear y mejorar las políticas de seguridad y los programas de formación de los usuarios sobre ingeniería social. “el arte de la intrusión”. richard J..edu/~mckenzie/nickersonconfirmationBias. cualquier política en materia de ingeniería social resultará más convincente si utiliza estudios científicos que la avalen. sus áreas de investigación incluyen el análisis de vulnerabilidades y la seguridad de redes y software.html 7 leyden. s. D.com/articles/index. r.uk/2007/04/25/usb_malware/ 8 Mcafee VIl: gPcoder.. “Judgment under uncertainty: Heuristics and biases” (Juicio ante la incertidumbre: heurística y sesgos). B.stm 2 schneier. 10 Heuer. aunque un 13% es un cifra baja. http://www. http://www. B. “Misrememberance of options past: source monitoring and choice” (Distorsión de opciones pasadas: supervisión del origen y elección). simon. 15 Kaplan. en la compleja interacción entre los centros de la emoción y la razón. es científico de investigación en Mcafee avert labs. si entendemos la psicología de la ingeniería social y formamos a los usuarios para que conozcan sus efectos.edu/projects/matherlab/pdfs/Matheretal2000. 117. raman juega al cricket. 6 svoboda. essays and op eds (2007)..scmagazineuk. 1967. SC Magazine (2007). “Influence: The Psychology of Persuasion” (Influencia: la psicología de la persuasión).edu/~dtg/gilbert%20&%20Malone%20 (corresPonDence%20BIas).1M to online fraud” (Un banco sufre pérdidas de 1. también está interesado en las ciencias cognitiva y social.af.wjh.. Science.uk/2/hi/business/6279561. csI computer crime and security survey (2007). Journal of Personality and Social Psychology.e. y Kahneman.schneier.mil/au/awc/awcgate/psych-intel/art12. Psychological Science. BBc (2007). a. 19 gilbert. entonces.ucsd. y en la programación de equipos.conclusión nuestra susceptibilidad a la ingeniería social tiene su origen en la estructura del cerebro humano. “el cerebro humano”. ¿por qué esta información es tan importante para nosotros? en la encuesta anual sobre seguridad y crimen informático (computer crime and security survey) de 2007 realizada por el instituto para la seguridad informática (csI).theregister. http://www. cIssP. The register (2007). “attitudinal effects of Mere exposure” (efectos actitudinales de la mera exposición). asimismo. y Fiske.html 11 Tversky.edu/research/teaching/ Tversky_Kahneman_1974. shafir. “The correspondence bias” (el sesgo de correspondencia). 439-445 (1975).ss. P.usablesecurity. K. no podemos cambiar la naturaleza humana. “The Psychology of security” (la psicología de la seguridad). los sesgos y errores cognitivos en nuestros esquemas sociales permiten explicar el éxito de la ingeniería social.htm 9 cialdini.. NOTAS 1 “Bank loses $1. I. http://www. Para divertirse.co. y los vídeos didácticos más provechosos si reproducen ataques que aprovechan cada uno de nuestros sesgos cognitivos.pdf 20 Taylor. Psychology Today (2006). http://psy.php?term=pto-4148. 17 Dhamija. la ingeniería social es la manipulación del miedo. how to explore the world: Developing a sense of wonder can be its own reward” (cultivar la curiosidad. 4 asimov.harvard.nai. http://www. http://www. (2008).uci. a. 9.com/essay-155. Vol. r. “la mente de par en par: nuestro cerebro y la neurociencia en la vida cotidiana”. a.gocsi. Journal of Personality and Social Psychology.pdf 13 nickerson. 11. s.jhtml (es necesario registrarse) 12 McaFee secUrITy JoUrnal . s. podremos defendernos de estos ataques con mayor éxito. 1124-1130 (1974). la codicia o la compasión de la víctima. e. M. http://www.

en primer lugar. en este artículo. sino que existe un componente de ingeniería social que está cada día más presente. ofrece escalabilidad. alta rentabilidad y le permite en gran medida ocultar su rastro. las iniciativas en el campo técnico y educativo. si deseamos prever cuáles serán las tendencias en el futuro. no habría spam. Pero. en relación con una reclamación contra la empresa del destinatario.Ingeniería social 2. por otro lado. incluso mucho dinero. la requisición de la caja de caudales y. que supuestamente contiene los detalles de la queja. los filtros para el correo spam y los complementos del navegador para impedir el phishing). tiene sentido plantearse cómo pueden obtener beneficios los delincuentes mediante el uso fraudulento de las funciones actuales de Internet. por lo que el riesgo es mínimo. nos saldremos por la tangente y analizaremos por qué el “ransomware” no se convirtió nunca en el desastre que muchos vaticinaban. así que. el phishing es un buen ejemplo. y lo que es peor. para comprender los ataques. es evidente que en la actualidad la lucha contra los delitos se articula en tres planos diferentes: las herramientas técnicas (como el software antivirus. si funcionaran. Hasta la fecha no se ha producido ninguno de ellos. aparte de ser el teletrabajo perfecto para un gamberro. el adjunto. el procesamiento de los responsables. ¿Qué otra motivación se puede encontrar que no sea la de conseguir algo de dinero? (o a veces. cometer fraudes a través de Internet es una actividad relativamente cómoda y segura. los defensas configuran los ataques Desde el punto de vista de los delincuentes. normalmente a los encargados de atender las quejas de los clientes a diario. Tomemos como válido este supuesto e investiguemos qué podría significar en el futuro. Por lo tanto. que se ilustra en la Figura 1. no es descabellado pensar que la próxima frontera en la ciberdelincuencia incluirá un componente que dificulte el seguimiento. no es de extrañar que el fraude a través de Internet se haya disparado. estos últimos normalmente implican la localización del origen. por último. esto es especialmente patente en el caso de los fraudes de clic y el phishing. eBay. especialmente si tenemos en cuenta lo fácilmente que escala el fraude a través de Internet. bancos y el grupo carnegie Mellon University Usable Privacy and security laboratory [cUPs]) y. Pero. estos mensajes se suelen enviar a las personas con más responsabilidad en la empresa. son muchos los que muestran su preocupación porque en la actualidad se está transformando y sembrando el caos en Internet. si los remitentes de spam no ganaran dinero. oToÑo 2008 13 . pero no el único. reducirían la rentabilidad para los delincuentes y. Parece obvio que la ola de crimeware que vivimos está motivada por los incentivos económicos. Para ello. en realidad incluye un troyano de descarga. ofrecemos algunas previsiones sobre lo que cabe esperar en el futuro. Por lo tanto. estos riesgos son importantes.) Igual ocurre con el spam en sus distintos formatos. competitividad y quizás algo de hastío. para entender realmente la importancia del aspecto legal. los primeros virus eran sólo una expresión de curiosidad intelectual. pero ambos están preparados. Fraudes en Internet: un delito sociotécnico cada vez más expertos reconocen que el fraude ya no es únicamente un problema de carácter técnico. Un ejemplo reciente es el timo denominado "Better Business Bureau".com. los medios legales. la víctima potencial recibe un mensaje de correo electrónico que parece proceder de la empresa Better Business Bureau. cada vez son más habituales los ataques de crimeware que dependen de la ingeniería social para su instalación. por último. vamos a considerar dos tipos de ataques muy difíciles de localizar. los esfuerzos legales aumentarían el riesgo de sus actividades.0: ¿y ahora qué? Markus Jakobsson aunque posiblemente la ingeniería social ha estado entre nosotros desde los orígenes de la civilización. las campañas educativas (como las organizadas por FTc. en este ataque de phishing. securitycartoon. la situación actual nada tiene que ver con la que observamos en el pasado. debemos comprender también las defensas.

si es posible. el objetivo puede ser obtener beneficios económicos de estas transferencias (los delincuentes obtienen ganancias cuando sus sitios Web muestran los anuncios) o agotar el presupuesto para publicidad de sus competidores (cuando éstos son los anunciantes desde los que se transfiere el dinero). entendemos por empleado vulnerable aquel que tiene acceso a datos confidenciales o bien a las páginas de la “fachada” de la página Web de la empresa. incluso en el sitio Web de la propia empresa? el revuelo sería inevitable y el precio de las acciones se vería afectado. años después. y otras modalidades en las que se genera una venta u otra acción cuando alguien ve un anuncio. envíame una evaluación rápida para mañana por la mañana. esto se denomina "click farm" (literalmente. <Complaint_569822971. ¿y qué ocurriría si alguien abriera o ejecutara el archivo adjunto? Pongamos por caso que el mensaje no terminara en la carpeta de spam y que el sistema antivirus no lo detectara. ya que. comprarían también opciones de venta. sino más bien como medio de conseguir dinero. consumers may electronically register a complaint with the BBB.el fracaso del ransomware a finales de la década de los 90. no sería posible localizarlo. (Damos por supuesto que se trata de una empresa que cotiza en bolsa. ¿Quién sería el delincuente? nadie podría decirlo. habría impedido revertir la ingeniería de la clave de cifrado del código.” o. uno de estos vándalos puede conseguir información de la estructura interna de la empresa. Falsificación de clics el fraude del clic es otro tipo de fraude habitual en Internet. no se trata de vandalismo por diversión o rebeldía. the consumer provided the following information: (The consumer indicated he/she DID NOT received any response from the business. que podemos denominar "vandalware". as amended. Reclamación contra BBB el azote del vandalware sin perder de vista el ejemplo del ransomware. and is voluntary. espero que puedas hacerlo. no sólo el delincuente.*** On February 26 2008. © 2008 BBB.doc> Business Name: Contact: BBB Member: Figura 1: Timo del Better Business Bureau. la automatización puede incluir distintas formas de malware. El mensaje contiene un adjunto infectado que el agresor espera que abra el destinatario. ¿y qué pasaría si parte de esa información confidencial acabara en Internet. el troyano archiveus realizó un ataque de estas características. sin embargo. tendríamos una infección en un equipo con acceso a información confidencial o al sitio Web de la empresa. 14 McaFee secUrITy JoUrnal . Please download and keep this copy so you can print it for your records. otro método habitual entre los delincuentes es contratar a personas para que hagan clic en determinados anuncios. como las redes de bots. con independencia de lo que haga. por su naturaleza. "fábrica de clics"). de un administrador del sistema: “Hay un nuevo virus informático y nuestros sistemas no disponen aún de los parches necesarios para neutralizarlo. especialmente si el volumen de negociación de las acciones de la empresa es considerable. el delincuente desencadenaría un ataque contra la empresa. That number is 502-793.org. el delincuente adquiriría opciones de venta de la empresa. entonces. aprovechándose de que conocía de antemano que el precio de las acciones de la empresa iba a descender. otros tipos de fraude relacionados aprovechan la publicidad en la que se transfiere dinero cuando el particular ve un anuncio de banner. aprovecha el hecho de que cuando un particular hace clic en un anuncio. el delincuente actuaría de la siguiente forma: en primer lugar. en primer lugar. es importante hacerlo cuanto antes. su comportamiento no parecería sospechoso. con frecuencia. quizás. Under the Paperwork Reduction Act. an agency may conduct or sponsor. en lugar de una clave pública. en segundo lugar. el ataque se frustró cuando. a continuación. los delincuentes pedirían un rescate a cambio de la clave secreta que proporcionaría acceso a los archivos cifrados. nunca habría estado ahí). seleccionaría una empresa como objetivo y utilizaría técnicas de extracción de datos para obtener el máximo de información sobre los empleados que son vulnerables. Through this form. el anunciante paga una comisión al sitio Web que contiene el anuncio y al portal que proporciona el anuncio al sitio Web. a partir de ellos. ya que todos los inversores con opciones de venta estarían en la misma situación.) Una opción de venta es un instrumento financiero que aumenta su valor si el precio de la acción correspondiente cae. entonces. Mira las diapositivas de PowerPoint que adjunto y dime qué piensas. el motivo por el que archiveus habría fracasado no es de carácter técnico. el delincuente haría efectivas sus opciones de venta. mediante un proceso de ingeniería inversa del troyano. All Rights Reserved. de forma que parezca que personas reales han visto los anuncios. Instalar inmediatamente en vuestros equipos el programa que adjunto. a collection of information unless it displays a currently valid OMB control number. aunque con una pequeña diferencia: utilizó criptografía de clave simétrica. algunos investigadores de la Universidad de columbia afirmaron que la siguiente ola de malware podría intentar secuestrar los archivos de los equipos de las víctimas codificándolos mediante una clave pública incluida en el cuerpo del malware. es posible que el ataque de archiveus nunca hubiera prosperado aunque hubiese utilizado criptografía de clave pública (que. and a person is not required to respond to. quizás enviando a los empleados seleccionados mensajes falsos como si procedieran de otro empleado. los nombres de los empleados clave y el formato utilizado para las direcciones de correo electrónico. consideraremos un nuevo tipo de ataque. se extrajo la clave de cifrado/descifrado y se distribuyó a todas las personas que habían sido víctimas del ataque. con toda probabilidad. otros inversores. como su jefe: “Hola Juan.” BBB CASE #569822971 Complaint filed by: Michael Taylor Complaint filed against: Complaint status: Category: Case opened date: Contract Issues Case closed date: 2/28/2008 *** Attached you will find a copy of the complaint. en tercer lugar. sino que es más bien de carácter financiero: los delincuentes no podrían nunca haber recogido el rescate de forma segura sin dejar ningún rastro. los delincuentes generan tráfico de forma automática.) The form you used to register this complaint is designed to improve public access to the Better Business Bureau of Consumer Protection Consumer Response Center. los inversores y especuladores utilizan las opciones de venta para obtener ganancias cuando disponen de información de que una acción determinada va a perder valor.

al sitio Web que muestra el anuncio. normalmente estos sitios colocan anuncios que atraen tráfico. ¿serán la mitad de los visitantes? si hay mil visitantes al día. esto significa que las ganancias diarias superarán los 30. como podremos ver. Pero debemos entender también que nuestra estrategia requiere mejores interfaces de usuario. oToÑo 2008 15 . pero.” la única diferencia es una “s”. los portales de anuncios (por ejemplo. “horno”. estas personas harán justo lo que pretende el delincuente: hacer clic. mejores procedimientos.a continuación. imaginemos que el sitio en cuestión incluye un anuncio que utiliza la palabra clave “buscar abogado. descontando su comisión. lee el contenido y hace clic en un anuncio. estos tres casos son muy similares en cuanto a estructura. la criptografía.87 a 3. en primer lugar. los fraudes de clic. naturalmente.” Pronto explicaremos por qué. supongamos que el delincuente crea un sitio Web que genera la palabra clave “mesotelioma” (un tipo de cáncer poco frecuente provocado por la exposición al amianto). el delincuente conseguiría unas ganancias nada desdeñables. 2008). sartenes o cafeteras. si un usuario hace clic en un anuncio de este sitio. aunque es posible comparar las palabras clave que entran y las que salen para localizar anomalías. es editor de Phishing and Countermeasures (el phishing y las medidas para combatirlo. Wiley. (exactamente “buscar abogados” y no “buscar abogado. esto se conoce como arbitraje de palabras clave. ahora.10 dólares) para atraer visitantes al sitio. e incluso si utilizara palabras clave menos llamativas. especialmente si se llevan a cabo a pequeña escala con un número reducido de sitios. que pregunta: “¿sabía que el diez por Dr. esta palabra clave de google cuesta 63.42 dólares (precio en estados Unidos de la palabra en inglés). siempre que el cincuenta por ciento de los visitantes que llegan a través del anuncio de 2 dólares hagan clic en un anuncio de 4 dólares. no hay nada inusual en este tipo de sitio. google y yahoo) normalmente determinan de forma automática el contenido de los anuncios. en el momento de redacción de este documento. supuestamente escrito por un médico. resultado de la cada vez mayor complejidad del uso de la ingeniería social en otros tipos de fraude. una legislación más restrictiva y mejores campañas educativas. la hora del día y. ya que todos los precios de palabras clave se establecen en subastas. la protección de las redes y el diseño de protocolos. podremos mejorar las defensas. en este sitio cabe esperar ver anuncios que utilicen las palabras clave “cuchillo”. describiremos cómo se puede utilizar la ingeniería social en una nueva clase de fraude de clic. Todavía queda mucho por hacer. ahora veremos cómo podría utilizar un delincuente la ingeniería social y explotar la técnica del arbitraje con el fin de conseguir ganancias espectaculares. fotógrafo: Brian Tramontana. el sitio Web se dedica a la cocina. el precio exacto depende del lugar. si. las demás ofertas que haya para las palabras clave en cuestión. esta estrategia dificulta la detección y la neutralización de estos tipos de ataques. Para ello. lo que distingue estos tres casos es la intención y el uso que se hace de la ingeniería social. el precio de esta palabra clave va de 0. Un visitante entra. Pero. el delincuente gana dinero. los anuncios pueden referirse a baterías de cocina. symantec Press. habrá muchas personas a las que les preocupa el asma y que no saben nada del mesotelioma. ciento de los enfermos de asma tienen riesgo de contraer mesotelioma?” aunque esta afirmación no es cierta. examinan el contenido del sitio Web y seleccionan anuncios sobre temas relacionados con dicho contenido. que a su vez transferiría ese importe. podemos diseñar medidas técnicas y gracias al conocimiento de los posibles modos de ataque en el futuro. el delincuente compra tráfico para la palabra clave “asma” (0. el sitio Web consigue ganancias. cuando se escribió este artículo.07 a 7. ¿por qué haría alguien algo así? supongamos que el contenido del sitio Web es un artículo. se encarga de la investigación del phishing y de las medidas para combatirlo. Imagen cortesía de Parc. los delincuentes también pueden utilizar un proveedor de servicios para generar respectivamente el tráfico entrante y el tráfico saliente. “teflón” y otros similares. además. se acerca. no es exactamente igual que el fraude de clic. 2006) y coautor de Crimeware: Understanding New Attacks and Defenses (crimeware: los nuevos ataques y las defensas.82 dólares. consideremos un segundo sitio Web que tiene contenido que selecciona anuncios correspondientes a las palabras clave “buscar abogados” (“find a attorney”). supondremos que el sitio Web paga 2 dólares por cada visitante que consigue y recibe 4 por cada visitante que hace clic en un anuncio del sitio. • conclusión la ingeniería social ha llegado a Internet para quedarse. sin proporcionar ningún servicio. mucho nos tememos que nos aguardan aplicaciones aún más sofisticadas a la vuelta de la esquina. Caso 2 Uso de arbitraje.000 dólares.05 dólares por palabra clave (precio en estados Unidos para las palabras correspondientes en inglés). el factor humano en la seguridad. conscientes de esto. sus efectos ya son patentes a través de timos de phishing y ahora empezamos a observar cómo los delincuentes utilizan la ingeniería social para mejorar la eficacia del spam y el crimeware. Pensemos en un sitio Web legítimo que proporciona determinados servicios y que muestra anuncios relativos a dichos servicios. Desde la perspectiva de los proveedores de anuncios. supongamos que. por ejemplo.) el sitio puede utilizar para esto mucho texto (visible o no) que repite esta frase. si de 634 personas que entren al sitio una hace clic en el anuncio del mesotelioma. empezaremos por explicar el caso más habitual que no constituye un fraude de clic: • Caso 1 sitio Web estándar. ahora. Markus Jakobsson es científico jefe en el centro de investigación Palo alto research center. el coste de este tipo de estrategia era de 1. De este modo. como el fraude de clic. el propietario del anuncio tendría que pagar ese importe al portal. • Caso 3 Un ataque utilizando ingeniería social.

etc. con un ataque global que tenga como marco un sitio Web de red social muy visitado. lo que significa que es posible acercarse a grandes grupos de usuarios de todo el mundo y que la ingeniería social puede dirigirse con frecuencia a grupos de usuarios nacionales e incluso locales. números de tarjetas de crédito. incluido el uso de conocidos servicios de mensajería instantánea. la mayoría de nosotros hemos recibido algún mensaje de correo electrónico que contenía adjuntos o Url maliciosos con información sobre una importante actualización de seguridad o sobre un viejo amigo deseoso de restablecer el contacto perdido. la Url le lleva al malware.Un objetivo perfecto para el malware de ingeniería social Elodie Grandjean los creadores de malware suelen emplear métodos de ingeniería social para infectar directamente un sistema o un host o para iniciar una cascada de descargas y ejecutar malware. compañeros de clase. el problema está en que confía en el contacto y no sabe que el otro sistema está afectado. como encuentros deportivos. pero hay otros. o herramientas antispyware gratuitas que con frecuencia son programas no autorizados grandes acontecimientos. listas de amigos. otras aplicaciones de malware recurren a la ingeniería social para robar información confidencial. aunque es claramente incompleta: • • • • Mensajes de correo electrónico amenazadores sobre penas de cárcel o procedimientos de actuación como miembro de un jurado salvapantallas y juegos gratuitos que contienen un troyano. • 16 McaFee secUrITy JoUrnal . Por ejemplo. familiares y amantes secretos • • • • Vínculos e imágenes pornográficos Uso de nombres de mujer en el campo del remitente Programas políticos que solicitan contribuciones en nombre de un candidato célebre Mensajes falsos de correo electrónico procedentes de bancos. los trucos más frecuentes de ingeniería social que emplean los creadores de malware son los de servicios para “adultos”. Pero no vaya a creerse que el correo electrónico es el único vector de ataque utilizado para propagar malware con trucos de ingeniería social. Hay muchas otras trampas. servicios de pago electrónico y otros servicios financieros que solicitan la confirmación o actualización de las credenciales de inicio de sesión o información sobre la tarjeta de crédito el catálogo de temas es prácticamente ilimitado. el creador de malware puede obtener respuestas de todo el mundo. He aquí una lista. el sistema infectado de un amigo puede enviarle un mensaje solicitándole que vea unas imágenes con una Url que señala a un archivo. en muchos casos. es probable que un ataque similar en las elecciones presidenciales estadounidenses sólo capte víctimas norteamericanas. como afiliaciones a sitios Web de redes sociales. por su parte. estas técnicas suelen utilizarse en ataques de phishing o intrusiones en servidores. como credenciales de inicio de sesión. desastres climáticos o noticias urgentes nombres de famosos y noticias sobre sus aventuras y escándalos relaciones que pueden ser de confianza o secretas.

el viaje de la antorcha por todo el mundo tuvo una tremenda difusión en los medios de comunicación y acrecentó si cabe el interés y la participación de seguidores y oponentes. ya hemos visto que. y numerosos usuarios de Internet están lo suficientemente interesados como para leer noticias y otros artículos online. en ese momento el área de ataque elegida era relativamente pequeña. han cobrado más relieve. Microsoft PowerPoint o Microsoft Word para introducir y ejecutar sigilosamente archivos ejecutables incrustados. Microsoft excel. como la esclavitud laboral y los derechos humanos. llegado este punto. el interés de los medios de comunicación ha sido enorme y ha abarcado a atletas. los ataques de ingeniería social necesitan “muestrear” antes a sus víctimas para tener éxito. china ha estado en el punto de mira a causa de los Juegos olímpicos de Pekín 2008. la base de víctimas. los creadores de malware se aprovecharon de los propios Juegos olímpicos para propagar ataques de ingeniería social con la aparición del rootkit pro-Tíbet2. algunas personas recibían mensajes de correo electrónico sobre la situación tibetana. medio ambiente y política.¿Por qué las olimpiadas? Durante meses. Xls o Doc. que hasta entonces incluía a las organizaciones elegidas al principio y a sus simpatizantes. pasó a englobar a cualquiera que sintiera curiosidad sobre la situación en el Tíbet. También otros asuntos. que se descarga por sí solo en los equipos de los visitantes aprovechando vulnerabilidades de los navegadores Web. las protestas por la situación del Tíbet han sido un tema muy delicado. aficionados. durante su reproducción. PPT. Probablemente estos usuarios estaban acostumbrados a recibir este tipo de documentos de sus simpatizantes y habían bajado la guardia. oToÑo 2008 17 . en los grupos a favor del Tíbet. en el terreno político. adobe acrobat. la antorcha olímpica se convirtió en un símbolo candente de los manifestantes en los meses anteriores a los Juegos. varios archivos maliciosos se introducían inadvertidamente en el sistema de la víctima e instalaban un rootkit para esconderse. la atención de los medios favoreció este incremento entre la población vulnerable. además de a todas las personas previamente identificadas por su interés en el conflicto entre el Tíbet y china. a continuación. además de a todas las personas previamente identificadas por su interés en el conflicto entre el Tíbet y China. entre otros. Veamos quiénes podían ser las víctimas potenciales de un ataque que tuviera como cebo el conflicto china-Tíbet o los Juegos olímpicos. infraestructura. china en general o las olimpiadas. Más adelante se piratearon algunos sitios Web legítimos dedicados a apoyar al Tíbet para incrustar el troyano Fribet1. Todos estos mensajes parecían proceder de una organización o persona de confianza. el uso de los Juegos olímpicos como eje de ingeniería social permitió a los creadores de malware dirigirse a muchos entusiastas del deporte. PDF. Muestreo de víctimas normalmente. este interés creciente también amplió el área de ataque potencial que podían explotar los creadores de malware. Una vez más. El uso de los Juegos Olímpicos como eje de ingeniería social permitió a los creadores de malware dirigirse a muchos entusiastas del deporte. este conjunto de archivos malintencionados funcionaba oculto bajo un archivo de película de animación que ridiculizaba el esfuerzo de un gimnasta chino. con datos adjuntos cHM (archivos de ayuda compilados). estos datos adjuntos en concreto eran malintencionados: utilizaban varias vulnerabilidades de la ayuda de HTMl compilado de Microsoft. pero la difusión mediática de las protestas en el Tíbet contribuyó a avivar la llama. muchas organizaciones de todo el mundo a favor del Tíbet libre se han beneficiado del protagonismo de las olimpiadas.

and the principles of human rights and human dignity upon which it is based.avi. Windows Media Player. el archivo dropper busca el proceso AcroRd32. la Figura 3 (página siguiente) muestra los primeros bytes del archivo incrustado una vez descifrado. the undersigned sponsor of the 2008 Beijing Olympic Games hereby declares: We reaffirm our commitment to the “harmonious development of man. Windows Media Player se añade a la siguiente clave de inicio del registro de Windows5: HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run. we agree to demonstrate our commitment to human rights at the 2008 Beijing Olympics by: FIRST. que señala a msmsgs. and FOURTH. and We acknowledge that sponsorship of the Olympic Games carries certain responsibilities. and FIFTH. book.pdf.exe y crea un nuevo servicio de Windows4. incorporating this Declaration of Responsibility into our commercial messages. including the responsibility of implementing our sponsorship and communications programs in a manner that promotes awareness of basic human rights such as the right to free speech. que se copia en %PERFILTODOSUSUARIOS%\Application Data\ msmsgs. enviado inicialmente a un grupo pro Tíbet (Véase la Figura 1). Por lo tanto. la Figura 4 muestra en la página siguiente el código del archivo responsable de esta acción. as well as to those persecuted in connection with the 2008 Olympic Games. el malware también introduce otro archivo ejecutable.log. que se muestra al ejecutar el primer archivo. DECLARED BY Figura 1: Hace poco los partidarios del Tíbet recibieron este archivo aparentemente legítimo adjunto a un mensaje de correo electrónico. and THIRD. encuentra el directorio donde está instalado acrobat y abre book.bak C:\WINDOWS\clocks.caso real: ataque de malware en torno a los Juegos olímpicos Hace poco recibimos el archivo PDF declaration_olympic_games_ eng.bak Sponsor’s declaration of responsibility at the 2008 Beijing Olympic Games WITH REFERENCE TO. declaration_olympic_games_eng. designating a high-level executive within our organization to monitor every aspect of our activities associated with the Olympics and to assure that our actions properly reflect our commitment to human dignity and human rights. en segundo plano se creaban subrepticiamente archivos maliciosos en el equipo de la víctima. prior to the commencemento of the 2008 Olympic Games in Beijing.pdf. and SECOND. el malware tiene incluso un “plan B” para interceptar el proceso de inicio: si no consigue crear el servicio. making bona fide good faith efforts to raise the issue of human rights with our Chinese contacts and to publicly report on our efforts to do so. and their families. Windows ejecute el troyano automáticamente. al iniciarse. en general nadie sospechaba de actividades malintencionadas. presenting a corporate resolution to our Board of Directors resolving to adopt this Declaration. este ejecutable introduce el archivo PDF legítimo. establishing a fund through which contributions can be made to prisoners of conscience in China. este archivo ejecutable malintencionado (detectado como BackDoorDoW3) se incrusta en formato cifrado en la ubicación que muestra el editor hexadecimal de la Figura 2 (página siguiente). and consistent with.exe. Name/Title Date 18 McaFee secUrITy JoUrnal . our obligations under the Olympic Charter. este nuevo servicio se muestra con el nombre “servicio administrador de discos lógicos” y se encarga de que. añade una nueva entrada de registro. with a view to promoting a peaceful society concerned with the preservation of human dignity. book. sin embargo. and We are fully aware of the assurance made by the government of the People’s Republic of China to the Olympic Committee to improve its human rights record as a condition for hosting the Olympic Games and recognize the worldwid concerns expressed about China’s human rights record. IN FURTHERANCE TO THE ABOVE. en realidad. el troyano también crea dos archivos que contienen datos cifrados: • • C:\WINDOWS\jwiev.” as set forth in the Olympic Charter.exe en la lista de procesos activos.pdf es un archivo PDF vacío que aprovecha una vulnerabilidad de acrobat para introducir y ejecutar la primera parte del paquete malicioso. este documento parecía inofensivo porque al abrir la aplicación aparecía el texto y no había daños ni problemas inmediatos.pdf.exe. Veamos exactamente cómo funcionaba el ataque.

Windows Installer.exe desaparece creando un archivo por lotes que se autoelimina y autofinaliza.palms[eliminado]/ld/v2/loginv2.exe introduce temporalmente otro archivo en la siguiente ubicación: C:\Archivos de programa\WindowsUpdate\ Windows Installer.exe (en la dirección 0x400000) y ejecuta el código malicioso creando un subproceso remoto.exe para ocultar su actividad. msmsgs. book. Justo antes de borrarse. con el código no modificable “662070000000”.122&t1=ne http://www1. que se conecta a un servidor remoto y envía tres solicitudes: • http://www1.exe.lic.avi.exe toma el relevo.Finalmente. oToÑo 2008 19 .exe) y abre el archivo inocente book.asp?hi=2wsdf351&x =0720080510150323662070000000&y=192. Figura 4: El malware busca Acrobat Reader (AcroRd32.bak y. a partir de ese momento. asigna un bloque de memoria en el espacio de direcciones de este nuevo proceso. guarda una copia de sí mismo en el espacio de direcciones virtual de svchost.exe introduce dos copias de un archivo Dll en: • • el código malicioso inyectado en svchost.. para finalizar.168.1. Figura 3: Versión descifrada de BackDoor-DOW. el valor de x se forma al concatenar “07” con la fecha (10/05/2008) y la hora (15:03:23) exactas en que se creó el archivo clocks. lanza una nueva instancia de svchost.pdf.lic C:\Documents and Settings\All Users\DRM\avp01.exe llama a la función workFunc() de avp01. Figura 2: Este PDF malicioso transportaba una copia cifrada del malware BackDoor-DOW.asp?p=s9wlf1&s =0720080510150323662070000000&t1=ne • C:\Documents and Settings\All Users\DRM\drmv021.exe (proceso legítimo del sistema6).asp?a=7351ws2&s =0720080510150323662070000000&t1=ne http://www1.palms[eliminado]/ld/v2/votev2.palms[eliminado]/ld/v2/logoutv2.lic • el malware se inyecta en svchost. los parámetros x e y pueden diferir. el valor de y es la dirección IP del equipo de la víctima. Msmsgs.

JPg mencionado e introducirlo en la carpeta %SysDir% del sistema de la víctima utilizando el nombre indicado del archivo ejecutable”. algunas variantes del troyano Fakealert7 advierten a sus víctimas de que su equipo está infectado (¿no les encanta la ironía?) y proporcionan información (a menudo Url maliciosas) para que se descarguen herramientas “antispyware”. @n11@http://www1. la última parte de la respuesta es el hash md5 del archivo que va a descargarse (y que servirá para comprobar su integridad).asp y logoutv2.exe@218c663bea3723a3dc9d 302f7a58aeb1@ @n11@http://www1. informan al agresor de que dispone de una nueva máquina infectada. • aproximadamente.asp devuelve código que más o menos significa “la puerta trasera está lista pero de momento no hace falta ninguna acción” (@n4@300@) o un comando como el siguiente: • Esta tendencia del malware puede extenderse en los próximos meses. las víctimas no tienen ni idea de lo que está ocurriendo en segundo plano.jpg @% SystemRoot%\Soundmax. Si se pierde esta confianza. porque la mayoría de la gente confía en los proveedores de seguridad. aparentando ser de ayuda. en ese momento. el objetivo de este ataque era disfrazar los archivos maliciosos de verdaderas actualizaciones de Windows para que las víctimas las descargaran y ejecutaran. lo cual es motivo de seria preocupación.asp. loginv2. votev2. Mientras leen y rellenan la declaración que ha presentado el archivo PDF malicioso. porque la mayoría de la gente confía en los proveedores de seguridad. esta tendencia del malware puede extenderse en los próximos meses.asp. respectivamente.palms[eliminado]/ld/v2/200764. no han tardado mucho en aparecer sitios Web de actualizaciones no autorizados imitando el sitio auténtico de Windows Update. lo cual es motivo de seria preocupación.exe@5f3c02fd4264f3eaf3ceebfe94f fd48c@. que en realidad son también aplicaciones no autorizadas. el troyano crea una copia de la página Web devuelta en la siguiente carpeta: C:\Archivos de programa\InstallShield Installation Information\ el nombre de archivo consta de un valor aleatorio de seis dígitos. pero votev2. probablemente sufrirán todavía muchos usuarios más. probablemente sufrirán todavía muchos usuarios más. ya que su seguridad se ha quebrantado por completo. recientemente hemos descubierto un sofisticado método que utilizaba componentes Dll —vinculados a un sitio Windows Update falso— e impedía que Internet explorer alertara a los usuarios cuando un servidor Web remoto empleaba un certificado no válido para un sitio Web seguro (HTTPs). una vez leído. estos programas logran que las víctimas infecten su propio sistema. Durante todo este proceso.palms[eliminado]/ld/v2/sy64. y logoutv2. Dada la importancia de mantener el software actualizado. Para leer la respuesta enviada tras conectarse a una de las secuencias de comandos del lado servidor. en su sistema se instala silenciosamente una puerta trasera a la espera de los comandos del atacante. estos comandos quieren decir “Descargar el archivo de extensión .asp. 20 McaFee secUrITy JoUrnal . software y sitios no autorizados las interceptaciones imaginativas en ataques de ingeniería social no se limitan a acontecimientos deportivos. el archivo se borra.las tres secuencias de comandos del lado servidor. loginv2. si se pierde esta confianza.asp sólo devuelven páginas Web vacías (con etiquetas <html><head> </head></html>). jpg@%SystemRoot%\Dnservice. comprueban si el agresor ha enviado un comando y cierran la puerta trasera. en el equipo también pueden descargarse otros archivos maliciosos. Durante varios meses hemos percibido un incremento del software malicioso que se presenta en forma de aplicaciones de proveedores de “seguridad”.

com/vil/content/v_141466.a. http://vil. http://www.com/vil/content/v_139219.avertlabs. Microsoft excel. pero éstas tropiezan muchas veces con sitios Web relacionados pero maliciosos o.85). era fácil suponer que los desarrolladores de malware dirigirían su atención a los Juegos olímpicos de Pekín. http://vil.htm 4 “services”.nai.htm Fakealert-r. http://vil.microsoft.nai.com/vil/content/v_141163. http://msdn.com/en-us/library/ms724871(Vs. la gente acaba por conocer los trucos habituales.” Mcafee VIl. Elodie Grandjean trabaja como investigadora de virus para Mcafee avert labs en Francia desde enero de 2005.com/research/blog/index.htm Fakealert-I.htm 2 “Is Malware Writing the next olympic event?” (está el malware escribiendo el próximo acontecimiento olímpico) Mcafee avert labs Blog. así.conclusión los acontecimientos deportivos se utilizan con frecuencia como cebo en ataques de ingeniería social. http://msdn. seguramente elodie está navegando por Internet. Microsoft ayuda y soporte. http://vil. a menos que asista a un concierto o disfrute de una cerveza belga en un bar con sus amigos.microsoft. NOTAS 1 Fribet. También los documentos legítimos (Microsoft Word. Mcafee VIl. Microsoft Developer network.nai.com/kb/314056/es 7 Fakealert-B. este crecimiento fue posible gracias a la estrecha relación de varios temas entre sí: la preocupación por el Tíbet dio paso al relevo de la antorcha. en parte. http://vil.nai.htm Fakealert-T. http://support. http://vil.nai.com/en-us/library/ms685141(Vs.htm generic Fakealert.com/vil/content/v_142850. elodie se ha especializado en técnicas de anti-ingeniería inversa.htm Fakealert-s. que a su vez desembocó en los propios Juegos olímpicos. a menudo los medios de comunicación desempeñan un papel importante en la popularidad de un acontecimiento.nai.htm Fakealert-H. Mcafee VIl. como hemos visto en este estudio.htm Fakealert-Q. http://vil. no sólo nos enfrentamos a amenazas de remitentes desconocidos y datos con extensión . y ha escrito para la revista de seguridad francesa MISC: MultiSystem & Internet Security Cookbook.htm Fakealert-D.exe adjuntos al correo electrónico.nai.nai.com/vil/content/v_143406. con sitios Web legítimos que ya no son seguros y que infectan con sigilo a sus confiados visitantes.htm Fakealert-c.nai. su trabajo induce a algunas víctimas a buscar más información.com/vil/content/v_144356. estos ataques tienen tanto éxito por la ingenua creencia de que los archivos de datos no pueden contener malware.exe en Windows XP Professional edition”. el acto contenía todos los ingredientes para una receta perfecta: pequeños ataques escogidos que crecían en alcance a medida que se elevaba el número de víctimas interesadas en el tema.nai.com/vil/content/v_140346.microsoft. desempaquetado y descifrado.com/vil/content/v_139058.htm Fakealert-g. http://vil.com/vil/content/v_142807.com/vil/content/v_141377.nai.com/vil/content/v_143088. http://vil.com/vil/content/v_143470. al final.nai. http://vil. Microsoft PowerPoint y otros) pueden ser malintencionados. seguir venciendo a sus víctimas. http://vil. http://vil. http://vil. http://vil. Posee más de cinco años de experiencia en ingeniería inversa con plataformas Windows.aspx 6 “Descripción de svchost.nai.dll. estos ataques son tan elaborados que lo más probable es que las víctimas no sospechen nada.php/2008/04/14/ is-malware-writing-the-next-olympic-event/ 3 “BackDoor-DoW. si no está analizando malware o programando. lo que a su vez obliga a los agresores a ser más creativos y malvados en sus técnicas para. Microsoft Developer network.85).nai.nai.htm Fakealert-M. más habitualmente.com/vil/content/v_143110.com/vil/content/v_143102. http://vil.aspx 5 “registry”.com/vil/content/v_144476.htm Fakealert-D!56c05f7f.htm oToÑo 2008 21 .

con nuestro historial en investigación de vulnerabilidades y dado el contexto de repercusión en los medios de comunicación de la crisis crediticia. miércoles. esperamos aportar datos complementarios sobre otros desarrolladores de software.2. en el futuro cercano. al día siguiente. la firma de investigación y desarrollo de seguridad Matasano security examinaba el protocolo de intercambio de información financiera (Financial Information eXchange. informática. en la conferencia sobre seguridad Black Hat 2007 que se celebra en estados Unidos. nuestra hipótesis es que los Martes de parches hay una tendencia a la baja del precio de las acciones de Microsoft (símbolo de cotización: MsFT). que es el pilar para la transmisión de mensajes entre los directores de inversión encargados de numerosas operaciones en nombre de clientes e intermediarios financieros y agentes de bolsa1. FIX). es el único día del mes que Microsoft distribuye sobre todo actualizaciones de seguridad y funcionales para Windows y el resto de sus aplicaciones. esta presión se debe probablemente a las reacciones ante los artículos que aparecen sobre las implicaciones negativas de las vulnerabilidades de seguridad en el software de Microsoft. así como una comparativa del aspecto financiero de los métodos de distribución de parches (por ejemplo. la distribución mensual de Microsoft o la trimestral de oracle. inversiones en capital riesgo.). la hipótesis el Martes de parches es el segundo martes de cada mes. sin duda fue un interesante análisis de los protocolos financieros desde la perspectiva de los puntos débiles de la seguridad. etc. nuestro artículo ofrecerá otro enfoque: a nosotros más que el aspecto de las vulnerabilidades nos preocupa la ingeniería financiera y social. así que comenzaremos por analizar solamente las vulnerabilidades de los productos de Microsoft. en la investigación de Matasano se planteaban cuestiones como “¿Qué vulnerabilidades pueden encontrarse en el protocolo FIX?”. es de esperar que se produzca una recuperación. es natural buscar vulnerabilidades en el mercado de valores y derivados. agencias de calificación crediticia. esta atención continua por parte de los medios de comunicación ha hecho crecer el interés por la ingeniería financiera de las personas que trabajan en ciencias relacionadas (como bioinformática. ¿Qué efectos tiene en las cotizaciones bursátiles el Martes de parches de Microsoft? ¿y el día anterior al Martes de parches? ¿y el día después (denominado en ocasiones "Miércoles de ataques")? ¿y los Jueves de notificaciones avanzadas? • • • 22 McaFee secUrITy JoUrnal . nuestra investigación comienza con las siguientes preguntas: • • • • ¿Qué pasa con las amenazas de tipo zero-day? ¿Tienen siquiera constancia de estos eventos los inversores? ¿se producen en la actualidad eventos de ingeniería social relacionados con las vulnerabilidades y las acciones? ¿Podríamos asistir un aumento de este tipo de eventos en el futuro? este es un tema de estudio muy amplio. fondos de inversión libre.Vulnerabilidades en los mercados de valores Anthony Bettini la reciente confusión crediticia en los mercados de valores y derivados ha puesto de relieve numerosas facetas de la industria financiera que no se limitan a las estructuras de control reglamentarias. que se ajusta según las necesidades de cada momento). una vez que los inversores se percaten de que los valores de Microsoft se sobrevendieron el día anterior. comparadas con la distribución no planificada de otros proveedores. fondos de pensiones y otros creadores de mercado. sin embargo. De manera análoga.

64% -0. esto probablemente se deba a que los inversores institucionales El precio de las acciones de Microsoft cambia desde la apertura al cierre de la jornada bursátil.26% Media anual Días sin eventos Notificación avanzada Martes de parches Todos los martes Martes. aunque.58% 0.88% 0.88% 0.08% 0.49% -0.36% -0.21% 0. 2008 2007 2006 Media anual Días sin eventos Notificación avanzada Martes de parches Todos los martes Martes. excepto el día después del Martes de parches -0. excepto los de parches Día después del Martes de parches Todos los miércoles Miércoles. es de destacar que esta tendencia ha sido constante durante los últimos tres años y continúa en la actualidad. el valor experimenta una recuperación o un cierre neto positivo. Valor máximo intradía de Microsoft a la apertura VARIACIÓN DE MSFT DE APERTURA A MÁX Figura 3: El Martes de parches conserva su posición "baja" cuando se compara con el mínimo medio intradía del año.17% -0.24% -0.18% -0.40% 0.08% -0.06% 0. en algunos casos.92% 0.12% -0. parece que cuando Microsoft publica una “notificación avanzada” la cotización sufre una presión a la baja más fuerte de lo habitual.05% 0.95% Figura 2: En la contratación intradía en los días de Notificación avanzada y los Martes de parches la cotización es siempre inferior a la de los demás días del año.17% 0.93% 0.25% 1. VARIACIÓN DE MSFT DE APERTURA A CIERRE 2008 2007 2006 o los creadores de mercado consideran que el día anterior la venta de acciones de Microsoft como consecuencia de las malas noticias fue excesiva y que. que excluyen eventos como las notificaciones avanzadas y el Martes de parches.93% -0. También observamos que el valor máximo intradía medio del día siguiente al Martes de parches suele ser superior.67% 0.81% -0.02% 1.23% 0.24% -1. este efecto no es tan acusado.29% 0.39% -1.01% -0.28% 1.34% 0.56% -0.01% 1.07% -0.92% 0.51% -0.98% 1. se incluye como alternativa base los “Días sin eventos”.44% 0.90% -1.29% 0.35% -1. la primera fila “Media anual” es la media base entre el precio por acción de Microsoft al inicio de la jornada y la cotización al cierre. al menos parece evidente la relación entre las fluctuaciones del precio por acción de Microsoft y el ciclo de distribución de los Martes de parches.03% -0. y lo que es aún más interesante es que los llamados Miércoles de ataques (día después del Martes de parches).64% -0.39% -1.15% 0. está presión a la baja también se observa los Martes de parches.16% 0. excepto el día después del Martes de parches -1. excepto los de parches Día después del Martes de parches Todos los miércoles Miércoles.20% -0.74% -0.50% 1. en realidad.58% -1.27% 0. Por regla general.52% 1.47% -0.95% 1. en la Figura 2 observamos que generalmente el valor máximo intradía medio en un día de notificación avanzada y un Martes de parches es inferior al valor máximo intradía medio del año.37% 0.45% 0.30% 1.54% Figura 1: Si se analiza el cambio de las cotizaciones de Microsoft en días clave. oToÑo 2008 23 .99% -0. Valor mínimo intradía de Microsoft a la apertura VARIACIÓN DE MSFT DE APERTURA A MÍN 2008 2007 2006 Media anual Días sin eventos Notificación avanzada Martes de parches Todos los martes Martes.78% -0. como media.91% -1.08% 0.08% -0. excepto los de parches Día después del Martes de parches Todos los miércoles Miércoles.70% 0.11% -0. excepto el día después del Martes de parches 1.¿Hay quien que gana dinero los Martes de parches? Parece ser que es así.01% 0.79% -0. el valor real de Microsoft como inversión sólo se vio afectado mínimamente.89% -0.97% 0.76% -0.35% 1.16% -1.68% -0.74% -0. examinemos la Figura 1. lo que indica mayores presiones al alza.51% 0.24% 1. Del mismo modo. se observará una tendencia constante durante tres años.99% 0. aunque posiblemente sea más fácil entender la variación del precio de la apertura al cierre. Por ejemplo. también pueden apreciarse las tendencias en la diferencia media entre el precio inicial y el precio máximo (cotización del día) y en la diferencia media entre el precio inicial y el precio mínimo.43% -0.92% 1.

es también relevante que el valor mínimo intradía medio del día siguiente a un Martes de parches suele ser superior a la media del año. como veremos más adelante.58% Máximo intradía 1. además.28% 0.98% 1.35% -1. no todos los ataques emplean la ingeniería social. sin embargo. por lo tanto. de lo cuales sólo 12 caen en Martes de parches. los días de notificación avanzada. es posible que mediante la ingeniería social los eventos se pudieran orquestar con el fin de manipular el mercado y a sus participantes. Por ejemplo.) Márgenes de ganancias potenciales MÁRGENES 2008 2007 2006 Mínimo intradía Año completo (mínimo intradía) respecto a año completo (máximo intradía) Martes de parches (mínimo intradía) respecto a Martes de parches (máximo intradía) Martes de parches (mínimo intradía) respecto al día después del Martes de parches (máximo intradía) -1. al menos según la hipótesis de los mercados eficientes (eMH.52% Mínimo intradía -0.67% 0. es decir. el margen de ganancias que se muestra se centra en la divulgación de vulnerabilidades reales que se producen basándose en la presunción de que otras personas actuarán de una forma previsible. su calidad es relativamente limitada. pero cuando se trata de obtener ganancias. Una rápida mirada al volumen de negociación corroboraría esta teoría. (Véase la Figura 5. algunos pueden incluso ser legales. este tipo de situaciones. en la página siguiente. no perdamos de vista que la divulgación de vulnerabilidades falsas y los rumores ya son habituales en las listas de correo actuales. Para obtener beneficios a nivel privado en este tipo de operaciones sería necesario arriesgar mucho capital.30% Mínimo intradía -0.93% Máximo intradía 0. Por lo tanto.89% -0. si se compra cerca del mínimo intradía medio en un Martes de parches y se vende cerca del máximo intradía medio del día siguiente. otra advertencia: los datos representados son reducidos y. efficient Market Hypothesis) y la hipótesis del paseo aleatorio (random Walk Hypothesis). la posibilidad de predecir la tendencia del mercado a corto plazo para obtener ganancias.4. como advertencia para el inversor ocasional o para el inversor privado: estas fluctuaciones de precio son relativamente pequeñas y con estrechas limitaciones de tiempo.99% Máximo intradía 0. es posible que este nivel de correlación sólo sea interesante para los inversores institucionales y debe adaptarse convenientemente.92% 1. sólo hay 260 días de mercado al año. si se producen. son poco probables y desde luego. como pensamos que deberían hacer todas las entidades financieras: “rentabilidades pasadas no necesariamente garantizan rentabilidades futuras”5. es poco probable que perduren en el tiempo3. según muestra la Figura 4.88% 0. lo que produce un amortiguamiento del efecto). siempre hay alguien dispuesto a saltarse la ley.99% -0. se pueden conseguir pequeñas ganancias (hasta que esta operación se generaliza. Uso del volumen de negociación como indicador otra de nuestras teorías era que el ciclo de Martes de parches había amortiguado el efecto de la mala prensa observada durante los días de distribución no planificada de boletines de seguridad (antes de mediados de octubre de 2003). 24 McaFee secUrITy JoUrnal .97% 0. al igual que los rumores de oPa hostil afectan al precio de las acciones. también podrían hacerlo los rumores de que existen algunos defectos críticos que ponen en riesgo a los consumidores. aunque los grupos de datos y las fluctuaciones son pequeñas. lo que indica mayores presiones al alza. pero esto sólo es cierto cuando se negocian grandes volúmenes y el nivel de riesgo es considerable. sin embargo.93% -0.58% -1. ahora vamos a examinar una comparativa de los márgenes de ganancias potenciales (Figura 4). los resultados no están tan claros. esto sin duda sería ilegal. avisamos a los lectores.en la Figura 3 observamos que generalmente el valor mínimo intradía medio de un Martes de parches es inferior al valor mínimo intradía medio del año.64% -0.70% Figura 4: Puede parecer que con la adquisición de acciones un Martes de parches y la posterior venta al día siguiente se pueden obtener ganancias legítimas. como Full Disclosure o en salas de chat Irc.

31% 3.794 1.946.949.835.75% -6.42% Figura 6: La institución del Martes de parches parece haber convencido a los operadores bursátiles de que no se pueden obtener ventajas exclusivamente de los eventos ocurridos en dicho día.82% 10.512.408. año completo (sin eventos) 84.08% 5.233 59.522 1.267.142 69. oToÑo 2008 25 .90% -7.280.53% 76.305.854.745.46% 3.875 66.678 76.768.786.759.49% -1.017.074.094. excepto los de parches Diferencia media de volumen de ^IXIC (Martes de parches comparado con año completo) Diferencia media de volumen de ^IXIC (Martes de parches comparado con días sin eventos) Diferencia en MSFT entre Martes de parches y martes sin parches Diferencia en ^IXIC entre Martes de parches y martes sin parches 2.143 2.500 2.981 Volumen de ^IXIC medio en Martes de parches 2.249.500 1.81% 0.947.658.732.325 78.66% -1.089. Martes de parches Volumen medio de los martes.466.22% 66.55% 0.877 -4.571 -10.47% -9.818 1.182 -3.859.270 2.967. excepto los de parches Diferencia media de volumen de MSFT (Martes de parches comparado con año completo) Diferencia media de volumen de MSFT (Martes de parches comparado con días sin eventos) Volumen de ^IXIC medio.260.107.318.793.506. año completo (en acciones negociadas al día) Volumen medio.271. año completo (sin eventos) Volumen medio.108 64.89% -2.03% -2.480.503.471.97% -12.610 -2.301.74% -2.644 64.340 2.387 68.92% 67.667 Volumen de ^IXIC medio de los martes.48% 4.29% -0.691.274 86.227.473 -1.161.926. año completo Volumen medio.898.552 1. día de boletines no planificados Diferencia media en volumen Diferencia media en volumen respecto a días sin eventos 65.733 67.64% 66.738.437 64.249.71% 2.00% Figura 5: Volumen de contratación de las acciones de Microsoft antes de pasar de los boletines no planificados a los Martes de parches.769. año completo Volumen de ^IXIC medio.463.83% -1.30% -3.453.432 70.903.419 63.612.831.86% 62.574 -7.60% 8.667 1.255 2. año completo (sin eventos) Volumen medio.87% -5.753.054.967.813.483 65. 2002– 03 DIFERENCIALES DE VOLUMEN DE MSFT (SIN PLANIFICAR) 2003 2002 Volumen medio.502 1.900.769 1.696 75.009.818.818 1.503 67.018 65.040 2.074.935.922.000 2.47% -2.731.439.94% -1.210.620 79.743 7.91% -4. Publicaciones el Martes de parches DIFERENCIALES DE VOLUMEN DE MSFT (CON PLANIFICACIÓN) 2008 2007 2006 2005 2004 Volumen medio.82% 0.55% -0.534.584.816.909 1.Volúmenes de Microsoft.840.796.692 1.868 57.752.

reacciones e implicaciones las implicaciones de estos factores pensamos que son interesantes y esperamos que este artículo estimule nuevas investigaciones sobre la influencia de las vulnerabilidades y las amenazas en los mercados de valores. Notificación avanzada DIFERENCIALES DE VOLUMEN DE MSFT (NOTIFICACIÓN AVANZADA) 2008 2007 2006 Volumen medio. el volumen medio de negociación superó el volumen medio del año.419 54.48% 62.738. a continuación). se destapan de vez en cuando casos de contratación en bolsa con información privilegiada (que obviamente también es ilegal).900.000 2.753.534.506.074.935.249. Hemos incluido también una comparativa entre Microsoft (MsFT) y el índice compuesto nasDaQ (^IXIc). esto implicaría que el efecto de cambiar de boletines no planificados (paseo aleatorio) a planificados (Martes de parches) entre los operadores ha sido una disminución del interés por los eventos asociados al Martes de parches. respectivamente. sino para adoptar posiciones cortas o de opciones sobre acciones y derivados. esta cifra se eleva hasta el 8.340 2.267. año completo Volumen de ^IXIC medio.en la Figura 5 (página 25) observamos que el día de la publicación no planificada de un boletín en 2003 y 2002. año completo (sin eventos) Volumen de ^IXIC medio.365.17% 67. notas de prensa. respectivamente. la persona responsable había vendido al descubierto una gran cantidad de acciones de la empresa y sus ganancias ascendieron a más de 250.224.094.271.437 64.552 1. no sólo para incluir troyanos que roben contraseñas.46 por ciento de media. que se muestran en la Figura 6 (página 25).700 -2.75% 2.210. que provocó una caída del 62 por ciento en la contratación intradía de acciones de emulex.848.56% -4.872. esto contrasta bastante con los diferenciales de volumen de los Martes de parches.466. a continuación. Del mismo modo.502 1.692 2.274 86. ¿Por qué es el volumen medio inferior el Martes de parches y el día de notificación avanzada? nuestra hipótesis es que el volumen medio anual comparado con el volumen medio del Martes de parches puede explicarse debido a ”eventos significativos que afectan al año completo” (de la martingala en la teoría de la probabilidad) que estadísticamente tienen menos probabilidades de producirse un Martes de parches debido a que son menos frecuentes (sólo 12 veces al año)6. se trató de caso claro de fraude. día de Notificación avanzada Diferencia media en volumen Diferencia media en volumen respecto a días sin eventos Volumen de ^IXIC medio.926.270 2.77% -20. examinaremos los datos comparativos en el caso de las notificaciones avanzadas (véase la Figura 7.6 por ciento y un 2.850 -18.868 61.089.484. un 7. año completo Volumen medio.380.387 68. si comparamos solamente los días en los que no hay ningún evento especial para obtener el volumen medio del año completo.042 -1.53 por ciento y el 3 por ciento. alguien publicó una nota de prensa falsa acerca del cese del Director ejecutivo. el volumen de negociación de los valores de Microsoft es menor en los Martes de parches y los días de Notificación avanzada. Notificación avanzada 84.522 2.833 1. Es posible que ya haya quien utiliza las amenazas de tipo zero-day (día cero) para un beneficio económico.500 Figura 7: Como media.442. pensemos en el bulo de emulex7. en este caso.859.696 82.000 dólares. año completo (sin eventos) Volumen medio.41% -4. Por ejemplo. 26 McaFee secUrITy JoUrnal .221.532.854.898.

Iss scanner. ¿podría haberse considerado un acto ilegal? sin duda.aspx 6 “Martingale (probability theory)” (Martingala (teoría de la probabilidad)). 22 de mayo de 2008. publicó nuevas vulnerabilidades descubiertas en Microsoft Windows. Wikipedia. Anthony Bettini es miembro del equipo directivo de Mcafee avert labs. estar al tanto y divulgar la información con frecuencia mejoran la situación de seguridad de los que pueden resolver el problema. aunque sea de forma potencialmente manipuladora. nos hemos centrado principalmente en los mercados de valores.wikipedia. pueda considerarse ingeniería social. si en ese momento hubiera tenido un coche Ford. D. utilizando un algoritmo nuevo para el algoritmo previo del 22 de septiembre de 2003) 20 de abril de 2008. su especialidad es la detección de vulnerabilidades y la seguridad de Windows. Wikipedia. http://finance. . http://en. http://en. pero consideremos la controversia entre Firestone y Ford por reventones de neumáticos8. 2 de agosto de 2007. Quiero dar las gracias a mis compañeros Craig Schmugar y Eugene Tsyrklevich por revisar este documento y los datos que incluye.org/wiki/Martingale_%28probability_theory%29 7 “emulex Hoax” (el bulo de emulex). además sería manifiestamente ilegal si las vulnerabilidades no fueran ciertas (libelo o fraude). Dave y Jeremy rauch. using newer algorithm for the pre- • • • september 22. ¿sería eso legal? como ocurre con cualquier otro vector de ataque o vulnerabilidad. 15 de mayo de 2008. http://finance.yahoo. http://en. andrew W. algo similar a lo conocido como el "Mes de los errores de navegador". Journal of Portfolio Management. las presiones a la baja en el mercado de valores serían significativas a nivel de particulares. es evidente que los remitentes de spam han encontrado formas de aprovecharse de los mercados de valores: hemos recibido muchos mensajes de spam que ofrecen acciones de muy poco valor. sobre las técnicas antiseguimiento.wikipedia. ¿qué ocurriría si una persona adoptara una posición corta (descubierto) en una empresa de software importante y publicara unas cuantas vulnerabilidades con ataques en la lista de correo de Full Disclosure? ¿Quizás.cboe. 20 de abril de 2008. 2003 algorithm switch” (archivo de datos históricos del índice VIX. PgP. 5th (Los piratas informáticos se aprovechan) (Mcgraw-Hill).08. “The adaptive Markets Hypothesis: Market efficiency from an evolutionary Perspective” (la hipótesis de los mercados adaptables: eficacia de los mercados desde una perspectiva de evolución). sino para adoptar posiciones cortas o de opciones sobre acciones y derivados. pero dirigido a un proveedor.wikipedia. quizás podamos mejorar y supervisar el sistema de forma adecuada. http://en. en un solo día? si esto ocurriera en horario de contratación y durante uno de los días con menor probabilidad de que otras noticias distrajeran a los inversores (como los martes o jueves). 20 de abril de 2008. 20 de abril de 2008.org/wiki/efficient_market_hypothesis 5 “Past performance not indicative of future results”(rentabilidades pasadas no garantizan rentabilidades futuras). 15 de mayo de 2008. Wikipedia. 22. 15 de mayo de 2008. si hablamos con franqueza de los puntos débiles. http://www. Ford u otros.org/wiki/emulex_hoax 8 “Firestone and Ford tire controversy” (controversia por reventones de neumáticos) Wikipedia.wikipedia.aspx lo. Bettini ha sido ponente en la conferencia nacional sobre seguridad de sistemas Informáticos del Instituto nacional de normas y Tecnología (nIsT. es posible que ya haya quien utiliza las amenazas de tipo zero-day (día cero) para obtener un beneficio económico.com/micro/vix/historical. parece lógico que los operadores que publican las vulnerabilidades traten de ajustar el momento de publicación a las fechas de expiración de las opciones.com oToÑo 2008 27 . NOTAS 1 goldsmith. en sus siglas en inglés) en el área de Washington. Wikipedia. http://en. si hubiera vendido al descubierto y se lo hubiera comunicado a Firestone. Mientras trabajó en Foundstone.c.com otros indicadores financieros cortesía de google Finance. ni siquiera que sea ilegal. así como para numerosas empresas global 2000. no sólo para incluir troyanos que roben contraseñas. sin embargo.05. OTRAS REfERENCIAS • “cBoe’s archive of historic VIX data. Bettini fue editor técnico de la edición Hacking Exposed. Wikipedia.wikipedia. http://www. pero la volatilidad es mayor. ¿sería ilegal si fueran ciertas? no está tan claro que decir la verdad.sin embargo. si las fluctuaciones del precio de las acciones se deben a los anuncios de vulnerabilidades y parches. Indicadores financieros cortesía principalmente de yahoo Finance. symantec esM y otras aplicaciones de uso generalizado.google. hubiera sufrido problemas de neumáticos y hubiera adoptado una posición corta con respecto al valor.org/wiki/Firestone_and_Ford_tire_controversy conclusión Todavía queda mucho por hacer en el área de las implicaciones de las vulnerabilidades y amenazas en los mercados de valores y derivados. Black Hat Usa 2007. así como por ofrecer sus puntos de vista.cboe. es posible que pudieran defenderse ambas posturas.B.com/micro/vix/faq. 2 “Financial Information eXchange” (Intercambio de información financiera). siempre que exista un cierto nivel de confianza en la dirección de un movimiento. Matasano security.A. http://en. cBoe. los mercados de derivados suelen moverse en la misma dirección. 20 de abril de 2008.org/wiki/Financial_Information_eXchange 3 “random walk hypothesis” (Teoría del paseo aleatorio).org/wiki/random_walk_hypothesis 4 “efficient Market Hyp” (Hipótesis de la eficiencia de los mercados).wikipedia. “Hacking capitalism” (los piratas informáticos se aprovechan del capitalismo).

la plataforma crece gracias a las contribuciones de los usuarios. esto abrió el camino para que los agresores insertaran código maligno y lanzaran convincentes ataques de phising directamente desde sus perfiles de Myspace. no pasó mucho tiempo antes de que la mayoría se cambiara de red. sitios como classmates. así que. estos principios están allanando el camino para los sitios de redes sociales del futuro. aumenta el valor de toda la red. los paneles de mensajes. en primer lugar.com llevan funcionando más de una década.0. Friendster fue el precursor de Myspace y. estas plataformas permiten seleccionar la audiencia de la publicidad para ser más directos y especializados que nunca. sino además por el nivel de libertad del que disfrutaban los usuarios a la hora de crear. entonces. como consecuencia. muchos sitios de redes sociales no han prestado a la seguridad toda la atención que merece. y entre los usuarios y sus intereses. ¿qué es exactamente lo que convierte a un sitio en una “red social”? Básicamente. las empresas pueden centrar sus iniciativas de marketing en las personas que están verdaderamente interesadas. donde la red de usuarios es la plataforma y la comunidad es responsable del contenido. en sus mejores momentos. y hacer nuevos contactos o retomar las relaciones con los del pasado. Friendster intentó encajar la base de usuarios en su modelo predefinido de cómo debía utilizarse la red y quién debía participar. en estas comunidades. sin embargo. en la pugna por la cuota de mercado y siempre intentando evitar ser el siguiente Friendster. y que la fidelización de sus usuarios es esencial. el servidor central no pudo mantener el ritmo. la clave del éxito de todo sitio de red social es contar con una base de usuarios sólida y fiel. ampliable y con capacidad de evolución. los individuos con ideas afines pueden compartir información e intereses comunes. a medida que crece la base de usuarios. la importancia de los sitios de redes sociales se basa en dos razones. entre ellas. estos sitios pueden servir de plataformas de colaboración y. los sitios de redes sociales combinan elementos de canales de comunicación. que la plataforma ha de ser flexible. Por desgracia. además. el sitio de red social número uno indiscutible. así como aportar sus opiniones y puntos de vista. sin embargo. el vídeo y las publicaciones. cuando la base de usuarios comenzó a crecer de forma masiva y el contenido evolucionó (incluyendo hasta juegos). además. modificar y visualizar una variedad de contenidos más amplia.el futuro de los sitios de redes sociales Craig Schmugar en los últimos años. en segundo lugar. la mensajería instantánea y el chat. los administradores del sitio se vieron obligados limitar el contenido que requería un gran ancho de banda. los sitios de redes sociales son aquellos que están formados por una comunidad online que permite a los usuarios compartir información. Friendster.com y sixDegrees. semejante nivel de flexibilidad se presta al aprovechamiento de vulnerabilidades. lo cierto es que la explosión de crecimiento se ha producido en los últimos años. que los menos escrupulosos no dudan en utilizar. no sólo por su mayor ancho de banda. Inseguridad social Una parte del triunfo de Myspace sobre Friendster se debe al hecho de que permitía a los usuarios un elevado nivel de personalización de sus perfiles. los sitios de redes sociales contienen un almacén de información que se puede explorar y analizar con el fin de ampliar los perfiles de los usuarios y generar complejos diagramas y mapas de relaciones entre los usuarios. Myspace ofrecía una plataforma más robusta. los sitios de redes sociales han sido blanco de 28 McaFee secUrITy JoUrnal . como el correo electrónico. a través de aplicaciones que están a disposición de la comunidad. son el epítome de la Web 2. en realidad. como el audio. pero ni siquiera así consiguieron mejorar el rendimiento hasta niveles satisfactorios y la base de usuarios desertó. ¿qué fue lo que le ocurrió? Friendster fue una especie de éxito catastrófico. con vehículos de comunicación. esta primera batalla entre redes sociales permite extraer algunas conclusiones. los nombres de los sitios de redes sociales —Myspace. Facebook y otros —han entrado a formar parte de la lengua de uso común. aunque muchos creen que las redes sociales en Internet es un fenómeno relativamente nuevo.com sabe bien de lo que estamos hablando. en cuanto corrió la voz entre los internautas de que Myspace era el nuevo Friendster.

leer reseñas que sus amigos han considerado interesantes y averiguar el horario de la función en los teatros cercanos. las personas en viaje de negocios podrían organizar más fácilmente las reuniones con colaboradores y clientes. los sitios sociales ganarán en inteligencia. se han desarrollado más de 20. ya que podrán extraer información del usuario de toda la Web. aunque este caso no supuso más que una molestia (adware). esta información servirá para mantenerle al día sobre cambios en los eventos y para filtrar el "ruido" que tienen que soportar los usuarios oToÑo 2008 29 Grey Goo JS/QSpace JS/SpaceFlash JS/SpaceTalk Gusano Kut Pérdida masiva de fotos privadas PWS-Banker! 1d23 Samy Scrapkut Secret Crush Gusano Xanga gusano gusano gusano ladrón de información gusano fuga de datos ladrón de contraseñas gusano gusano programa no deseado gusano Second Life MySpace MySpace MySpace orkut MySpace orkut MySpace orkut FaceBook Xanga Figura 1: Los gusanos y otras amenazas inundan los sitios de redes sociales. recopilación de datos. por último. gusanos. sino que también podría chatear con una pareja potencial en la misma habitación.000 aplicaciones de Facebook. Facebook censuró la aplicación secret crush cuando se supo que convencía a los usuarios para instalar la aplicación de adware Zango3. Mientras los fallos de seguridad no consigan reducir el número de suscriptores. los sitios Web que visita. se unirían a las redes sociales y mejorarían gracias a la tecnología de autoaprendizaje. los servicios de localización geográfica podrían mostrar los comercios locales y las atracciones adecuados según sus intereses.com.ataques de phising. los sistemas de triangulación de torres celulares y de posicionamiento global informarán de la ubicación de los usuarios a todas las personas que éstos autoricen. aunque por eso no menos importante.) es conveniente destacar que Facebook no revisa las aplicaciones y que la situación puede “írsele de las manos”. la emoción de las citas online podría aumentar a través de la creación de comunidades en lugares determinados. como. como Flickr. se encuentran entre las más registradas en la base de datos de vulnerabilidades y exposiciones comunes (cVe)1. el resultado es un flujo constante y perfeccionado de información relevante. con el objetivo de facilitar la vida física del usuario a través de su red virtual. ¿Qué nos depara el futuro? los sitios de redes sociales que aparezcan en el futuro tendrán una mayor repercusión debido a que las plataformas alcanzarán mayores niveles de ampliación. (en la Figura 1 se incluyen ejemplos de amenazas generalizadas. como Pandora o stumbleUpon y la funcionalidad de etiquetado. la realidad es que en la mayoría de los casos el sitio no realiza una revisión previa a la comercialización de las aplicaciones. valora un blog o chatea sobre un tema específico. de hecho. Amenazas de redes sociales descritas AMENAZA TIPO SITIO Cada vez que hace clic en un vínculo. estas aplicaciones representan riesgos adicionales. Myspace hizo lo propio. en mayo de 2007. difamación y. el sitio adquiere sobre usted datos para mejorar su red social. aunque estas plataformas han creado el marco para la próxima generación de sitios de redes sociales. sitios de marcadores sociales. basándose en su perfil. aproximadamente nueve meses después de que Facebook lanzara su plataforma. no sólo podrán saber qué amigos de la red están conectados. Podrá. vulnerabilidades. podrá comprobar dónde se encuentran sus amigos para saber cuánto tiempo tardarán en reunirse con usted. también son responsables de la creación de otro vector que pueden aprovechar los agresores. Un año y otros 50 millones de usuarios más tarde. . que permitía a desarrolladores de terceros crear y comercializar aplicaciones entre sus 20 millones de usuarios activos. google ha lanzado también recientemente una interfaz de programación de aplicaciones (aPI) para orkut. los usuarios pueden tener un falso sentido de seguridad derivado del hecho de que asocian las aplicaciones con un sitio en el que confían: Facebook. ya ha ocurrido. las nuevas aplicaciones incluirán información de movilidad. Podrá recibir recomendaciones de los miembros de su red directamente en su iPhone. como las que aprovechaba samy. en enero de 2008. de spam. los usuarios tendrán una red social portátil en el bolsillo. la mayoría de las vulnerabilidades de seguridad han sido ya corregidas. Pero eso no quiere decir que el problema haya desaparecido. las vulnerabilidades de secuencias de comandos entre sitios. y el 95% de los usuarios han ejecutado al menos una de ellas2. como Digg. presencia y ubicación. sino que también podrán saber si hay alguno cerca. los amigos con los que chatea y los intereses de éstos. los sitios conocerán sus intereses en función de su comportamiento: por ejemplo. y es de esperar que la situación empeore antes de que asistamos a una mejora. por lo que no sólo conocería a alguien a través de Internet. las vulnerabilidades serán moneda común. el primer gusano de redes sociales de propagación generalizada (aparecido el 4 de octubre de 2005). los artículos que lee. Después. Con frecuencia los usuarios confían demasiado en los sitios de su comunidad. la música que escucha. distribución de publicidad no autorizada. ¿cuál es la situación actual? Dos años y medio después de que hiciera su aparición samy. por ejemplo. Facebook lanzaba la plataforma Facebook. sin embargo. el siguiente podría ser mucho peor. además. que educa e informa a la comunidad de una manera mucho más eficaz que en la actualidad. en congresos y ferias comerciales. su sitio de red social.

únicamente por provincia o ciudad. los sistemas servidor deberán analizar grandes cantidades de datos entrantes y salientes en búsqueda de rastros de código dañino o maligno. conseguir detener a los ciberdelincuentes al tiempo que permitir al resto realizar un uso adecuado el sitio. el uso cada vez mayor de perfiles abiertos y portátiles. este concepto se amplía de manera importante sin necesidad de rellenar un extenso cuestionario. sin embargo. y seguimiento de ubicaciones.0 estaba controlada por los administradores de los sitios y la Web 2. basada en que el comportamiento del usuario permite adaptar el contenido.0. por lo tanto.0 por el contenido generado por los usuarios. Mydoom. entre ellas. romper esa confianza puede tener consecuencias nefastas para toda la comunidad. mucha gente decidirá no participar en estos servicios. Prestarán atención a la publicidad más usuarios y.google. sin embargo. permitir que se comuniquen las ubicaciones de forma específica. en las redes sociales 3. si consideramos que la Web 1. que se amplían con rapidez. envenenando la red con molestas peticiones y falsos testimonios. el futuro de las redes sociales está en la mejora de las relaciones entre el usuario y el contenido.htm?omnref=http://www. es muy probable que muchos usuarios consideren las preocupaciones sobre la privacidad que incluye este artículo. los administradores de sitios se verán obligados a corregir muchos errores para mantener un nivel de calidad elevado. el nivel de detalle y personalización de los mensajes del ataque cogerá a los usuarios por sorpresa. cada vez que hace clic en un vínculo. en función de sus intereses específicos. ¿Quién se beneficia de esta explosión de correlación de información? Qué duda cabe que la base de usuarios es un factor desencadenante. la generación de perfiles de compatibilidad que utilizan las agencias de contactos online se podría considerar una encarnación anticipada de la creación de conexiones sociales a través de la generación de perfiles online para unir a personas compatibles. De hecho. la protección de las redes sociales futuras dependerá principalmente de las defensas del lado del servidor. a los anunciantes se les hace la boca agua cuando piensan en tasas de conversión más elevadas cuando el marketing se desarrolla a nivel de usuarios. admite que durante este tiempo ha empezado a sentirse un poco más "insociable". Mayores riesgos así como aumentan las ventajas para el usuario. los proveedores están plenamente al corriente de este hecho y animan a los usuarios a ir paso a paso. Mywife y sasser. llamadas redes sociales 3. Desafortunadamente. en las primeras encarnaciones de los sitios de la próxima generación. los gusanos Blaster. añaden funcionalidades y aumentan sus bases de usuarios. los creadores de spam y los falsificadores buscarán la manera de aprovechar esta mina de información y la utilizarán para generar más fácilmente ataques de ingeniería social convincentes. se vislumbran grandes cambios. en la actualidad los ataques que emplean varias capas son difíciles de localizar y lo serán más aún en el futuro.00.130061744. recopilación y correlación de información.au/news/security/soa/spyware-claims-kill-off-Facebooks-secret-crush/0.com. en algunos aspectos.0.339284896. demasiado importantes para ser ignoradas.zdnet. cuando los usuarios vean que se pueden beneficiar proporcionando un poco de información y que han establecido relaciones de confianza. el futuro de los sitios de redes sociales define el futuro de la propia Internet.mitre. este es un momento apasionante para los sitios de redes sociales.en la actualidad. Durante todo este tiempo ha descubierto y clasificado miles de amenazas nuevas. donde el sitio puede realmente reunir a usuarios de intereses similares.org/documents/vuln-trends/index. el sitio adquiere sobre usted datos para mejorar su red social. los servicios de clasificación de la reputación de los sitios y el contenido pueden ayudar a encontrar un equilibrio entre usabilidad y seguridad. puede llegar incluso a sobrecoger el nivel de exactitud de la “inteligencia artificial”. la relación de confianza entre sitios y usuarios es clave para el éxito de las redes del mañana. los predadores online estarán al acecho y las vulnerabilidades de seguridad pueden tener funestas consecuencias cuando esta información cae en manos de los ciberdelincuentes. la generación de perfiles adquiere un significado distinto en este reino. com/search?num=100 30 McaFee secUrITy JoUrnal . y poder separar el grano de la paja. valora un blog o chatea sobre un tema específico. estos sitios están tasados en miles de millones de dólares. el investigador en materia de amenazas informáticas Craig Schmugar lleva desde el año 2000 investigando y luchando contra amenazas para Mcafee avert labs. también se incrementan las oportunidades para los agresores. desde muchos puntos de vista. los ataques pueden generarse en un solo sitio únicamente para propagarse a través de otro antes de aparecer en una red social infectada. pero hay también otros que intentan beneficiarse de esta circunstancia.facebook. pero al mismo tiempo aumentará la complejidad a la hora defenderse frente a las amenazas que tienen como objetivo estos vectores. muchos de ellos no dudarán en ofrecer más detalles. por ejemplo. NOTAS 1 http://cwe. se interesarán en su contenido. las redes de bots sociales también dispondrán del potencial para perturbar seriamente el ecosistema.com/press/info. las defensas basadas en host tendrán que negociar las relaciones que mantienen los sitios entre sí para reconstruir las interacciones válidas y no válidas entre sitios. aplicaciones Web híbridas (aplicaciones que combinan contenido de varias fuentes en una sola herramienta) e interfaces aPI abiertas facilitarán enormemente el uso entre sitios.php?statistics 3 http://www.html 2 http://www. a la vez emocionantes e intimidatorios. el resultado será una experiencia Web enormemente personalizada que requiere una mínima intervención directa del usuario.

los conocidos sasser. así como otro malware importante. sin embargo. con ello no pretendemos decir que Microsoft sea particularmente vulnerable. errores de análisis de lenguaje de secuencias de comandos y vulnerabilidades relacionadas con controles activeX. se puede observar como la tendencia ha descendido de manera importante en los últimos dos años. y destapando vulnerabilidades en Microsoft office.la nueva cara de las vulnerabilidades Rahul Kashyap si bien es cierto que la ingeniería social no interviene en todas las formas de amenazas de seguridad. los creadores de malware no se iban a dejar vencer. la mayor parte de los tristemente célebres gusanos de Internet aparecidos en la primera mitad de la década aprovechaban en su mayoría una o varias vulnerabilidades de las aplicaciones de Microsoft. avert labs ha constatado que. code red y sQl slammer tenían un factor en común. Microsoft fortaleció aún más sus defensas con la publicación del service Pack 2 para Windows XP. cuando un gran número de usuarios realizaron la migración al sistema operativo actualizado.) Todos ellos aprovechaban vulnerabilidades de servidores. últimamente Mcafee avert labs ha observado una tendencia creciente: los creadores de malware hacen uso de la ingeniería social para aprovechar las vulnerabilidades del software. Microsoft Internet explorer y varios formatos de archivo de marca registrada. en la Figura 1 se muestran las vulnerabilidades susceptibles de ser aprovechadas de forma remota a través de llamadas de procedimientos remotos de Microsoft Windows durante un período de 10 años y hasta el primer trimestre de 2008. Para ilustrar estos datos. (Por cierto. oToÑo 2008 31 . coMraider y hamachi7 hicieron crecer el interés en esta área y ayudaron a poner de manifiesto los innumerables problemas que acosan al software Parches de vulnerabilidades remotas de Microsoft 14 12 10 8 6 4 2 0 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 Figura 1: Desde 2006. a pesar de que otras aplicaciones pertenecientes a un gran número de proveedores han sido víctimas de brechas de seguridad similares. observamos una tendencia similar si nos fijamos en las vulnerabilidades susceptibles de ser explotadas en otras populares plataformas de servidor de Microsoft. Blaster. tras aprovechar los fallos de los servidores. estaban concebidos para. el sP2 incluía la prevención de ejecución de datos2. el asalto a los clientes dio lugar a una gran cantidad de los denominados "fuzzers"4 (cuyo objetivo es buscar brechas de seguridad mediante el lanzamiento de datos aleatorios a una aplicación). gracias a las medidas de seguridad adoptadas para proteger las llamadas de procedimientos remotos. sQl server y otras. avert labs descubrió sasser y Blaster. Junto con otros mecanismos de protección. como IIs Web server. en este artículo nos centraremos en las vulnerabilidades y tendencias en aplicaciones de Microsoft. sin duda ayudó a frenar la propagación de gusanos de red que hasta ese momento acosaba a Windows. pasando de servidores a clientes. los efectos del sP2 de XP se hicieron mucho más patentes un par de años después. sino que reconocemos que la popularidad de sus aplicaciones entre particulares y empresas ha convertido a esta empresa en el objetivo principal de los creadores de malware y los ladrones de datos. no tardaron mucho en cambiar de objetivo. axfuzz6. que. si bien no era infalible3. Microsoft ha reforzado considerablemente la seguridad de sus llamadas de procedimientos remotos. Proyectos como el llamado “Mes de los errores de navegador”5 (y otros). (Fuente: Microsoft1). servirse de su rápida autopropagación para destruirlos. las vulnerabilidades de los servidores que pueden ser aprovechadas por gusanos han experimentado un descenso en los últimos años.

el hecho de que estas vulnerabilidades de tipo zero-day hayan estado dirigidas a instalaciones gubernamentales o militares específicas hace pensar que estos ataques estén financiados por agentes o gobiernos extranjeros. generalmente dejando una nota con la esperanza de hacerse famosos.45 40 35 30 25 20 15 10 5 0 Parches para vulnerabilidades de Microsoft Office ataques dirigidos a un objetivo la clave de las vulnerabilidades de los clientes radica en que para poder ser aprovechadas requieren la intervención del usuario. las vulnerabilidades en office 2000 son las más rentables para los creadores de malware. como apple QuickTime. la ingeniería social y el interés actual en las vulnerabilidades de los clientes van de la mano. no resulta fácil determinar el número de aplicaciones cliente que sufren ataques. Ingeniería social especialmente diseñada. Para propagar el malware. Desde el punto de vista económico. Parece que la combinación de la ingeniería social y las vulnerabilidades ha encontrado otro objetivo: el espionaje. el llamado ”Mes de errores en apple” puso de relieve muchos problemas de los clientes y se ha producido un fuerte repunte en las vulnerabilidades encontradas en aplicaciones de software de uso generalizado. dejan el malware de manera inadvertida y atraen a los usuarios a través de trucos de ingeniería social. las predicciones de muchos teóricos apuntan en la dirección de que las guerras de la próxima generación se librarán en el ciberespacio ¿serán estos acontecimientos sencillamente experimentos para preparar una ciberguerra? Piratas furtivos de la Web otros ataques en los que se ha observado últimamente un cambio de comportamiento son la piratería y el secuestro de servidores Web. en la Figura 2 se ofrece una clara muestra del acusado incremento de las vulnerabilidades relacionadas con Microsoft office. adobe Flash Player y reader. los piratas informáticos han comenzado a aprovecharlas de manera coordinada. el descubrimiento de errores y el aprovechamiento de vulnerabilidades en aplicaciones cliente han vivido su momento álgido. en el pasado. la relación entre estos dos factores es obvia y. la tendencia afecta a otros conocidos proveedores de software cliente. como adobe. todavía hoy es un problema que mantiene la atención de Microsoft. este descuido ofrece a los creadores de malware una oportunidad excepcional para aprovecharse de que muchos usuarios rara vez actualizan sus suites office10. De ahí que los creadores de malware se hayan visto obligados a ingeniar ideas más innovadoras para atraer a los usuarios y conseguir que hagan clic en vínculos. el reciente aprovechamiento de la vulnerabilidad relacionada con la funcionalidad mailto: y los archivos PDF (cVe-2007-5020)11. dinero y poder son elementos que nos transportan a una novela de John le carré. está claro que espiar es una práctica más furtiva y difícil de descubrir que los ataques con un mero objetivo económico. cliente. ante la plétora de vulnerabilidades de clientes. los agresores los marcaban. en muchas ocasiones. estos ataques son especialmente populares en instalaciones militares y de defensa12. Desde la plaga de vulnerabilidades de Microsoft office en 2006. y de Flash mediante el uso de actionscript (cVe-2007-0071) fueron algunos los problemas críticos que afectaron a miles de usuarios. Parte de esa complejidad reside en los ataques de ingeniería social dirigidos a un objetivo. esta versión es la más utilizada. sólo se detectan cuando el daño ya está hecho. por nombrar sólo algunas. esto ya no ocurre. Pero algunos analistas de seguridad piensan que esto no es ficción. 32 McaFee secUrITy JoUrnal . y por lo tanto la que sufre un mayor número de ataques. (Fuente: Microsoft). vulnerabilidades de tipo zero-day. la mayoría de estas vulnerabilidades han afectado a office 2000. lo que hace que estos documentos sean todavía más difícil de detectar: con frecuencia. Una de las principales ofensivas sobre los sistemas cliente ha sido el rápido crecimiento del spam basado en la ingeniería social. el motivo principal es que esta suite ha tenido durante mucho tiempo un gran inconveniente para la seguridad: los usuarios de office 2000 deben visitar la página de actualizaciones “office update” de Microsoft para descargar parches9 y las actualizaciones online automáticas no se ocupan de office 2000 ni de office 97. y descarguen imágenes y documentos de Internet. en primer lugar atacan sitios Web muy visitados. 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 Figura 2: Las vulnerabilidades de Microsoft Office aumentaron en 2006 y han seguido ese ritmo en los dos años posteriores. PowerPoint o access. en este artículo nos ocupamos principalmente de las vulnerabilidades de las aplicaciones de Microsoft. el número de equipos “zombi” invadidos a causa de este tipo de brecha de seguridad podría alcanzar las decenas de miles. la amenaza ha pasado a ser más compleja. tras asaltar los sitios Web. esta tendencia continúa incluso mientras preparamos esta revista. han salido a la luz varios informes sobre algunas agencias gubernamentales que han recibido mensajes de correo electrónico con archivos malignos de Word. que son la tendencia emergente en el panorama de amenazas. últimamente. pero algunas fuentes aseguran que se trata de cientos de millones8. al menos con la nueva generación de sofisticados piratas. como ya hemos señalado. las vulnerabilidades descubiertas en estos documentos incrustados maliciosos han sido ataques de tipo zeroday (día cero). aunque. Mozilla o apple. Durante este período. aunque el peor momento se vivió en 2006. entre muchos otros.

piénseselo dos veces si le piden que haga clic para “aceptar” el premio que acaba de ganar. en la actualidad. así como el desarrollo de técnicas de ataque fiables.com/news/2007/020207-dolphins-web-sites-hacked-in.com/2006/07/month-of-browser-bugs. 10 ”Ms office Flaws Ideal Tools for Targeted attacks.org.” http://www.microsoft. la mayor parte de los cuales con relativamente fáciles de aprovechar desde el punto de vista técnico. http://blog. Muchos de estos errores han estado ahí desde hace mucho tiempo y siempre se consideraron como imposibles de aprovechar.gnucitizen. como la denominada "heap spray"17. análisis de vulnerabilidades de tipo zero-day. vulnerabilidades de cadenas con formato y otros errores.pdf 17 “Heap Feng shui in Javascript.” (errores inusuales) Ilja van sprundel.com/securityfix/2006/04/ ms_office_flaws_ideal_tools_fo_1. lo más probable es que el usuario no tenga ni idea de que el enrutador ha sido atacado.com/spain/technet/recursos/articulos/depcnfxp.” (la nueva amenaza del espionaje electrónico) http://www.net/archive/TheWebBrowserThreat. Podría ser el momento perfecto para que estas técnicas aprovechen los trucos de ingeniería social como uno de los vectores de ataque por las siguiente razones: • en la actualidad no existen métodos automáticos y fiables conocidos. incluidas las contraseñas más confidenciales.html 11 http://www. la rentabilidad de estas técnicas es mayor si se utiliza la ingeniería social que si se dedican los esfuerzos a aumentar la investigación para conseguir la propagación masiva.research/presentations/bh-eu07/ bh-eu07-sotirov-paper. en este caso. http://metasploit. la secuencia de comandos aprovechaba dos fallos en Internet explorer e infectaba a los usuarios que no tenían instalado el parche con un troyano que se conectaba a un servidor chino.html 14 “Hacking the interwebs.html (es necesario registrarse) NOTAS 1 http://www.ruxcon. una mejor educación puede sin duda ayudar a minimizar las pérdidas y el impacto sobre las víctimas desprevenidas.net/projects/axfuzz/ 7 “Hamachi.” (Mes de los errores de navegador) http://blog. nuevos vectores de ataque en la primera mitad de esta década hemos observado un gran aprovechamiento de desbordamientos de pila.com/technet/security/current. el ataque a las vulnerabilidades ha entrado en una nueva fase en la que conceptos como punteros null15 y condiciones de carrera16.gnucitizen.metasploit.com/spain/protect/computer/updates/faq. sin embargo.metasploit.com/print/magazine/content/08_16/b4080032218430. grupos de noticias y grandes empresas. incluidos los de embajadas.org/blog/hacking-the-interwebs/ 15 ”application-specific attacks: leveraging the actionscript Virtual Machine. tecnologías como la aleatorización del esquema del espacio de direcciones (aslr) han forzado a los piratas informáticos a dejar atrás los mecanismos tradicionales de ataque. http://blogs.” (Pirateando la InterWeb) 12 de enero de 2008.au/files/2006/unusual_bugs." http://www.mspx oToÑo 2008 33 .com/users/hdm/tools/ hamachi/hamachi.iss. como Windows.” (los sitios Web del Dolphin stadium y de los Miami Dophins pirateados como adelanto de la super Bowl) http://www. Pueden probarse fácilmente en individuos o grupos elegidos. lo que permite a un archivo Flash maligno incrustado en una página Web reconfigurar el enrutador de la víctima14. al menos a corto plazo.com/avcenter/reference/gs_Protections_in_Vista. los piratas insertaron código Javascript maligno en la página de inicio del sitio oficial13. Rahul Kashyap es director de investigación sobre vulnerabilidades y seguridad de sistemas de prevención de intrusiones (IPs) para Mcafee avert labs. ganan en popularidad.mspx 3 “analysis of gs protections in Microsoft Windows Vista. gracias al excepcional desarrollo del software y a las pruebas de control de calidad.washingtonpost. Kashyap es un gran seguidor de Dilbert y espera poder comenzar algún día su propio cómic satírico acerca de la seguridad. para aprovechar estas nuevas técnicas (principalmente para la propagación masiva).com/2006/03/browser-fuzzing-for-fun-and-profit. sin embargo.microsoft. se envíe a un tercero. http://www.iss. Mientras tanto.symantec. mientras los usuarios sigan haciendo clic en cualquier vínculo que les salga al paso.businessweek. no importa cuántos mecanismos de protección implementen los proveedores en su software y en sus sistemas operativos.net/whitepapers/IBM_X-Force_WP_final. la ingeniería social los desarticulará todos. contenido de sistemas de prevención de intrusiones y respuesta de emergencia.com/security.html 8 “637 million Users Vulnerable to attack.html 5 “Month of Browser Bugs. • • conclusión las tendencias recientes en vulnerabilidades convierten a la ingeniería social en una fuerza difícil de combatir. haciendo que todo el tráfico.” (673 millones de usuarios vulnerables a ataques) Frequency X.) en esta situación.microsoft. la mayoría de estos sencillos desbordamientos de pila ya no suponen una gran amenaza en software muy utilizado. es responsable de la investigación de vulnerabilidades. memoria heap (o memoria dinámica) y enteros. se ha tenido conocimiento de ataques similares a muchos sitios Web muy visitados.pdf 4 ”Browser Fuzzing for fun and profit.aspx 2 “cómo configurar la protección de la memoria en Windows XP sP2.” de H D Moore y aviv raff.” (los fallos en Ms office herramientas ideales para ataques dirigidos a un objetivo) http://blog.org/blog/0day-pdf-pwns-windows/ 12 “The new e-spionage Threat.” (análisis de las protecciones gs en Microsoft Windows Vista) http://www. además. (el hecho de que la inmensa mayoría de los usuarios utilicen las contraseñas predeterminadas en los enrutadores de sus hogares explica el éxito de este ataque.” (aXFUZZ: un enumerador y fuzzer de activeX/coM) http://sourceforge.html 9 “Mantener actualizado el sistema operativo: preguntas más frecuentes. proporcionando acceso total al equipo infectado.html 6 “aXFUZZ: an activeX/coM enumerator and fuzzer.networkworld.” (Heap Feng shui en Java script) http://www. para atraer a la víctima se podría utilizar cualquier vínculo aparentemente inofensivo para pagar facturas online o leer más sobre un tema determinado. http://www.”(Incordiar al navegador por diversión y dinero).htm 13 “Dolphins’ Web sites hacked in advance of super Bowl.como ejemplo destacado de esta técnica merece la pena mencionar el ataque realizado en febrero de 2007 a la super Bowl (final de fútbol americano). otra nueva amenaza que ha puesto en riesgo a millones de hogares consiste en aprovechar los enrutadores domésticos a través de Universal Plug and Play.pdf 16 “Unusual Bugs.determina.” (ataques específicos a aplicaciones: aprovechando la máquina virtual actionscript) http://documents. a través de la ingeniería social como parte del proceso de desarrollo. no parece que podamos esperar la aparición de "ciberleyes" que pongan freno a la ingeniería social (excepción hecha de los casos de fraude).

la estrategia del typosquatter es anticiparse a los nombres de dominio que los usuarios podrían “solicitar” de forma accidental. supongamos que un usuario omite el punto que separa “www” del nombre de dominio del sitio. algunos se especializan en añadir prefijos “http” o en registrar el correspondiente . un usuario comete un error al teclear “bankofamerica. Desde banners malintencionados hasta programas de adware. los sitios que pretende visitar pueden causar daños importantes.com”. estrategia básica Para los que nos equivocamos de vez en cuando al teclear una dirección Url. los typosquatters han encontrado otras formas ingeniosas de atraer el tráfico involuntario. Por ejemplo. Históricamente. la incidencia del typosquatting es todavía mayor a medida que profundizamos en la Web. o durante un recorrido lleno de baches en un automóvil. no estaría bien culpar a los usuarios de “solicitar” sitios de typosquatting. últimamente. Incluso los usuarios más sofisticados pueden cometer errores en un dispositivo móvil con un teclado pequeño. generalmente lo hacen por error. normalmente. Por tanto.000 dominios ocupados asociados a sólo los 2. Mcafee está intentando recuperarlo. ese usuario recibiría un mensaje de error del navegador. que lo dirigiría al sitio correcto de Bank of america.) Puede que usuarios con poca experiencia no conozcan la puntuación correcta de la dirección completa de un sitio o que usuarios con prisa introduzcan erróneamente una parte de la Url. (Pensemos en los que hablan inglés pero no son nativos. esta plaga del mecanógrafo imperfecto se conoce como typosquatting (ciberocupación basada en errores tipográficos).com”. existe una clase especial de amenaza de seguridad que hay que vigilar. Incluso. (De hecho.com para dominios que realmente residen en otros dominios de nivel superior. en un tablet Pc con reconocimiento de escritura manual. el resultado es “bankkofamrica.aventuras involuntarias de navegantes Benjamin Edelman Mientras navega por la Web puede verse expuesto a una gran variedad de ataques que se encuentran bien descritos en la publicación McAfee Security Journal. de forma que también registran dominios como “www. otros pueden teclear errores. los navegadores Web añadirán automáticamente un “. no obstante. por ejemplo. los usuarios también deberían ser conscientes de los sitios que no tienen intención visitar: los sitios a los que llegan por accidente. “wwwmcafee.000 sitios Web más importantes. en usuarios con visión reducida y en aquellos que todavía no están muy duchos en el uso de un teclado. los typosquatters pueden registrar ese dominio.mcafeecom.) en el caso de los puntos finales.mcafee. aunque es verdad que los usuarios terminan en estos sitios. los typosquatters prevén correctamente que alcance de este fenómeno el typosquatting se ha extendido sorprendentemente debido a la gran cantidad de usuarios que cometen algún tipo de error. el typosquatter podría tener registrado el dominio mal escrito (y otras variaciones del error tipográfico) con la esperanza de que los usuarios acaben cometiendo el error y accedan a él. ¿cómo terminan los usuarios en estos sitios de “ocupación tipográfica”? algunos usuarios sencillamente olvidan el nombre exacto del sitio. omitir una letra o intercambiar dos letras. el servicio Mcafee siteadvisor® realiza continuas búsquedas de typosquatters: en la inspección de mayo de 2008 llevada a cabo por Mcafee avert labs encontramos más de 80. al contrario. alguien lo hizo. 34 McaFee secUrITy JoUrnal .com”: teclea dos veces la “k” y omite la “e”. Pero. Pero imaginemos que alguien ha previsto el error del usuario.com” a un dominio sin dominio de nivel superior.com”.com” en lugar de “www. los typosquatters se centraron fundamentalmente en los errores ortográficos: insertar una letra equivocada.

y la realidad es que continúan campando a sus anchas. además. el registrante debe someterse a la jurisdicción de la UDrP. un análisis reciente identificó 327 registros diferentes que eran todos variantes cercanas a “cartoonnetwork. y por tanto la prohíben.com dailymotion. consulte el apéndice. por lo que esta directiva se aplica independientemente de la ubicación del sitio de typosquatting.000 dólares por dominio ocupado (a criterio del tribunal) (§ 1117(d)). la propuesta más común para los typosquatters es la publicidad. título 15 del código Usc.com bankofamerica. Dicho esto. la encabezaba Feecreditreport. las leyes de otros países tratan el typosquatting de un modo algo distinto. a pesar de la elevada cuantía de las multas que impone la acPa.com metroflog. Figura 1: La lista más popular de typosquatting. tráfico de entrada o utilización de nombres de dominio que sean idénticos o puedan confundirse con una marca o nombre famoso.000 dominios. estrategia financiera de los typosquatters Una vez que un usuario llega a un sitio de typosquatting. que prohibía expresamente cualquier acción por la que “se utilice un nombre de dominio engañoso con la intención de embaucar a alguien para que vea contenido considerado obsceno”. la directiva para la resolución uniforme de disputas (UDrP. la intención del ocupa es conseguir el mayor provecho económico posible.000 y 100. Para registrar un sitio en un dominio principal de nivel superior. DOMINIO NÚMERO DE DOMINIOS DE TYPOSQUATTING freecreditreport.com facebook. es raro encontrar uno que no tenga anuncios. sus actividades no quedaron impunes: en septiembre de 2003.com cartoonnetwork. entre los miles de dominios ocupados que he examinado en los últimos años. en la actualidad.com addictinggames. o indemnizaciones entre 1. Los datos proceden de la inspección de mayo de 2008 del servicio SiteAdvisor. la práctica del typosquatting es ilegal en estados Unidos. consulte la Figura 1. prohíbe el registro. y para ver algunos ejemplos de errores ortográficos creativos.com runescape. Wikipedia y Bank of america también ocupaban un lugar destacado. Hace algunos años. sin embargo. Zuccarini registró al menos 8.com verizonwireless. Por ejemplo.000 dominios ocupados asociados a sólo los 2.com wikipedia. recopilada con tecnología siteadvisor.com friendster. youTube.com”. Zuccarini fue arrestado en aplicación de la ley sobre la autenticidad en los nombres de dominio (Truth in Domain names act). § 1117(a)(1)). la lista. el famoso typosquatter John Zuccarini obligó a sus involuntarios visitantes a visualizar sitios Web de sexo explícito que ellos no querían ver ni habían solicitado. la ley para la protección de los consumidores frente a la ciberocupación de 1999 (acPa.com clubpenguin.los dominios frecuentados por niños son objetivos particularmente interesantes para los typosquatters. las reparaciones de la directiva UDrP se limitan a la confiscación de un dominio ilegal y no contemplan sanciones económicas.com miniclip.) reacción legal en general. pero la mayoría de las naciones ven esta práctica como una infracción de marca comercial. la acPa reconoce daños por los beneficios fraudulentos del typosquatter (título 15 de Usc. (Para conocer las cifras exactas. craigslist. que yo documenté en su totalidad1. Uniform Dispute resolution Policy) establece un arbitraje para las reclamaciones sobre dominios ilegales. anti-cybersquatting consumer Protection act). los typosquatters parecen ampararse en la escasa probabilidad de ser perseguidos por sus actividades. En esta tabla aparece una selección de las marcas comerciales más deseadas por los typosquatters.com youtube.com myspace.org blogspot. § 1125(d).com.000 sitios Web más importantes.com craigslist. oToÑo 2008 35 .com 742 327 320 318 276 271 266 264 263 251 250 249 248 246 239 238 235 El servicio McAfee SiteAdvisor realiza continuas búsquedas de typosquatters: en la inspección de mayo de 2008 del McAfee Avert Labs encontramos más de 80.

es extraordinario que este typosquatter le pida al banco que pague para llegar a un cliente que ya había solicitado Bank of america por su nombre. ¿cómo es esto posible? los typosquatters no venden directamente el espacio a los anunciantes.Figura 2: Un typosquatter registra un nombre de dominio similar al de un banco importante y luego. cuyo producto adsense for domains y otros productos de afiliación de dominios sirven anuncios en más del 80 por ciento de los sitios de typosquatting recientemente descubiertos por la tecnología siteadvisor. la mayor red en este espacio es google. ¿sorprendido? Por una parte. sin que éste. la colocación de ese anuncio es útil para el Bank of america: al menos consiguen llegar hasta el cliente. al menos inicialmente. cuando los sitios de typosquatting muestran anuncios. por otra parte. a pesar de su error al escribir el nombre. el typosquatter acaba vendiendo espacios de publicidad a Bank of america. en el ejemplo de bankkofamrica. (Imagínese la conversación: “nos gustaría mostrar sus anuncios en nuestro sitio de typosquatting”. se percate. (Véase la Figura 2). así. “¿Que quiere poner nuestros anuncios dónde?”) en su lugar. bancos. que a su vez buscan anunciantes. como era de esperar. 36 McaFee secUrITy JoUrnal . Después de todo. Pero. indirectamente. Pero en lugar de eso. vende enlaces publicitarios para ese y otros bancos. los anuncios resultantes promocionan. los typosquatters venden sus espacios a redes publicitarias. contraviniendo exactamente la acPa. el typosquatter está infringiendo la marca comercial de Bank of america. normalmente intentan seleccionar los “relacionados” con el sitio al que el usuario (con toda probabilidad) trataba de acceder. que estipula que dicho typosquatter no puede registrar tales dominios y que incluso se le podría obligar a pagar una cuantiosa indemnización a Bank of america si el banco presentara una demanda. ¿Qué bancos? el primero de la lista es el propio Bank of america.com mencionado anteriormente.

en segundo lugar. mire dos veces antes de continuar. ya existen dominios menos utilizados como .com acartoonnetwork. Por una parte. proporciona una protección adicional.com dcartoonnetwork.com caortoonnetwork. ¿es éste de verdad el sitio al que quería llegar? ¿se trata de un enlace normal o un anuncio pagado? ¿Debería este sitio del gobierno tener realmente un . ” con la corrección hecha.) Verizon y Microsoft también han estado atentos en litigios similares. los typosquatters tendrían muchos menos incentivos para registrar dominios ilegales.com cairtoonnetwork. o tal vez el correspondiente .com cfartoonnetwork. estos casos no son especialmente frecuentes. Tratar de adivinar un nombre de dominio puede que no sea la mejor opción. en primer lugar.com cuartoonnetwork. la corporación de Internet para números y nombres asignados (Icann) aprobó un documento para que se acelerase el proceso de creación de más dominios de nivel superior. el software adecuado también puede ayudar a proteger a los usuarios contra los typosquatters. en 2006. Una reciente demanda colectiva de propietarios de marcas comerciales ha puesto en tela de juicio el papel de google en la financiación de la industria del typosquatting.com ncartoonnetwork. Por ejemplo.nyc o . de modo que los usuarios pueden evitar muchos sitios de typosquatting realizando búsquedas en lugar de escribir nombres de dominios directamente en la barra de direcciones del navegador. es probable que ninguna otra red publicitaria les pague tanto como lo hace google. ya que colocación de estos anuncios en sitios de typosquatting ha sido una fuente constante de reclamaciones de anunciantes y propietarios de marcas comerciales. Un servicio de protección tipográfica.museum y .000 dólares por dominio) pueden obligar a los typosquatters a desembolsar mucho dinero por sus infracciones a gran escala. (Una revelación: soy colaborador de la defensa en la demanda colectiva de propietarios de marcas comerciales de Vulcan golf y otros contra google y otros.edu/archived_content/people/edelman/typo-domains/) APÉNDICE Ejemplos de sitios de typosquatting: Cartoonnetwork. además. existen rumores persistentes que sugieren que las redes publicitarias más importantes. Uno de ellos es que algunos sitios Web importantes han tomado medidas para protegerse a sí mismos y a sus clientes de los typosquatters. en relación a la responsabilidad de google por los sitios de typosquatting en los que google paga por colocar anuncios. el profesor edelman se ha embarcado ocasionalmente en aventuras involuntarias de navegación.. el caso se resolvió en 2007 en términos privados y neiman Marcus ha continuado demandando desde entonces a otros ciberocupas de envergadura.000 dominios encontrados en la inspección de mayo de 2008 de siteadvisor. no pasará mucho tiempo antes de que veamos nuevos dominios como . particularmente google.com jcartoonnetwork.com: ccartoonnetwork.travel.com.el futuro de los typosquatters en junio de 2008. Pero existen indicios de que el typosquatting no tardará en caer en declive.info. los usuarios preocupados pueden hacer mucho para protegerse.com ceartoonnetwork. sólo Microsoft ha recibido más de 2 millones de dólares en indemnizaciones por typosquatting.law. la tecnología siteadvisor identifica muchos sitios de typosquatting.” (registro de dominios a gran escala con errores tipográficos) enero de 2003. esté atento al typosquatting. donde ofrece una perspectiva independiente para complementar las puntuaciones del sitio siteadvisor. tras llegar a un sitio. neiman Marcus alegó que Dotster registró numerosos dominios que infringían las marcas de neiman Marcus.com canrtoonnetwork. .harvard. si google dejara de financiar el typosquatting. Pero las indemnizaciones que establece la acPa (un mínimo de 1. especialmente cuando solicite un sitio difícil de deletrear. cuando los usuarios solicitan estos dominios. el argumento de neiman Marcus fue que Dotster actuó no sólo como registrador para estos dominios sino también como registrante. donde estudia mercados electrónicos y fraude en línea. (Una revelación: fui asesor de neiman Marcus en algunos de estos casos. neiman Marcus demandó al registrador de dominios Dotster.com oToÑo 2008 37 . Más dominios de nivel superior significan más oportunidades de ciberocupación (para poder registrar con exactitud marcas comerciales conocidas o para crear variaciones tipográficas de nombres famosos). (http://cyber.com caertoonnetwork. . los typosquatters pueden colarse con sus intrusos ilegales. tenga cuidado cuando teclee.gov? Un poco de sentido crítico puede servirle como defensa contra el typosquatting u otros ataques.biz. podrían abandonar la industria del typosquatting.com vcartoonnetwork. además de los dominios familiares a la mayoría de los usuarios.com entre los más de 80. mostrando los anuncios para maximizar sus ingresos desde estos sitios de typosquatting.com bcartoonnetwork. También es consejero especial del servicio siteadvisor de Mcafee. considere en su lugar la utilización de un motor de búsqueda. ya que eligió qué dominios registrar y recogió los beneficios de los anuncios resultantes. los motores de búsqueda normalmente ofrecen ayuda del tipo: “Quizás quiso decir .. aparecen estas variantes de typosquatting para cartoonnetwork. Benjamin Edelman es profesor adjunto en Harvard Business school.) Defensas aunque las batallas de typosquatting continúan. NOTAS 1 “large-scale registration of Domains with Typographical errors. como openDns. aunque es un mecanógrafo rápido y preciso.com ckartoonnetwork. Harvard law school. ya sea en intentos equivocados de alcanzar sitios “reales” o en intentos fallidos de escribir direcciones verdaderas de sitios.lib (como algunos han sugerido).

lo más probable es que deseen eliminar el adware. en su mayoría. Por su parte. el adware y el spyware actúan de formas diferentes: el primero funciona con aplicaciones más limpias y un mejor modelo de consentimiento del usuario desarrollados por las principales firmas de adware. Spyware en sentido estricto. el documento risk Model (Modelo de riesgos) de la asc detalla muchos de los comportamientos susceptibles de ser considerados inesperados o inoportunos. el segundo es a veces malintencionado y con frecuencia se considera malware de tipo troyano. examinaremos el cambiante panorama de amenazas y el papel que desempeña la ingeniería social. en la primera mitad de esta década. también pueden clasificarse como tecnologías de seguimiento. anti-spyware coalition)1. si hay consumidores que se oponen a este seguimiento. como cuando suponen una alternativa o complemento a lo están estudiando o buscando. por lo tanto. se utiliza con el significado que la asc otorga a “spyware (y otras tecnologías potencialmente no deseadas)”: tecnologías que se instalan sin el correspondiente consentimiento del usuario o de formas que merman su control sobre: – cambios fundamentales que afectan a su experiencia. • Adware Tipo de software publicitario con capacidad para distribuir contenido publicitario de un modo o en un contexto que puede resultar inesperado e inoportuno para el usuario. consentimiento o control del usuario. en un sentido más amplio. ¿desaparecerán pronto para siempre? Para responder a esta pregunta. Por lo tanto.¿Qué ha sido del adware y el spyware? Aditya Kapoor el adware y el spyware son dos de las principales herramientas que se utilizan en Internet para marketing y distribución de distribuir publicidad. esta división relativamente clara ha ayudado a mantener reducido el número de aplicaciones de adware y spyware. 38 McaFee secUrITy JoUrnal . en este artículo analizaremos los principales cambios en los modelos de compensación online que están provocando este descenso. puede que otros usuarios prefieran conservar determinados programas de adware si su presencia sufraga el coste del producto o servicio que desean o si los anuncios les resultan útiles. numerosas aplicaciones de adware realizan funciones de rastreo y. sin embargo. a su privacidad o a la seguridad del sistema – el uso de los recursos del sistema. incluso qué programas se instalan en el equipo – la recopilación. se produjo un crecimiento exponencial del adware y el spyware —denominados con frecuencia programas no deseados o PUP—. estas aplicaciones suelen aprovecharse de metodologías de ingeniería social y a menudo se adhieren a aplicaciones de freeware o shareware que el usuario desea descargar y que por lo demás sí son útiles. el término spyware se utiliza para referirse al software de seguimiento que se instala sin el correspondiente aviso. aquí nos ceñiremos a las definiciones que propone la coalición antispyware (asc. pero en general la descripción no es explícita y no hace sino confundir al usuario y abrir la puerta a otras trampas de ingeniería social. no les interesa la publicidad que genera el programa o les molesta su efecto sobre el rendimiento del sistema. utilización y distribución de información personal o confidencial • Definiciones los términos adware y spyware se emplean a menudo de manera imprecisa e indistinta. si estos PUP ya no constituyen ninguna amenaza. lo habitual es que las aplicaciones no deseadas incluyan acuerdos de licencia de usuario final (eUla) que supuestamente definen su comportamiento. además. lo cual suele generar confusión. a partir de 2005 su número ha decrecido de forma constante.

sino siempre en sentido estricto. ofrecer juegos gratuitos o tonos de llamada es un cebo que mucha gente no puede resistir. Pago por instalación: el modelo del lado cliente3 en el modelo de pago por instalación (PPI). (Fuente: McAfee Avert Labs) oToÑo 2008 39 . Para incrementar las descargas de su sitio. la asc también admite la existencia de una interpretación general que incluye todos los PUP. el término spyware no se emplea nunca en su sentido amplio. utilizamos el término software de supervisión.45 dólares en ee. Ingeniería social Precisa la interacción del usuario y cuenta con que éste instale y. en el ejemplo de Fernando Fernández. al final el software debe instalarse en el equipo del cliente. paga entre 0. (Zangocash. es decir. en este momento.75 y 1.000 3. que se dividen en dos categorías generales: • Un rápido despegue el adware y el spyware captaron nuestra atención en el año 2000 con la aparición de adware-aureate. su principal objetivo era generar ingresos instalándose en el escritorio de millones de usuarios (mediante el modelo de pago por instalación) y mostrar anuncios (con el modelo de pago por clic). ambos funcionan bien en un mundo ideal. por ejemplo. las empresas que venden productos o servicios pagan al distribuidor de adware por mostrar los anuncios.000 1. Fernando recibirá una cantidad determinada de dinero. si Fernando Fernández tiene en su sitio Web un instalador de adware basado en PPI y otro usuario descarga e instala ese software a través de ese sitio. lo que el usuario decide en última instancia es asumir el riesgo o quedarse sin el regalo. este programa motivó la creación de una de las primeras aplicaciones antispyware. seguramente Fernando resuelva retocar la aplicación para suprimir el eUla y elevar el número de instalaciones. el crecimiento del adware y el spyware comenzó a ser notable hacia finales de 2004 y alcanzó su apogeo en 2005 (véanse las Figuras 1 y 2). es decir. por cada unidad de adware instalada4). el modelo PPI normalmente lleva un seguimiento de las instalaciones de software mediante un intermediario concreto. que utilizaba el historial de navegación del usuario para mostrar anuncios. el número de métodos de ingeniería social tiene como único límite la imaginación de los agresores. juegos gratuitos y tonos de llamada. capaces de atraer incluso a los usuarios más desconfiados. redactor de McAfee Security Journal. la aplicación de adware sin el conocimiento de los usuarios. este modelo puede utilizarse con numerosos vectores de instalación. (Fuente: McAfee Avert Labs) Spyware y software de supervisión 300 250 200 150 100 50 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 previsión Spyware Programas de supervisión Figura 2: El spyware y los programas de supervisión también han experimentado un descenso general desde 2005. optout de gibson research corp2. en este artículo. para evitar la preocupación de los visitantes. como los registradores de pulsaciones. incluso propague el software. sin embargo. antes de instalarse. Durante estos años la industria del adware y el spyware floreció por la gran cantidad de ingresos que generaba la publicidad. Benjamin edelman. algo que sin duda contribuyó al enorme crecimiento del adware y el spyware. puede que Fernando decida aprovechar alguna vulnerabilidad para instalar Figura 1: El crecimiento del adware alcanzó su apogeo en 2005.al advertir que el término spyware ha perdido en gran medida su significado exacto. cada vez que un usuario hacía clic en un determinado anuncio. Igualmente. UU.000 2.000 4. podría replicar este modelo en miles de sitios no seguros para multiplicar sus instalaciones y beneficios de forma exponencial. describe una situación real de este tipo en su sitio Web5. pero ¿corren la misma suerte en un mundo donde hay personas malintencionadas? analicemos cómo puede sacarse provecho de estos modelos.000 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 previsión Modelos de compensación y advertencias el adware y el spyware utilizan dos importantes modelos de compensación para la publicidad online. en vista de la imposibilidad de evitar las connotaciones más amplias derivadas del uso popular. el modelo de compensación PPI demostró ser muy lucrativo para programadores e individuos malintencionados. es posible que Fernando intente intensificar el tráfico con contenido que despierte interés. el anunciante recibía una comisión. vídeos o imágenes para adultos. en algunos casos. pero prevemos un repunte para finales de 2008. Adware 5. a su vez. el distribuidor de adware paga a personas o afiliados por distribuir su adware en paquetes o por otros medios. los miembros de la asc han decidido limitar el uso de “spyware” (en su sentido estricto) a los documentos técnicos. muchas de estas aplicaciones muestran un eUla. como software relacionado con marketing. si Fernando es un hacker experimentado. con el aumento del tráfico y los ingresos. como títulos llamativos. Para designar programas espía puros.

sin embargo. la ingeniería social es el vector de instalación preferido del modelo PPI y el que ofrece más opciones para distribuir adware y spyware. Flash y otras tecnologías con contenido multimedia. vamos a analizar brevemente el importante papel que desempeña la ingeniería social en este mercado electrónico que promete infinitas posibilidades de generar ingresos. en un caso de este tipo. aunque el modelo PPc está basado en servidor y puede parecer más seguro. errores que el 80% achaca a la falta de formación o conocimientos sobre seguridad o a la omisión de los procedimientos12. no resulta difícil insertar publicidad malintencionada en su secuencia. cientos de miles de programas de malware utilizan ingeniería social para instalarse en los equipos de los usuarios: éste es uno de los vectores más frecuentes de distribución de malware. una red publicitaria propiedad de yahoo distribuía sin saberlo anuncios de banner malintencionados que acaban descargando troyanos en el equipo del usuario. este contenido puede variar. por ejemplo. Pago por clic: el modelo del lado servidor6 el modelo de pago por clic (PPc) presenta dos variantes: anuncios patrocinados y anuncios por contenido. Una razón del frecuente éxito de la ingeniería social es que muchas personas confían en lo que ven y. 40 McaFee secUrITy JoUrnal . Para restarle fuerza a los vectores de ataque que aprovechan estos modelos de compensación. estas aplicaciones pueden distribuirse con mecanismos aparentemente inocuos. casi un tercio del malware se instala mediante métodos de ingeniería social. instalar adware para utilizar los servicios gratuitos. lo que resulta molesto para el usuario. no recelan de algunas actividades en la Web. no es del todo infalible. la causa de que se infectasen los equipos fue que los usuarios visitaron el sitio Web malicioso incitados por las tácticas de ingeniería social de Fernando. algunos de los mecanismos más utilizados para distribuir contenido PPc son: • Anuncios de banner los anuncios se muestran en un banner o en un espacio predefinido. • • el modelo PPc es capaz de funcionar en un entorno mucho más controlado que permite al sitio Web que incluye los anuncios elegir el mecanismo de distribución. pero en muchos casos se atrae al usuario con técnicas de ingeniería social para que visite sitios Web malintencionados que albergan este tipo de ataques. aspectos de la ingeniería social Los piratas informáticos siempre buscan el eslabón más débil de la cadena de seguridad. los anuncios de banner se mostraban en sitios Web como Myspace y PhotoBucket. como spam o datos adjuntos a mensajes de correo electrónico con texto engañoso. si tenemos en cuenta que gran parte del contenido del anuncio está almacenado en servidores y que utiliza Javascript. También hemos observado que los clics del usuario se “secuestran” mediante envenenamiento de caché Dns10. Anuncios emergentes en primer o segundo plano los anuncios se presentan en ventana distintas. los timadores disponen de técnicas engañosas para estafar a los usuarios7. Flash y otras tecnologías con contenido multimedia. en nuestro ejemplo de Fernando Fernández. en este caso concreto. los ingenieros sociales malintencionados saben cómo aprovecharse de la naturaleza humana. Matthew Braveman clasifica los distintos vectores de instalación en cuatro categorías principales13. estos anuncios malintencionados se introducían inadvertidamente en la red publicitaria de yahoo. el adware y el spyware han adoptado muchas metodologías conocidas de ingeniería social y han inventado técnicas nuevas para distribuir su software. a sabiendas. no resulta difícil insertar publicidad malintencionada en su secuencia8. Anuncios en flash son similares a los anuncios de banner. por naturaleza. pero utilizan animaciones Flash para diversificar el contenido. es posible que las empresas de seguridad tampoco califiquen el software como malintencionado porque el proveedor afirmará que no tiene nada que ver con la distribución y que alguien se está aprovechando de su software. 9. Por ejemplo. según su estudio. los anuncios por contenido de google.• Ataques que aprovechan vulnerabilidades lo habitual es que con estos ataques la instalación de adware no requiera ninguna interacción humana. el modelo PPc no exige la instalación de ningún programa de adware ni spyware en el sistema del usuario. como paquetes de freeware. el más vulnerable a estas amenazas es el IsP o el servidor que contiene los anuncios. Un estudio de casos reales llevado a cabo en el Departamento de Interior estadounidense señala que el 84% de los ministerios atribuye diversas brechas de seguridad a errores humanos. funcionan con el modelo PPc. un usuario que desee un programa de freeware puede. que invariablemente son las personas. o con mecanismos sospechosos. los resultados del motor de búsqueda—presente los anuncios correspondientes. pero quizá sí necesite que el usuario introduzca información para que el contexto—por ejemplo. aun si la instalación se produce a través de un ataque que aprovecha alguna vulnerabilidad o por spam directo. — Kevin Mitnick (2007)11 sea cual sea el modelo de adware que utilicen los desarrolladores. el principal factor de éxito reside en los usuarios. Si tenemos en cuenta que gran parte del contenido del anuncio está almacenado en servidores y que utiliza JavaScript. en estos casos los usuarios no se ven directamente afectados.

The Washington Post denunció un anuncio de banner malintencionado en Myspace que distribuía adware y troyanos a millones de usuarios aprovechando las vulnerabilidades de los metarchivos de Microsoft Windows. como en la parte superior de la Figura 3. por lo que se atreven a hacer clic en las páginas Web malintencionadas. el usuario tenía que instalar un widget para averiguar quién le enviaba la invitación. Páginas de error falsas (nivel de confianza: medio). Veámoslo en detalle utilizando tres casos reales. vídeos para adultos. algunos sitios Web mostraban mensajes de error falsos tipo “página no encontrada” y se ofrecían a resolver la situación descargando un componente activeX que instalaba WinFixer20. Puede que los ingenieros sociales establezcan relaciones para aumentar el factor de confianza. dominio de confianza. • Caso 1: sitios Web de redes sociales los sitios de redes sociales son de gran ayuda para los ingenieros sociales porque la mayoría de las personas que entran en ellos buscan hacer amigos o mantenerse en contacto. la solicitud pedía al usuario que reenviara la invitación a cinco amigos. nivel de confianza alto Sitio Web de ingeniería social (p. Cuestión de confianza la Figura 3 muestra cuatro situaciones en las que el usuario se expone a un sitio de ingeniería social. en enero de 2008. (los programas no autorizados pueden incluir PUP y también troyanos). la gente es menos suspicaz si se trata del dominio google. al hacer clic en estos anuncios se bajaba el software Myspace adult content que. descargaba adware. que contienen numerosos vínculos a sitios para adultos o vídeos falsos. a finales de 2006 Websense denunció la publicación de un vídeo fraudulento de youTube en múltiples perfiles falsos de Myspace15. Caso 3: otras tácticas sugerentes • • Mensajes de correo electrónico falsificados (nivel de confianza: bajo).com18. la clave está en que cuanto mayor sea el nivel de confianza. spam en el bloc de notas de google (nivel de confianza: alto). que “advertía” a los confiados usuarios de que había un problema con sus datos de facturación y de que tenían que actualizarlos descargando un determinado software. más probabilidades de éxito tendrá una determinada técnica de ingeniería social. spam nivel de confianza muy bajo Vínculo recibido a través del perfil de un amigo en sitio de red social. Después de todos estos pasos.Sitio Web de red social nivel de confianza alto Motor de búsqueda nivel de confianza bajo Usuario Vínculo recibido a través de MI. Hace poco los timadores utilizaron otra técnica más de ingeniería social enviando vínculos de spam a páginas del bloc de notas de google21. • • • oToÑo 2008 41 . el nivel de confianza suele ser muy elevado en esta categoría. puede ayudarnos a comprender los siguientes casos reales. bloc de notas de Google. lo único que veían las víctimas era un mensaje para descargar el adware Zango. al abrir la solicitud. esta táctica de ingeniería social funcionaba enviando primero una solicitud de Facebook titulada “Invitación de un amor secreto”. correo electrónico. los más ingenuos reenviaban el mensaje a sus amigos y así creaban un gusano social. Varios ataques destacados de ingeniería social se han aprovechado de esta confianza para instalar adware en los equipos de los usuarios: • • en 2006. según se ha sabido. Hubo un caso en que se enviaron masivamente mensajes falsificados de eBay con vínculos para descargar adware19. ofrece vínculos a archivos MP3. este problema se producía cuando un usuario hacía clic en un anuncio emergente que mostraba imágenes de jóvenes con títulos como “Quiero que me quieran”14.) Figura 3: Varios vectores exponen a los usuarios a programas malintencionados y no deseados. para lo cual no hacía falta la intervención del usuario17. antes de desvelar quién era el amor secreto. Finalmente éstos descargan varias aplicaciones antispyware no autorizadas. los anuncios de banner malintencionados han experimentado un aumento. aplicación secret crush para Facebook (nivel de confianza: muy alto). en estas situaciones el nivel de confianza es muy elevado. el más reciente mientras se escribía este artículo fue un anuncio en Flash publicado en usatoday. Fortinet publicó una advertencia de seguridad sobre un widget malicioso denominado secret crush (amor secreto) que intentaba instalar adware16.google. etc. Vídeo fraudulento de youTube en Myspace (nivel de confianza: alto). Caso 2: anuncios de banner los anuncios de banner pertenecen al dominio del modelo PPc. sólo por visitar la página. en 2008. el factor de ingeniería social se encontraba en el contenido del mensaje.com.com/ notebook/public/[IDusuario]/[bloqueado]. el hipervínculo tenía el formato www. hacía falta instalar Zangocash.. a continuación. Visualizador de contenido para adultos de Myspace (nivel de confianza: medio). se dejaban llevar fácilmente por la situación porque su nivel de confianza era muy elevado. aunque la ilustración es simple. los usuarios eran bombardeados con múltiples alertas falsas y de malware (una táctica de ingeniería social muy frecuente) para que descargaran una aplicación antispyware no autorizada denominada Malware alert. ya que los usuarios entran en un sitio de confianza que visitan a menudo. etc. Para ver el vídeo. ej.

los usuarios parecían protegidos porque el eUla les advertía de todos los efectos no deseados de estas aplicaciones. al principio. en estos casos. También hemos observado muchos casos de adware instalado por troyanos. tanto si su motivación era puramente económica como si era verdaderamente malintencionada. ¿por qué han disminuido el adware y el spyware? los factores que han contribuido son varios.32. en la resolución contra Zango12.retirada silenciosa la falta inicial de normativas que regularan las aplicaciones de adware y spyware dio mucha libertad a los desarrolladores. • Concienciación pública y organismos del sector la FTc posee un sitio Web informativo28 que aconseja sobre cómo protegerse del spyware y denunciar sus abusos. Descubierta a finales de 2004. (Fuente: McAfee Avert Labs) 42 McaFee secUrITy JoUrnal . el tribunal “exige que Zango controle a sus distribuidores terceros para asegurarse de que afiliados y subafiliados cumplen la decisión de la comisión de comercio Federal (FTc. estaban incompletos o había que buscarlos. tienden cada vez más a distribuir aplicaciones no autorizadas y troyanos de “alertas” falsas. directamente o a través de otros. son las propias aplicaciones no autorizadas las que introducen los archivos para detectarlos después. Pero muchas veces los eUla eran confusos. • 2005 2006 2007 2008 previsión PUP Troyano Figura 4: A diferencia del adware y el spyware. la categoría de troyano Downloader-Ua es una familia que utiliza tácticas de ingeniería social para descargar programas falsos.27.000 500 0 Pleitos Debido al incremento de abusos de las aplicaciones de adware y spyware. estas empresas de productos y servicios no investigaban a fondo la manera en que las empresas de adware distribuían su publicidad. aplicaciones no autorizadas como los creadores de malware hacen dinero fácil con tácticas intimidatorias. con una cortina de humo tan eficaz. que muestran errores o mensajes de infección falsos.26. gracias al esfuerzo de estos grupos.net devolvió 158 dominios asociados a una misma dirección IP34 (véase la Figura 5). los consumidores y otros demandantes han entablado diversos pleitos contra algunos distribuidores de envergadura.23. Aplicaciones no autorizadas 1. • Dado que ahora los anunciantes conocen los riesgos asociados al modelo PPI (invasión de la intimidad. el fallo también “prohíbe a Zango. los consumidores y legisladores comprenden mucho mejor las reglas y los problemas relacionados con la publicidad en Internet. Para medir la frecuencia de los productos antispyware no autorizados que distribuyen los troyanos Downloader.22. la aplicación no autorizada garantiza la clasificación como “troyano” (estos troyanos están incluidos en la Figura 4). este conocimiento ha ayudado a reducir el número de aplicaciones no deseadas. al principio. Varias sentencias judiciales han contribuido a limitar la cantidad de adware y spyware. esta misma familia de troyanos atacó de nuevo en 2008 persuadiendo a los usuarios de que se bajaran un reproductor de MP3 falso para oír una selección de temas. analizamos una serie de direcciones IP desde las que se iniciaban estas descargas. eran difíciles de leer. en una resolución histórica dictada el 29 de enero de 200730 se establecía que “antes de contratar a una firma para la distribución de su publicidad.24. a veces. que no exige que haya ninguna aplicación en el sistema del usuario. Mala prensa y pleitos potenciales contra anunciantes relacionados con empresas de adware el dinero que hacía funcionar el mercado del adware y el spyware provenía inicialmente de anunciantes que recurrían a empresas de adware para mostrar los anuncios. la consulta realizada en el dominio hosts-files. las empresas deben interrumpir inmediatamente el uso de los programas de adware que infrinjan las resoluciones alcanzadas o sus propias directivas de adware”. esta familia emplea vulnerabilidades del modo en que el reproductor de Microsoft Windows Media utiliza la tecnología de gestión de derechos digitales embaucando a los usuarios para descargar archivos multimedia de diseño especial31. aprovechar vulnerabilidades de seguridad para descargar software y le obliga a mostrar explicaciones claras y visibles. consentimiento impropio y otros). así como a obtener el consentimiento expreso de los consumidores antes de descargar el software en su equipo”. en la mayoría de los casos. Federal Trade commission)”.25. Por ejemplo. el crecimiento de las aplicaciones no autorizadas (PUP y troyanos) ha sido exponencial en 2008 (Véase la Figura 4). y de forma trimestral a partir de entonces. a menudo por estar encerrados en ventanas diminutas en las que sólo cabían unas pocas palabras. en comparación con años anteriores. estos fallos judiciales han servido para debilitar el método PPI y han supuesto un incentivo para que los distribuidores mejoren su comportamiento. han comenzado a adoptar el modelo PPc. pero a la vez descargaba montones de adware en el sistema33. al encontrarlos. la asc también ofrece gran cantidad de información y detalles sobre esta amenaza29. las empresas deben investigar cómo se distribuyen sus anuncios en Internet. los troyanos de alertas falsas son los que descargan las aplicaciones no autorizadas que detectan claves de registro y archivos falsos como malware. las aplicaciones no autorizadas (PUP y troyanos) han aumentado drásticamente en 2008.

html http://blog.internetlibrary.wikipedia. en más de una ocasión la misma IP estaba asociada a múltiples dominios.shtml http://www. http://www.cdt.aspx 20 http://www. las sugerentes tácticas de ingeniería social que se utilizan para distribuir estos PUP siguen entre nosotros. cada uno de los dominios que contiene la Figura 5 muestra un antispyware personalizado o un “limpiador del sistema” no autorizados.aspx http://www. descubrimos que se habían creado páginas y aplicaciones en 24 idiomas.html 32 http://vil.html 29 http://www.ny.theregister.wikipedia.pcworld. le gusta viajar y estudiar diferentes culturas y arquitecturas.htm 33 http://www. en Mcafee. lo que indica que las amenazas se han extendido mucho más allá de los países angloparlantes. Aditya Kapoor es investigador sénior en Mcafee avert labs.com/content/alerts/3061.aspx 19 http://securitylabs.benedelman.net/?s=Browse&f=Fsa oToÑo 2008 43 .html 24 http://www.29 http://www. aunque el número total de programas de adware y spyware ha descendido.com/securityfix/2006/07/ myspace_ad_served_adware_to_mo.nai.com/research/blog/index.28PPc. la distribución de adware y troyanos seguirá ganando terreno en los sitios de redes sociales.org/wiki/compensation_methods#Pay-per-click_.org/headlines/headlines.php/2006/12/04/404-not-just-filenot-found/ 21 http://www. al analizar 620 páginas. http://www.benedelman.com/advisory/Fga-2007-16.zdnet.usgs.com/2006/10/11/myspace-adult-content-viewer-more-adware/ http://securitylabs.us/media_center/2007/jan/jan29b_07.81.oag.com/blogs/spywaresucks/archive/2007/08/22/1128996.php/2008/05/06/fake-mp3srunning-rampant/ 34 http://hosts-file.conclusión sólo desde el punto de vista estadístico.state. Kapoor se ha especializado en análisis de rootkits.aspx http://www.com/content/alerts/1300.ny.websense.ftc.gov/opa/2006/11/zango.ppt http://download.antispywarecoalition.com/download/c/e/c/ cecd00b7-fe5e-4328-8400-2550c479f95d/social_engineering_Modeling.grc. no prevemos que en un futuro próximo surjan soluciones fáciles para el problema de los programas no deseados. Figura 5: Varios nombres de host están asignados a una sola dirección IP que distribuye aplicaciones localizadas no autorizadas.com/spyware/?p=655 26 http://www.htm optout (no participar).htm 28 http://onguardonline. que versó sobre un algoritmo de desensamblaje para resolver la ocultación de código.antispywarecoalition.avertlabs.microsoft.htm http://en.com/cscworld/012007/dep/fh001.websense.ftc.gov/bcp/edu/microsites/spyware/law_enfor.600 dominios que distribuyen aplicaciones no autorizadas35.us/media_center/2005/apr/apr28a_05.org/news/062907-1.shtm 27 http://www.net/?s=67.com/content/alerts/738.org/ 30 http://www.benedelman.html http://en.com/cases/lib_case358. comparación de códigos de bytes y análisis de comportamiento. las páginas también aparecen en varios idiomas.csc. parece claro que el adware y el spyware están disminuyendo.com/article/119016/risk_your_pcs_health_for_a_song. Pero ¿lo harán de verdad? el cambiante panorama de amenazas y el aumento de los troyanos con fines lucrativos nos obliga a permanecer atentos y enseñar a trabajadores y usuarios particulares a entender mejor lo que supone la amenaza de la ingeniería social.gov/conferences/presentations/5socialengineeringInternal externalThreat%20Dudeck. sin duda aparecerán tácticas mejoradas de ingeniería social que incitarán a los usuarios a hacer clic en estos anuncios y generar ingresos para los afiliados. su deber moral sería llevar un seguimiento de cada instalación y detener rápidamente cualquier mala distribución posible de su software.cantoni.co.org/spyware/nyag-dr/ 23 http://www. NOTAS 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 http://www.avertlabs. conoció la ingeniería inversa hace seis años cuando investigaba en la Universidad de luisiana en lafayette para su tesis de doctoral.com/research/threats/ppc-hijack/ http://www.html http://securitylabs.oag.state.org/documents/2007glossary.cfm 25 http://blogs. gibson research corp.uk/2007/09/11/yahoo_serves_12million_malware_ads/ http://www.org/wiki/compensation_methods (Fuente: sitio Web de Zango.washingtonpost.com/vil/content/v_130856.org/2008/06/04/google-notebook-spam 22 http://www.net describe como una clase de dominios que albergan aplicaciones no autorizadas) devolvió cerca de 3.55. con el ascenso del modelo del lado servidor (PPc) en la distribución publicitaria.fortiguardcenter. siendo las empresas de adware quienes pagan estas instalaciones. en algunos casos hasta 200 dominios diferentes. distribuyendo troyanos y aplicaciones no autorizadas.gov/spyware.php?iid=51 http://www.org/ppc-scams/ http://msmvps.com/optout.html 31 http://www.200&sDM=1#matches 35 http://hosts-file. sin embargo.secureworks.websense.com/research/blog/index.pdf http://mashable. Una consulta de la palabra clave “Fsa” (que hosts-files.

David Marcus es director de investigación de seguridad y comunicaciones de Mcafee avert labs. etc. otros han albergado ataques a vulnerabilidades o código malintencionado. ha disminuido un 3 por ciento aproximadamente. . Marcus es responsable de relaciones públicas. nuestro compañero shane Keats examinaba con detenimiento la distribución en Internet de los sitios Web malintencionados. publicado en el número de junio de 2008 de la revista Mcafee security Insights1.br. utilizaba datos obtenidos mediante la tecnología Mcafee® siteadvisor®. proporcionamos la variación experimentada en cuanto al riesgo del año anterior. el gráfico de líneas muestra que en rumanía el riesgo ha aumentado aproximadamente un 1 por ciento. además de una cifra general.info. en su excelente informe “Mapping the Mal Web. además es presentador de AudioParasitics—El podcast oficial de McAfee Avert Labs. También dirige todas las publicaciones de avert labs.cn. examinamos en detalle no sólo los niveles de riesgo actuales de estos dominios en américa. los números positivos indican un aumento del riesgo en comparación con el año anterior. se encarga del contacto con los medios de comunicación. revisited” (el mapa de los sitios Web peligrosos. hemos aislado los veinte principales dominios de nivel superior para cada tipo de riesgo. seguridad en las descargas y la prevalencia de ataques basados en la Web. como muestran los datos con claridad. mayor es el riesgo para los usuarios. según el software siteadvisor. reflejo de cualquier gran ciudad del mundo. hemos realizado análisis adicionales de correo electrónico. Mcafee ha descubierto que casi el siete por ciento de todos los sitios en ese dominio de nivel superior han sufrido una o varias de las amenazas que hemos incluido en el análisis: ataques a vulnerabilidades de navegadores. resumimos datos de amenazas recientes que afectan a dominios de nivel superior: tanto genéricos: . Pero si Internet es realmente un enorme barrio digital. gran volumen de correo electrónico comercial. Para ello. los porcentajes negativos indican una disminución del riesgo. afiliación a otros sitios peligrosos. esto significa que. esperamos que estos resultados le sirvan de ayuda al navegar y no lo olvide: ¡mire bien a izquierda y derecha antes de cruzar la autopista de Internet! Los gráficos en el gráfico “Dominios TlD en europa. por ejemplo. algunos países tienen buenos hábitos en el correo electrónico pero demuestran malas prácticas en la gestión de las descargas. Finalmente. entre muchas otras. todos necesitamos saber por dónde se puede navegar y buscar información sin correr riesgos. incluida la revista McAfee Security Journal.mcafee. NOTA 1 http://www. actuando como administrador del blog McAfee Avert Labs Security Blog.ro) ha registrado casi el siete por ciento. adware/spyware/troyanos/ virus. mantiene su liderazgo intelectual.com/us/security_insights/archived/june_2008/si_jun1_08.ru. europa y asia. . . el riesgo no se reparte equitativamente en toda la red. a continuación. oriente Medio y África clasificados por riesgo general”. como de países: . contribuye a dar a conocer a los clientes de Mcafee y a la gran comunidad de expertos las numerosas novedades fruto de las investigaciones de seguridad de avert labs.html 44 McaFee secUrITy JoUrnal . en la actualidad. cuanto más alta es la cifra. marketing agresivo a través de ventanas emergentes o revisiones y comentarios de la comunidad de siteadvisor. entre otros. los dominios genéricos y de países muestran distintos tipos y grados de riesgo y peligros. los resultados son asombrosos.¿cuál es el riesgo de los dominios de nivel superior? David Marcus los datos de Mcafee siteadvisor revelan la variación del riesgo en función del área geográfica. ¿cuáles son las calles por las que se puede transitar sin peligro? ¿Qué dominios presentan más riesgos? ¿cuáles son los dominios de nivel superior (TlD) que incorporan más mejoras en cuanto a seguridad? ¿y cuáles menos? ¿Qué palabras de búsqueda son más peligrosas? estas son las preguntas. Hemos clasificado cada dominio TlD según su riesgo general y.biz . observará que el dominio de rumanía (. en este número. mientras que en eslovaquia.com. en el momento que vivimos. revisión). . sino también su evolución en el último año. el objetivo de la revista McAfee Security Journal es ayudarle a obtener respuestas mediante datos y análisis que le permitan tomar las decisiones más adecuadas. que se hacen los usuarios de Internet.

si Bulgaria .ve Estados Unidos .tw Tokelau .dk Holanda .lt España .jp India .il Variación del riesgo entre 2007 y 2008 (en puntos) Riesgo general en 2008 TLD de Asia clasificados por riesgo general 20.mx Chile .ru Suiza .0% 1.bg Unión Europea Alemania .co Variación del riesgo entre 2007 y 2008 (en puntos) Riesgo general en 2008 Criterios de riesgo empleados para evaluar los TLD Ataques a vulnerabilidades de navegadores Adware/spyware/ troyanos/virus Gran volumen de correo electrónico comercial Asociaciones con otros sitios de riesgo Marketing agresivo con ventanas emergentes Revisiones/comentarios de la comunidad de SiteAdvisor oToÑo 2008 45 .P de China .0% 4.my Singapur .hk Japón .kr Tuvalu .0% 10.fi Ucrania .nl Yugoslavia .0% -8.ir Rusia .ph Samona .ee Suráfrica .tr Letonia .de Hungría .tv Tonga .cn Islas Cocos (Keeling) .0% Rumanía .hr Grecia .at Croacia .gr Estonia .ar Canadá .uk Irlanda .0% 14.fr Suecia .nu Vanuatu .se Irán .0% 0.id Nueva Zelanda .0% 16.tk Niue .0% 0.hu República Checa .0% 2.lv Bélgica .us Colombia .pl Turquía .0% -4.0% -1. Oriente Medio y África clasificados por riesgo general 8.0% -10.0% 18.ie Dinamarca .za Islandia .5% Argentina .is Eslovenia .ua Polonia .0% 0.it Israel .cx R.ch Italia .us Malasia .yu Noruega .TLD clasificados de Europa.5% -1.cl Venezuela .0% -2.0% R.5% 1.0% 4.sg Australia .0% 2.0% -2.ws Tailandia .nz Hong Kong .cz Eslovaquia .to Vietnam .vn Islas Navidad .0% 6.5% 0.5% 2.be Lituania .pt Reino Unido .0% -6.ca Brasil .0% -4.es Francia .0% 6.au Filipinas .ro Portugal .0% 8.sk Finlandia .cc Corea del Sur .0% -0.br Méjico .no Austria .in Variación del riesgo entre 2007 y 2008 (en puntos) Riesgo general en 2008 TLD de América clasificados por riesgo general 2. de China (Taiwán) .th Indonesia .0% 12.

hr Tonga .hk Redes .ru Empresas .cn Italia .0% 20.sk Croacia .P de China .2% 0.com Estados Unidos .cx Letonia .ws Romania .vn India .ro Información .bg Bélgica .tw Comercial .in Letonia .0% 5.yu Ucrania .cc Eslovaquia .0% 60.info Riesgo general en 2008 Riesgo general en 2008 Riesgo general en 2008 Variación del riesgo entre 2007 y 2008 (en puntos) Variación del riesgo entre 2007 y 2008 (en puntos) Variación del riesgo entre 2007 y 2008 (en puntos) Rumanía .to Tuvalu .hr Unión Europea .it Familias/Particulares .biz Samoa .tv Redes .biz Familias/Particulares .0% 50.net Portugal .0% 0.pt Samoa .name Bulgaria .0% 30. de China (Taiwán) .ws Polonia .net Comercial .0% 25.net Rusia .0% 1.0% 0.com Samoa .eu Bulgaria .il Vietnam .0% -0.name Islas Cocos (Keeling) .0% -10.cc Croacia .vn Empresas .nu R.ua Tailandia .0% 15.kr Empresas .0% 0.P de China .2% -20.4% -5.0% 10.0% 0.4% 0.0% 20 TLD principales clasificados por riesgo de descarga 20 TLD principales clasificados por ataques (exploits) TLP principales clasificados por prácticas de correo electrónico 46 Información .info R.0% 40.0% 20.hk .com Hong Kong .pl Estados Unidos .cc Tonga .0% 70.us Comercial .8% 1.ro Información .2% -0.th Islas Cocos (Keeling) .cn McaFee secUrITy JoUrnal Rusia .us Tokelau .info Niue .10.6% 0.be Islas Cocos (Keeling) .lv R.bg India .ru Corea del Sur .ws Yugoslavia .cn Hong Kong .lv Israel .P de China .ua Vietnam .tk Islas Navidad .in Redes .to Ucrania .biz R.

oToÑo 2008 47 .

Inc.mcafee. Todas las demás marcas comerciales. Inc. y/u otros países. © 2008 Mcafee.com/es Mcafee y/u otras marcas mencionadas en este documento son marcas comerciales registradas o marcas comerciales de Mcafee. Inc. y/o sus empresas filiales en ee. el color rojo asociado a la seguridad es el distintivo de los productos de la marca Mcafee.Mcafee. tanto registradas como no registradas. avenida de Bruselas nº 22 edificio sauce 28108 alcobendas Madrid www. mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos. 48 McaFee 5001_sec-jrnl_fall08 secUrITy JoUrnal . reservados todos los derechos. UU.