Botnets dentro de la computadora

En el 2007 hubo mayor preponderancia de las redes formadas por computadoras comprometidas y controladas remotamente, lo cual presupone superiores ganancias en el mercado negro y ataques cibernéticos más severos Enemigos en el teclado (I) La red al día

Autor:

Amaury E. del Valle
Según la empresa MessageLabs, en 2007 uno de cada 117,7 mensajes de correo estuvo relacionado con códigos malignos, una cifra inferior a la de 2006, cuando fue de 1 cada 67,9, pero que trae asociadas nuevas y más dañinas amenazas.

Y es que sobre la distribución de códigos malignos anexados en los mensajes que antes prevalecía, en 2007 se destacó el envío de mensajes que incluyeron un enlace a un sitio web, donde se encontraba alojado el código maligno. En este último aspecto sobresalieron programas como W32/Nesky.P, W32/Zhelatin, W32/Nesky.T, W32/Nyxem.E y W32/Mytob.

Esta misma empresa comprobó en sus estudios que hubo un promedio de 1 253 nuevos sitios web por día hospedando estos tipos de códigos, la vía por la que se instalaron mayormente en las computadoras. Por su parte, Kaspersky Lab, en el primer semestre del año, identificó más de 28 000 sitios diferentes en estas condiciones.

Un ejemplo de esta tendencia, conocida como botnets, es que en agosto la página web del Banco de la India fue alterada de forma tal que las computadoras, con sistemas Windows no protegidos, quedaron comprometidas por varios caballos de Troya destinados a sustraer las claves de acceso cuando los usuarios accedieron a ella.

Igualmente el año pasado fue característico por la remisión de mensajes, especialmente dirigida a ejecutivos de empresas, que tenían anexados caballos de Troya destinados al robo de información. Los e-mails contenían datos personales de los receptores y supuestos emisores, tanto en el asunto como en el cuerpo, de forma tal que se hacía difícil determinar su autenticidad a primera vista.

Lo anterior se asocia al robo de información en sitios de redes sociales (social networking) como: MySpace, Linked-in y Facebook, entre otros, en los que se establecen comunidades de usuarios conectados para compartir determinados temas, gustos, amistades, ficheros de audio, videos y otros.

En el mercado negro

El empleo de los botnets es tan lucrativo que las redes se alquilan. Su precio está relacionado fundamentalmente con el número de computadoras que se pueden controlar y el tiempo por el que son arrendadas. En marzo, según la fundación Shadowserver, el número de máquinas que pasaron a formar parte de estas redes se triplicó en menos de un mes.

Maksym Schipka, experto en seguridad informática de MessageLabs, quien ha estudiado esta situación, afirma que en este mercado ya existe una especialización y sofisticación que permite a los implicados colaborar entre sí.

Los desarrolladores individuales, o agrupados, de códigos malignos los crean para la venta (por 250 dólares se puede comprar un código maligno hecho a la medida y otros 25 mensuales cuesta la suscripción a las actualizaciones); y sus compradores los configuran según sus necesidades. Unos u otros crean las condiciones para su distribución e instalación en las computadoras que serán comprometidas.

Una vez ocurrida la instalación, las computadoras infestadas son enlazadas, formando amplias redes internacionales, las cuales se emplean en disímiles acciones delictivas, incluyendo la propagación de otros códigos malignos, el envío de mensajes tipo spam o correo-basura y phishing (acciones fraudulentas), así como la ejecución de ataques dirigidos a denegar servicios. La venta de toda la información y datos personales robados es la que realmente aporta la mayor ganancia.

Don Jackson, investigador en el tema de la seguridad, publicó un artículo en InformationWeek en el que aseguró que había identificado 12 salvas de datos, que contenían información sobre 100 000 personas, robadas por caballos de Troya instalados en sitios de contratación, uno de los cuales fue Monster.com.

Si con anterioridad el robo de credenciales estuvo mayormente relacionado con las cuentas bancarias, la gran popularidad alcanzada por los juegos en línea y el dinero que se mueve detrás de estos llamó la atención de los delincuentes informáticos, quienes han decidido coger también su tajada.

Ejemplo de ello es la creación y uso de los caballos de Troya que forman parte de la familia conocida como OnLineGames, destinados a robar todo lo tecleado por los jugadores cuando acceden al sitio web del juego en línea World of Warcraft, con el fin de venderlo posteriormente. En la actualidad se considera que el monto global de dinero asociado a este tipo de delincuencia en la red asciende a los 105 mil millones de dólares.

Basura remota

Entre los nuevos códigos malignos reportados en 2007, destinados a la creación de botnets, se destacó el nombrado por las empresas antivirus como StormWorm, Zhelatin o Nuwar. Este inicialmente se propagó anexado a mensajes de correo electrónico, pero posteriormente era instalado en las computadoras cuando los usuarios accedían a sitios web cuyos enlaces estaban incluidos en las misivas.

La empresa de seguridad informática Symantec informó en agosto que su empleo fue el causante del envío masivo de spam o correo-basura, pues se detectó la remisión desde 4 375 direcciones IP únicas en 24 horas. Ya en septiembre intervinieron unas 6 000, con solo un 25 por ciento de coincidencia de direcciones IP en ambas ocasiones.

La cantidad de reportes de nuevas variantes del código maligno en breves períodos de tiempo también fue interesante. Algunas estadísticas obtenidas por Kaspersky Lab reflejaron que las muestras colocadas en los servidores de descarga mutaban cada 90 segundos, siendo otra de sus funcionalidades la realización de ataques distribuidos de denegación de servicios (zDDoS). Finalizado el año se estimó en más de un millón el número de ordenadores afectados por este programa maligno, situación que no ocurría desde 2004.

Las ganancias obtenidas con el desarrollo y empleo de códigos malignos, así como toda la actividad delictiva asociada y los escasos resultados en la erradicación de este mal, auguran que la situación durante el 2008 debe continuar.

Vulnerabilidades

Tal como sucedió en años precedentes, en 2007 continuó la detección de vulnerabilidades en sistemas operativos y aplicaciones de amplio uso, defectos en los programas que permiten a extraños atacar a máquinas ajenas.

Relacionados con estas fallas, nuevos formatos de ficheros ingresaron en la lista de los potencialmente peligrosos, pues variaciones en sus estructuras permitieron explotarlas. Los .ANI, correspondientes a imágenes para cursores, son un ejemplo de ello.

Las vulnerabilidades en navegadores de internet continuaron siendo aprovechadas en la instalación de códigos malignos desde páginas web preparadas al efecto o alteradas con la inserción de códigos que las explotaron.

IBM contabilizó 3 273 vulnerabilidades en el primer semestre del año, siendo Microsoft, Apple, Oracle, Cisco Systems, Sun Microsystems, IBM, Mozilla, XOOPS, BEA y Linux kernel los más afectados. Entre los cinco primeros se repartió el 12,6 por ciento del total. Un hecho aún más preocupante fue que el 90 por ciento de las debilidades podían ser explotadas remotamente.

En nuestro patio

En el transcurso de 2007 se reportaron en Cuba 290 nuevos programas malignos, los cuales fueron recibidos a través de la cuenta virus@segurmatica.cu, o entregados por el Grupo de Soporte Técnico al Laboratorio Antivirus de la empresa de Consultoría y Seguridad Informática, Segurmática.

Por eso, independientemente de la aplicación de medidas técnicas, sigue siendo imprescindible mantener actualizados los sistemas con los últimos parches de seguridad liberados para los sistemas operativos y aplicaciones utilizadas, acción sumamente importante tanto para los administradores de redes como para los usuarios finales.

Hay que tomar conciencia sobre la problemática de los códigos malignos y los daños y acciones delictivas. Para ello, entre otros aspectos, es imprescindible tener precaución en el uso de los dispositivos removibles y mantener los antivirus actualizados.

En el sitio http://www.segurmatica.cu se puede consultar información sobre los programas malignos analizados por esta empresa, y que hoy están en Cuba, así como de los servicios, cursos referentes al tema de la seguridad informática y productos que brinda para combatirlos técnicamente.

*Especialista principal del Laboratorio Antivirus de la Empresa de Consultoría y Seguridad Informática, Segurmática.

Comparte esta noticia

Enviar por E-mail

  • Los comentarios deben basarse en el respeto a los criterios.
  • No se admitirán ofensas, frases vulgares, ni palabras obscenas.
  • Nos reservamos el derecho de no publicar los que incumplan con las normas de este sitio.