Este informe anual ofrece un análisis de la evolución de los programas maliciosos o malware, de los programas publicitarios o adware y de los programas potencialmente maliciosos en 2007, y de la manera en que han evolucionado desde 2006. Se utilizó un nuevo método estadístico en la preparación de este informe. Las cifras de 2006 aquí mencionadas también se recalcularon mediante el nuevo método y, en consecuencia, es posible que no coincidan con los datos del informe anual del año pasado.
Este informe contiene una gran cantidad de información estadística y hechos. Está dirigido principalmente a los profesionales en seguridad informática especialistas en malware, pero puede ser de utilidad a cualquier usuario interesado en la virología informática.
- La evolución de las amenazas en 2007
- Este año la tendencia predominante es el desarrollo de programas nocivos dirigidos a los usuarios de juegos en línea
- El spam en 2007
- Amenazas para el correo electrónico
Panorama de 2007
El año 2007 será recordado como el año que presenció la extinción de los así llamados programas maliciosos sin fines comerciales. Aún queda por verse si realmente significó o no su desaparición. Por ahora, todo lo que podemos decir es que en 2007 detrás de las mayores epidemias y de todos los programas maliciosos de gran expansión había siempre motivos económicos. En 2006, estos virus revoltosos siguieron apareciendo, tal es el caso del gusano epidémico Nyxem.E que se no hacía otra cosa que reproducirse y eliminar archivos.
Casi todas las epidemias en 2007 fueron de corta duración y se limitaron a regiones y países específicos en vez de expandirse abiertamente por Internet. Esta tendencia se ha consolidado como el estándar de facto en la organización de epidemias.
Sin duda, Storm Worm (aka Zhelatin en el sistema de clasificación de Kaspersky Lab) sobresale entre los tantos nuevos programas nocivos en 2007. Este gusano hizo su estreno en enero de 2007. Durante todo el año, mostró una amplia variedad de comportamientos, métodos de interacción entre sus componentes, métodos de expansión y tácticas de ingeniería social, y llevó a los expertos antivirus a tirarse de los pelos en su intento de mantenerse al ritmo de las últimas creaciones de los autores desconocidos.
Zhelatin fue la manifestación de casi todos los logros de los métodos de los autores de virus en los últimos años, muchos de los cuales habían aparecido previamente, como prueba de código de concepto. Estos incluían tecnologías rootkit, códigos basura y botnets capaces de autoprotegerse contra análisis y estudios, y de interactuar entre ordenadores infectados a través de redes P2P, sin necesidad de un centro de control. El gusano utilizó todos los modos disponibles para expandirse, desde los tradicionales (correo electrónico y sistemas de mensajería instantánea) hasta los servicios ofrecidos en la era de la Web 2.0 (redes sociales, blogs, foros y servicios RSS). Los ciberdelincuentes también aprovecharon el creciente interés de los usuarios de Internet en los servicios de video, camuflando Zhelatin como un archivo de video.
La función principal de Storm Worm era crear redes para la posterior organización de envíos masivos de correo spam y el lanzamiento de ataques DoS. Un detallado informe separado cubre los cambios en las tendencias del correo spam en 2007. En cuanto a los ataques DoS, se convirtieron en uno de los temas clave de la seguridad informática en 2007.
Tras haber tenido un uso activo en 2003-2004, los ataques DoS no se constituyeron en una herramienta de particular preferencia entre los delincuentes cibernéticos sino hasta 2007. El año pasado regresaron, aunque no tanto como una herramienta para sacar dinero a sus víctimas, sino como un medio de librar batallas políticas y competitivas. La historia del ataque librado contra Estonia en mayo de 2007 logró amplia cobertura mediática, y muchos expertos lo consideran el primer evento de la ciberguerra. Resultó claro que los competidores comerciales de las víctimas estaban en el trasfondo de los ataques DoS en 2007. Sólo cuatro años antes, los ataques DoS servían como armas en manos exclusivamente de piratas extorsionadores y de usuarios maliciosos. Sin embargo, hoy en día, se han convertido más bien en un producto para el envío de correo spam y de malware elaborado según especificaciones de los clientes. Los servicios de anuncios para los ataques DoS se han vuelto algo común, y los precios se comparan ahora con los de envíos organizados de correo spam.
En 2007, los negocios de los ciberdelincuentes produjeron diversas nuevas formas de actividad delictiva. El negocio de los programas maliciosos desarrollados a pedido del cliente creció a grandes pasos e incluso se comenzó a ofrecer apoyo técnico a sus clientes. Quizás el ejemplo más claro de esta línea de negocios es el del programa espía troyano Pinch. Los autores crearon más de 4.000 variantes de este troyano en el transcurso de varios años. La mayoría de estas variaciones se hicieron a pedido de otros usuarios maliciosos. Parece que esta historia llegó a su fin en diciembre de 2007, cuando el jefe del Servicio Federal de Seguridad de Rusia anunció que ya se conocían las identidades de los autores de Pinch.
Otro ejemplo similar tiene que ver con el virus Fujack. Esta maliciosa creación china tenía el propósito de robar datos de los usuarios de juegos en línea y sus autores la vendían a cualquiera que lo solicitara. Existen ahora varios cientos de variantes de Fujack. El autor de Fujack ganó casi 12.000US$, al menos esa fue la suma anunciada por las autoridades chinas que al final lograron arrestar al ciberdelincuente, junto a varios de sus clientes.
Fujack fue uno de los más notorios programas maliciosos de las familias de troyanos para juegos en 2007. En 2006, los troyanos bancarios (diseñados para robar datos de cuentas bancarias) llegaron a dominar la escena, y Kaspersky Lab predijo que 2007 sería testigo de la competencia entre troyanos bancarios y de juegos en cuanto al número de nuevos programas.
En términos cualitativos, los resultados de fin de año muestran que los troyanos de juegos ganaron ampliamente el pulso:el número de troyanos de juegos excedió al de los troyanos bancarios. Es importante remarcar que aún no hay una competencia directa entre estas dos familias de troyanos ya que sus públicos meta son distintos. Esto se confirma con el hecho de que todavía no hemos visto ningún troyano de juegos capaz de robar datos de una cuenta bancaria. Mientras que en teoría sería simple crear esta clase de híbrido, esta función no resulta importante ni atractiva para los autores de virus.
Los más importantes eventos de 2007 incluyen los ataques masivos a sitios Web y la posterior inserción de programas maliciosos (o vínculos a sitios infectados) en los sitios Web cautivos. Uno de estos eventos fue el ataque a casi 10.000 sitios italianos en junio, cuando la serie de vulnerabilidades conocida como MPack se insertó en los sitios Web atacados. Este tipo de ataques perversos también se dio alrededor del mundo durante todo el año. El mayor de estos ataques se produjo a fines de 2007 cuando más de 70.000 sitios Web en diferentes países en todo el mundo se infectaron con un código malicioso expandido por otro troyano de juegos.
El incidente italiano del Mpack llamó la atención de otra operación delictiva: durante las investigaciones se estableció que el programa malicioso se había insertado en los sitios Web de la Red Rusa de Negocios (RRN). Un detallado análisis concluyó que se utilizó la RRN como plataforma para distribuir docenas de programas maliciosos cientos de veces. Las discusiones se orientaron hacia el así llamado hospedaje a prueba de balas. Los proveedores de este servicio garantizaban el anonimato de sus clientes, la protección contra investigaciones legales y la ausencia de todo archivo de registros.
Estalló un gran escándalo alrededor de la RRN que se prolongó durante el verano y parte del otoño de 2007 hasta que la RRN se desvaneció en las sombras tras errar por diferentes plataformas de hospedaje en diferentes países alrededor del mundo, en lo que fue un esfuerzo por minimizar la verdadera magnitud de sus operaciones.
Estos fueron los principales sucesos de 2007 que resultaron ser los más virulentos hasta ahora. Si tuviéramos que resumir todo el nuevo malware, adware y los programas potencialmente maliciosos que se añadieron a la base de datos antivirus de Kaspersky Lab en 2007, obtendríamos estos resultados:
Número total de nuevos programas en 2006 y 2007
Porcentaje total | 2007 | 2006 | Crecimiento |
TrojWare | 201958 | 91911 | 119,73% |
VirWare | 12416 | 6282 | 97,64% |
MalWare | 5798 | 4558 | 27,20% |
AdWare | 14382 | 2583 | 456,79% |
RiskWare | 2690 | ||
Total | 237244 | 105334 | 125,23% |
Detalle de los porcentajes de malware, adware y
programas potencialmente maliciosos en 2007
El número total de amenazas en 2007 se duplicó con creces. En resmen, el número de programas nuevos que Kaspersky Lab añadió a sus bases de datos antivirus en 2007 fue casi el mismo que el total añadido en el transcurso de 15 años.
Internet nunca antes había experimentado nada parecido a esta avalancha de amenazas, y Kaspersky Lab se vio presionada a realizar el máximo esfuerzo (y a veces a hacer lo imposible) para neutralizarlas. Esta situación dio lugar a profundas preocupaciones, y si no hay cambios en 2008 (y parece que no los habrá), entonces el número de amenazas otra vez se habrá duplicado hasta fin de año.
Malware
El sistema de clasificación de Kaspersky Lab define tres clases de MalWare:
- TrojWare. – Se trata de troyanos que no son capaces de autoreplicarse (puertas traseras, rootkits y todo tipo de troyanos).
- VirWare. – Son programas maliciosos capaces de autoreplicarse (virus y gusanos).
- Otro MalWare. – Se trata de programas activamente utilizados por usuarios maliciosos para crear programas maliciosos y organizar ataques.
Aumento de nuevos programas maliciosos. En 2007, el número promedio de nuevos programas maliciosos detectados cada mes creció en un 114,28% desde 2006, alcanzando la cifra de 18.347,67, en comparación a 8.562,50 en 2006. Durante el periodo reportado, se detectaron 220.172 nuevos programas maliciosos.
En 2007 se detectó un total de 119,73% más de nuevos troyanos que en 2006. Las razones principales tras este aumento de troyanos en Internet ha permanecido estable: es relativamente simple crear un TrojWare (en comparación con gusanos y virus), y estos programas pueden usarse para robar datos, crear redes zombi (botnets) y organizar envíos masivos de correo spam.
El número de nuevos programas maliciosos categorizados como VirWare en 2007 aumentó en un 97,64% desde 2006 debido al resurgimiento, si se puede llamar así, de archivos virales clásicos (este punto se trata con mayor detalle más adelante).
El incremento detectado en el número de programas maliciosos nuevos en la categoría Otro MalWare durante el año, no excedió el 30%, colocándose detrás de otras categorías de programas maliciosos (que mostraron un crecimiento del 90% para arriba). Existe la posibilidad de que el crecimiento de la categoría Otro MalWare decaiga hasta cero en 2008.
Número de nuevo MalWare detectado por Kaspersky Lab en 2007
Distribución de Malware por categoría. No se produjeron mayores cambios en cuanto a porcentaje de categorías en 2007. Se mantuvo firme la misma tendencia que estuviera vigente en el transcurso de varios años: mientras que TrojWare continúa en ascenso, las categorías VirWare y Otro Malware presentan un decaimiento progresivo.
Detalle de las diferentes categorías de MalWare en 2006 y 2007
Total | 2007 | 2006 | % en 2007 | % en 2006 | Diferencia | Crecimiento |
TrojWare | 201958 | 91911 | 91,73% | 89,45% | +2,28% | 119,73% |
VirWare | 12416 | 6282 | 5,64% | 6,11% | -0,47% | 97,64% |
MalWare | 5798 | 4558 | 2,63% | 4,44% | -1,80% | 27,20% |
220172 | 102751 | 100% | 100% | 114,28% |
El porcentaje de troyanos en el total de programas maliciosos aumentó en 2,28% durante el año y alcanzó el 91,73%.
La disminución del número total de gusanos y virus (VirWare) en 2006 continuó en el primer semestre de 2007 (-2,26%), aunque hubo un repunte hacia fines de año. En general, en 2007 la proporción de VirWare cayó en 0,47% y representó el 5,64% de todos los programas maliciosos.
El porcentaje de la categoría Otro Malware cayó a sólo 1,95% de todos los programas maliciosos a mediados de año. A fines de 2007 la situación había cambiado, y esta categoría alcanzó un 2,63%. Sin embargo, la caída de su porcentaje entre todos los programas maliciosos fue mucho más evidente con un 1,80%.
Las siguientes secciones tratan con más detalle el desarrollo de cada categoría de MalWare.
Troyanos
El siguiente gráfico muestra el número de nuevos troyanos detectados por Kaspersky Lab mensualmente:
Número de nuevo TrojWare detectado por Kaspersky Lab
El gráfico muestra de manera clara dos picos en mayo y en agosto de 2007, seguidos por sendas caídas. Este movimiento no se parece en absoluto al movimiento en 2006, cuando los números experimentaban un alza permanente. Es posible que la categoría troyanos haya logrado estabilizarse, y que movimientos similares se conviertan en rutinarios. Si este pronóstico se confirma, esperamos que el siguiente pico en la actividad de los programas TrojWare se produzca a principios de 2008.
El siguiente gráfico ilustra en detalle los distintos comportamientos de los troyanos:
TrojWare: Representación de comportamientos en esta categoría
El análisis de la manera en que los diferentes comportamientos han aumentado nos permite comprender los cambios que se dan en la categoría Trojware. Casi todos los tipos de troyanos tuvieron un activo crecimiento en número.
Número de nuevo MalWare en la categoría TrojWare, por comportamiento
Movimiento en el número de nuevo MalWare en la categoría TrojWare
TrojWare | 2007 | 2006 | Diferencia | %% |
Backdoor | 64900 | 22444 | 189,16% | 32,135 |
Trojan-PSW | 44218 | 14747 | 199,84% | 21,895 |
Trojan-Downloader | 43751 | 23443 | 86,63% | 21,663 |
Trojan-Spy | 19035 | 10479 | 81,65% | 9,425 |
Trojan | 18592 | 11699 | 58,92% | 9,206 |
Trojan-Dropper | 4224 | 3771 | 12,01% | 2,092 |
Trojan-Proxy | 3415 | 2859 | 19,45% | 1,691 |
Trojan-Clicker | 2294 | 1641 | 39,79% | 1,136 |
Rootkit | 1381 | 639 | 116,12% | 0,684 |
Trojan-DDOS | 89 | 59 | 50,85% | 0,044 |
Trojan-SMS | 15 | 3 | 400,00% | 0,007 |
Trojan-IM | 15 | 37 | -59,46% | 0,007 |
Trojan-Notifier | 13 | 15 | -13,33% | 0,006 |
Trojan-AOL | 9 | 67 | -86,57% | 0,004 |
Trojan-ArcBomb | 7 | 8 | -12,50% | 0,003 |
Todos los TrojWare | 201958 | 91911 | 119,73% | 100% |
En 2007, el crecimiento más significativo entre los troyanos fue logrado por Trojan-PSW y Backdoor. La clase Trojan-SMS, que tuvo un crecimiento del 400%, no será cubierta en este documento ya que el número de tales programas es extremadamente reducido.
El incremento en el número de backdoors fue de aproximadamente un 190%, lo que lo colocó en el primer lugar entre todos los troyanos en términos cuantitativos (desplazó a Trojan-Downloader desde 2006). Este incremento sólo se compara con la evolución dinámica de los gusanos de correo electrónico en 2002-2004. Actualmente, los programas Backdoor representan casi un tercio de todos los programas maliciosos en el mundo, y de estos, los backdoors creados en China constituyen la gran mayoría.
En 2007, China se ganó de manera indiscutible el título de superpotencia viral. Además de los backdoors, los autores chinos de virus desarrollaron de manera activa una variedad de troyanos diseñados para robar datos de cuentas, especialmente de los juegos en línea más populares. Esto se reflejó en el crecimiento del 200% de Trojan-PSW. Este comportamiento, tal como en 2006, ocupa el segundo lugar en términos cuantitativos y ha venido sosteniendo una dura batalla con Trojan-Downloader por el primer lugar.
Hoy en día existen tres grupos principales de comportamientos en la categoría TrojWare:
- Backdoor, Trojan-PSW, Trojan-Downloader. Estos programas son los comportamientos troyanos más expandidos y representan un 75% de la categoría TrojWare (el porcentaje de cada categoría en el total de TrojWare supera el 20%).
- Trojan, Trojan-Spy. Estos comportamientos representan casi el 9% de los programas TrojWare y muestran índices promedio de crecimiento. Hay muy pocas posibilidades de que estos comportamientos alcancen el incremento numérico necesario para unirse al primer grupo; asimismo, es poco probable que su número decaiga hasta el nivel del tercer grupo.
- Trojan-Proxy, Trojan-Dropper, Trojan-Clicker, Rootkit. Este grupo de comportamientos cae en un rango del 0,7% al 2,1%. Excepto por Rootkit, el índice de crecimiento de los comportamientos en este grupo no sobrepasa el 40%. Los programas Rootkit se unieron a este grupo en 2007 gracias a su rápido índice de crecimiento del 116,1%. Es posible que el número de programas con un comportamiento particular crezca hasta alcanzar el nivel del segundo grupo, aunque es mucho más probable que la proporción de programas maliciosos en este grupo siga decayendo bajo la presión de los integrantes del primer grupo.
Los programas Trojan Spy, que son los más peligrosos para los usuarios, y los más dinámicos en cuanto a su evolución, son programas de familias de códigos maliciosos diseñados para robar datos personales de los usuarios de juegos en línea y de sistemas bancarios.
Rootkits
Los rootkits son dignos de mencionar. A menudo, estos programas sirven como camuflaje para diferentes troyanos, y más de un usuario malicioso puede utilizar el mismo Rootkit una y otra vez.
Número de nuevo Rootkit detectado por Kaspersky Lab
En 2005 (cuando Kaspersky Lab incluyó por primera vez este comportamiento en su sistema de clasificación), los rootkits constituían uno de los temas más candentes en la industria antivirus, y los autores de virus demostraron ser muy prolíficos: en un solo año, el número de nuevos rootkits aumentó en un 413%. Tras semejante surgimiento, uno esperaría una suave declinación en el índice de crecimiento de los rootkits. Sin embargo, las cifras se mantuvieron firmes en 2006 con un +74%.
Esta tendencia continuó en 2007, y el crecimiento registrado en todo el año sobrepasó el 116%. Sin embargo, el cuadro muestra de manera clara que durante el primer semestre de 2007, el número de rootkits nuevos superó a las cifras de otros periodos. Kaspersky Lab registró un crecimiento del 178% en el primer semestre del año. Luego vino una declinación, para la cual aún no se han encontrado explicaciones claras. La causa pudo haber sido la disminuida actividad de los autores de Zhelatin (aka Storm Worm), que fue uno de los principales programas maliciosos usado con rootkits en 2007.
En la actualidad, la situación con estos comportamientos troyanos dificulta predecir lo que puede pasar después. Mucho depende de la supremacía de Windows Vista.
Gusanos y virus
El siguiente gráfico muestra el número de nuevos programas virales detectados por Kaspersky Lab mensualmente.
Número de nuevo VirWare detectado por Kaspersky Lab
La ausencia de movimiento en esta categoría durante 2004-2005 se convirtió en crecimiento a fines de 2006. Este crecimiento se prolongó en 2007, aunque las cifras absolutas aún no superan el récord de octubre de 2006, cuando Internet fue vapuleada por cientos de nuevas variantes del gusano Warezov.
El cuadro muestra que en 2007 la dinámica de la emergencia de nuevos programas virales fue inestable, con tres periodos de movimiento ascendente seguidos de sendos descensos. Actualmente, la categoría VirWare sigue ganando estabilidad, y es muy probable que en 2008 presente un cuadro similar.
En general, tomando en cuenta la dinámica de 2007, la categoría VirWare mostró un crecimiento de casi un 98% en el número de nuevos programas maliciosos (en 2006, el número de nuevos programas maliciosos en la categoría VirWare se incrementó en sólo un 8%). Sin embargo, esto no fue suficiente para mantener la participación de la categoría en el número total de programas maliciosos: El porcentaje de VirWare cayó de 6,11% en 2006 a 5,64% en 2007.
El cuadro a continuación muestra la proporción de los distintos comportamientos en la categoría VirWare.
VirWare: Representación de comportamientos en esta categoría
El análisis de la manera en que los diferentes comportamientos se han incrementado nos permite comprender los cambios que se dan en la categoría VirWare. Casi todos los tipos de esta categoría de programas maliciosos han experimentado un activo crecimiento numérico:
Número de nuevos programas maliciosos en la categoría VirWare,
por comportamiento
Movimiento en el número de nuevos programas maliciosos
en la categoría VirWare
VirWare | 2007 | 2006 | Diferencia | %% |
Email-Worm | 4758 | 3490 | 36,35% | 38,32 |
Virus | 3437 | 704 | 389,60% | 27,68 |
Worm | 2778 | 1311 | 111,80% | 22,37 |
IM-Worm | 681 | 245 | 178,19% | 5,48 |
Net-Worm | 426 | 283 | 50,42% | 3,43 |
P2P-Worm | 282 | 215 | 31,28% | 2,27 |
IRC-Worm | 54 | 34 | 60,71% | 0,43 |
Total | 12416 | 6282 | 97,64% | 100,00 |
Resulta notable que todos los comportamientos en la categoría VirWare mostraran crecimiento en 2007. Esta es la única categoría con tales estadísticas.
Se observó cifras estables, por segundo año consecutivo, para los email worms o gusanos de correo electrónico, el comportamiento más expandido. Su crecimiento en 2006 llegó al 43%, y al 36,35% en 2007. Esto hizo que Email Worm se mantuviera en el primer lugar, aunque la brecha entre este y otros comportamientos no se redujo a menos del 11%. El gran número de variantes de Email Worm se debe a los representantes de las tres principales familias: Warezov, Zhelatin y Bagle.
En los informes del primer semestre de 2007, Kaspersky Lab predijo que los virus ocuparían la segunda posición, lo cual sucedió: basados en los resultados de fin de año, el porcentaje de virus aumentó a casi el 28%, colocándolos en el segundo lugar en la categoría VirWare en términos cuantitativos.
Los virus clásicos mostraron un notable crecimiento en 2007 entre todos los programas maliciosos con un asombroso 389,6%. Esta explosión se debe, en principio, al popular método de expandir virus a través de dispositivos portátiles. Este pasmoso crecimiento lo es aún más considerando que las cifras de crecimiento de virus se desplomaron a – 29% en 2006.
Esta tendencia ascendente entre los virus es alarmante: Es más difícil eliminar virus que eliminar troyanos. Además, muchos productos antivirus populares que pretenden ser efectivos en la detección de programas maliciosos típicos, a menudo ofrecen pobres resultados cuando se trata de detectar complejos virus polimorfos. Esto podría acarrear nuevos problemas en un futuro cercano, puesto que los autores de virus ya han puesto sus ojos en esta debilidad.
Los representantes de los comportamientos Worm han tenido un desconcertante crecimiento en 2006 con un 220%. En 2007, el índice de crecimiento para nuevos Worm tuvo un ligero retroceso, y a finales del año fue menor a la mitad de la cifra registrada en 2006 (esto se debió posiblemente al arresto en China de un autor de la familia de gusanos Viking). Sin embargo, a fin de año sus cifras seguían siendo elevados, con un 111,8%.
Otro grupo que sacudió las cosas en 2007 fueron los gusanos que se autoexpandían mediante sistemas de mensajería instantánea. En 2006, apuntamos que los gusanos IM eran incapaces de hacer pie en el terreno viral. En comparación a los resultados de 2006, se registró un descenso del 45% en el número de nuevos gusanos IM y parecía que se extinguirían para 2007. A pesar de estas expectativas, no sólo lograron sobrevivir, sino que mejoraron considerablemente sus cifras. Esta inflexión fue provocada por una transición al expandirse a través de Skype, en vez de recurrir a AOL o MSN. Además, el amplio uso de clientes de IM como medios de expandir programas maliciosos se facilitó gracias a la activa expansión de Zhelatin (aka Storm Worm) a través de ICQ. En consecuencia, IM Worm, de manera inesperada, se hizo con el cuarto lugar, en términos cuantitativos, entre todos los VirWare (5,5%) y el segundo, en términos del índice de crecimiento, con un 178,2%.
En general, los índices de crecimiento en la categoría VirWare se ubican muy cerca por detrás de la categoría TrojWare (98% contra 120%), y son considerablemente mayores que los índices de crecimiento de la categoría Otro Malware, tema que será tratado a continuación.
Otros tipos de MalWare
La categoría “Other MalWare” es la menos poblada de todos los programas maliciosos detectados, pero presume de su gran variedad de distintos comportamientos.
Con un lento crecimiento en el número de nuevos programas maliciosos entre 2004-2005 (13% y 43%, respectivamente) descendió a niveles negativos en 2006 (-7%). Sin embargo, 2007 demostró que el año anterior fue un periodo de estabilización para esta categoría durante el cual se fortaleció antes de migrar al siguiente nivel. A fines de 2007, la categoría Otro MalWare experimentó un crecimiento de más del 27% en el número de nuevos programas maliciosos. Sin embargo, este crecimiento no resultó ser suficiente para mantener la participación de la categoría en el total de programas maliciosos, y el año cerró con un 2,63%, frente al 4,44% en 2006.
Número de nuevos programas de la categoría Otro Malware
detectados por Kaspersky Lab
El gráfico siguiente muestra en detalle los comportamientos en la categoría Otro MalWare.
Otro MalWare: Representación de comportamientos en esta categoría
El análisis de los incrementos en el número de diferentes comportamientos en la categoría Otro MalWare nos ayuda a comprender mejor los cambios producidos en esta categoría.
Número de nuevos programas maliciosos en la categoría Otro Malware,
por comportamiento
Movimiento en el número de nuevos programas maliciosos en
la categoría Otro MalWare
Other Malware | 2007 | 2006 | Crecimiento | %% |
Hoax | 1315 | 341 | 285,63% | 22,68 |
Exploit | 1219 | 1860 | -34,46% | 21,02 |
Packed | 753 | 0 | 0,00% | 12,99 |
FraudTool | 617 | 0 | 0,00% | 10,64 |
HackTool | 520 | 360 | 44,44% | 8,97 |
SpamTool | 501 | 263 | 90,49% | 8,64 |
Constructor | 353 | 948 | -62,76% | 6,09 |
IM-Flooder | 110 | 128 | -14,06% | 1,90 |
BadJoke | 100 | 112 | -10,71% | 1,72 |
Flooder | 92 | 88 | 4,55% | 1,59 |
VirTool | 79 | 46 | 71,74% | 1,36 |
DoS | 68 | 28 | 142,86% | 1,17 |
Nuker | 27 | 19 | 42,11% | 0,47 |
Email-Flooder | 13 | 346 | -96,24% | 0,22 |
Spoofer | 12 | 5 | 140,00% | 0,21 |
Sniffer | 11 | 6 | 83,33% | 0,19 |
SMS-Flooder | 8 | 8 | 0,00% | 0,14 |
Total | 5798 | 4558 | 27,2% | 100 |
El comportamiento dominante en esta categoría ya no es Exploit. Este comportamiento ha ido cediendo posiciones durante los dos últimos años. En 2006 representó más del 30%, mientras que su índice de crecimiento cayó al 21%. En 2007 representó menos de un cuarto de todos los programas de la categoría Otro Malware (21,02%) con una disminución aún mayor de -34% durante el año. Llegó un momento en el que el imbatible Exploit perdió su posición de liderazgo gracias a los desarrolladores de navegadores de Internet y de sistemas operativos – con Microsoft a la cabeza. A diferencia de anteriores periodos, no se detectaron vulnerabilidades críticas comparables a las de 2003-2005.
Hoax tuvo el mayor índice de crecimiento (+284,63%). Este es el segundo año consecutivo en que este comportamiento experimenta un crecimiento mayor al 150%. El dominio de Hoax superó al de Exploit (22,68%), pero por un estrecho margen de apenas el 1,56%.
Packed y Fraud Tool son dos nuevos comportamientos que fueron incorporados en el sistema de clasificación de Kaspersky Lab en 2007 y se adueñaron del tercer y cuarto lugar gracias a su supremacía sobre otros programas de la categoría Otro MalWare. El comportamiento Fraud Tool incluye productos antivirus falsos que han logrado engañar a cientos de usuarios de Internet tras simular haber detectado un troyano en sus ordenadores y pedir una pequeña suma para eliminar la supuesta infección (este es en realidad un fraude basado en tácticas de miedo).
Los ataques Spam y DoS acapararon titulares como noticia de seguridad informática en 2007. En 2006, el crecimiento del número de comportamientos de SpamTool se disparó hasta un +107% y se apropió del quinto lugar entre todos los programas de la categoría Otro MalWare. Durante el primer semestre de 2007, SpamTool fue el líder indiscutido en cuanto a los índices de crecimiento en esta categoría: un crecimiento del 222% ayudó a SpamTool a alcanzar el segundo lugar, en términos cuantitativos, dentro de la categoría Otro MalWare. A fines de año, la situación se revirtió a las cifras registradas en 2006 (sexta posición). El crecimiento en el número de nuevos programas dentro de este comportamiento fue bastante elevado a fines de año, y la tendencia posiblemente no cambiará en 2008.
Respecto a los ataques DoS, los indicadores cuantitativos de este comportamiento aún son reducidos, pero el índice de crecimiento indica que estas cifras llegarán a las centenas en 2008.
Programas potencialmente no deseados (PUPs)
Los programas potencialmente no deseados (PUPs, por sus siglas en inglés), son desarrollados y distribuidos por compañías legítimas, pero poseen una serie de funciones que pueden ser objeto de abuso por parte de usuarios maliciosos. Estos programas no pueden ser etiquetados como estrictamente maliciosos ni como completamente seguros: todo depende de quién los utiliza.
Kaspersky Lab considera PUPs a los programas RiskWare, PornWare y Adware. Por muchos años, Kaspersky Lab ofreció una opción para incluir la detección de PUPs, aunque no fueron incluidos en los informes. Esto se debió en parte a su reducido número, y en parte a los criterios cambiantes para determinar si un software era o no considerado potencialmente malicioso. En 2007, la industria antivirus llegó a un entendimiento sobre los criterios principales aplicables a los PUPs, lo que ha permitido a Kaspersky Lab llevar registros más detallados de la clasificación de estos programas.
RiskWare y PornWare
La categoría RiskWare incluye software legal que, en manos de usuarios maliciosos, puede ser utilizado para causar daños a los ordenadores de los usuarios y a su información, destruyéndola, bloqueándola, modificándola o copiándola, o perturbando el rendimiento del equipo o de los equipos de una red. Actualmente, la cantidad de programas RiskWare aún no ha alcanzado el nivel de la categoría Otro MalWare, pero el incremento general en el número de estos programas sí causa preocupación. Cada vez más programas empiezan a situarse peligrosamente en la línea entre “inofensivo” y “nocivo”. Esto crea muchos problemas adicionales, tanto para las máquinas de los usuarios como para las compañías antivirus. Además, es en este campo en el que se han dado disputas legales entre desarrolladores de RiskWare y las compañías antivirus. En 2007, esto condujo a numerosos juicios, muchos de los cuales los ganaron las compañías antivirus.
El término PornWare se refiere a utilidades relacionadas de una u otra manera con la exhibición de material pornográfico. Esta categoría incluye una variedad de programas relacionados con la pornografía, tales como Dialers, Downloaders y PornTool. Los programas PornWare no están particularmente expandidos, y el número de nuevo PornWare detectado por Kaspersky Lab en 2007 no sobrepasa los 500 programas, por lo que se tomó la decisión de combinar PornWare y Riskware en una sola categoría.
El siguiente gráfico muestra el número de nuevos programas RiskWare y PornWare detectados por Kaspersky Lab mensualmente.
Número de nuevos programas RiskWare y PornWare detectados
por Kaspersky lab mensualmente
El gráfico a continuación muestra en detalle los comportamientos en la categoría RiskWare y Pornware.
RiskWare+Pornware: representación del comportamientos en esta categoría
Hay dos líderes indiscutibles entre los comportamientos en la categoría RiskWare y PornWare: Monitor (36,65%) y PornoDialer (13,98%).
Monitor incluye una variedad de los así llamados keyloggers legales. Este software se fabrica y vende de manera oficial, aunque su función de disimular su presencia en el sistema se puede utilizar de la misma manera que los programas Trojan Spies.
Los Porno Dialers son programas que llaman a recursos pagados de material pornográfico. Realizan conexiones telefónicas a números de teléfonos pagados, lo que a menudo conduce a litigios legales entre los suscriptores y las compañías telefónicas. En 2007, según la información provista por el escáner en línea de Kaspersky Lab, los programas clasificados como comportamientos Dialer y Porno Dialer se colocaron a la cabeza de los más expandidos.
El gráfico siguiente muestra el número de programas en estas dos categorías según el comportamiento.
Número de nuevos programas RiskWare y PornWare, por comportamiento
RiskWare y PornWare | 2007 | %% |
Monitor | 986 | 36,65 |
Porn-Dialer | 376 | 13,98 |
PSW-Tool | 213 | 7,92 |
RemoteAdmin | 198 | 7,36 |
Dialer | 163 | 6,06 |
Downloader | 162 | 6,02 |
AdTool | 122 | 4,54 |
Net-Tool | 112 | 4,16 |
RiskTool | 90 | 3,35 |
Server-FTP | 61 | 2,27 |
Server-Proxy | 38 | 1,41 |
Tool | 23 | 0,86 |
Porn-Downloader | 21 | 0,78 |
Porn-Tool | 17 | 0,63 |
Client-IRC | 13 | 0,48 |
Server-Web | 8 | 0,30 |
Client-SMTP | 2 | 0,07 |
Server-Telnet | 1 | 0,04 |
Other | 84 | 3,12 |
Total | 2690 | 100 |
Además de Monitor y de Porn Dialer, otros comportamientos tales como PSW Tool y RemoteAdmin también están muy expandidos. Los programas PSW Tool pueden ser utilizados para restaurar contraseñas olvidadas, pero usuarios maliciosos podrían aprovecharse con facilidad de ellos para extraer contraseñas desde ordenadores cautivos. Los comportamientos RemoteAdmin son muy populares entre los sysadmins, y tienen una función dual muy similar. Los hackers utilizan estos programas para controlar ordenadores cautivos. La legalidad de RemoteAdmin ofrece a los usuarios maliciosos ciertas garantías de que algunos programas antivirus no podrán detectar su presencia en el sistema.
Esta es la primera vez que Kaspersky Lab publica estadísticas sobre estas categorías, y es la razón por la que no existen datos previos con los cuales establecer comparaciones. Kaspersky lab continuará rastreando de cerca los programas RiskWare y PornWare.
Adware
Son programas diseñados para mostrar anuncios (a menudo en formato de pancartas publicitarias) destinados a canalizar pedidos a sitios Web de anuncios, y a recolectar datos sobre el mercado de usuarios.
Los programas AdWare constituyen una extensa categoría y fueron detectados por las compañías antivirus hace ya algún tiempo. La batalla contra el AdWare ha dado como resultado en el nacimiento y a su vez la desaparición de la industria del software antiadware.
El siguiente gráfico muestra el número de nuevos programas AdWare detectados por Kaspersky Lab mensualmente.
Número de nuevo AdWare detectado por Kaspersky Lab
2007 | 2006 | Diferencia | |
AdWare | 14382 | 2583 | +456,79% |
En 2007, AdWare experimentó un crecimiento realmente revolucionario del 456%. El resultado fue una respuesta “desproporcionada” de parte de los desarrolladores de estos programas a los esfuerzos de los gobiernos de muchos países (principalmente de los Estados Unidos) para frenar los anuncios ilegales e intrusos en Internet. A pesar de la promulgación de leyes con claras regulaciones respecto a los elaboradores de AdWare y con multas estipuladas por violaciones a estas leyes, de hecho, la situación ha empeorado.
Plataformas y sistemas operativos
En el informe anual del año pasado, Kaspersky Lab no publicó estadísticas detalladas sobre las distintas categorías de los programas maliciosos, AdWare o PUPs por sistemas operativos y plataformas. En lugar de ello, el informe se concentraba en el análisis de los sistemas más interesantes distintos a Windows (*nix, Mac OS y Symbian). Sin embargo, el informe del primer trimestre del 2007 consideró el tema en profundidad, brindando la necesaria información para analizar los cambios a lo largo del año.
Un sistema operativo o una aplicación puede ser vulnerable a los ataques de programas maliciosos si es capaz de lanzar un programa que no sea parte del mismo sistema. Esta condición la cumplen todos los sistemas operativos, muchas aplicaciones de oficina, editores gráficos, sistemas de diseño y otros tipos de paquetes de software que incluyen lenguajes script.
En 2007, Kaspersky Lab detectó MalWare, AdWare y programas potencialmente maliciosos para 43 plataformas y sistemas operativos distintos.
Naturalmente, la aplastante mayoría de los programas existentes son archivos binarios ejecutables diseñados para el ambiente Win32. Los programas diseñados para otros sistemas operativos y plataformas representan menos del 4% del total.
Número de MalWare, AdWare y de programas potencialmente
maliciosos dirigidos a distintas plataformas
A pesar de que el porcentaje de programas maliciosos para el ambiente Win 32 alcanzó el 96,36% en 2007, comenzó una suave pero firme declinación. El porcentaje de amenazas dirigidas a plataformas distintas a Win32 se incrementó del 3,18% al 3,42% en el primer semestre de 2007, y excedió el 4% en el segundo semestre. El crecimiento para todo el año alcanzó el 3,64%.
En el segundo semestre de 2007, el número de MalWare, AdWare y de programas potencialmente maliciosos para Win32 aumentó en un 36% desde el primer semestre del año. Sin embargo, el incremento de los códigos maliciosos para otras plataformas y aplicaciones se elevó al 63%, lo que indica, por una parte, un cambio en las prioridades de los autores de virus, y por otra, el creciente número de amenazas a usuarios de otros sistemas.
La cifra del 63% se alcanzó, en principio, debido al crecimiento sostenido de una variedad de programas maliciosos, especialmente de los elaborados con Java Script y Visual Basic Script. Resulta claro que también están dirigidos a los sistemas de la familia Windows. Hay varias razones para su mayor preponderancia. Sin embargo, las principales razones parecen ser los esfuerzos incesantes de las compañías antivirus por desarrollar nuevas y mejores tecnologías basadas en el análisis heurístico, la emulación de códigos y la virtualización de procesos con el fin de trabajar con archivos ejecutables Win32, mientras que los programas maliciosos basados en scripts se han mantenido fuera de su alcance cuando se trata de un análisis en profundidad y de acciones paliativas. Una segunda razón es el uso activo de los lenguajes script para implementar una serie de vulnerabilidades en navegadores populares de Internet. La penetración en navegadores vulnerables es hoy la táctica más popular usada para expandir programas maliciosos.
№№ | Plataformas | 1 semestre | 2 semestre | Total | Crecimiento |
1 | Win32 | 96967 | 131626 | 228593 | 36% |
2 | JavaScript | 1182 | 2240 | 3422 | 90% |
3 | Visual Basic Script | 576 | 748 | 1324 | 30% |
4 | HTML | 398 | 930 | 1328 | 134% |
5 | BAT | 334 | 553 | 887 | 66% |
6 | PHP | 84 | 186 | 270 | 121% |
7 | MSWord | 145 | 83 | 228 | -43% |
8 | ASP | 45 | 135 | 180 | 200% |
9 | Linux | 121 | 45 | 166 | -63% |
10 | Perl | 113 | 37 | 150 | -67% |
11 | IRC | 51 | 86 | 137 | 69% |
12 | .NET | 33 | 31 | 64 | -6% |
13 | MS_DOS | 14 | 44 | 58 | 214% |
14 | WinREG | 19 | 39 | 58 | 105% |
15 | Symbian | 19 | 30 | 49 | 58% |
16 | MacOS | 2 | 33 | 35 | 1550% |
17 | Java | 12 | 25 | 37 | 108% |
18 | NSIS | 15 | 17 | 32 | 13% |
19 | MSPPoint | 17 | 16 | 33 | -6% |
20 | MSExcel | 19 | 10 | 29 | -47% |
21 | SunOS | 18 | 2 | 20 | -89% |
22 | Multi | 8 | 11 | 19 | 38% |
23 | RAR | 4 | 12 | 16 | 200% |
24 | HTA | 6 | 4 | 10 | -33% |
25 | Win16 | 3 | 7 | 10 | 133% |
26 | Python | 5 | 9 | 14 | 80% |
27 | Ruby | 3 | 5 | 8 | 67% |
28 | MSAccess | 5 | 4 | 9 | -20% |
29 | AutoCad | 1 | 5 | 6 | 400% |
30 | MSOffice | 3 | 3 | 6 | 0% |
31 | Unix | 4 | 3 | 7 | -25% |
32 | Boot | 5 | 0 | 5 | -100% |
33 | SWF | 3 | 3 | 6 | 0% |
34 | Win9x | 1 | 3 | 4 | 200% |
35 | WMA | 1 | 3 | 4 | 200% |
36 | AutoLISP | 0 | 3 | 3 | |
37 | ZIP | 3 | 0 | 3 | -100% |
38 | BeOS | 1 | 0 | 1 | -100% |
39 | Boot-DOS | 1 | 0 | 1 | -100% |
40 | FreeBSD | 0 | 1 | 1 | |
41 | SAP | 1 | 0 | 1 | -100% |
42 | SQL | 0 | 1 | 1 | |
43 | Win64 | 1 | 0 | 1 | -100% |
El siguiente gráfico muestra el índice de crecimiento del número de MalWare, AdWare y de programas potencialmente maliciosos para todas las plataformas. Las plataformas y aplicaciones para las que había menos de 20 programas MalWare, AdWare y programas potencialmente maliciosos en 2007 no figuran en este cuadro. Este gráfico fue elaborado en base a cifras comparativas entre el primer y segundo semestres de 2007.
Índice de crecimiento en 2007 del número de MalWare,
AdWare y de programas potencialmente nocivos para varias plataformas
En el primer semestre, los líderes en crecimiento (sobrepasando el 150%) fueron los lenguajes script: Java Script, PHP, Ruby y la plataforma MS Office. Sin embargo, en el segundo semestre del año, el panorama sufrió un cambio dramático. El líder indiscutido (+1550%) fue el sistema operativo MacOS X, que fue atacado 35 veces en 2007; 33 de estos ataques se llevaron a cabo en el segundo semestre. Nuestro informe de medio año observó la extraña ausencia de nuevos programas maliciosos dirigidos a esa plataforma, a pesar de que fuera un blanco cada vez más común (en el transcurso de un año, desde junio de 2006 hasta mayo de 2007, no se crearon nuevos programas maliciosos para esta plataforma). Pero para fines de año, la situación sufrió un vuelco y coincidió con las predicciones de los expertos. Los más frecuentes tipos de programas maliciosos diseñados para Mac en 2007 fueron los troyanos, incluyendo aquellos que sustituyen los pedidos DNS de los usuarios y utilizan tácticas phishing para robar información.
El surgimiento de nuevos virus para MS DOS puede ser considerado como una curiosidad de la moderna virología, en particular debido a las cifras reales que muestran de que sólo hay cerca de cinco docenas de las así llamadas nuevas versiones de la vieja historia.
En cambio, hay que tomar muy en serio el incremento del número de programas maliciosos camuflados como páginas HTML o escritos en ASP. Por lo general, los programas maliciosos basados en HTML consisten en sitios Web phishing o en tarjetas de ocasión falsas. Si un usuario cae en la trampa, podría ocasionar la infección de su ordenador, o el robo de su información confidencial. En China, ASP es uno de los medios más comunes para el control de sitios Web infectados y de las puertas traseras que instalan a través de una interfaz de Internet.
En general, el escenario para las diferentes plataformas y sistemas operativos en 2007 no se vio afectado más que por pequeños cambios. El crecimiento sostenido en 2006 de los troyanos que explotan las vulnerabilidades de Microsoft Office (Word, Excel, PowerPoint, etc.) se ha detenido y los índices de crecimiento de los programas maliciosos han sufrido una disminución. Esto es el resultado de que Microsoft aparentemente ha parcheado todas las vulnerabilidades críticas en sus productos. Se crearon más de 200 programas maliciosos sólo para MS Word, lo que significa una significativa amenaza. Muchos de estos programas fueron usados en 2007 para lanzar una serie de ataques muy comentados, cuya organización ha sido atribuida a hackers chinos.
El principal avance del año lo tuvo Java Script, que llegó a ser el ambiente más innovador para el desarrollo y ejecución de programas maliciosos. Ahora, además del muy elemental Trojan Downloader, los programas escritos en Java Script también incluyen vulnerabilidades de los navegadores de Internet, una variedad de spambots y capturadores phihsing. Para fines de año, el número de nuevos programas maliciosos para Java Script había más que duplicado las cifras de su “gemelo” Visual Basic Script.
Se podría intentar agrupar los 43 sistemas operativos y plataformas que sufrieron ataques en 2007 según un factor común, tal como el sistema operativo que es atacado en última instancia. Por ejemplo, agruparíamos JS y VBS con Windows, y Ruby y Perl con *nix. Esto nos da una idea de la situación real en el debate sin fin sobre si existen o no amenazas virales para quienes no usan Windows.
Plataforma | Cantidad | %% |
Windows | 236430 | 99,660 |
Nix | 602 | 0,254 |
Mac | 35 | 0,015 |
Mobile | 63 | 0,027 |
Otros | 106 | 0,045 |
*nix incluye: FreeBSD, Linux, Perl, PHP, Ruby, Unix.
Mobile incluye: Python, Symbian.
Otros incluye: BeOS, Boot, Boot-DOS, MS-DOS, Multi, SAP, SQL, SunOS.
Invitamos a nuestros lectores a sacar sus propias conclusiones en base a estos datos estadísticos.
Actualización de bases de datos antivirus
Kaspersky Lab respondió al creciente número de amenazas virales y a la creciente frecuencia de nuevos ataques acelerando la entrega de las actualizaciones de las bases de datos antivirus, y el tiempo de respuesta.
Nuevos registros de las bases de datos antivirus
El número de nuevos registros de la base de datos antivirus añadida a Kaspersky Anti-Virus cada mes en 2007 varió desde alrededor de 8.000 a principios de año, a 28.000 a mediados de año y hasta 23.000 a fines de año. Los resultados de fin de año muestran un promedio mensual de 19.770 nuevos registros.
Estadísticas: Nuevos registros mensuales de la base de datos antivirus en 2007
Como muestra el gráfico, el número de nuevos registros mensuales en las bases de datos tuvo incrementos variables durante el año. Hay dos picos muy claros en mayo y en agosto de 2007, cuando Kaspersky Lab procesó cantidades récord de nuevos programas maliciosos alcanzando 27.847 y 31.305, respectivamente.
Actualizaciones regulares y urgentes
Kaspersky Lab reacciona ante la emergencia de nuevos programas maliciosos lanzando dos tipos de actualizaciones de su base de datos antivirus: regular y urgente (en caso de una epidemia). El número total de actualizaciones regulares de la base de datos antivirus sobrepasó la cifra de 10.000 en 2007, registrando un promedio de 900 actualizaciones mensuales.
Cantidad de actualizaciones regulares mensuales de la base de datos antivirus
El cuadro anterior muestra el incremento en la cantidad de actualizaciones desde octubre de 2007. Fue justo en ese entonces que Kaspersky Lab introdujo un nuevo sistema de publicación de actualizaciones. Anteriormente, las actualizaciones se publicaban aproximadamente una cada hora. Ahora, el tiempo entre actualizaciones se ha reducido a una vez cada 30 minutos.
Esto significa aproximadamente de 40 a 50 actualizaciones en 24 horas, siendo éste el mayor índice de actualizaciones en toda la industria antivirus.
Cantidad de actualizaciones mensuales urgentes de la base de datos antivirus
Hubo un 51% menos de eventos que requirieron actualizaciones urgentes en 2007 que en 2006, y un 88% menos en el segundo semestre de 2007 que en el primero. Esto se debió, en parte, a la transición al sistema de actualizaciones cada treinta minutos.
El número promedio de actualizaciones mensuales urgentes llegó a 9,17.
Pronóstico
1. MalWare 2.0
La evolución de los programas maliciosos (desde programas maliciosos solitarios hasta complejos proyectos que interactúan entre sí) empezó hace cuatro años con el sistema de componentes modulares utilizados en el gusano Bagle. El nuevo modelo de programas maliciosos, que se materializara a fines de 2006 en el formato del gusano Warezov y que demostrara su longevidad y eficacia con el gusano StormWorm (Zhelatin) en 2007, no sólo se convertirá en el parámetro de facto para un gran número de nuevos proyectos de programas maliciosos, sino que seguirá evolucionando.
Estas son sus características principales:
- Ausencia de un único centro de control para ordenadores infectados;
- Métodos que de manera activa contrarrestan todo intento de estudiar e interceptar el control;
- Una combinación de cantidades masivas y muy veloces envíos de correo con códigos maliciosos;
- Uso efectivo de la ingeniería social;
- Uso de diferentes tácticas para autoexpandirse y el gradual rechazo de algunos de los más notables (correo electrónico);
- Diferentes módulos para descargar diferentes funciones (no simultáneamente).
En correspondencia con el conocido término Web 2.0, se puede clasificar a la nueva generación de programas maliciosos como Malware 2.0.
Actualmente, los tres programas maliciosos antes mencionados emplean este tipo de tácticas: Bagle, Zhelatin and Warezov. Ninguno de ellos se centra en el robo de información pues se ocupan de la mayoría de los envíos actuales de correo spam. Sin embargo, algunas familias de Banker y los troyanos de juegos ya han empezado a mostrar distintas características.
2. Rootkits y bootkits
Las tácticas utilizadas para disimular su presencia en el sistema (rootkits) pronto serán adoptadas no sólo por los troyanos, sino también por los archivos virales. En consecuencia, es como si regresáramos a la época de MS DOS, mejorada con invisibles virus residentes. Esta es la evolución lógica de los métodos empleados para desbaratar los programas antivirus. Los programas maliciosos están ahora luchando por su supervivencia en un sistema anticipándose a futuras detecciones.
Habrá otro peligroso método para disimular la presencia de un programa maliciosos en un ordenador que implicará el uso activo de tecnologías de infección en el sector de arranque del sistema: los bootkits. Esta es la última reencarnación de viejas tácticas que otorgan control a los programas maliciosos aun antes de que la parte principal del sistema operativo arranque (incluyendo la protección antivirus). Aparecida como un PoC en 2005, esta táctica se empleó intensamente en 2007 como Backdoor.Win32.Sinowal y causó miles de infecciones en todo el mundo durante las dos últimas semanas del año. Este método representa una creciente amenaza para los usuarios, y en 2008 podría convertirse uno de los principales problemas que tenga que enfrentar la seguridad informática.
3. Archivos virales
Los archivos virales siguen retornando. Tal como sucedía antes, los usuarios maliciosos chinos los crearán, y los apuntarán contra los usuarios de los juegos en línea. Es posible que los autores de Zhelatin y Warezov recurran a los archivos virales; después de todo, esto les proporcionaría otro importante medio de distribución.
En 2008 podemos esperar un aumento en la cantidad de incidentes con juegos, y software infectado por distribuidores y colocado en populares sitios Web y en redes de intercambio de archivos. Los virus intentarán infectar los archivos que los usuarios se envían entre ellos. En muchos casos, estos medios de expansión pueden resultar mucho más efectivos que el envío de archivos maliciosos a través de correo electrónico.
4. Ataques a redes sociales
En 2008, se espera que el phishing experimente grandes cambios y se concentre en las redes sociales. La información en las cuentas de los suscriptores de servicios como Facebook, MySpace, LiveJournal, Blogger y otros servicios similares serán blanco frecuente de los usuarios maliciosos. Este será un importante método alternativo para infectar con programas maliciosos los sitios atacados. En 2008, muchos programas troyanos se expandirán a través de blogs y perfiles de las cuentas de los usuarios de las redes sociales.
Otro problema relacionado con las redes sociales son los ataques XSS/PHP/SQL. A diferencia del phishing, que emplea exclusivamente métodos fraudulentos e ingeniería social, estos ataques se basan en errores y vulnerabilidades en los servicios Web 2.0 e incluso pueden afectar a expertos usuarios. Como es habitual, el objetivo consiste en obtener datos confidenciales y crear varias bases de datos o listas para lanzar posteriores ataques usando métodos más tradicionales.
5. Amenazas contra los dispositivos móviles
En lo que respecta a los dispositivos móviles, en particular los teléfonos móviles, las amenazas se concentrarán principalmente en la categoría de troyanos primitivos, como la familia Skuller para Symbian y el “primer troyano” para iPhone, además de una variedad de vulnerabilidades en los sistemas operativos y aplicaciones para teléfonos inteligentes o smartphones. No parece aún muy probable que veamos una epidemia mundial de un gusano para dispositivos móviles, aunque los prerrequisitos técnicos ya existen. La consolidación observada en el mercado de los sistemas operativos para smartphones, entre Symbian y Windows Mobile, fue trastornada en 2007 por la aparición de iPhone y el anuncio de Android, una nueva plataforma móvil de Google. Es muy probable que, más que otros dispositivos móviles, este recién llegado y la popularidad de iPhone sean los que llamen la atención de los usuarios maliciosos. Esto se confirmará si los medios utilizados para desarrollar aplicaciones para iPhone (SDK) se hacen públicos, tal como anunciara Apple a fines de 2007.
Boletín de seguridad 2007 de Kaspersky Lab. La evolución de las amenazas en 2007