- La seguridad informática en cuanto sistema
- La gente es parte del sistema
- Las vulnerabilidades de la seguridad y algunos ejemplos
- Conclusión
Este artículo no se ha escrito para asustar a los usuarios, o empujarlos a comprar otro software de seguridad para sus ordenadores. Es simplemente una tentativa de compartir algunos pensamientos que me han venido a la mente en mi trabajo como analista de virus, mientras estaba analizando un código, leyendo varios foros y artículos, o mensajes diarios de lectores que piden ayuda.
La seguridad informática en cuanto sistema
La seguridad de la información no se puede considerar como una entidad sencilla, discreta; es todo un conjunto de medidas, y debe ser vista como un sistema. La seguridad de la información es tan compleja como cualquier otro sistema que combine varios diversos aspectos y enfoques, ninguno de los cuales puede ser visto como más o menos importante. Esto significa que ningún aspecto o enfoque puede ser desatendido; si un área o porción del sistema no es tomada en cuenta, el sistema no funcionará correctamente.
La seguridad de la información difiere muy poco de la seguridad en general. Después de todo, nadie instalaría una puerta pesada de seguridad con una cerradura a prueba de violencia en un cobertizo de jardín. Similarmente, un coche puede tener neumáticos excelentes, pero si los frenos funcionan mal, el coche será peligroso. La protección contra amenazas cibernéticas trabaja con el mismo principio: es necesario blindar todos los posibles puntos débiles, sea en un ordenador de escritorio, en el servidor de una organización o en una red corporativa.
También se debería tener acceso a los datos por vías seguras, aunque no voy a discutir en este artículo los detalles. Los que trabajan con la información deben también ser vistos como parte del sistema, un acoplamiento en la cadena que asegura tanto el intercambio de datos como la seguridad del sistema completo.
La gente es parte del sistema
Hay una amplia variedad de software de seguridad disponible, incluyendo cortafuegos, sistemas de detección de intrusos, soluciones antivirus, etc. Cada tipo de software es diseñado para realizar funciones muy específicas, y usar tal software ayudará a proteger un sistema. Sin embargo, aún usando el mejor software, que emplea la tecnología más avanzada y los algoritmos más seguros, la seguridad del sistema no se puede garantizar al 100%. Esto es porque hay gente implicada en el desarrollo y la puesta en práctica del software, y la gente comete errores o equivocaciones. Por lo tanto la gente, que es parte de cualquier sistema, siempre será el punto débil en un sistema de seguridad.
El factor humano es la razón subyacente por la cual muchos ataques contra los ordenadores y los sistemas tienen éxito. Por supuesto, hay muchísimos ejemplos específicos. Echemos una ojeada a cómo y por qué los hackers, los escritores del virus y otros usuarios maliciosos explotan el factor humano, usando a la gente como el método de elección para penetrar sistemas.
Vulnerabilidades de la seguridad y algunos ejemplos
Muchos usuarios no entienden que usar software que contiene vulnerabilidades constituye un verdadero riesgo contra la seguridad de su ordenador o sistema. La mayoría de los usuarios considera a su ordenador como una caja negra; no entiende cómo trabaja, y en realidad, realmente no desean entenderlo. Quieren utilizar los ordenadores de la misma manera que un aspirador, un refrigerador, una lavadora, o cualquier otro aparato electrodoméstico, sin profundizar en cómo cada utensilio realiza su función. Y muchos usuarios piensan que los virus, los hackers, y otras amenazas cibernéticas son simplemente invenciones de los vendedores del software de seguridad. De todos modos, no podemos culparlos, dado que hasta algunos de quienes trabajan en la industria de la seguridad consideran a los virus como ”algo que les sucede a los usuarios estúpidos” y el software antivirus es simplemente un derroche de dinero. “Instalaré simplemente un sistema operativo que no sea susceptible a los virus y software sin ninguna vulnerabilidad y después no tendré nada de qué preocuparme”, esa es su teoría.
Sin embargo la subestimación de la severidad de las amenazas potenciales es solamente una parte del problema. El factor humano también entra en juego al crear y poner en ejecución políticas y procedimientos de seguridad, y muchas escapatorias potencialmente explotables aparecen durante la etapa de diseño del software
La seguridad de las redes inalámbricas está en un estado lamentable debido al hecho de que se cometieron errores cuando se estaban desarrollando los protocolos inalámbricos. Mucho se ha escrito sobre la programación segura, tanto como errores de programa existen; sin embargo, estoy seguro de que mientras los programadores y los probadores de software continúen identificando lagunas de seguridad que ya existen, se continuarán creando otras nuevas, aunque inadvertidamente. Incluso el software desarrollado con el máximo cuidado tiene que ser puesto en ejecución, con lo cual los seres humanos vuelven a entrar en la ecuación: el mejor cortafuego del mundo no protegerá su sistema si usted tiene un administrador de sistema mal entrenado.
Mientras yo escribía este artículo, un gusano ganaba terreno en Internet. Lupper se esparce gracias a vulnerabilidades ya conocidas, y si un administrador lee con regularidad las alarmas de vulnerabilidad e instala remiendos (parches) oportunamente, el sistema no será vulnerable a Lupper. Esto es estándar para todos los gusanos. El panorama, generalmente, es que un anuncio de vulnerabilidad ya ha sido publicado, pero la mayoría de la gente no le presta mucha atención. A continuación, una prueba de concepto muestra cómo usar la vulnerabilidad, pero la mayoría de los usuarios todavía no entiende la gravedad de la situación y no emprende ninguna acción. Lupper sigue este patrón, y confirma el hecho de que las ediciones de seguridad, al principio no son suficientemente tomadas en serio.
Otro ejemplo de un enfoque irresponsable de la seguridad es cómo los usuarios tratan la información confidencial. He aquí una situación análoga en la vida diaria: ?Quién dejaría sus llaves en la cerradura exterior o colgadas en un gancho donde cualquier persona podría tomarlas? Nadie, por supuesto. Pero muchos sistemas utilizan una contraseña vacía, o el nombre de los usuarios como contraseña, haciendo extremadamente fácil el tener acceso al sistema. Como alternativa, tomemos un panorama donde el administrador exige a los usuarios tener contraseñas que sean difíciles de deducir, y por lo tanto son mejores desde el punto de vista de la seguridad. En teoría, esto es correcto, pero a menudo he visto tales contraseñas ‘seguras’ escritas en un pedazo de papel dejado sobre el escritorio del usuario, o pegado al monitor. No es sorprendente que usuarios maliciosos se aprovechen de esta situación.
Otra falla humana que los usuarios maliciosos explotan al máximo es la curiosidad. La gran mayoría de nosotros se ha topado con gusanos de correo electrónico en algún momento y sabe que estos gusanos llegan como datos adjuntos en los mensajes infectados. Sin embargo, enviar el gusano hacia fuera es solamente la mitad de la batalla, para el escritor del virus o el usuario malévolo. El gusano entonces tiene que ser activado para propagarse aún más, y esto se hace abriendo los datos adjuntos. Usted, al igual que los usuarios que desconfían de los mensajes inesperados, no los abre. Desafortunadamente, los criminales cibernéticos y los vándalos saben cómo excitar la curiosidad de los usuarios. Un mensaje intrigante referente a los datos adjuntos será abierto por la mayoría de usuarios, como lo muestra el siguiente gráfico:
?Por qué usted abre los datos adjuntos sospechosos?
A pesar de que los vendedores de antivirus alertan constantemente acerca de que los datos adjuntos sospechosos no deben ser abiertos, es curioso que el número de usuarios que los abren siga siendo estable. Esto se puede explicar porque los escritores de virus están encontrando constantemente nuevas maneras de explotar la curiosidad humana.
Sin embargo, los gusanos de correo electrónico se dispersan no solamente adjuntos a los mensajes. Recientemente, los usuarios han estado recibiendo un enlace al cuerpo del gusano, más bien que al archivo mismo del gusano. El usuario todavía toma parte en el proceso de la activación, y tiene que ser persuadido para pulsar el enlace que activa al gusano. Parece que esto es muy simple: tomemos por ejemplo Email-Worm.Win32.Monikey, que envía email como el que se muestra a continuación:
Correo enviado por Email-Worm.Win32.Monikey
Al primer vistazo, éste parece ser un mensaje perfectamente normal, diciendo al usuario que él o ella ha recibido una tarjeta de e-saludos. Es lógico que el usuario haga click para ver la tarjeta, y los usuarios maliciosos que han enviado el mensaje están contando con esto: el usuario, sin sospechar, al intentar ver la tarjeta, lanzará el gusano. ?Cuál es la respuesta? ?Cómo pueden los mensajes maliciosos ser distinguidos de los genuinos? La siguiente pantalla es un email legítimo enviado por el servicio de POSTCARD.RU:
Correo enviado por POSTCARD.RU.
En primer lugar, hay que destacar que el mensaje mostrado en la captura de pantalla 1 utiliza código HTML: éste se utiliza para enmascarar el URL de la dirección del lugar donde está el gusano, haciéndolo aparecer como un enlace a POSTCARD.RU. La pantalla 2 muestra el email de POSTCARD.RU el cual incluye una advertencia, indicando que todos los mensajes de POSTCARD.RU están en texto llano solamente; ningún mensaje que contenga HTML es legítimo, y es potencialmente perjudicial. Si el usuario desea ver su tarjeta, debe copiar el enlace en su navegador – un enlace genuino entonces hará que la e-tarjeta sea exhibida. En ninguna circunstancia los usuarios deberían hacer clic en enlaces HTML; en este caso, como en muchos otros, éstos abren un sitio que contiene el malware, que entonces será activado.
Un enfoque similar se ha utilizado recientemente en un mensaje de correo no solicitado. Los mensajes indicaban ‘Si usted no desea subscribirse a nuestra lista de correo, por favor pulse el enlace de abajo’. Puede ser que usted se pregunte cuál es el problema – por supuesto, los usuarios no desean recibir montañas de correo no solicitado, e intentarán y utilizarán el enlace para retirar su suscripción. Cuando el usuario pulsa el enlace, se abre una página HTML, que supuestamente comprueba la base de datos del suscriptor, y después exhibe un mensaje que dice que se ha quitado ‘su dirección’. Sin embargo, todo esto es una ilusión – en realidad, dos programas maliciosos serán descargados a la máquina víctima: Trojan-Dropper.Win32.Small.gr y Trojan-Spy.Win32.Banker.s. Hay una lección clara aquí – los spammers no van a preocuparse de lo que desean los usuarios y de sus necesidades, y una vez que obtengan una dirección, ésta recibirá correo no solicitado pese a cualquier tentativa de retirar su suscripción. Es más, los intentos de retirar la suscripción han dado como resultado generalmente más correo no solicitado, o la descarga de códigos malévolos. La mejor manera de tratar el correo no solicitado es simplemente suprimir los mensajes no deseados.
El verano de 2005 trajo un nuevo tipo de envíos masivos, con mensajes destinados a grupos definidos. Los usuarios maliciosos comenzaron contaminando, enviando correo no solicitado a direcciones corporativas de correo electrónico, con mensajes que parecían venir del encargado del usuario. Esto fue hecho mediante la adulteración (spoofing) del campo de dirección. Sin embargo, el remitente verdadero, que no podría ser visto, era la dirección del usuario malévolo. Por supuesto, es altamente probable que los empleados responsables hagan lo que su encargado les dice, y por lo tanto abrirían el accesorio y lanzarían el programa malicioso. Hay que observar que tales incidentes no reciben mucha publicidad; los responsables de seguridad en las organizaciones que por lo general son blanco de estas agresiones, intentan evitar que la información se haga pública.
Cuando el código malévolo es enviado masivamente, los remitentes juegan a menudo con el renombre de las soluciones antivirus. Esto mata dos pájaros de un tiro: por un lado el usuario lanza el programa malévolo, y por el otro desacreditan a los vendedores del antivirus. Este último punto debe ser recalcado – si los usuarios reciben bastantes mensajes que parecen ser de las compañías de antivirus, tarde o temprano comenzarán a pensar que las compañías de antivirus están enviando actualizaciones infectadas, y dejarán de poner al día sus soluciones antivirus. Esto, por supuesto, hace que el software antivirus pierda la mayor parte de su eficacia. Debe subrayarse que ninguna compañía de fabricante de antivirus distribuye actualizaciones usando envíos masivos, y los usuarios no deben instalar en sus máquinas los programas que llegan por correo electrónico. Email-Worm.Win32. Swen utilizó con éxito este truco, presentándose como un remiendo de seguridad publicado por Microsoft. El gusano llegó a infectar varios cientos de miles de ordenadores en todo el mundo cuando los usuarios instalaron el remiendo en cuestión. Los autores del gusano habían esperado cuidadosamente el momento en que sería más probable que los usuarios instalaran un remiendo de seguridad, al resultar asustados por el reciente incidente de Lovesan.
Este caso muestra cómo los escritores de virus explotan acontecimientos en el mundo para infectar más máquinas. Lo hacen con gran celeridad y eficacia – casos recientes incluyen los envíos masivos de troyanos inmediatamente después de los atentados terroristas en el subterráneo de Londres, los cortes de energía en Moscú y el huracán Katrina en los E.E.U.U. en 2005. Los mensajes enviados hacen referencia a estos y a otros desastres para tentar a los usuarios a abrir los datos adjuntos o para seguir enlaces.
El código malévolo para programas de mensajería inmediata (ICQ, Miranda etc.) utiliza un método muy similar.
?De qué manera el malware de mensajería inmediata infecta los ordenadores?
A menudo, el usuario malicioso envía un enlace al cuerpo del gusano, que se activa una vez que el usuario lo pulsa. Para conseguir que los usuarios pulsen el enlace, se utiliza los mismos métodos que con el correo electrónico. Sin embargo, en algunos casos, los criminales cibernéticos han ido más lejos, como lo demuestra Trojan-PSW.Win32.LdPinch. Los autores decidieron que al recibir los datos adjuntos, el recipiente desearía probablemente chatear, o por lo menos expresar su agradecimiento. Desarrollaron un BOT que generaría las respuestas probables que se enviarían a las preguntas o a las frases de los recipientes.
A pesar de que estos nuevos métodos son más sofisticados, los escritores de virus no han olvidado uno más viejo, probado y comprobado – los enlaces, que se diferencian sólo levemente de direcciones fiables, en los cuales la diferencia no es obvia en un primer vistazo precipitado (e.g. cambiando un I por |). Éste continúa siendo utilizado como una manera eficaz de tentar a los usuarios a seguir enlaces. Un ejemplo ilustrativo fue detectado en el verano 2005, cuando interceptamos un gusano que se propagaba vía mensajero de MSN. El enlace enviado por el gusano, http://www.vbulettin.com/xxxxxxx, supuestamente conducía al sitio de una publicación bien vista sobre antivirus. Sin sorpresa, muchos usuarios que confiaban en este link, no se dieron cuenta de que el boletín del virus realmente está situado en www.virusbtn.com, pulsaron el enlace y activaron el gusano.
En todos los casos mencionados arriba, el usuario recibe el programa malicioso en una u otra forma. Aunque muchos usuarios lanzaron los programas, algunos oyeron las repetidas advertencias, y no pulsaron sobre los enlaces ni abrieron los datos adjuntos. Por lo tanto, los escritores del virus necesitan encontrar otros métodos más eficaces para alcanzar a estos usuarios conscientes de la seguridad. Sería más eficaz si el usuario no ha recibido nada directamente, sino que simplemente tomó el programa malévolo mientras navegaba en Internet. Debido a esto, ha aumentado el número de los sitios que se han visto afectados por programas maliciosos localizados en ellos. Naturalmente, los usuarios malévolos eligen sitios populares, a menudo los de compañías bien conocidas. Aunque los programas maliciosos puestos en sitios comprometidos permanecen allí por lo general solamente algunos días antes de ser quitados, este tiempo es suficientemente largo para que millares de equipos se infecten.
Un ejemplo de esto es el gusano de correo electrónico Monikey, que ya hemos mencionado. Los mensajes infectados contienen un enlace al sitio en donde el cuerpo del gusano había sido puesto. El gusano fue colocado en sitios totalmente legales, y no hemos logrado establecer exactamente cómo lo hicieron. Sin embargo, sospechamos que las cuentas que se podrían utilizar para tener acceso a los sitios fueron robadas y los datos usados por los autores de Monikey. Ha causado sorpresa que los administradores de los sitios afectados, aunque eliminaron el cuerpo del gusano, no bloquearon las cuentas que habían sido mal empleadas. Y el gusano continúa apareciendo en los mismos sitios que exhiben a menudo el siguiente aviso, asegurando a los usuarios que los dueños del sitio no realizaron ningún envío masivo, explicando que se ha comprometido el sitio, y disculpándose por el inconveniente.
Aviso en los sitios comprometidos por los vándalos
Vándalos cibernéticos de Nizhni Novgorod emergieron con un método aún más ingenioso de distribuir su código malicioso vía Internet. Ofrecieron a los webmasters que aceptaran colocar un troyano en su sitio 6 centavos por cada máquina infectada por el troyano. Es causa de cierta preocupación el hecho de que cierto número de webmasters aceptó la proposición.
Todo lo antedicho muestra que los usuarios, al navegar en Internet, están bajo una amenaza considerable y en una variedad de maneras.
Hay, por supuesto, otras maneras de explotar la naturaleza humana, y el asunto de la ingeniería social merece un artículo separado. A veces, los usuarios maliciosos no saben por dónde comenzar al intentar penetrar un sistema. Un método intentado y probado es familiarizarse con alguien dentro de la organización elegida como blanco. Esto proporciona un punto de apoyo para conducir una gama de ataques, a menudo sin el recurso a la tecnología, sino simplemente explotando la debilidad humana. Por ejemplo, un hacker potencial puede llamar a la organización blanco del ataque, e indicar que él o ella es empleado/a, y recibir una variedad de información, desde números de teléfono hasta direcciones del IP. Esta información se puede entonces utilizar para atacar la red de la organización.
Conclusión
Los ordenadores son usados en cada área de la vida con una frecuencia creciente. Los beneficios potenciales derivados del cibercrimen también están aumentando, y las técnicas usadas por los criminales cibernéticos se están desarrollando rápidamente.
En el mundo moderno, crear un sistema de seguridad fiable y eficaz no es nada fácil. Hay tantos puntos débiles potenciales, que detectar nuevas lagunas de seguridad y remendarlas es un proceso interminable. Las nuevas tecnologías están desplazando a las viejas, y se están utilizando para solucionar problemas de hoy – pero estas nuevas tecnologías tienen sus propias desventajas. Los hackers, los escritores de virus y los usuarios malévolos están inventando nuevos trucos para evadir el software de seguridad que es utilizado actualmente. El resultado es una confrontación continua entre los cibercriminales y los profesionales de la seguridad, con sólo un éxito intermitente para la industria de la seguridad. Sin embargo, los usuarios tienen la capacidad de hacer pivotar el equilibrio en una u otra dirección: desafortunadamente, el comportamiento humano es tan imprevisible (o previsible) que puede llevar hacia la nada los esfuerzos concertados que se hacen para proteger los sistemas. A pesar de esto, espero que este artículo lleve a algunos lectores a considerar la seguridad de la información con más profundidad, y a prestarles más atención.
El factor humano y la seguridad de la información