News

La defensa de los datos confidenciales en las modernas Suites de Seguridad

Clasificación de los medios informáticos de robo

En su aspecto más amplio, el problema del robo de la información confidencial se examina en el sitio de la Comisión federal de comercio de EEUU (Federal Trade Comission), sección “robo de identidad” (Identity theft). Allí se habla sobre la gran cantidad de métodos tradicionales “no informáticos” de robo de información, como el robo de monederos y billeteras, búsqueda de pedazos de papel en los basureros, llamadas telefónicas en nombre de un representante de alguna institución financiera, el uso de dispositivos especiales para la lectura de los números de tarjetas de crédito y otros.

Sin embargo, además de todo lo enumerado, existe el robo de información con el uso de ordenadores. Se puede mencionar por lo menos tres métodos de robo informático. En el primer caso es el usuario quien proporciona la información a los delincuentes, al creer en una solicitud falsificada que por lo general se difunde como envío de spam mediante correo electrónico. Con este fin, los delincuentes falsifican una página web de aspecto idéntico a la de un banco u otra organización financiera real. Este tipo de delito informático se llama phishing.

El segundo método de robo de información confidencial está basado en la vigilancia y protocolización de las acciones de los usuarios. Este espionaje electrónico se realiza por medio de programas troyanos especiales, que según la clasificación de “Kaspersky Lab” se denominan Trojan-Spy (Troyanos-Espía). Una de las subespecies de troyanos-espía son los keyloggers (espías de teclado) que hemos analizado con gran detalle en artículos pasados.

El tercer método de robo de información confidencial es el uso de programas nocivos (por lo general, troyanos) que buscan datos confidenciales en el ordenador del usuario y los envían de forma velada al delincuente. En este caso los delincuentes pueden obtener sólo los datos que el usuario hubiese guardado en la memoria del ordenador, pero este “defecto” se compensa por el hecho de que no se necesita la participación del usuario para transmitir la información confidencial.

Los métodos de propagación de estos programas nocivos son bastante numerosos: pueden activarse al abrir un archivo adjunto a un correo electrónico, al pulsar un enlace en un mensaje de ICQ, al ejecutar un fichero desde un directorio abierto en una red peer-to-peer, mediante una secuencia de instrucciones en páginas web (que usa la capacidad de los navegadores de Internet de permitir a los programas ejecutarse automáticamente cuando el usuario entra a estas páginas), con la ayuda de un programa nocivo instalado con anterioridad, el cual “sabe” cómo descargar e instalar en el sistema otros programas nocivos.

El principal objetivo de los programas nocivos tipo Trojan-PSW es obtener diferentes tipos de información sobre el sistema del usuario, así como las contraseñas de diferentes programas y servicios del sistema operativo. Con este fin, buscan en todos los lugares de almacenamiento de esta información: el almacén seguro de Windows, las claves del registro y determinado tipo de programas que le interesan al delincuente (por lo general, contraseñas de sistemas de sistemas de mensajes instantáneos, de correo electrónico, navegadores de Internet, etc.).

Una vez recolectada la información en los lugares indicados, el programa troyano suele cifrarla para convertirla en un fichero binario de menor tamaño. Después de esto, puede enviarlo por correo electrónico o al servidor FTP del delincuente.

Los principios de funcionamiento de los programas nocivos mencionados más arriba se analizan en detalle en el artículo “El robo de propiedad en las redes informáticas”, primera parte y segunda parte. En el presente artículo analizaremos dos diferentes formas de abordar la defensa de los datos confidenciales implementadas en los sistemas de defensa modernos.

Cómo se realiza la defensa de los datos confidenciales en la mayoría de los productos existentes

En casi todos los sistemas modernos de defensa completa (Suites de seguridad) se incluye un componente de defensa de la información confidencial, que por lo general se denomina “Control de privacidad” (Privacy Control). (Hacemos notar que en algunas aplicaciones este componente se incluye bajo un nombre común junto otros componentes afines, como el componente de defensa contra el phishing). La principal tarea de este componente es la defensa de la información confidencial que se encuentra en el ordenador del usuario contra el acceso no autorizado y evitar que sea enviado por los canales de intercambio de información.

Veamos cómo se realiza esta defensa de la información confidencial tomando como ejemplo los productos de la compañía Symantec. Hemos elegido esta compañía porque fue una de las primeras en incluir en sus productos un componente de defensa de datos confidenciales, después de lo cual los demás participantes del mercado empezaron a añadir componentes similares a sus productos.

Ya a finales de 1999 la compañía Symantec publicó los datos sobre el nuevo producto Norton Internet Security 2000, que incluía el nuevo componente Norton Privacy Control, uno de cuyos principales componentes era el módulo de defensa de datos confidenciales Confidential Data Blocking.

El principio de funcionamiento de este componente es el siguiente:

  1. el usuario debe introducir toda la información que considera confidencial,
  2. después de esto, el producto analizará todo el tráfico de salida de la red y recortará o reemplazará con caracteres sin significado (por ejemplo, *) los datos confidenciales encontrados en el tráfico.


Fig. 1. El componente “Datos confidenciales” del producto Internet Security 2000

El componente Norton Privacy Control se incluyó en todas las nuevas versiones de los productos Norton Personal Firewall y Norton Internet Security.

En el principal producto actual, Norton 360, lanzado por la compañía Symantec en 2007 también se puede observar el componente Privacy Control, pero sólo como componente adicional (Add-on Pack), que se puede descargar desde el sitio de la compañía Symantec.


Fig. 2. Componente “Bloqueo de datos confidenciales” en el producto Norton 360

Pero el principio esencial de funcionamiento del componente sigue siendo el mismo: al igual que en el producto Norton Internet Security 2000, existe una tabla donde el usuario puede anotar sus datos confidenciales (ver fig. 2).

Deficiencias del método tradicional de defensa de los datos confidenciales

¿Qué fue lo que obligó a los autores del programa a quitar el componente de defensa de datos confidenciales de la lista de módulos actualizables de Norton 360? Es probable que haya habido varias causas, pero una de ellas es evidente. Y es que, en realidad, este enfoque de la defensa de los datos confidenciales no es efectivo, es más, le infunde al usuario la falsa ilusión de estar protegido.

Así, en la descripción de las principales características de la nueva versión de Norton Internet Security 2007 en primer lugar está “bloquea los robos de identidad en línea”, pero en esta otra dirección, este punto ya no es el primero: Pero esto no corresponde a la realidad.

Si nos fijamos a la primera ventana en la figura 2, podremos reparar en el comentario de la parte inferior de la ventana, cuya traducción libre es: “Norton Add-on Pack no puede bloquear la información confidencial en los sitios web protegidos. Sin embargo, los sitios web protegidos protegen por sí mismos la seguridad de sus datos”. El motivo de este comentario es simple: la conexión con los sitios web protegidos se realiza mediante un protocolo, en el cual todos los datos transmitidos se cifran, lo que no da la posibilidad de analizar el flujo de datos a ningún otro programa.

Ahora recordemos, ¿contra qué debe defender el componente de protección de datos confidenciales? Pues contra los programas troyanos tipo Trojan-PSW. ¿Hay algo que le impida a los programas troyanos cifrar por sí mismos todos los datos que transmiten? No hay nada que se lo impida, y más del 80% de los programas troyanos actúan de esta precisa forma. Por lo tanto, el componente de defensa de datos confidenciales, cuyo funcionamiento se basa en el análisis del tráfico y la búsqueda de secuencias de datos conocidos no puede evitar que los datos confidenciales sean enviados en el flujo cifrado transmitido por el programa troyano.

También hay que señalar que guardar todos los datos confidenciales en un solo lugar después de introducirlos en ventanas semejantes a las de la fig. 2 no es nada conveniente desde el punto de vista de la seguridad. Por el contrario, en vez de buscar datos en diferentes lugares del sistema de archivos del ordenador, al delincuente le bastará obtener acceso al fichero usado por el componente de defensa. Sin duda, los autores del programa de defensa tratarán de proteger por todos los medios los datos introducidos por el usuario, pero de todos modos, esto no dará ninguna garantía.

Como ejemplo del exitoso funcionamiento del componente se menciona la siguiente situación: si en una página web le piden a usted escribir su número de teléfono, entonces, después de que el número ya ha sido escrito, NIS 2000 le preguntará si está usted seguro de que quiere enviar este dato confidencial.

Sin embargo, esta advertencia no es de gran ayuda en la vida real, ya que la decisión de escribir la información requerida la toma el usuario partiendo de la confianza que le tiene a esta página web. Si el usuario considera que la página es fiable, la advertencia del programa no lo detendrá; si piensa que la página es falsificada, no introducirá ningún dato. Es de lamentar que estos últimos tiempos cada vez más páginas web falsas creadas por los delincuentes sean casi idénticas a las verdaderas páginas de las instituciones financieras y el usuario escriba sus datos confidenciales, sin reparar en las advertencias de los programas de defensa.

Otra forma de abordar la defensa de los datos confidenciales

Existe otra forma de abordar la defensa de los datos confidenciales, que se basa en el bloqueo de las acciones del programa nocivo en etapas anteriores a la transmisión de datos por canales informáticos, cuando, como se ha visto más arriba, ya es tarde para tomar medidas.

Para robar la información confidencial, el programa nocivo debe ejecutar dos acciones: encontrarla y extraerla de un lugar de almacenamiento (fichero, llave del registro, almacén especial del sistema operativo) y enviarla al autor del programa nocivo por canales de comunicación. Pero como muchos ordenadores tienen instalados cortafuegos que pueden controlar la actividad de red de las aplicaciones instaladas, el programa nocivo no puede enviar por su propia cuenta los datos reunidos. Por esta razón muchos de los programas troyanos del tipo Trojan-PSW usan diversos métodos para evadir el cortafuego y enviar los datos de modo imperceptible para el usuario.

Así, un método razonable sería el siguiente: el componente de defensa debe hacer un seguimiento de las siguientes actividades de las aplicaciones que son evidencias de que se está intentando robar datos confidenciales:

  1. Intentos de obtener acceso a los datos personales o contraseñas guardadas en el almacén protegido (Protected Storage) del sistema operativo Microsoft Windows.

    Este servicio garantiza el almacenaje de datos confidenciales, como por ejemplo las contraseñas locales, las contraseñas de los buzones POP y de los servidores SMTP, las contraseñas de acceso a Internet, las contraseñas de entrada automática a los sectores restringidos de los sitios web, los datos web y las contraseñas para rellenar formularios web, etc. Estos datos se escriben en los campos correspondientes de los programas de correo electrónico y navegadores. Como regla, el usuario puede guardar los datos introducidos, para lo cual es suficiente marcar una casilla de verificación. Con esto, un servicio de Microsoft Windows guarda los datos en un almacén protegido.

    Hacemos notar que hasta los usuarios que toman precauciones para evitar la fuga de información y que no guardan sus contraseñas en el navegador, suelen guardar las contraseñas de las cuentas de correo electrónico, que sería muy engorroso escribirlas cada vez que se envía o recibe una carta. Tomando en cuenta que varios proveedores de Internet siguen asignando la misma contraseña para el correo y el acceso a Internet, si el delincuente obtiene una de las contraseñas, ya tendrá acceso al buzón de correo y a los parámetros de conexión a Internet.

  2. Intento de enviar la información sin que el usuario se dé cuenta.

    Para transmitir los datos reunidos, los programas nocivos tratan de usar diferentes formas de engañar al cortafuego (potencialmente) instalado en el ordenador del usuario. Por ejemplo, pueden lanzar el proceso del navegador de Internet en modo oculto y transmitirle datos mediante las interfaces de software (COM, OLE, DDE y otros) de que disponen la mayoría de los navegadores. En vista de que la mayoría de los cortafuegos modernos tienen una serie de reglas preestablecidas, que permiten las actividades de red de las aplicaciones “de confianza”, el cortafuego no reacciona a la transmisión de datos del navegador de Internet, el usuario no se da cuenta y no puede prevenir la fuga de datos.

Es importante notar que el cifrado de los datos robados por el programa nocivo no es un problema si se aplica este enfoque a la defensa, ya que la intercepción de las acciones del programa nocivo se realiza ya en aquellas etapas que preceden a la transmisión de los datos cifrados.

Esta manera de abordar el problema es la que usa Kaspersky Lab en su producto Kaspersky Internet Security 7.0.

Kaspersky Internet Security 7.0 en la defensa contra el robo de información confidencial. El ejemplo de Trojan-PSW.Win32.LdPinch

El módulo de defensa de datos confidenciales se incluye en el producto Kaspersky Internet Security 7.0 (ver fig. 3) como uno de los subsistemas del componente Anti-Espía. Este módulo analiza el comportamiento de todos los procesos en el sistema del usuario y si detecta cualquiera de los tipos de actividad expuestos más arriba, previene al usuario o bloquea de forma automática estas actividades.


Fig. 3. Configuración del componente “Anti-Espía” del producto
Kaspersky Internet Security 7.0

Examinaremos la forma en que este módulo de Kaspersky Internet Security 7.0 defiende al usuario contra los intentos de robar información confidencial, tomando como ejemplo un programa troyano real, Trojan-PSW.Win32.LdPinch, cuyo principal propósito es robar las contraseñas de los diferentes programas instalados en el ordenador del usuario.

Como podemos ver en la descripción de una de las versiones del programa Trojan-PSW.Win32.LdPinch, éste permite robar información sobre el disco duro del ordenador y la cantidad de espacio libre en el mismo, sobre la cuenta del usuario, el nombre de red del ordenador, la versión del sistema operativo, el tipo de procesador, las posibilidades del monitor, los programas instalados en el ordenador, los procesos iniciados y las conexiones dialup existentes.

Y por supuesto, la información que se roba es la más importante. Son las contraseñas de una gran cantidad de programas, entre ellos:

  1. sistemas de mensajes instantáneos:
    • ICQ 99B-2002a
    • ICQ 2003/Lite/5/Rambler
    • Miranda IM
    • TRILLIAN
    • &RQ, RnQ, The Rat
    • QIP
    • GAIM
    • MSN & Live Messenger

  2. programas clientes de correo electrónico:
    • The Bat!
    • MS Office Outlook
    • Mail.Ru Agent
    • Becky
    • Eudora
    • Mozilla Thunderbird
    • Gmail Notifier

  3. navegadores de Internet:
    • Opera
    • Protected Storage(IE,Outlook Express)
    • Mozilla Browser
    • Mozilla Firefox

  4. utilidades de marcado de números de teléfono:
    • RAS
    • E-DIALER
    • VDialer

  5. gestores de ficheros:
    • FAR
    • Windows/Total Commander

  6. programas clientes de FTP:
    • CuteFTP
    • WS FTP
    • FileZilla
    • Flash FXP
    • Smart FTP
    • Coffee Cup FTP

    etc.

Las contraseñas robadas se usan para seguir propagando el programa nocivo. Así, al obtener la contraseña del cliente de ICQ, el programa troyano lo cambia por otro en el sitio de ICQ y empieza a enviar mensajes que contienen un enlace a su propio fichero ejecutable en nombre de la víctima, tratando de este modo de aumentar el número de equipos infectados.

Toda la información robada se cifra y se envía a una dirección predeterminada de correo electrónico, o al servidor FTP del delincuente.

El sistema de defensa de datos confidenciales basado en el análisis del tráfico (como Norton Privacy Control) no puede prevenir el envío de datos cifrados, incluso si el usuario pone todas las contraseñas de todos sus programas en la lista de datos controlados. De este modo, si el ordenador dónde está instalado cualquiera de los productos de la compañía Symantec con el subsistema Privacy Control, u otro producto que implemente el mismo enfoque a la defensa de la información confidencial, es atacado por una nueva versión del programa troyano Trojan-PSW.Win32.LdPinch, que no está incluido en las bases antivirus y que no detectan los demás componentes de defensa, la mayor parte de las contraseñas serán robadas por el delincuente y usadas a su discreción.

Sin embargo, el sistema de defensa basado en el análisis de las actividades de las aplicaciones en ejecución, permite bloquear tanto la recolección (ver fig. 4), como el envío en secreto (ver fig. 5) de los datos confidenciales recogidos en el ordenador del usuario por el programa troyano Trojan-PSW.Win32.LdPinch.


Fig. 4. Notificación del programa Internet Security 7.0
sobre el intento de obtener acceso a los datos confidenciales
realizado por el programa nocivo Trojan-PSW.Win32.LdPinch


Fig. 5. Notificación del programa Internet Security 7.0
sobre el intento de enviar datos confidenciales
realizado por el programa nocivo Trojan-PSW.Win32.LdPinch

Conclusión

En nuestro artículo hemos examinado la clasificación de los métodos informáticos de robo de información y analizado dos métodos diametralmente opuestos de defensa de la información confidencial que se implementan en los complejos sistemas de seguridad modernos. También hemos estudiado la efectividad de ambos enfoques usando como ejemplo el choque de los sistemas de defensa con un programa troyano ampliamente conocido.

La comparación de ambos métodos ha mostrado la clara superioridad del enfoque basado en el análisis del comportamiento de las aplicaciones en ejecución y el seguimiento de las actividades típicas de los intentos de robo de datos confidenciales. El método de defensa que usa una lista de datos confidenciales y que monitoriza que ningún fragmento de la misma aparezca en el tráfico de salida ha resultado ser considerablemente menos efectivo.

La defensa de los datos confidenciales en las modernas Suites de Seguridad

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada