Las amenazas de los mensajes instantáneos

Los programas de intercambio de mensajes instantáneos son una gran tentación para diferentes tipos de delincuentes. El conocimiento de las amenazas potenciales propagadas mediante los programas de mensajes instantáneos y de las formas de defenderse ayuda a los usuarios a evitarse muchos disgustos.

Programas clientes de mensajes instantáneos

Hoy en día la comunicación virtual en Internet se ha convertido en parte de la vida cotidiana de muchas personas. Existe una gran cantidad de medios de comunicación, cada uno de los cuales ocupa su lugar en la red: correo electrónico, chat, diferentes foros, comentarios en los blogs, etc. También gozan de popularidad entre los usuarios los sistemas de mensajes instantáneos (del inglés “instant messengers” o IM), que permiten comunicarse en tiempo real con personas que se encuentran en cualquier lugar del mundo.

Para comunicarse por medio de mensajes instantáneos, es suficiente tener acceso a Internet e instalar en el ordenador un programa (cliente) de mensajería instantánea. Estos programas son numerosos y sus principales funciones como la búsqueda de interlocutores con intereses afines, la lectura de la información personal del propietario de la cuenta, diferentes regímenes de presencia en Internet, etc. están implementadas en todos ellos. Una serie de clientes de mensajería instantánea (también conocidos como “buscapersonas en Internet”), además de sus funciones principales, pueden tener varias funciones adicionales.

El mensajero instantáneo más popular en Rusia es, sin lugar a duda, ICQ. El nombre ICQ suena parecido a la frase “I seek you” en inglés, que significa “te busco”. Cada usuario de ICQ tiene un número único o UIN (Unique Identical Number), con cuya ayuda se autoriza en el servidor. Cada número único está protegido por una contraseña que el usuario establece por su cuenta. Los mensajes se transmiten con el protocolo TCP/IP mediante un formato especial desarrollado por la compañía Mirabilis. Por lo general un mensaje cabe en un paquete TCP. Otros clientes, por ejemplo QIP (Quiet Internet Pager) o Miranda, transmiten mensajes usando diferentes versiones de este protocolo

Los usuarios de los países occidentales prefieren usar MSN Messenger (o Windows Live Messenger), el mensajero instantáneo desarrollado por la compañía Microsoft. MSN Messenger usa el protocolo Microsoft Notification Protocol (a veces mencionado como Mobile Status Notification Protocol, protocolo para notificación móvil). El protocolo MSNP2 es completamente abierto, pero el código de sus otras versiones en este momento está cerrado. En la última encarnación de MSN Messenger se usa la versión MSNP14.

En China existe un programa similar a ICQ que se llama QQ. Su popularidad en esta región es muy alta.

Fig. 1 Ventana del mensajero instantáneo chino QQ.

En el programa Skype, además de la función de “buscapersona” existe la posibilidad de comunicación oral. Este programa de amplia difusión en todo el mundo, permite a sus usuarios intercambiar mensajes de voz. Para hacerlo, se necesitan audífonos, micrófono, un equipo con acceso a Internet y el programa instalado. Skype también permite llamar a teléfonos comunes, pero este es un servicio de pago.

Las amenazas de los mensajeros instantáneos

Desgraciadamente, los delincuentes también tienen acceso al mundo virtual y el sistema de intercambio de mensajes instantáneos no les ha pasado inadvertido. Los tipos de delitos cibernéticos que con más frecuencia se cometen con los mensajeros instantáneos son los siguientes:

1. Robo de contraseñas de las cuentas de mensajería instantánea por medio de ataques de “fuerza bruta” o obteniéndolos de los usuarios con el uso de métodos de ingeniería social.
2. Propagación de programas nocivos.
   • Envío masivo de mensajes con enlaces que descargan programas nocivos si el usuario los pulsa. Usando estratagemas de ingeniería social el delincuente induce al usuario a abrir un fichero, es decir, a ejecutar un programa nocivo.
   • Envío masivo de mensajes con enlaces a páginas web infectadas.
3. Envíos masivos de spam.

Todos los programas de mensajería instantánea son vulnerables a diferentes tipos de ataque. Por ejemplo, veamos el programa cliente QQ, tan popular en China. El troyano Trojan-PSW.Win32.QQPass, que está muy difundido en China y su “hermano” Worm.Win32.QQPass han sido creados para robar las contraseñas del programa QQ. WormWin32.QQPass se reproduce copiándose a medios extraíbles junto con el fichero autorun.inf, que garantiza su lanzamiento automático en los equipos no infectados (si la función de autoinicio está habilitada).

Los escritores de virus no podían ignorar el programa Skype. Worm.Win32.Skipi se propaga mediante el programa cliente de Skype y envía un enlace a un fichero ejecutable a todos los contactos de la libreta del equipo infectado. Además, el gusano se copia a los medios extraíbles junto con el fichero autorun.inf, modifica el fichero hosts para imposibilitar la actualización de los antivirus y de Windows, tratando además de deshabilitar los antivirus activos en el sistema. Tampoco podía faltar un troyano que roba contraseñas de Skype. Kaspersky Lab lo detecta como Trojan-PSW.Win32.Skyper.

Los delincuentes usan activamente MSN Messenger, programa desarrollado por Microsoft, para propagar diferentes IRC-bots. Muchos de ellos tienen la capacidad de reproducirse en este cliente al recibir una orden desde el centro de administración de la “puerta trasera”. Esto se hace de la siguiente manera. Supongamos que el delincuente tiene una pequeña red zombi que quiere ampliar. Con este objetivo el centro de administración envía a todos los equipos zombi la orden de mandar a todos los contactos de la libreta de MSN Messenger de los equipos infectados mensajes con un enlace similar a http://www.***.com/www.funnypics.com. Después, todo depende de la persona que reciba el enlace. Si decide darle un vistazo a las “divertidas imágenes”, el ordenador se convertirá en un nuevo miembro de la red zombi: al pulsar el enlace, se instalará una “puerta trasera” en el ordenador.

Los delincuentes usan MSN Messenger porque este programa viene preinstalado en Windows, es decir, que todos los usuarios de este SO lo tienen instalado. La popularidad de MSN en los países extranjeros lo hace muy atractivo para los delincuentes que quieren aumentar la cantidad de equipos infectados en sus redes zombi.

Fig. 2. Parte del programa nocivo Backdoor.Win32.SdBot.clg. Con rojo se han subrayado las órdenes que responden de la reproducción del troyano.

Amenazas en ICQ

Tomando como ejemplo ICQ, analizaremos los tipos más comunes de ataque que los delincuentes también pueden usar contra los usuarios de otros mensajeros instantáneos.

Robo de contraseñas

Como ya hemos mencionado, cada usuario de ICQ tiene su propio número de identificación o UIN. En el presente, los UIN de nueve cifras son los más difundidos, pero muchos usuarios quieren que su UIN coincida con el número de teléfono celular, sea simétrico o contenga números iguales. Estos UIN son fáciles de recordar y para algunas personas son un asunto de prestigio. Son muy apreciados los UIN de ICQ “bonitos”, de cinco, seis o siete cifras que contienen, por ejemplo, sólo dos números.

Los números “bonitos” se venden y su precio suele ser bastante alto. En muchos sitios web se ofrece “hacer un pedido de número”: por una determinada suma los dueños del sitio prometen, con cierto grado de probabilidad, “conseguir” el número en el que el cliente ha puesto el ojo. Además, se ofrece a los compradores lotes al por mayor de números de cinco cifras comunes, que se pueden usar para hacer envíos masivos. El uso de muchos UIN durante los envíos de spam pemiten evadir la defensa antispam basada en listas de rechazados en las que los enfurecidos usuarios ponen los números que quieren ignorar.

Los vendedores de números “prestigiosos” rara vez cuentan con qué métodos los han conseguido. En las tiendas electrónicas se asegura a los usuarios que los UIN “bonitos” se venden de forma legal. Pero en realidad en la mayoría de los casos estos números de ICQ se obtienen ilegalmente.

Para robar los UIN, los delincuentes usan varios métodos. Las numerosas tiendas en línea que ofrecen números “bonitos” con frecuencia tienen sistemas industriales de averiguación de contraseñas. Una forma más es obtener la contraseña de correo electrónico (primary email) y cambiar la contraseña del UIN del usuario sin que se dé cuenta. Analicemos este método con más detalles.

Si el usuario ha olvidado la contraseña de su UIN, el servicio de asistencia técnica de ICQ propone un esquema determinado para recuperarla. Este sistema ha sufrido numerosos perfeccionamientos y en el presente puede proteger con cierto grado de fiabilidad contra el robo de contraseñas. El usuario debe escribir las respuestas a las preguntas que él mismo ha hecho. Si ha olvidado las respuestas, puede cambiar las preguntas con la ayuda de la dirección de correo electrónico usado cuando el usuario se dio de alta. El esquema es bastante fiable, pero si el delincuente ha obtenido de alguna forma acceso a la dirección de correo electrónico, podemos decir que ya tiene el UIN en el bolsillo. Si se sabe la contraseña del correo electrónico, se puede escribir al servicio de asistencia de ICQ en nombre del propietario de la cuenta y pedir que le envíen la nueva contraseña, ya que supuestamente ha olvidado la antigua. Después de recibir la nueva contraseña, el delincuente puede cortar el acceso a ICQ y al correo electrónico, si cambia las antiguas contraseñas. Esta manera de robo es bastante complicada, ya que para averiguar la contraseña de correo electrónico relacionada con ICQ se necesita un potente ordenador o incluso hasta una red.

Pero es más popular el robo de números de ICQ mediante diferentes programas nocivos y el líder indiscutible es Trojan-PSW.Win32.LdPinch. Esta familia viene amenazando a los usuarios durante varios años. LdPinch roba las contraseñas no sólo de ICQ y otros mensajeros instantáneos (por ejemplo, Miranda), sino también de programas de correo electrónico, ftp, juegos en línea, etc. Existen programas constructores especiales para crear el troyano que el delincuente necesite y permiten preestablecer los parámetros de instalación del programa nocivo en el ordenador, definir qué contraseñas debe robar, etc. Después de hacer la configuración, el delincuente sólo tiene que indicar la dirección de correo electrónico adonde se mandará la información confidencial. Es precisamente la facilidad con que se crean estos programas nocivos lo que hace que sean tan comunes no solo en el tráfico de correo, sino también en el de mensajeros instantáneos.

Fig. 3. Ventana del programa-constructor del troyano
Trojan-PSW.Win32.LdPinch

Propagación de programas nocivos

En el tráfico de correo los programas nocivos que se propagan por sí mismos o mediante spam pertenecen a diferentes familias. En cambio, por medio de ICQ los delincuentes propagan sobre todo tres grupos de programas nocivos:

1. Gusanos para mensajeros instantáneos, programas nocivos que usan el programa cliente como base para reproducirse.
2. Programas troyanos dedicados al robo de contraseñas, entre ellas las de ICQ (en la aplastante mayoría de los casos se trata de PSW.Win32.LdPinch).
3. Los programas nocivos que Kaspersky Lab clasifica como Hoax.Win32.*.* (categoría que abarca los programas nocivos creados para recibir dinero de los usuarios engañándolos).

Pero ¿de qué manera se propagan los programas nocivos mediante ICQ?

La propagación de los gusanos para sistemas de mensajería instantánea ocurre sin la participación del usuario, o esta participación es mínima. Muchos gusanos para mensajeros instantáneos, después de penetrar al equipo del usuario, empiezan a enviarse a los números de la lista de contactos del programa de mensajería instalado. Pero sus funciones son bastante diversas: el robo de contraseñas que ya hemos mencionado, la creación de redes zombi y a veces, actividades destructivas comunes (por ejemplo, eliminación de todos los ficheros mp3 en el equipo del usuario). Con la ayuda de ICQ se propagan de forma muy activa programas nocivos como Email-Worm.Win32.Warezov y Email-Worm.Win32.Zhelatin (Storm Worm).

Sin embargo en la mayor parte de los casos los delincuentes necesitan la participación del usuario para que el ataque tenga éxito. De una u otra forma tratan de inducir a la potencial víctima a seguir un enlace, y si el enlace empieza a descargar un programa, le piden que lo ejecute. Para alcanzar el objetivo deseado se usa todo el arsenal de métodos de ingeniería social.

A continuación presentamos un ejemplo de ataque, cuyo objetivo final es descargar un programa nocivo al ordenador de la víctima. Para empezar, el delincuente registra cierto número de falsos usuarios con información que los hace atractivos (por ejemplo, “simpática muchacha de 22 años busca muchacho”. Después, instala en estos números bots (pequeños programas con intelecto primitivo, capaces de mantener una sencilla conversación). Al principio de la conversación los usuarios interesados por lo general quieren ver una fotografía de la “simpática muchacha”… entonces el bot les propone seguir un enlace. ¿Es necesario agregar que en la dirección a la que lleva el enlace no hay ninguna fotografía? Es un programa nocivo el que está esperando por el curioso usuario.

Otra variante es poner un enlace a un programa nocivo entre los datos personales de la “simpática muchacha”. Este método de ataque es más difícil para el delincuente que el anterior: no es suficiente llenar algunos de los campos de los datos personales y elegir una víctima, sino que también debe charlar con la víctima potencial de tal manera que ésta se vea motivada a ver “unas bellas fotografías de la costa del Pacífico”, cuyo enlace está en los datos personales de la “interlocutora”.

Tampoco faltan los métodos de ingeniería social durante la propagación de programas nocivos mediante el spam ICQ. Para ser más exactos, no se envían programas, sino enlaces a programas nocivos.

Los enlaces en el spam pueden llevar a sitios web (legales, pero adulterados o a sitios creados por los delincuentes) y a páginas con códigos de troyanos-descargadores integrados. Entre las tareas de los descargadores está la descarga de otros programas nocivos al ordenador de la víctima. Esta es la descripción más detallada de este ataque.

Para descargar programas nocivos mediante un código nocivo integrado en el sitio web, la mayor parte de la veces se usan los errores o vulnerabilidades de los navegadores (por lo general, Internet Explorer). Al principio el delincuente ataca un sitio legal y como regla, bastante popular, y en el cual integra un código (p.e. iframe o un script Java cifrado) que instala un programa nocivo en el equipo de los que lo visiten. Otra posibilidad es crear un sencillo sitio web con un código de descarga en un servidor barato o gratuito. Después, por medio del mensajero instantáneo, se lleva a cabo un envío masivo que publicita este sitio. Si el usuario sigue el enlace, sin que se dé cuenta se instalará en su equipo un programa nocivo. Mientras todo esto sucede, el usuario ni siquiera sospecha que el sitio que visitó está adulterado o falsificado. Y en su ordenador ya estarán a sus anchas LdPinch o IRCBot.

Los mismos programas de mensajería instantánea pueden contener vulnerabilidades que pueden usarse para los ataques. En muchos casos la vulnerabilidad puede llevar al rebalsamiento de la memoria intermedia y a la ejecución de un código aleatorio en el sistema o permitir al atacante obtener acceso remoto al ordenador sin que el usuario lo sepa o dé su consentimiento.

Si el delincuente introduce en el código del programa nocivo una función de reproducción que use la misma vulnerabilidad en otros equipos, en un corto plazo este programa puede penetrar en los equipos de gran parte de los usuarios del programa vulnerable y causar una verdadera epidemia. El uso de vulnerabilidades en los ataques exige al delincuente un alto nivel de preparación técnica, lo que limita en cierta manera las posibilidades de los delincuentes cibernéticos.

No hace mucho se ha empezado a usar spam ICQ para propagar programas engañosos, que supuestamente generan códigos PIN de tarjetas de pago de telefonía celular. Kaspersky Lab detecta estos programas como not-virus.Hoax.Win32.GSMgen. En realidad, estos programas generan una cantidad ilimitada de combinaciones aleatorias de cifras que son supuestos códigos PIN para el pago del servicio de telefonía celular. El programa genera cifra los resultados, y para tener la oportunidad de descifrarlos, hay que pagar al autor determinada cantidad para que envíe la llave. La suma pedida no suele ser muy grande, entre 10 a 15 dólares, lo que es una tentación adicional para el usuario. Éste piensa más o menos así: “Pagaré una vez 300 rublos, y después toda la vida hablaré por el móvil gratis”. En vista de que la serie de cifras recibidas de esta manera no permite abonar nada a la cuenta, nos encontramos ante una estafa común y corriente. (Señalamos que si mediante estos programas de verdad se pudiera recibir códigos PIN para pagar servicios de telefonía, en primer lugar, costaría mucho más caro; y en segundo, los creadores del programa guardarían el secreto más absoluto para no llamar la atención de los operadores de servicios telefónicos y de las fuerzas del orden).

Fig. 4. Ventana del programa “generador” de códigos PIN.

Mensajes ICQ no deseados (spam ICQ)

A diferencia del correo spam, el spam ICQ aún no se ha estudiado en profundidad. A continuación presentamos los resultados de un pequeño estudio que realizamos del 23 de febrero al 23 de marzo de este año. Esta investigación incluyó una clasificación del asunto de los mensajes instantáneos spam enviados a usuarios de mensajería ICQ y la realización de un análisis comparativo del spam ICQ versus el correo spam.

Asuntos comunes de los mensajes ICQ

Los asuntos del spam ICQ son bastante diversos y pueden incluir avisos para un nuevo sitio Internet o un nuevo servidor de juegos, solicitudes para votar por un candidato en algún concurso, ofertas de costosos teléfonos móviles a precios módicos, o mensajes con URLs de programas maliciosos. Un vínculo incluido en un mensaje spam puede conducir a un sitio Internet con ardides que explotan vulnerabilidades en Internet Explorer u otros populares navegadores (para los propósitos de este estudio, los mensajes con vínculos maliciosos no se clasificaron como una categoría aparte).

Figura 5. Distribución de spam ICQ por asunto.

Los avisos de sitios de entretenimiento (Entertainement Sites), con un 18,47%, encabezan la clasificación. Con toda seguridad, esta categoría mantendrá su liderazgo en las estadísticas del spam ICQ. El principal motivo de la popularidad de la que goza es su efectividad. Imagine una situación común en la que alguien ha estado trabajando por largas horas en su ordenador y recibe un mensaje instantáneo ICQ sobre un nuevo sitio que ofrece cantidad de imágenes, historias o videos divertidos. Es muy probable que el cansado usuario active este vínculo para tomarse un descanso en su labor.

La categoría para adultos (“Adult” spam) ocupa la segunda posición con el 17,19%, con mensajes similares a los de correo electrónico que ofrecen sitios de citas, recursos pornográficos, páginas eróticas privadas, etc.

La categoría referente a ingresos en línea (Online income), con el 15,83%, incluye mensajes que ofrecen dinero por pulsar avisos publicitarios emergentes, visitar determinados sitios Internet, y ver avisos. También incluye ofertas de marketing en red.

La categoría sobre otro tipo de mensajes no deseados (Other spam) con un 12,77%, consiste en mensajes con distintos asuntos, cada uno representando un porcentaje lo suficientemente bajo en el tráfico de mensajes spam que hace imposible su clasificación en categorías individuales. Algunos de los autores de los mensajes en esta categoría tienen una imaginación muy florida. Envían una variedad de cadenas de cartas, avisos para pasta dental, predicciones de arzobispos sobre una dictadura fascista en Rusia, etc. Entre los artículos de consumo publicitados, predominan los DVDs y los repuestos automotores. Los mensajes ICQ phishing, que se tratarán en detalle posteriormente, también pertenecen a esta categoría.

De alguna manera se incluyeron en esta categoría, ocupando el quinto lugar con un 8,17%, los mensajes sobre el mismo ICQ (spam ICQ). Un fenómeno interesante lo constituyen las “cadenas de cartas ICQ”, la mayoría de las cuales contienen el siguiente texto (traducido del ruso):

Lo único que cambia es la fecha y el número de destinatarios del mensaje. Resulta interesante que algunos mensajes incluyan citas textuales multiniveles, lo cual significa que muchos usuarios realmente creen que algún día su “flor se tornará azul” y que ICQ seguirá siendo gratuito.

También se envían de manera regular mensajes en diferentes idiomas urgiendo al usuario a actualizarse a la nueva sexta versión del cliente de mensajería instantánea ICQ. En un inicio, no se podía entender por qué estos mensajes eran tan populares entre los autores de mensajes spam. Había información no confirmada de que ICQ 6.x incluía una vulnerabilidad que ocasionaba errores al procesar mensajes elaborados de cierta manera. Esto se confirmó el 28 de febrero del presente: según http://bugtraq.ru, “… el envío de un mensaje elaborado… de cierta manera (en el caso más sencillo, “%020000000s”) a un usuario de ICQ 6.x ocasionaba un error con el código generador HTML para el despliegue de mensajes en el componente incorporado de Internet Explorer. Este error puede generar la ejecución de códigos arbitrarios en el sistema remoto”. Esta vulnerabilidad ya no aparece en la última edición del cliente de mensajería instantánea ICQ.

Los mensajes pertenecientes a la categoría de juegos informáticos (Computer games) con el 5,79%, se pueden dividir en dos grandes grupos. Los mensajes en el primer grupo publicitan varios juegos en línea basados en el navegador. Los del segundo grupo, los servidores de juegos, publicitan generalmente a Lineage II y Counter-Strike.

Las ofertas de servicios ilegales (Illegal services) con el 5,45%, se ubica apenas por detrás de los avisos de juegos informáticos. Los ciberdelincuentes ofrecen a los usuarios la oportunidad de obtener la contraseña de una casilla de correo, organizar un ataque DoS, falsificar documentos (en varios idiomas), aprender a piratear tarjetas de crédito u obtener la información necesaria para hacerlo, todo por un determinado precio.

La octava posición (5,28%) le pertenece a la categoría de mensajes que piden votar por determinados candidatos en varios concursos en Internet (Voting).

Las ofertas de trabajo y de negocios (Work) se ubicaron en el noveno lugar con un 4,71%, y las ofertas de servicios informáticos (Computer services), incluyendo hospedaje web, en el décimo.

El grupo de mensajes no deseados para teléfonos móviles (Mobile spam) que se ubicó en el último lugar con el 2,72%, también consiste de dos tipos de mensajes. El primer tipo incluye mensajes que publicitan sitios Internet que ofertan la venta de teléfonos móviles. Los precios de modelos populares en estos sitios son a menudo mucho más bajos que en el mercado regular, lo que hace que uno se pregunte sobre el origen y la legalidad de tales productos. El segundo tipo lo constituyen los mensajes que publicitan sitios Internet con una variedad de contenido sobre teléfonos móviles.

Durante el periodo comprendido entre el 23 de febrero y el 23 de marzo del presente, no se detectó más de un 1% de mensajes publicitarios de servicios farmacéuticos o médicos en el flujo del spam ICQ.

Los mensajes phishing también se envían de manera ocasional a los usuarios de mensajería instantánea ICQ. Estos mensajes no se clasificaron como un grupo en sí porque son relativamente raros. Los ciberdelincuentes tratan de obtener contraseñas para los UIN (Universal Internet Number o Unified Identification Number) de usuarios mediante métodos de ingeniería social. El éxito depende en gran medida del nivel de información del usuario. En caso de fallas o problemas reales, el soporte técnico oficial de ICQ puede informar a los usuarios sobre las dificultades, pero nunca les pedirá que envíen sus contraseñas por correo electrónico o que las ingresen en un formulario de un sitio Internet.

Figura 6. Un mensaje phishing enviado con la intención de obtener la contraseña para una cuenta de mensajería ICQ.

Distinguiendo las características del spam ICQ

A diferencia del correo electrónico, ICQ realiza la búsqueda de personas en base a sus intereses tal como se los describe en la información de contacto del usuario. Esto posibilita a los ciberdelincuentes el envío de mensajes específicos a determinado público. Les resulta muy fácil a los autores de spam obtener los datos relevantes (generalmente las edades y los interesas de los usuarios) y usarlos para llamar la atención de los destinatarios de sus envíos.

Prácticamente todo el spam proviene de UINs que no figuran en la lista de contactos del usuario. El número de mensajes spam que un usuario recibe en un determinado periodo de tiempo depende del UIN. Los usuarios con un UIN de seis dígitos reciben un promedio de 15 a 20 mensajes spam cada hora, muchos de los cuales incluyen vínculos a Trojan-PSW.Win32.LdPinch. Los usuarios con un UIN de 9 dígitos que no tengan nada en especial, reciben un promedio de 10 a 14 mensajes spam diarios, mientras que los usuarios con números atractivos reciben de 2 a 2,5 veces más de mensajes spam.

En cuanto al asunto de los mensajes, el spam ICQ difiere en gran medida del correo spam. Mientras que un 90% del correo spam publicita varios artículos y servicios, la proporción de esta publicidad en los mensajes spam ICQ es menor al 13% (la participación total de las categorías de servicios ilegales, servicios informáticos, mensajes spam para teléfonos móviles y mensajes spam sobre servicios médicos), con servicios ilegales (5,45%) que se constituye en la mayor de todas las categorías de oferta de servicios.

En general, los temas relacionados con el entretenimiento predominan en el los mensajes spam ICQ. Esto se debe a que este canal es muy poco requerido para la comunicación empresarial, y a que la mayoría de sus usuarios son jóvenes. Los autores de mensajes no deseados toman en cuenta los intereses de su público objetivo: l spam ICQ está dominado por invitaciones a visitar sitios de entretenimiento, y por avisos para ‘adultos’. Los mensajes spam en las categorías de juegos informáticos, votaciones y anuncios de teléfonos móviles también se dirigen a los jóvenes. En general, los jóvenes son el objetivo de cerca del 50% de todos los mensajes spam.

Este público objetivo de los mensajes spam ICQ también explica la reducida participación de estos mensajes con contenido ‘médico’ que es una categoría tradicionalmente líder en el correo spam. En el spam ICQ, la participación de esta categoría está por debajo del 1%. Aparentemente, los usuarios de mensajería instantánea ICQ no responden de la manera esperada a la publicidad de artículos y servicios médicos.

Distinguiendo las características del spam ICQ:

1. Se dirige a un público juvenil.
2. Muestra una tendencia general hacia el entretenimiento.
3. Casi no existen avisos para bienes de consumo. Una excepción a lo anterior la constituyen los teléfonos móviles y los artículos farmacéuticos, así como un reducido número de mensajes en la categoría “Otros mensajes”.
4. Un porcentaje suficientemente alto (8,71%) de mensajes están relacionados con el mismo cliente ICQ.
5. Una significativa parte de los mensajes (5,45%) ofrecen servicios ilícitos. Las ofertas más populares son la piratería de correo electrónico y de mensajería ICQ, falsificación de documentos, y piratería de tarjetas de crédito.

Escenario de ataques

El usuario ejecuta un archivo descargado mediante un vínculo recibido a través de un mensaje ICQ, pero la foto prometida por el autor del mensaje spam nunca llega a aparecer en la pantalla. Mientras el usuario espera uno o dos minutos, el troyano busca contraseñas guardadas en el ordenador. Algunas contraseñas están codificadas, pero el ciberdelincuente puede descifrarlas con facilidad. Luego, el troyano recoge todas las contraseñas que encuentra y crea un mensaje electrónico que contiene esta información confidencial. El mensaje se envía a la dirección de correo electrónico del ciberdelincuente registrada un par de días previos al ataque. Para evitar que el cortafuegos de Windows advierta al usuario sobre el peligro, el troyano desactiva el cortafuegos modificando la clave relevante de registro. El troyano también realiza una acción similar contra otros programas antirrobo de contraseñas y de otra información confidencial del usuario. Por ultimo, el programa malicioso crea un archivo .bat que elimina al troyano y a sí mismo, con lo que se borra todo rastro de actividad maliciosa.

Cuando el usuario empieza a sospechar del engaño, el hacker ya ha procesado decenas o cientos (dependiendo del tamaño de los envíos) de mensajes con contraseñas que el troyano envió. A propósito, muchos usuarios nunca llegan a enterarse de las actividades maliciosas realizadas en sus equipos. En todo caso, la única evidencia que posee el usuario es un vínculo a una foto inexistente, de manera que las posibilidades de encontrar al ciberdelincuente son ínfimas.

Los usuarios a menudo se consuelan diciéndose que de todas maneras no tenían nada importante en sus equipos. Pero no es eso lo que el hacker piensa. El hacker tiene ahora en su poder una extensa lista de contraseñas para cuentas de correo electrónico, clientes FTP y juegos en línea, así como las cuentas bancarias del usuario, y, claro, la cuenta ICQ.

Uno se pregunta para qué el hacker podría necesitar otro número de nueve dígitos que nadie conoce. He aquí la razón: El hacker ingresará la contraseña en su cliente ICQ y accederá a la lista de contactos del usuario. Entonces, enviará un mensaje a todos los usuarios de la lista de contactos pidiéndoles que le presten 50 dólares virtuales y prometiéndoles devolverlos al día siguiente. El resto dependerá de la generosidad de los destinatarios y del grado de relación que tengan con el usuario cuya cuenta ha sido pirateada. Por lo general, no es tarea difícil persuadir a un usuario vacilante a hacer un favor. Al mismo tiempo, el hacker chateará con otros usuarios de la lista de contacto tratando de persuadirlos para que también paguen. Incluso si sólo una persona de la lista de contacto de cada víctima accediera a pagar los dólares virtuales al hacker, éste recibiría una considerable suma de dinero comparable al salario diario de un buen programador o incluso más, y todo por una hora de “chat”.

¿Qué pasa con la cuenta FTP? ¿Qué pasa si el servidor FTP al que accedió el ciberdelincuente mediante una contraseña robada almacena páginas Internet de un sitio Internet lo suficientemente popular? El ciberdelincuente podrá agregar un sencillo iframe o un código cifrado JavaScript al final de cada página Internet, el cual de manera clandestina descargará y ejecutará un programa malicioso en los equipos de todos los usuarios que en ese momento estén visitando ese sitio Internet.

Todas las acciones del hacker que acabamos de describir pueden automatizarse con facilidad. Los ciberdelincuentes pueden fácilmente encontrar UINs de cuentas ICQ para enviar mensajes spam a numerosos sitios y foros Internet. Más precisamente, esto se hará mediante un programa especial que se encargará de realizar todo el trabajo rutinario para el ciberdelincuente, incluyendo el filtrado de números duplicados y la revisión de la lista spam en busca de números inactivos. Después, el hacker subirá un troyano a un sitio Internet registrado en un servicio de hospedaje gratuito y enviará un vínculo con el sitio Internet mediante la lista de spam creada por el programa del hacker. Posteriormente, otro programa organizará los numerosos mensajes que envía el troyano ejecutado en el ordenador y clasificará las contraseñas recibidas. La lista de nuevos números de cuentas ICQ recibidos mediante el troyano se convertirá en una nueva lista spam. Si el número de cuenta ICQ de un usuario infectado resulta atractivo, es decir, fácil de recordar, puede llegar a valer mucho dinero. Y finalmente, el envío de mensajes con pedidos convincentes de préstamo de pequeñas cantidades de dinero. Si recibe una respuesta al pedido, será el turno del hacker para entrar en escena y usar sus conocimientos psicológicos y sus habilidades de ingeniería social. Después, los números “secuestrados” se pueden vender al por mayor a autores de mensajes spam. El proceso arriba descrito puede sonar a pura ficción, pero en realidad, estos esquemas son muy comunes.

Para resumir lo anterior, hagamos un listado de las razones para que un ciberdelincuente ataque a los clientes de mensajería instantánea:

1. Para vender números robados de cuentas ICQ (números de nueve dígitos al por mayor, y números “atractivos” al por menor, a precios elevados).
2. Para crear listas de correo spam y venderlas a autores de spam para la distribución masiva de programas maliciosos.
3. Para usar las listas de contactos de las víctimas como fuentes confiables para “préstamos” de dinero.
4. Para descargar programas maliciosos mediante las vulnerabilidades en las aplicaciones.
5. Para cambiar las páginas Internet de sitios legítimos (mediante contraseñas de servidor FTP) y descargar programas maliciosos en los ordenadores de los usuarios visitantes.
6. Para crear ordenadores zombie o expandir las redes zombie ya existentes.
7. Para llevar a cabo otras actividades maliciosas.

Neutralización de los ataques pirata contra los sistemas de mensajería instantánea

¿Qué puede hacer el usuario cuando se enfrenta a un sistema inteligente y despiadado? ¡Defenderse, naturalmente! A continuación ofrecemos consejos útiles que le ayudarán a protegerse contra amenazas que llegan a través de clientes de mensajería instantánea.

En primer lugar, tenga cuidado de no accionar por descuido los vínculos en los mensajes que recibe. Seguidamente presentamos un listado de varios tipos de mensajes que deberían despertar las sospechas del destinatario:

1. Los mensajes recibidos de remitentes desconocidos con apodos raros, como SbawpathzsoipbuO.
2. Mensajes de remitentes que figuran en su lista de contactos con una oferta sospechosa para ver nuevas fotos mediante archivos con extensión .exe.
3. Mensajes que supuestamente contienen noticias sensacionalistas sobre romances entre celebridades con un “informe desde el lugar de los hechos”. En este caso, el “informe” es por lo general un vínculo al archivo http://www.******.com/movie.avi.exe. Es posible que Trojan-PSW.Win32.LdPinch esté a la espera en el sitio al que conduce el vínculo.
4. Los mensajes que ofrecen al usuario descargar un programa que le brinda nuevas e inéditas oportunidades, como por ejemplo, “NUEVO BUG en ICQ que le permite registrar cualquier número inexistente”. Un vínculo en el mensaje conducirá al programa, pero ese programa robará el UIN del usuario en vez de registrar el número inexistente.

Es mejor ignorar estos mensajes.

Si le llega un mensaje de un remitente conocido, averigüe por qué se lo envió. Y por supuesto, no descargue ni ejecute un archive con la extensión .exe. Incluso si la extensión del archivo no está especificada un vínculo puede conducir al usuario a otra página que sí contenga el programa malicioso.

Naturalmente, todos los usuarios deberían observar las simples reglas de la “higiene informática”. Todo ordenador debería contar con un producto antivirus con bases de datos actualizadas y con un cortafuegos que bloquee cualquier conexión no autorizada a la red. Es deseable que el producto antivirus contenga protección proactiva que detecte programas maliciosos en base a su comportamiento, y/o un analizador heurístico.

El usuario a menudo ignora el hecho de que un programa malicioso se esté ejecutando en su ordenador. Un indicio de que el ordenador pueda estar infectado puede ser las inusuales preguntas de amigos, como “¿Por qué me pediste prestarte 50$ virtuales ayer cuando chateábamos en ICQ?”, cuando en realidad el verdadero dueño de la cuenta ICQ nunca hizo tal pedido. Otro indicio incluso más obvio de una infección lo constituyen los vanos intentos de utilizar su identificación de usuario o contraseña para un servicio: los fallidos intentos de autorización significa que se cambió la contraseña. ¿Quién la cambió? Hay dos posibilidades: o un funcionario del proveedor del servicio o un ciberdelincuente. En el primer caso, el usuario obtendrá una nueva contraseña o una notificación sobre el cambio de su contraseña enviada por correo electrónico u otra vía. Si fue el ciberdelincuente, esto no sucederá.

¿Qué se puede hacer si el troyano realizó su función maliciosa y se autoeliminó del sistema? Primeramente, hay que asegurarse de que el ordenador esté completamente limpio; para ello se debe escanearlo con un programa antivirus. Después, y de ser posible, se recomienda cambiar todas las contraseñas que el troyano hubiera robado. Para ello, trate de recordar qué programas requieren contraseñas y trate de ingresar estas contraseñas. Si lo logra, inmediatamente proceda a cambiar las contraseñas. También es aconsejable alertar a todos los usuarios en su lista de contactos y pedirles que no respondan a ningún pedido de préstamo de dinero en su nombre a través de mensajes instantáneos, y por supuesto, no intente ver fotos accionando vínculos enviados en mensajes instantáneos.

La instalación de la última versión de ICQ descargada del sitio oficial de ICQ puede ayudar a prevenir la ejecución de códigos arbitrarios en el sistema, lo cual es posible con una vulnerabilidad en ICQ 6.x relacionada con el procesamiento del código HTML.

Recomendamos realizar las siguientes acciones para proteger su sistema contra mensajes ICQ no deseados.

Ya que los autores de mensajes no deseados pueden verificar el estado de un usuario de ICQ visitando un sitio Internet, es aconsejable bloquear esta característica al usar su cliente ICQ. Los envíos de mensajes no deseados van dirigidos a usuarios activos de Chat en ICQ, o que al menos siempre estén en línea. Por lo tanto, es mejor activar y permanecer en modo invisible siempre que sea posible. Sin embargo, algunos programas pueden informar a otros usuarios si Ud. está realmente desconectado o está en modo invisible. En esta situación, se puede utilizar un programa robot (bot), un sencillo módulo compatible con algunos clientes de mensajería instantánea, como QIP. La siguiente toma de pantalla muestra la configuración de un simple programa robot antispam.

Figura 7. Configuración de un sencillo bot antispam.

¿Cómo funciona un programa robot antispam? Si un usuario que no figura en su lista de contactos quiere chatear con Ud., tendrá que responder a una pregunta antes de hacerlo. No podrá escribirle nada hasta que responda a la pregunta. Es aconsejable recurrir a preguntas cuya respuesta la sepan todos, como por ejemplo, “Cuánto es 2+2*2?” o “¿Cómo se llama nuestro planeta?”. Si el usuario escribe “6” o “Tierra” respectivamente, y envía el mensaje, entonces podrá escribirle. Esta protección es suficiente para bloquear varios programas robot dedicados a enviar mensajes no deseados, aunque algunos pueden ser lo suficientemente inteligentes para responder a las preguntas más comunes, es decir, las predeterminadas en los módulos de protección.

Conclusión

Los programas de mensajería instantánea son muy atractivos para los ciberdelincuentes de toda calaña, lo que hace que el problema de la distribución de programas maliciosos a través de clientes de mensajería instantánea, adquiera especial importancia. Las nuevas versiones de clientes de mensajería instantánea contienen vulnerabilidades que aún permanecen desconocidas; los hackers podrían detectarlas antes que los mismos desarrolladores del programa. Estas situaciones pueden dar origen a grandes epidemias. Algunos usuarios también están hartos de recibir mensajes instantáneos spam.

Actualmente, no existen herramientas para la protección específica de los clientes de mensajería instantánea. Sin embargo, la observación de sencillas reglas de “higiene informática”, contar con un programa robot antispam bien configurado, tener sentido común ser y precavido ayuda al usuario a disfrutar de una comunicación en línea sin problemas.