Virus informtico

Un virus informtico es un malware que tiene por objeto alterar el normal funcionamiento
de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente,
reemplazan archivos ejecutables por otros infectados con el cdigo de este. Los virus
pueden destruir, de manera intencionada, los datos almacenados en un ordenador,
aunque tambin existen otros ms inofensivos, que solo se caracterizan por ser molestos.
Los virus informticos tienen, bsicamente, la funcin de propagarse a travs de un
software, no se replican a s mismos por que no tienen esa facultad como el gusano
informtico, son muy nocivos y algunos contienen adems una carga daina (payload) con
distintos objetivos, desde una simple broma hasta realizar daos importantes en los
sistemas, o bloquear las redes informticas generando trfico intil.
El funcionamiento de un virus informtico es conceptualmente simple. Se ejecuta un
programa que est infectado, en la mayora de las ocasiones, por desconocimiento del
usuario. El cdigo del virus queda residente (alojado) en la memoria RAM de la
computadora, aun cuando el programa que lo contena haya terminado de ejecutarse. El
virus toma entonces el control de los servicios bsicos del sistema operativo, infectando,
de manera posterior, archivos ejecutables que sean llamados para su ejecucin.
Finalmente se aade el cdigo del virus al programa infectado y se graba en el disco, con
lo cual el proceso de replicado se completa.

Historia
El primer virus que atac a una mquina IBM Serie 360 (y reconocido como tal), fue
llamado Creeper, creado en 1972. Este programa emita peridicamente en la pantalla el
mensaje: I'm a creeper... catch me if you can! (soy una enredadera, agrrenme si
pueden). Para eliminar este problema se cre el primer programa antivirus denominado
Reaper (cortadora).
Sin embargo, el trmino virus no se adoptara hasta 1984, pero stos ya existan desde
antes. Sus inicios fueron en los laboratorios de Bell Computers. Cuatro programadores (H.
Douglas Mellory, Robert Morris, Victor Vysottsky y Ken Thompson) desarrollaron un juego
llamado Core War, el cual consista en ocupar toda la memoria RAM del equipo contrario
en el menor tiempo posible.
Despus de 1984, los virus han tenido una gran expansin, desde los que atacan los
sectores de arranque de disquetes hasta los que se adjuntan en un correo electrnico.
Virus informticos y sistemas operativos
Los virus informticos afectan en mayor o menor medida a casi todos los sistemas ms
conocidos y usados en la actualidad.
Cabe aclarar que un virus informtico slo atacar el sistema operativo para el que fue
desarrollado.
MS-Windows
Las mayores incidencias se dan en el sistema operativo Windows debido, entre otras
causas:
Su gran popularidad, como sistema operativo, entre los ordenadores personales, PC. Se
estima que, en el 2007, un 90% de ellos usa Windows. Esta popularidad basada en la
facilidad de uso sin conocimiento previo alguno, facilita la vulnerabilidad del sistema para
el desarrollo de los virus, y as atacar sus puntos dbiles, que por lo general son
abundantes.

Falta de seguridad en esta plataforma (situacin a la que Microsoft est dando en los
ltimos aos mayor prioridad e importancia que en el pasado). Al ser un sistema muy
permisivo con la instalacin de programas ajenos a ste, sin requerir ninguna
autentificacin por parte del usuario o pedirle algn permiso especial para ello (en los
Windows basados en NT se ha mejorado, en parte, este problema).

Software como Internet Explorer y Outlook Express, desarrollados por Microsoft e
incluidos de forma predeterminada en las ltimas versiones de Windows, son conocidos
por ser vulnerables a los virus ya que stos aprovechan la ventaja de que dichos
programas estn fuertemente integrados en el sistema operativo dando acceso completo,
y prcticamente sin restricciones, a los archivos del sistema.

La escasa formacin de un nmero importante de usuarios de este sistema, lo que
provoca que no se tomen medidas preventivas por parte de estos, ya que este sistema
est dirigido de manera mayoritaria a los usuarios no expertos en Informtica. Esta
situacin es aprovechada constantemente por los programadores de virus.
Unix y derivados
En otros sistemas operativos como las distribuciones GNU/Linux, BSD, OpenSolaris, Solaris,
Mac OS X y otros basados en Unix las incidencias y ataques son prcticamente inexistentes.
Esto se debe principalmente a:
Tradicionalmente los programadores y usuarios de sistemas basados en Unix han
considerado la seguridad como una prioridad por lo que hay mayores medidas frente a
virus tales como la necesidad de autenticacin por parte del usuario como administrador o
root para poder instalar cualquier programa adicional al sistema.

Los directorios o carpetas que contienen los archivos vitales del sistema operativo cuentan
con permisos especiales de acceso, por lo que no cualquier usuario o programa puede
acceder fcilmente a ellos para modificarlos o borrarlos. Existe una jerarqua de permisos
y accesos para los usuarios.

Relacionado al punto anterior, a diferencia de los usuarios de Windows, la mayora de los
usuarios de sistemas basados en Unix no pueden normalmente iniciar sesiones como
usuarios "administradores' o por el superusuario root, excepto para instalar o configurar
software, dando como resultado que, incluso si un usuario no administrador ejecuta un
virus o algn software malicioso, ste no daara completamente el sistema operativo ya
que Unix limita el entorno de ejecucin a un espacio o directorio reservado llamado
comnmente home.

Estos sistemas, a diferencia de Windows, son usados para tareas ms complejas como
servidores que por lo general estn fuertemente protegidos, razn que los hace menos
atractivos para un desarrollo de virus o software malicioso.

En el caso particular de las distribuciones basadas en GNU/Linux y gracias al modelo
colaborativo, las licencias libres y debido a que son mas populares que otros sistemas Unix,
la comunidad aporta constantemente y en un lapso de tiempo muy corto actualizaciones
que resuelven bugs y/o agujeros de seguridad que pudieran ser aprovechados por algn
malware.
Caractersticas
Dado que una caracterstica de los virus es el consumo de recursos, los virus ocasionan
problemas tales como: prdida de productividad, cortes en los sistemas de informacin o
daos a nivel de datos.
Una de las caractersticas es la posibilidad que tienen de diseminarse por medio de
replicas y copias. Las redes en la actualidad ayudan a dicha propagacin cuando stas no
tienen la seguridad adecuada.
Otros daos que los virus producen a los sistemas informticos son la prdida de
informacin, horas de parada productiva, tiempo de reinstalacin, etc.
Hay que tener en cuenta que cada virus plantea una situacin diferente.
Mtodos de propagacin
Existen dos grandes clases de contagio. En la primera, el usuario, en un momento dado,
ejecuta o acepta de forma inadvertida la instalacin del virus. En la segunda, el programa
malicioso acta replicndose a travs de las redes. En este caso se habla de gusanos.
En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie
de comportamientos anmalos o imprevistos. Dichos comportamientos pueden dar una
pista del problema y permitir la recuperacin del mismo.
Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn las
siguientes:
Mensajes que ejecutan automticamente programas (como el programa de correo que
abre directamente un archivo adjunto).
Ingeniera social, mensajes como ejecute este programa y gane un premio.
Entrada de informacin en discos de otros usuarios infectados.
Instalacin de software modificado o de dudosa procedencia.
En el sistema Windows puede darse el caso de que el ordenador pueda infectarse sin
ningn tipo de intervencin del usuario (versiones Windows 2000, XP y Server 2003) por
virus como Blaster, Sasser y sus variantes por el simple hecho de estar la mquina
conectada a una red o a Internet.

Este tipo de virus aprovechan una vulnerabilidad de desbordamiento de bfer y puertos
de red para infiltrarse y contagiar el equipo, causar inestabilidad en el sistema, mostrar
mensajes de error, reenviarse a otras mquinas mediante la red local o Internet y hasta
reiniciar el sistema, entre otros daos. En las ltimas versiones de Windows 2000, XP y
Server 2003 se ha corregido este problema en su mayora.
Mtodos de proteccin y tipos
Los mtodos para disminuir o reducir los riesgos asociados a los virus pueden ser los
denominados activos o pasivos.
Activos
Antivirus: son programas que tratan de descubrir las trazas que ha dejado un software
malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la
contaminacin. Tratan de tener controlado el sistema mientras funciona parando las vas
conocidas de infeccin y notificando al usuario de posibles incidencias de seguridad.
Filtros de ficheros: consiste en generar filtros de ficheros dainos si el ordenador est
conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos o
usando tcnicas de firewall. En general, este sistema proporciona una seguridad donde no
se requiere la intervencin del usuario, puede ser muy eficaz, y permitir emplear
nicamente recursos de forma ms selectiva.
Pasivos
Evitar introducir a tu equipo medios de almacenamiento extrables que consideres que
pudieran estar infectados con algn virus.
No instalar software "pirata".
Evitar descargar software de Internet.
No abrir mensajes provenientes de una direccin electrnica desconocida.
No aceptar e-mails de desconocidos.
Generalmente, suelen enviar "fotos" por la web, que dicen llamarse "mifoto.jpg", tienen
un cono cuadrado blanco, con una lnea azul en la parte superior. En realidad, no estamos
en presencia de una foto, sino de una aplicacin Windows (*.exe). Su verdadero nombre
es "mifoto.jpg.exe", pero la parte final "*.exe" no la vemos porque Windows tiene
deshabilitada (por defecto) la visualizacin de las extensiones registradas, es por eso que
solo vemos "mifoto.jpg" y no "mifoto.jpg.exe". Cuando la intentamos abrir (con doble
click) en realidad estamos ejecutando el cdigo de la misma, que corre bajo MS-DOS.
Acciones de los virus
Algunas de las acciones de algunos virus son:
Unirse a un programa instalado en el ordenador permitiendo su propagacin.
Mostrar en la pantalla mensajes o imgenes humorsticas, generalmente molestas.
Ralentizar o bloquear el ordenador.
Destruir la informacin almacenada en el disco, en algunos casos vital para el sistema, que
impedir el funcionamiento del equipo.










TIPOS DE VIRUS
Troyano
Se denomina troyano o caballo de Troya a un software malicioso que bajo una apariencia
inofensiva se ejecuta de manera oculta en el sistema y permite el acceso remoto de un
usuario no autorizado al sistema. El trmino viene de la historia del Caballo de Troya
mencionado en la Ilada de Homero.
Un troyano no es un virus informtico, las principales diferencias son que los troyanos no
propagan la infeccin a otros sistemas por s mismos y necesitan recibir instrucciones de
un individuo para realizar su propsito.
Propsitos de los troyanos
Los troyanos estn diseados para permitir a un individuo el acceso remoto a un sistema.
Una vez el troyano ha sido instalado en el sistema remoto el individuo puede acceder al
sistema de forma remota y realizar diferentes acciones sin necesitar permiso. Las acciones
que el individuo puede realizar en el equipo remoto dependen de los privilegios que tenga
el usuario en el ordenador remoto y de las caractersticas del troyano.
Algunas de las operaciones que se pueden llevar a cabo en el ordenador remoto son:
Utilizar la mquina como parte de una botnet (por ejemplo para realizar ataques de
denegacin de servicio o envo de correo no deseado).
Instalacin de otros programas (incluyendo otros programas maliciosos).
Robo de informacin personal: informacin bancaria, contraseas, cdigos de seguridad.
Borrado, modificacin o transferencia de archivos (descarga o subida).
Ejecutar o terminar procesos.
Apagar o reiniciar el equipo.
Monitorizar las pulsaciones del teclado.
Realizar capturas de pantalla.
Ocupar el espacio libre del disco duro con archivos intiles.
De acuerdo con un estudio de la empresa responsable del software de seguridad
BitDefender desde enero hasta junio de 2009, "El nmero de troyanos est creciendo,
representan el 83% del malware detectado"
Caractersticas de los troyanos
Los troyanos estn compuestos principalmente por dos programas: un cliente, que enva
las rdenes que se deben ejecutar en la computadora infectada y un servidor situado en la
computadora infectada, que recibe las rdenes del cliente, las ejecuta y casi siempre
devuelve un resultado al programa cliente. Atendiendo a la forma en la que se realiza la
conexin entre el cliente y el servidor se pueden clasificar en:
Conexin directa (el cliente se conecta al servidor).
Conexin inversa (el servidor se conecta al cliente).
La conexin inversa tiene claras ventajas sobre la conexin directa, esta traspasa algunos
firewalls (la mayora de los firewall no analizan los paquetes que salen de la computadora,
pero que s analizan los que entran), pueden ser usados en redes situadas detrs de un
router sin problemas (no es necesario redirigir los puertos) y no es necesario conocer la
direccin IP del servidor.
Cabe destacar que existen otro tipo de conexiones, que no son de equipo vctima a equipo
atacante, sin que utilitzan un servidor intermedio, normalmente ajeno a ambos, para
realizar el proceso de control. Se suele utilizar para este propsito el protocolo IRC o
incluso FTP, HTTP u otros.
Formas de infectarse con troyanos
La mayora de infecciones con troyanos ocurren cuando se ejecuta un programa infectado
con un troyano. Estos programas pueden ser de cualquier tipo, desde instaladores hasta
presentaciones de fotos. Al ejecutar el programa, este se muestra y realiza las tareas de
forma normal, pero en un segundo plano y al mismo tiempo se instala el troyano. El
proceso de infeccin no es visible para el usuario ya que no se muestran ventanas ni
alertas de ningn tipo. Evitar la infeccin de un troyano es difcil, algunas de las formas
ms comunes de infectarse son:
Descarga de programas de redes p2p y sitios web que no son de confianza.
Pginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o
aplicaciones Java).
Exploits para aplicaciones no actualizadas (navegadores, reproductores multimedia,
clientes de mensajera instantnea).
Ingeniera social (por ejemplo un cracker manda directamente el troyano a la vctima a
travs de la mensajera instantnea).
Archivos adjuntos en correos electrnicos y archivos enviados por mensajera instantnea.

Debido a que cualquier programa puede realizar acciones maliciosas en un ordenador hay
que ser cuidadoso a la hora de ejecutarlos. Estos pueden ser algunos buenos consejos
para evitar infecciones:
Disponer de un programa antivirus actualizado regularmente para estar protegido contra
las ltimas amenazas.
Disponer de un firewall correctamente configurado, algunos antivirus lo traen integrado.
Tener instalados los ltimos parches y actualizaciones de seguridad del sistema operativo.
Descargar los programas siempre de las pginas web oficiales o de pginas web de
confianza.
No abrir los datos adjuntos de un correo electrnico si no conoces al remitente.
Evitar la descarga de software de redes p2p, el contenido multimedia no es peligroso.

Eliminacin de troyanos
Una de las principales caractersticas de los troyanos es que no son visibles para el usuario.
Un troyano puede estar ejecutndose en un ordenador durante meses sin que el usuario
perciba nada. Esto hace muy difcil su deteccin y eliminacin de forma manual. Algunos
patrones para identificarlos son: un programa desconocido se ejecuta al iniciar el
ordenador, se crean o borran archivos de forma automtica, el ordenador funciona ms
lento de lo normal, errores en el sistema operativo.
Por otro lado los programas antivirus estn diseados para eliminar todo tipo de software
malicioso, adems de eliminarlos tambin previenen de nuevas infecciones actuando
antes de que el sistema resulte infectado. Es muy recomendable tener siempre un
antivirus instalado en el equipo y a ser posible tambin un firewall.







Gusano
Un gusano es un malware que tiene la propiedad de duplicarse a s mismo. Los gusanos
utilizan las partes automticas de un sistema operativo que generalmente son invisibles al
usuario.
A diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino que
reside en la memoria y se duplica a s mismo. Los gusanos casi siempre causan problemas
en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus
siempre infectan o corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su
incontrolada replicacin, los recursos del sistema se consumen hasta el punto de que las
tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden
ejecutarse.
Los gusanos se basan en una red de computadoras para enviar copias de s mismos a otros
nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin
intervencin del usuario propagndose, utilizando Internet, basndose en diversos
mtodos, como SMTP, IRC, P2P entre otros.
Origen de la palabra
El nombre proviene de The Shockwave Rider, una novela de ciencia ficcin publicada en
1975 por John Brunner. Los investigadores John F. Shoch y John A. Hupp de Xerox PARC
eligieron el nombre en un artculo publicado en 1982; The Worm Programs, Comm ACM,
25(3):172-180
Ntese que el trmino ingls worm tambin tiene otra acepcin dentro del mundo de la
informtica: Worm (acrnimo ingls: "write once, read many"), perteneciente a las
tecnologas de almacenamiento de datos. No debe ser confundido con el de gusano
informtico.
Historia
El primer gusano informtico de la historia data de 1988, cuando el gusano Morris infect
una gran parte de los servidores existentes hasta esa fecha. Su creador, Robert Tappan
Morris, fue sentenciado a tres aos de libertad condicional, 400 horas de servicios a la
comunidad y una multa de 10.050 dlares. Fue este hecho el que alent a las principales
empresas involucradas en la seguridad de tecnologas de la informacin a desarrollar los
primeros cortafuegos.
Bulo
Un bulo (en ingls hoax) o noticia falsa es un intento de hacer creer a un grupo de
personas que algo falso es real. En el idioma espaol el trmino se populariz
principalmente al referirse a engaos masivos por medios electrnicos especialmente
Internet.
A diferencia del fraude el cual tiene normalmente una o varias vctimas y es cometido con
propsitos delictivos y de lucro ilcito, el bulo tiene como objetivo el ser divulgado de
manera masiva haciendo uso de los medios de comunicacin, siendo el ms popular de
ellos en la actualidad Internet, encontrando su mxima expresin en los foros y en las
cadenas de mensajes de los correos electrnicos. No suelen tener fines lucrativos o no son
su fin primario y sin embargo pueden llegar a resultar muy destructivos.
Las personas que crean bulos tienen diversas motivaciones dentro de las que se
encuentran el satisfacer su amor propio; el estar amargado con el trabajo en la empresa
arremetiendo contra ella o sus trabajadores (hoy es muy fcil a travs de internet); la
intencin de hacer una broma para avergonzar o sealar a alguien o la pretensin de
provocar un cambio social haciendo que la gente se sienta prevenida frente a algo o
alguien; querer mofarse y hacer evidente la credulidad de las personas y de los medios de
comunicacin; tambin suele ser caracterstico dentro de los autores de bulo el querer
que los dems se adscriban a una determinada idea o pensamiento.
Bulo informtico
Es un mensaje de correo electrnico con contenido falso o engaoso y atrayente.
Normalmente es distribuido en cadena por sus sucesivos receptores debido a su
contenido impactante que parece provenir de una fuente seria y fiable o porque el mismo
mensaje pide ser reenviado.
Las personas que crean bulo suelen tener alguno de los siguientes objetivos:
Captar direcciones de correo (para mandar spam, virus, mensajes con phishing o ms bulo
a gran escala)
Intentar engaar al destinatario para que revele su contrasea o acepte un archivo de
malware.
Confundir o manipular a la opinin pblica de la sociedad


Bsicamente, los bulos se dividen en las siguientes categoras:
Alertas sobre virus incurables
Falacias sobre personas, instituciones o empresas
Mensajes de temtica religiosa
Cadenas de solidaridad
Cadenas de la suerte
Mtodos para hacerse millonario
Regalos de grandes compaas
Leyendas urbanas
Otras cadenas
Estudios realizados
La Asociacin de Internautas, grupo independiente de internautas en pro de los derechos
de los usuarios de Internet, ha realizado un estudio independiente a 3.129 internautas
demostrando que 7 de cada 10 no saben distinguir entre una noticia falsa o un rumor/
bulo.
Pautas para reconocer un bulo en Internet
Algunas de las pautas para reconocer si cierta informacin es un bulo o no son:
1) Los bulos son annimos, no citan fuentes (ya que carecen de las mismas) y no
estn firmados para evitar repercusiones legales

2) Los bulos carecen de fecha de publicacin y estn redactados de la manera ms
atemporal posible para que pervivan el mximo tiempo circulando en la red

3) Los bulos contienen un gancho para captar la atencin del internauta. El xito del
bulo residir en cun morboso, monetario, generador de miedo sea su gancho y
sobre todo en la manera que encaja con la coyuntura del entorno.

a) Ejemplo Hotmail: Hotmail cerrar sus cuentas. Perdida de contactos y multa de
una gran cantidad de dinero (Gancho de miedo basado en valor monetario)

b) Ejemplo Actimel: Actimel es malo para la salud. Produces L. Casei y dejas de
fabricar defensas (Gancho de miedo basado en la salud)

c) Ejemplo Redbull: Redbull contiene veneno en su composicin qumica (Gancho
de miedo basado en el dao a la salud)

d) Ejemplo Telfono mvil: Recibes una llamada telefnica en dnde en lugar de un
nmero de telfono aparece la palabra "INVIABLE!!". Si aceptas o rechazas la
llamada el extorsionador accede a la SIM de tu telfono, la duplica y la usa para
llamar desde la crcel (Gancho de miedo basado en ser vctima de una estafa)

4) Los bulos estn por general escritos en castellano neutro (en el caso de que este
sea el idioma utilizado), para facilitar la difusin a nivel internacional.

5) Los bulos normalmente contienen una peticin de reenvo: Se solicita el reenvo
para alertar a otras personas, para evitar mala suerte, para evitar la muerte, o con
cualquier otro motivo. El objetivo de esta peticin de reenvo reside en captar
direcciones IP, crear bases de datos, realizar posteriores campaas de SPAM o
simplemente difundir la informacin falsa el mximo posible












SPYWARE
Un programa espa, traduccin del ingls spyware, es un programa, dentro de la categora
malware, que se instala furtivamente en una computadora para recopilar informacin
sobre las actividades realizadas en ella. La funcin ms comn que tienen estos programas
es la de recopilar informacin sobre el usuario y distribuirlo a empresas publicitarias u
otras organizaciones interesadas, pero tambin se han empleado en organismos oficiales
para recopilar informacin contra sospechosos de delitos, como en el caso de la piratera
de software. Adems pueden servir para enviar a los usuarios a sitios de internet que
tienen la imagen corporativa de otros, con el objetivo de obtener informacin importante.
Dado que el spyware usa normalmente la conexin de una computadora a Internet para
transmitir informacin, consume ancho de banda, con lo cual, puede verse afectada la
velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a la
red
Entre la informacin usualmente recabada por este software se encuentran: los mensajes,
contactos y la clave del correo electrnico; datos sobre la conexin a Internet, como la
direccin IP, el DNS, el telfono y el pas; direcciones web visitadas, tiempo durante el cual
el usuario se mantiene en dichas web y nmero de veces que el usuario visita cada web;
software que se encuentra instalado; descargas realizadas; y cualquier tipo de informacin
intercambiada, como por ejemplo en formularios, con sitios web, incluyendo nmeros de
tarjeta de crdito y cuentas de banco, contraseas, etc.
Los programas espa pueden ser instalados en un ordenador mediante un virus, un
troyano que se distribuye por correo electrnico, como el programa Magic Lantern
desarrollado por el FBI, o bien puede estar oculto en la instalacin de un programa
aparentemente inocuo. Algunos programas descargados de sitios no confiables pueden
tener instaladores con spyware y otro tipo de malware.
Los programas de recoleccin de datos instalados con el conocimiento del usuario no son
realmente programas espas si el usuario comprende plenamente qu datos estn siendo
recopilados y a quin se distribuyen.
Los cookies son archivos en los que almacena informacin sobre un usuario de internet en
su propio ordenador, y se suelen emplear para asignar a los visitantes de un sitio de
Internet un nmero de identificacin individual para su reconocimiento subsiguiente. La
existencia de los cookies y su uso generalmente no estn ocultos al usuario, quien puede
desactivar el acceso a la informacin de los cookies; sin embargo, dado que un sitio Web
puede emplear un identificador cookie para construir un perfil de un usuario y que dicho
usuario no conoce la informacin que se aade a este perfil, se puede considerar al
software que transmite informacin de las cookies, sin que el usuario consienta la
respectiva transferencia, una forma de spyware.
Por ejemplo, una pgina con motor de bsqueda puede asignar un nmero de
identificacin individual al usuario la primera vez que visita la pgina, y puede almacenar
todos sus trminos de bsqueda en una base de datos con su nmero de identificacin
como clave en todas sus prximas visitas (hasta que el cookie expira o se borra). Estos
datos pueden ser empleados para seleccionar los anuncios publicitarios que se mostrarn
al usuario, o pueden ser transmitidos (legal o ilegalmente) a otros sitios u organizaciones.
Algunos ejemplos de programas espa conocidos son Gator, o Bonzi Buddy
Windows Genuine Advantage (Ventajas de Windows
Original)
A pesar de que esta herramienta es de Microsoft, algunos usuarios, tanto originales como
no originales, la califican como "Spyware"; pues lo que esta herramienta hace es verificar
la legitimidad de la licencia de Windows o del paquete Office. Si la clave de producto no es
genuina, Windows despliega ventanas de advertencia que solicitan al usuario que
adquiera una licencia de Microsoft. Adems restringe el acceso a actualizaciones de
seguridad y nuevas versiones de DirectX, Windows Defender, Internet Explorer y otros
productos de Microsoft.
Esta actualizacin viene marcada como ", aunque no es de seguridad, y por tanto se
obtiene habitualmente a travs del servicio de actualizaciones automticas. Una vez
instalada, WGA se conecta a Microsoft cada vez que la computadora est conectada a
Internet. Este comportamiento ha sido criticado por algunos usuarios, que lo tachan de
spyware, y por otros a los que, pese a tener una licencia original, se les informa de que su
licencia no es legtima. Este "spyware" estara dentro de la clasificacin de tipo "bueno",
junto con otros similares de empresas como Ahead (productora del popular Nero), Adobe,
etc. En sentido estricto esta utilidad no es obligatoria, dado que el usuario puede
modificar los ajustes del servicio de actualizaciones automticos para ser informado
previamente de su descarga o instalacin.

Principales sntomas de infeccin son:
Cambio de la pgina de inicio, error en bsqueda del navegador web.
Aparicin de ventanas "pop-ups", incluso sin estar conectados y sin tener el navegador
abierto, la mayora son temas pornogrficos y comerciales (por ejemplo, la salida al
mercado de un nuevo producto).
Barras de bsquedas de sitios como la de Alexa, Hotbar, MyWebSearch, FunWeb, etc. que
no se pueden eliminar.
Creacin de carpetas tanto en el directorio raz, como en "Archivos de programas",
"Documents and Settings" y "WINDOWS".
Modificacin de valores de registro.
La navegacin por la red se hace cada da ms lenta, y con ms problemas.
Aumento notable en el tiempo que toma el computador en iniciar, debido a la carga
requerida por el spyware que se ejecuta en ese momento, alterando el registro con el fin
de que el spyware se active a cada inicio.
Al hacer click en un vnculo el usuario retorna de nuevo a la misma pgina que el software
espa hace aparecer.
Botones que aparecen en la barra de herramientas del navegador y no se pueden quitar.
Aparicin de un mensaje de infeccin no propio del sistema, as como un enlace web para
descargar un supuesto antispyware.
Al acceder a determinados sitios sobre el escritorio se oculta o bloquea tanto el panel de
control como los iconos de programas.
Denegacin de servicios de correo y mensajera instantnea.












Polimorfismo
En relacin a los virus informticos un cdigo polimrfico o polimorfismo es aquel que se
sirve de un motor polimrfico para mutarse a s mismo mientras mantiene su algoritmo
original intacto. Esta tcnica es utilizada comnmente por virus informticos y gusanos
para ocultar su presencia.
Muchos productos antivirus y sistemas de deteccin de intrusiones intentan localizar
programas maliciosos mediante bsquedas en los archivos de la computadora y en los
paquetes enviados a travs de una red informtica. Si ese software encuentra patrones de
cdigo que coinciden con una amenaza conocida toman los pasos apropiados para
neutralizar esa amenaza.
Los algoritmos polimrficos dificultan la deteccin de ese cdigo malicioso modificndolo
constantemente.
En la mayora de casos los programas maliciosos que usan de tcnicas de polimorfismo lo
hacen conjuntamente con tcnicas de cifrado, en esos casos el programador malicioso usa
cifrado para evitar la deteccin de la mayor parte del cdigo, y tcnicas de polimorfismo
para modificar la propia rutina de descifrado.
El primer caso de virus informtico polimrfico conocido fue el 1260 creado por Mark
Washburn en 1990. Otros virus informticos de esta clase son el creado por Dark Avenger
en 1992 (Dark Avenger publicara ms tarde su famosos Mutation engine, un motor
polimrfico que muchos otros creadores de virus usaran ms tarde en sus creaciones), y
ILoveYou en 2000.
Ejemplo simple
Un algoritmo que usa, por ejemplo, las variables A y B, pero no la variable C, puede
permanecer intacto incluso tras aadir grandes cantidades de cdigo que modifiquen la
variable C





Algoritmo original:
Inicio:
GOTO Codigo_De_Descifrado
Cifrado:
...
Mucho cdigo cifrado
...
Codigo_De_Descifrado:
A = Cifrado
Loop:
B = *A
B = B XOR ClaveDeDescifrado
*A = B
A = A + 1
GOTO Loop IF NOT A = Codigo_De_Descifrado
GOTO Cifrado
ClaveDeDescifrado:
numero_aleatorio
El mismo algoritmo con cdigo innecesario que modifica la variable C:
Inicio:
GOTO Codigo_De_Descifrado
Cifrado:
...
Mucho cdigo cifrado
...
Codigo_De_Descifrado:
A = Cifrado
C = 3
Loop:
B = *A
C = C + B
B = B XOR ClaveDeDescifrado
*A = B
C = C * A
A = A + 1
C = C + 20
GOTO Loop IF NOT A = Codigo_De_Descifrado
C = A + C
C = 2 + B
GOTO Cifrado
ClaveDeDescifrado:
numero_aleatorio


El cdigo dentro de la seccin "Cifrado" puede posteriormente buscar el cdigo entre
"Codigo_De_Descifrado" y "ClaveDeDescifrado" eliminando todo el cdigo que altere la
variable C. Antes de que el algoritmo de cifrado sea usado de nuevo, puede aadir de
nuevo cdigo que afecte a a la variable C, o incluso modificar el cdigo del algoritmo por
nuevo cdigo con la misma finalidad.
Normalmente el creador del virus informtico utiliza una clave nula (con valor cero) en la
primera generacin del virus, esto hace que sea todo ms fcil para el desarrollador ya
que con esta clave el virus no se encuentra cifrado. Luego para las siguientes infecciones
puede implementar una clave incremental o aleatoria.

















Rogue software
El Rogue software (en espaol, software bandido) es un tipo de programa informtico
malintencionado cuya principal finalidad es hacer creer que una computadora est infectada
por algn tipo de virus, induciendo a pagar una determinada suma de dinero para eliminarlo.
Transmisin
Este tipo de software suele descargarse e instalarse de forma oculta y en contra de la
voluntad del usuario directamente desde Internet.
Sin embargo, en ocasiones se presenta bajo la forma de la versin de prueba de un producto
antimalware que el usuario descarga de forma voluntaria.
Efectos
El objetivo principal de este tipo de software es vender un producto anti-malware.
Para conseguir su cometido, suelen reproducir falsas advertencias de Windows que
informan al usuario que su PC est infectada por un malware, agregando un hipervnculo
que lleva a la pgina de descarga de un programa de seguridad de pago.
Ocasionalmente, esta pgina web puede instalar ms software malintencionado en el
ordenador en contra de la voluntad del usuario.
En el caso de aquellos que se manifiestan bajo la forma de una versin de prueba, actan
generando falsos positivos a propsito detectando malware inexistente (aunque si lo
pensamos bien, es algo acertado el que tienes un virus informatico atacando tu ordenador,
pues es l mismo el que lo informa). Al ser una versin de prueba, informa al usuario que
para eliminarlos requerir comprar la versin completa de la aplicacin.






Keylogger
Un keylogger (derivado del ingls: Key (tecla) y Logger (Registrador); registrador de teclas.
Es un tipo de software que se encarga de registrar las pulsaciones que se realizan en el
teclado, para memorizarlas en un fichero y/o enviarlas a travs de internet.
Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan
acceso a contraseas importantes, como los nmeros de una tarjeta de crdito, u otro
tipo de informacin privada que se quiera obtener.
El registro de lo que se teclea puede hacerse tanto con medios de hardware como de
software. Los sistemas comerciales disponibles incluyen dispositivos que pueden
conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles
si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita
algn conocimiento de cmo soldarlos para instalarlos en el teclado). Escribir aplicaciones
para realizar keylogging es trivial y, como cualquier programa computacional, puede ser
distribuido a travs de un troyano o como parte de un virus informtico o gusano
informtico. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que slo
requiere clics del ratn. Sin embargo, la aplicaciones ms nuevas tambin registran
screenshots (capturas de pantalla) al realizarse un click, que anulan la seguridad de esta
medida. Cabe decir que esto podra ser falso ya que los eventos de mensajes del teclado
deben ser enviados al programa externo para que se escriba el texto, por lo que cualquier
keylogger podra registrar el texto escrito mediante un teclado virtual.

Registro de pulsaciones
El registro de las pulsaciones del teclado se puede alcanzar por medio de hardware y de
software:






Keylogger con hardware
Son dispositivos disponibles en el mercado que vienen en tres tipos:
1) Adaptadores en lnea que se intercalan en la conexin del teclado, tienen la ventaja de
poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser
eventualmente inadvertidos se detectan fcilmente con una revisin visual detallada.

2) Dispositivos que se pueden instalar dentro de los teclados estndares, requiere de
habilidad para soldar y de tener acceso al teclado que se modificar. No son detectables a
menos que se abra el cuerpo del teclado.

3) Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente
imperceptibles, a menos que se les busque especficamente.

Keylogger con software
Contrariamente a las creencias populares, un keylogger por software es simple de escribir,
con un conocimiento bsico de los API proporcionados por el sistema operativo del
objetivo. Los keyloggers de software se dividen en:
1) Basado en ncleo: Este mtodo es el ms difcil de escribir, y combatir. Tales keyloggers
residen en el nivel del ncleo y son as prcticamente invisibles. Derriban el ncleo del OS
y tienen casi siempre el acceso autorizado al hardware que los hace de gran alcance. Un
keylogger que usa este mtodo puede actuar como driver del teclado por ejemplo, y
accede as a cualquier informacin registrada en el teclado mientras que va al sistema
operativo.

2) Enganchados: Estos keyloggers registran las pulsacines de las teclas del teclado con las
funciones proporcionadas por el sistema operativo. El sistema operativo activa el
keylogger en cualquier momento en que se presione una tecla, y realiza el registro.

3) Mtodos creativos: Aqu el programador utiliza funciones como GetAsyncKeyState,
GetForegroundWindow, etc. stos son los ms fciles de escribir, pero como requieren la
revisin el estado de cada tecla varias veces por segundo, pueden causar un aumento
sensible en uso de la CPU y pueden ocasionalmente dejar escapar algunas pulsaciones del
teclado.
Proteccin
En algunas computadoras podemos darnos cuenta si es que estn infectadas por un
keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho
de que el programa registrara cada una de nuestras teclas de la siguiente manera:
FicheroLog = FicheroLog + UltimaTecla, este evento ser ejecutado por el keylogger cada
vez que el usuario presione una tecla. Si bien este evento no ser una carga relevante para
nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas
presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su
funcionamiento es demasiado lento podramos sospechar que un keylogger se ejecuta
sobre nuestro computador. Otro signo de que un keylogger se est ejecutando en nuestro
computador es el problema de la tilde doble () al presionar la tecla para acentuar vocales,
salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados
para otros idiomas. El problema desaparece al eliminarlo.
Monitor de procesos
En windows XP, generalmente presionando ctrl+alt+supr o yendo a
Inicio>Ejecutar>taskmgr>aceptar podremos acceder al monitor de procesos y aplicaciones
para averiguar que no se est ejecutando ningn keylogger. Es aconsejable contar con un
software anti-rootkit para detectar los procesos ocultos.
Anti-spyware
Los programas Anti-spyware pueden detectar muchos keyloggers y limpiarlos. Vendedores
responsables de supervisar la deteccin del software apoyan la deteccin de keyloggers,
as previniendo el abuso del software.
Firewall
Habilitar un cortafuegos o Firewall puede salvar el sistema del usuario no solo del ataque
de keyloggers, sino que tambin puede prevenir la descarga de archivos sospechosos,
troyanos, virus, y otros tipos de malware.
Los monitores de red
Los monitores de red (tambin conocidos como reverso-firewall) se pueden utilizar para
alertar al usuario cuando el keylogger use una conexin de red. Esto da al usuario la
posibilidad de evitar que el keylogger telefonee el hogar con la informacin
mecanografiada.
Software Anti-Keylogging
El software para la deteccin de Keyloggers est tambin disponible. Este tipo de software
graba una lista de todos los keyloggers conocidos. Los usuarios legtimos del PC pueden
entonces hacer, peridicamente, una exploracin de esta lista, y el software busca los
artculos de la lista en el disco duro. Una desventaja de este procedimiento es que protege
solamente contra los keyloggers listados, siendo vulnerable a los keyloggers desconocidos
o relativamente nuevos.
Otro software que detecta keyloggers no utiliza una lista de estos, sino que, por el
contrario, analiza los mtodos de funcionamiento de muchos mdulos en el PC,
permitindole bloquear el trabajo del supuesto keylogger. Una desventaja de este
procedimiento es que puede tambin bloquear software legtimos, que no son keyloggers.
Algunos keyloggers basados en heurstica tienen la opcin para desbloquear un software
conocido, aunque esto puede causar dificultades para los usuarios inexpertos.*
Otros mtodos
La mayora de los keyloggers pueden ser engaados, ya sea mediante mecanografiar las
credenciales de la conexin o mecanografiar caracteres en alguna parte en la ventana del
foco. De la misma manera, uno puede mover su cursor usando el ratn y usar el teclado,
haciendo que los golpes del teclado registrados estn en el orden incorrecto. Tambin se
puede copiar y pegar caracteres disponibles en la pantalla hasta formar la contrasea.










Pharming
Pharming es la explotacin de una vulnerabilidad en el software de los servidores DNS
(Domain Name System) o en el de los equipos de los propios usuarios, que permite a un
atacante redirigir un nombre de dominio (domain name) a otra mquina distinta. De esta
forma, un usuario que introduzca un determinado nombre de dominio que haya sido
redirigido, acceder en su explorador de internet a la pgina web que el atacante haya
especificado para ese nombre de dominio.
Origen de la palabra
La palabra pharming deriva del trmino farm (granja en ingls) y est relacionada con el
trmino phishing, utilizado para nombrar la tcnica de ingeniera social que, mediante
suplantacin de correos electrnicos o pginas web, intenta obtener informacin
confidencial de los usuarios, desde nmeros de tarjetas de crdito hasta contraseas.
El origen de la palabra se halla en que una vez que el atacante ha conseguido acceso a un
servidor DNS o varios servidores (granja de servidores o DNS), se dice que ha hecho un
pharming.
Controversia en el uso del trmino
En una conferencia organizada por el Antiphishing Working Group, Phillip Hallam-Baker
defini este trmino como "un neologismo de mercadotecnia diseado para convencer a
banqueros y empresarios de comprar nuevos equipos o accesorios de seguridad".
Si buscamos en un diccionario de ingls el trmino pharming, lo encontraremos definido
como "la produccin de frmacos a partir de plantas y animales modificados
genticamente".
Mtodo de funcionamiento del pharming
Todos los ordenadores conectados a internet tienen una direccin IP nica, que consiste
en 4 octetos (4 grupos de 8 dgitos binarios) de 0 a 255 separados por un punto (ej:
127.0.0.1). Estas direcciones IP son comparables a las direcciones postales de las casas, o
al nmero de los telfonos.
Debido a la dificultad que supondra para los usuarios tener que recordar esas direcciones
IP, surgieron los Nombres de Dominio, que van asociados a las direcciones IP del mismo
modo que los nombres de las personas van asociados a sus nmeros de telfono en una
gua telefnica.
Los ataques mediante pharming pueden realizarse de dos formas: directamente a los
servidores DNS, con lo que todos los usuarios se veran afectados, o bien atacando a
ordenadores concretos, mediante la modificacin del fichero "hosts" presente en
cualquier equipo que funcione bajo Microsoft Windows o sistemas Unix.
La tcnica de pharming se utiliza normalmente para realizar ataques de phishing,
redirigiendo el nombre de dominio de una entidad de confianza a una pgina web, en
apariencia idntica, pero que en realidad ha sido creada por el atacante para obtener los
datos privados del usuario, generalmente datos bancarios.
Casos reales de pharming
En julio de 2001, varios servidores ISP de Irlanda fueron atacados mediante pharming, y no
se resolvi hasta pasados ms de 5 das. Muchas empresas irlandesas se vieron afectadas.
El joven alicantino menor de edad que responda al nick DragonKing fue detenido ao y
medio ms tarde.
En enero de 2005, el nombre de dominio de Panix, un ISP de Nueva York, fue redirigido a
un sitio web en Australia.
Hushmail, un proveedor de Secure e-mail, fue atacado mediante pharming el 24 de abril
de 2005.
En marzo de 2005, el Senador Estadounidense Patrick Leahy introdujo un artculo de ley
Anti-phishing, que propona una condena de cinco aos de prisin y una sancin
econmica a los individuos que realizasen ataques de phishing o utilizasen informacin
obtenida mediante fraude online como phishing y pharming.
Anti-Pharming
Anti-Pharming es el trmino usado para referirse a las tcnicas utilizadas para combatir el
pharming.
Algunos de los mtodos tradicionales para combatir el pharming son la utilizacin de
software especializado, la proteccin DNS y el uso de addons para los exploradores web,
como por ejemplo toolbars.
El software especializado suele utilizarse en los servidores de grandes compaas para
proteger a sus usuarios y empleados de posibles ataques de pharming y phishing,
mientras que el uso de addons en los exploradores web permite a los usuarios domsticos
protegerse de esta tcnica.