Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Protección Contra El Malware y Otras Amenazas PDF
Protección Contra El Malware y Otras Amenazas PDF
ndice
Introduccin .................................................................................................................... 3
Proteccin contra el malware ........................................................................................ 3
Antivirus .............................................................................................................................................................................................4
Metodologas de deteccin .................................................................................................................................................. 5
Heurstica ......................................................................................................................................................................................6
Falsos positivos ..........................................................................................................................................................................7
Proteccin del correo electrnico............................................................................................................................................ 8
Identificacin de un correo falso ......................................................................................................................................... 9
Conclusin ..................................................................................................................... 16
Explicado, en los mdulos anteriores, todo el escenario de amenazas existente, el presente trabajo expone
buenas prcticas de seguridad tendientes a prevenir problemas de infeccin, minimizando la cantidad de
potenciales vctimas a travs de consejos tiles para cada una de las tecnologas y servicios ms populares.
Introduccin
Al igual que las tecnologas de informacin y comunicacin, los cdigos maliciosos se encuentran en
constante evolucin aumentando considerablemente el nivel de complejidad y agresin en cada una de
sus acciones maliciosas. Es por ello que la visin y filosofa de ESET contemplan la proteccin de manera
proactiva, no slo a travs de sus soluciones de seguridad sino tambin a travs de la educacin,
ofreciendo diferentes fuentes de informacin.
Teniendo en cuenta los mltiples aspectos que presenta el malware actual, es necesario incorporar como
hbito, en cuanto al uso de tecnologas de informacin, buenas prcticas tendientes a prevenir
potenciales problemas de infeccin y maximizar el grado de proteccin en los entornos de informacin.
El presente mdulo expone diferentes medidas de seguridad tendientes a prevenir problemas causados
por ejecucin de malware, minimizando el impacto sobre potenciales vctimas a travs de consejos tiles
para cada una de las tecnologas y los servicios ms populares.
La mayor parte de las buenas prcticas presentadas a lo largo del mdulo estn redactadas para las
plataformas masivamente utilizadas, especficamente diferentes versiones de Microsoft Windows. Sin
embargo, algunos de los consejos presentados tambin pueden ser empleados en otras plataformas
como GNU/Linux y Mac OS.
Antivirus
Un antivirus es un software que posee como funcin detectar, identificar y prevenir o eliminar, cdigos
maliciosos. Aunque su nombre proviene de su relacin con los virus informticos, en la actualidad son
soluciones antimalware que poseen proteccin contra gusanos, troyanos, virus, etc. 1; es decir, todo tipo
de cdigos maliciosos.
Como se menciona en la definicin, cuando un antivirus detecta un cdigo malicioso, se pueden tomar
acciones de prevencin o eliminacin del mismo. Esto depender de que el malware haya infectado el
sistema o no. Si el sistema ya se encuentra afectado, el antivirus deber eliminar el cdigo malicioso. Si el
sistema an no ha sido daado, el antivirus prevendr la infeccin.
La prevencin es la caracterstica ms deseable y el objetivo primario de un antivirus (y del usuario) debe
ser evitar que un sistema se infecte.
Los antivirus cuentan con dos mtodos de anlisis:
Bajo demanda: se realiza una exploracin de archivos, memoria y sectores de arranque cuando
el usuario lo solicita.
Dado que es ejecutado de forma manual, al utilizarse slo el anlisis bajo demanda, el usuario no contar
con proteccin total respecto a la prevencin contra amenazas. El anlisis en acceso ofrece tanto
prevencin como eliminacin de amenazas que se encuentren ya instaladas en el sistema. Por lo tanto, es
recomendable tener activado el monitor en tiempo real de la solucin antivirus instalada.
Un antivirus protege los siguientes componentes del sistema donde est instalado:
Comunicaciones: anlisis del trfico de la red que es accedida desde el sistema. En este contexto
se entiende comunicaciones como cualquier tipo de conexin que se realice a travs de cualquier
puerto de comunicacin y que permita a un sistema interactuar con el exterior (web, correo,
redes P2P, mensajera, etc.).
Cuando un antivirus detecta una amenaza, pueden realizarse las siguientes acciones:
Eliminacin: este procedimiento intenta quitar del sistema el cdigo malicioso que ha sido
encontrado. Slo funciona con gusanos, troyanos y cualquier otro tipo de malware que no
infecta archivos.
Cuarentena: es una carpeta donde son colocados los archivos detectados como dainos y no
pueden ser ejecutados. De esta forma, el cdigo malicioso no afectar el sistema, pero el usuario
podr acceder a l si lo considera necesario. Un cdigo malicioso que se encuentra en
cuarentena no es un peligro para el sistema.
Metodologas de deteccin
Desde sus orgenes, los antivirus cuentan con un mtodo de deteccin basado en firmas. Este consiste
en una base de datos generada por el fabricante que permite al software determinar si un archivo es o no
una amenaza. El sistema es sencillo: se coteja cada archivo a analizar con la base de datos y, si existe
coincidencia (es decir, existe en la base una firma que se corresponde con el archivo), se identifica el
material como cdigo malicioso.
El proceso de generacin de firmas es el siguiente:
1.
2.
3.
4.
El usuario actualiza el producto con la nueva base de firmas y comienza a detectar el malware
Recin a partir del ltimo paso el sistema estar protegido contra esta amenaza. Es decir, que la
deteccin por firmas es un mtodo reactivo de proteccin.
La demora para generar una firma es variable, y depende del tiempo que tarde en ser descubierta por el
laboratorio, de las caractersticas del cdigo malicioso y la dificultad para generar la firma. De una u otra
forma, se puede afirmar que la demora puede oscilar entre las 2 y las 10 horas; dependiendo tambin de
las diversas casas antivirus, y las caractersticas de trabajo de sus laboratorios.
Ntese tambin que si el usuario no actualiza su base de firmas, no estar protegido, incluso si el
laboratorio ya hubiera creado la firma para un cdigo malicioso. A esta razn se debe la importancia de
mantener los antivirus actualizados.
Debido a la alta velocidad de propagacin de nuevos cdigos maliciosos, y la gran cantidad de estos que
aparecen, el mtodo de deteccin basado en firmas se volvi, con el pasar de los aos, lento e
insuficiente. El malware se difunde como una epidemia, y las probabilidades de infeccin antes de
descargar una firma son muy altas.
Por lo tanto, se pueden resumir las tres principales desventajas del mtodo basado en firmas:
No es posible detectar virus desconocidos (nuevos, que no han sido captados an por el
laboratorio)
El sistema debe poseer una firma por cada variante de una amenaza (las pequeas
modificaciones a un archivo malicioso requieren de una nueva firma)
Heurstica
Por estos motivos aparecen los mtodos de deteccin heurstica, como complemento a la deteccin
basada en firmas. Es importante comprender que, a la fecha, la deteccin heurstica es un complemento a
la deteccin por firmas, y para una ptima proteccin son necesarios ambos mtodos, y as es como
trabajan la gran mayora de los antivirus en la actualidad.
La tcnica de deteccin heurstica emplea una serie de algoritmos inteligentes que permiten detectar
cdigos maliciosos nuevos y desconocidos. El anlisis heurstico posee un comportamiento basado en
reglas para diagnosticar que un archivo es potencialmente ofensivo. El motor analtico trabaja a travs de
su base de reglas, comparando el archivo con criterios que indican un posible malware, y se asigna cierto
puntaje cuando localiza una semejanza. Si la calificacin iguala o supera un umbral determinado, el
archivo es sealado como amenaza y procesado de acuerdo con ello.
De igual modo que un analista humano de malware intentara determinar la peligrosidad de un
determinado programa, analizando sus acciones y caractersticas (por ejemplo: modifica el registro, se
carga al inicio de sesin, etc.), el anlisis heurstico realiza el mismo proceso de toma de decisiones
inteligentes, actuando como un investigador virtual de malware.
Para graficar ms claramente los dos mtodos de deteccin con los que trabaja un antivirus, puede
imaginarse un guardia de seguridad en un aeropuerto, y sus formas de detectar amenazas (personas
peligrosas) en el mismo:
El guardia de seguridad puede tener un listado de personas peligrosas. Es la base de datos de las
fuerzas de seguridad de cualquier pas, en donde se posee una foto y nombre de aquellas
personas que son conocidas por cometer delitos, y que deben ser detenidas en caso de aparecer
en el aeropuerto. La base de datos (el listado) refiere a la deteccin por firmas en un antivirus:
solo pueden ser detectadas aquellas amenazas que ya son conocidas previamente.
Sin embargo, un guardia de seguridad tambin utiliza su inteligencia para detectar posibles
amenazas, principalmente mediante el anlisis del comportamiento de las personas. Una
persona con lentes de sol en plena noche, un viajero que observa con detalle al personal, o
cualquier otro tipo de accin similar, puede generar la sospecha del guardia de seguridad que, si
considera suficiente la informacin, tomar las acciones necesarias para la proteccin y asumir a
la persona como una amenaza.
En resumen, mientras que una amenaza detectada por una base de firmas exhibe la seguridad de que se
trata de un cdigo malicioso, ya que previamente fue legitimado por una persona, el anlisis heurstico
posee una relativa certeza al respecto como afirmarlo. A pesar de esta aparente desventaja, los
algoritmos heursticos ofrecen proteccin donde la exploracin por firmas no puede darla.
La exploracin heurstica no depende de la actualizacin de la base de firmas, aunque debe mantenerse
actualizado el software antivirus, a fin de contar con los ltimos algoritmos de deteccin heurstica.
Falsos positivos
El otro factor de riesgo para los algoritmos heursticos son los falsos positivos. As como cualquier
antivirus trabaja para minimizar los falsos negativos (es decir, amenazas que no son detectadas), en el
caso de la heurstica es necesario minimizar tambin los falsos positivos, archivos que no son cdigos
maliciosos, y son detectados como tales. El motivo de tal aparicin resulta lgico: al trabajar la heurstica
con grados de certeza, y anlisis inteligente, puede ocurrir que se haga una deteccin errnea de un
archivo. Con la base de firmas esto ocurre en un nivel muy bajo, porque solo se detectan amenazas
conocidas que ya han sido catalogadas como tales por el laboratorio. Sin embargo es indispensable que
los algoritmos heursticos posean optimizacin para disminuir la tasa de falsos positivos, ya que estos son
altamente perjudiciales para los usuarios, dado que podran causar que aplicaciones detectadas como un
falso positivo no puedan ser ejecutadas, y crear la sospecha de que el software de seguridad no detecta
las amenazas al 100% o est fallando.
Por lo tanto, las heursticas de los antivirus deben ser evaluadas, no solo por sus capacidades de
deteccin, sino tambin por sus rendimientos y cantidad de falsos positivos. Por caso, el laboratorio
independiente AV-Comparative,s 2 al momento de evaluar la deteccin proactiva de los productos, toma
en cuenta la relacin entre el porcentaje de deteccin con la cantidad de falsos positivos generados
durante las pruebas.
http://www.av-comparatives.org/
Desconfiar de los correos que dicen ser emitidos por entidades que brindan servicios y solicitan
modificacin de datos sensibles, ya que suelen ser mtodos de Ingeniera Social.
No hacer clic sobre enlaces que aparecen en el cuerpo de los correos electrnicos, ya que pueden
direccionar hacia sitios web clonados o hacia la descarga de malware.
Asegurarse de que la direccin del sitio web al cual se accede comience con el protocolo HTTPS.
La S final, significa que la pgina web es segura y que toda la informacin depositada en la misma
viajar de manera cifrada.
Verificar la existencia de un certificado digital en el sitio web. El certificado digital se despliega en
pantalla al hacer clic sobre la imagen del candado.
Revisar que el certificado digital no haya caducado, ya que el mismo podra haber sido
manipulado intencionalmente con fines maliciosos.
Si se tiene dudas sobre la legitimidad de un correo, comunicarse telefnicamente con la compaa
o entidad que presuntamente lo enva, para descartar la posibilidad de ser vctimas de un engao.
Jams enviar contraseas, nmeros de tarjetas de crdito u otro tipo de informacin sensible a
travs del correo electrnico, ya que la comunicacin podra ser interceptada y robada.
Habituarse a examinar peridicamente la cuenta bancaria, a fin de detectar a tiempo alguna
actividad extraa relacionada con la manipulacin de la cuenta o transacciones no autorizadas.
Denunciar casos de phishing (dentro de lo posible) en la entidad de confianza, ya que adems de
cortar la actividad del sitio malicioso, se colabora con la seguridad general de la navegacin en
Internet.
Home Banking
Al acceder a Internet se puede ser vctima de innumerables amenazas y engaos. Esto toma nfasis al
tratarse de la manejo de informacin sensible como la banca en lnea (o e-banking).
Para prevenir este tipo de amenazas es fundamental seguir los pasos ya descriptos para evitar el phishing,
principal riesgo actual al acceder a informacin en lnea 3.
Uso de teclados virtuales
Para ms informacin consultar el curso Seguridad en las transacciones comerciales en lnea en la Plataforma
Educativa.
Los teclados virtuales son mini-aplicaciones generalmente encontrados en sitios web que requieren alta
tasa de seguridad (como pginas de home banking o financieros) y cuya funcionalidad es simular un
teclado real. El uso del mismo se realiza a travs del mouse, permitiendo escribir lo que generalmente se
realizara con el teclado convencional. La seguridad brindada por estos dispositivos radica en que
permiten evitar los keyloggers, ya que al no presionar ninguna tecla se evita la grabacin de lo que se
escribira.
En la siguiente imagen pueden observarse los puntos ms importantes a verificar para garantizar una
navegacin segura en la pgina web de las entidades financieras:
An as, para elevar un grado ms la seguridad, generalmente estos teclados mezclan aleatoriamente sus
teclas de modo tal que un carcter no aparezca siempre en la misma posicin, haciendo que sea intil
para los delincuentes registrar el movimiento y el clic del mouse. Para superar esta barrera de seguridad
los nuevos troyanos han comenzado a tomar imgenes y videos de las acciones del usuario, pero al
momento de desarrollar el presente curso, an no es demasiado comn su utilizacin.
Se debe verificar que los archivos a descargar no se encuentren sometidos a mtodos de engao
como doble extensin, debido a que se trata de una tcnica muy empleada por el malware.
Controlar que exista coherencia entre el tamao original del archivo descargado y el tamao
aproximado que debera tener, para descartar la posibilidad de que se est en presencia de troyanos.
Asegurarse de que la carpeta de intercambio de archivos contenga slo los archivos que se desea
compartir.
Revisar la configuracin de seguridad del programa cliente. Esto ayuda a maximizar la seguridad
durante el proceso de descarga de archivos.
No compartir la contrasea con nadie. El carcter de sta es privado, con lo cual lo recomendable
es que solo la conozca el usuario que la ha creado.
Cuando se accede al mensajero desde lugares pblicos, conviene deshabilitar la opcin de inicio
automtico para que la informacin de usuario y contrasea no queden almacenadas en el sistema.
Esto evita que terceros inicien sesin de manera automtica.
No compartir informacin confidencial a travs de este medio ya que la misma puede ser
interceptada y robada con fines delictivos.
http://www.eset-la.com/remote-administrator/
Conclusin
Ningn sistema puede declararse como 100% seguro, y esto se debe a que una cadena es tan fuerte
como su eslabn ms dbil.
A raz de las amenazas que aparecen da a da es muy importante que todo sistema se encuentre
protegido por una solucin antivirus, con capacidades proactivas de deteccin, y la educacin del usuario
minimiza las posibilidades de infeccin.
Si un sistema se encuentra correctamente configurado y protegido las posibilidades de que el mismo se
vea vulnerado son mucho menores.
Copyright 2011 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este
curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con ESET, LLC y ESET,
spol. s.r.o.
ESET, 2011
Acerca de ESET
Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que provee
proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con oficinas centrales
en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego, Estados Unidos; Buenos Aires,
Argentina y Singapur. Tambin posee sedes en Londres (Reino Unido), Praga (Repblica Checa), Cracovia
(Polonia), San Pablo (Brasil) y Distrito Federal (Mxico).
Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET Smart
Security, la solucin unificada que integra la multipremiada proteccin proactiva del primero con un
firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la
inversin (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploracin
y un uso mnimo de los recursos.
Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de
un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e
inmediata y un laboratorio de investigacin focalizado en el descubrimiento proactivo de variadas
amenazas informticas.
La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de
amenazas con una navegacin y uso responsable del equipo, junto con el inters de fomentar la
concientizacin de los usuarios en materia de seguridad informtica, convierten a las campaas
educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre
propio.
Para ms informacin, visite www.eset-la.com