Las cinco fases del ataque

de un programa malicioso
Gua sobre los ataques web con informacin sobre
tecnologas, herramientas y tcticas para una proteccin
eficaz
Chris McCormack, director principal de marketing de productos

Los ataques web actuales son extremadamente sofisticados y

polifacticos, y estn motivados por una enorme economa sumergida
basada en el comercio de equipos secuestrados e informacin de
usuarios. En este monogrfico se describen las cinco fases del
funcionamiento de los ataques web actuales, desde su entrada hasta
su ejecucin.
Le explicamos las tcnicas avanzadas que utilizan los
ciberdelincuentes para infectar a los usuarios de Internet y robar
datos o dinero, y por qu fallan la mayora de los productos de
seguridad web. Pero, sobre todo, le ofrecemos informacin sobre las
capas de proteccin que necesita y una lista para evaluar las polticas
y la seguridad de su solucin de proteccin web.

Las cinco fases del ataque de un programa malicioso

Contents
Web Malware by the Numbers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
How a Web Attack WorksThe Five Stages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Stage 1: Entry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Stage 2: Traffic Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Stage 3: Exploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Stage 4: Infection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Stage 5: Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Sophos Web Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Monogrficos de Sophos. Noviembre de 2014.

Las cinco fases del ataque de un programa malicioso

Los programas maliciosos web en cifras

La Web es un lugar peligroso. SophosLabs detecta una media de 30000 direcciones web maliciosas
nuevas a diario y el 80% de ellas corresponden a sitios web legtimos secuestrados. El ochenta y
cinco por ciento de los programas maliciosos, incluidos virus, gusanos, programas espa, troyanos y
programas publicitarios, proceden de Internet.
Adems, las oportunidades para los ciberdelincuentes estn aumentando a un ritmo asombroso.
Piense en las dimensiones de Internet y la cantidad de gente que la utiliza a diario. Ms de 2700
millones de usuarios realizan 3000 millones de bsquedas en lnea al da.1 Existen aproximadamente
100 millones de sitios web, un nmero que aumenta en alrededor de un 10% anualmente.
Aunque no se haya topado ltimamente con ningn sitio malicioso ni ninguna amenaza web, las
infecciones se propagan entre millones de usuarios de Internet a diario. De hecho, de acuerdo con el
Informe de transparencia de Google, 2 el nmero de pginas web consideradas como peligrosas por
Safe Browsing suele sobrepasar los cientos de miles semana tras semana.
Nmero de sitios considerados peligrosos por Safe Browsing

600000

Sitios webs de
phishing

Sitios webs de
malware

400000

200.000

Figura 1: Nmero de usuarios que reciben advertencias a la semana, segn el informe sobre navegacin segura de
Google.
Fuente: Informe de transparencia de Google.

1 Infogrfico: The Incredible Growth of Web Usage [1984-2013], WhoIsHostingThis, 21 de agosto de 2013,
http://www.whoishostingthis.com/blog/2013/08/21/incredible-growth-web-usage-infographic/
2 Google Informe de transparencia
http://www.google.com/transparencyreport/safebrowsing/?hl=en

Monogrficos de Sophos. Noviembre de 2014.

Las cinco fases del ataque de un programa malicioso

Las cinco fases del funcionamiento de un ataque

web
En esta seccin se describen las cinco fases del funcionamiento de los ataques web actuales:

Punto de entrada

4.878

El malware inicialmente redirige a un servidor

desde el que se intentar explotar su

agentes de distribucin
de malware por ataque (de
media)

las herramientas con las que est trabajando

(Windows / Mac, IE/Safari, Java, etc.)

$50.000

ganar

en un

da

Ejecucin

82%

de los sitios maliciosos

son sitios legtimos
hackeados.

5.540

Intentar explotar las

vulnerabilidades del sistema
operativo, navegador, configuracin
de Java, lector de PDF, reproductor
multimedia y otros plugins.

El malware descarga una

carga maliciosa con la que
robar datos o extorsionarle
dinero.

Los hackers pueden

El

Distribucin

sistema utilizando tcnicas fast-flux sobre

Exploit

Acceder a un sitio web secuestrado.

El malware se descarga
silenciosamente y no se da cuenta
de que lo estn infectando.

nuevas vulnerabilidades
detectadas en 2013

Infeccin

El malware enviar al programador

datos sensibles como credenciales

Coste total por violacin de los datos:

o informacin bancaria, o bien

$5,4 millones

intentar seducirle para que les pague

directamente.

entrada, distribucin del trfico, descarga de exploits, infeccin y ejecucin.

Figura 2: Grfico informativo sobre las cinco fases de un ataque web.

Monogrficos de Sophos. Noviembre de 2014.

Las cinco fases del ataque de un programa malicioso

Fase 1: Entrada
Los ataques comienzan con una descarga automtica en un punto de entrada, por ejemplo, un sitio web
secuestrado o un mensaje de correo electrnico que contenga un enlace malicioso.

Descargas automticas
Una descarga automtica es el proceso mediante el cual se descarga cdigo web malicioso de forma
involuntaria con tan solo visitar una pgina web. Las descargas automticas se producen sin el
conocimiento de los usuarios.
Los iFrames invisibles de 0x0 pxeles que contienen cdigo JavaScript malicioso son el tipo de
descarga automtica ms habitual. Este sofisticado cdigo JavaScript puede estar camuflado (es
decir, ser ilegible) y ser polimorfo (el cdigo cambia cada vez que se visualiza). Las soluciones antivirus
tradicionales basadas en firmas no pueden detectar este tipo de cdigo tan complicado.

Secuestros de sitios web de confianza

Los servidores web como Apache o IIS, as como los sistemas de gestin del contenido de estos, tienen
vulnerabilidades y los ciberdelincuentes utilizan herramientas para aprovecharlas e inyectar cdigo
malicioso en pginas web.
Una de las herramientas de explotacin ms conocidas es Darkleech, un mdulo de Apache falso que
permite inyectar de forma dinmica iFrames maliciosos en los sitios web alojados en los servidores.
Desde octubre de 2012 a julio de 2013, se infectaron con Darkleech ms de 40000 sitios web.3
Otros secuestros de sitios web se llevan a cabo mediante el robo de credenciales de inicio de sesin.
Por ejemplo, en el caso de los sitios alojados por Wordpress, las credenciales de inicio de sesin pueden
averiguarse fcilmente u obtenerse mediante ataques de fuerza bruta. Una vez que los ciberdelincuentes
disponen de las credenciales de inicio de sesin en el sitio, pueden inyectar cantidades infinitas de
programas maliciosos.

Tecnologa, herramientas y tcticas para una proteccin eficaz

Durante muchos aos, la gente ha dado por hecho que la mayor parte de las amenazas se ocultaban
en los lugares ms oscuros de Internet, como los sitios de contenido para mayores de edad, ataques
informticos o juegos de azar. De ser as, lo nico que necesitaramos para estar protegidos sera un filtro
de direcciones web con el que bloquear esos sitios. Por desgracia, la realidad es mucho ms compleja.
Si observamos las 10 categoras de sitios web ms infectados, los sitios de contenido para mayores de
edad aparecen en ltima posicin con solo un 2%. Las categoras de blogs, alojamiento y empresas son
mucho ms susceptibles de albergar programas maliciosos.4

3R
 ampant Apache website attack hits visitors with highly malicious software, Ars Technica, 3 de julio de 2013, http://
arstechnica.com/security/2013/07/darkleech-infects-40k-apache-site-addresses/
4S
 urprise! The Most Dangerous Web Sites Aren't Porn Sites, TechNewsDaily, 4 de junio de 2012,
http://www.technewsdaily.com/4365-porn-dangerous-web-site.html
Monogrficos de Sophos. Noviembre de 2014.

Las cinco fases del ataque de un programa malicioso

Las 10 categoras de sitios web ms infectadas
Blogs

20%

Alojamiento web

16%

Negocios

10%

Compras

8%

Educacin

7%

Tecnologa

7%

Ocio

4%

Automviles

4%

Salud
Mayores de edad

3%

2%

0%

5%

10%

15%

20%

Figura 3: Las 10 principales categoras de sitios maliciosos. Fuente: TechNewsDaily

Y por si esto fuera poco, las campaas de publicidad maliciosa (tambin conocidas como malvertising)
pueden llegar a una gama muy amplia de sitios legtimos, haciendo que el problema sea ms difcil de
solucionar mediante el filtrado de direcciones web.
Entonces, cmo se consigue una proteccin eficaz? El filtrado de direcciones web sigue siendo importante,
pero las soluciones ms completas incluyen tambin filtrado por reputacin en directo, que se actualiza
constantemente para detectar sitios recin infectados. Adems, las polticas de navegacin segura solo
resultan eficaces si los usuarios no pueden burlarlas fcilmente. Por lo tanto, asegrese de que bloquea el
uso inadecuado de servidores proxy annimos.
La proteccin avanzada contra amenazas web posiblemente sea la tecnologa ms importante para
hacerles frente en esta capa y ms all. Las soluciones de proteccin ms recientes escanean todo el
contenido descargado en pginas web para detectar programas maliciosos con tecnologas avanzadas
como la simulacin de JavaScript, que permite detectar cdigo sospechoso o malicioso antes de que llegue
al navegador. Dicha proteccin es necesaria no solo en la puerta de enlace de la red, sino tambin en las
estaciones o en el antivirus de escritorio para proteger a los usuarios externos.
Adems, es aconsejable utilizar un navegador compatible con la API de navegacin segura de Google
(https://developers.google.com/safe-browsing/) como, por ejemplo, Chrome, Firefox o Safari, que pueden
detectar sitios maliciosos en los resultados de bsquedas y advertir a los usuarios antes de que intenten
visitar un sitio infectado.
Invierta tambin en formacin sobre navegacin segura para educar a los usuarios menos expertos sobre
cmo evitar trucos de ingeniera social habituales y timos obvios por correo electrnico, y con qu tener
cuidado.
Por ltimo, pero no por ello menos importante, asegrese de que su sitio web no agrava el problema. Utilice
contraseas seguras en el sistema de gestin del contenido del sitio web y los blogs de Wordpress. Audite
tambin el cdigo del sitio para detectar posibles vulnerabilidades. Y proteja el sitio con un cortafuegos de
aplicaciones web para reforzar los formularios y evitar ataques no deseados.
Monogrficos de Sophos. Noviembre de 2014.

Las cinco fases del ataque de un programa malicioso

Fase 2: Distribucin del trfico

Una vez que las descargas automticas llegan al navegador, redirigen a los usuarios desprevenidos a la
descarga de un kit de explotacin. Sin embargo, en lugar de enviar a los usuarios a sitios conocidos por alojar
este tipo de kits, los complejos sistemas de distribucin del trfico (TDS, por sus siglas en ingls) crean
multitud de redirecciones prcticamente imposibles de seguir y, por lo tanto, difciles de prohibir.
Algunos de estos sistemas son legales, por ejemplo, los que se utilizan en redes de referencia y publicidad.
Pero como muchos otros programas de software, las ciberdelincuentes secuestran y explotan las soluciones
de distribucin del trfico para dirigir a los usuarios a sitios que alojan programas maliciosos.
Sutra es uno de estos sistemas utilizados para gestionar el trfico de las descargas automticas segn la
ubicacin de la direccin IP del usuario, el sistema operativo, el navegador y otros metadatos que pueden
aumentar las tasas de infeccin. Los ciberdelincuentes pueden adquirir la versin ms reciente de Sutra TDS
3.4 por tan solo 100 dlares y conseguir ms de un milln de clics por hora en un servidor de gama baja.

Figura 4: Los ciberdelincuentes suelen utilizar soluciones de TDS de consumo como Sutra para ocultar los sitios que alojan
programas maliciosos tras infraestructuras complejas de distribucin del trfico.

Monogrficos de Sophos. Noviembre de 2014.

Las cinco fases del ataque de un programa malicioso

Adems, estas redes de TDS suelen filtrar el trfico para que los motores de bsqueda y las
empresas de seguridad no detecten los sitios. Tambin utilizan redes de flujo rpido para alternar
miles de direcciones IP en los registros del DNS y evitar que los sitios que alojan programas
maliciosos se incluyan en listas negras.

Tecnologa, herramientas y tcticas para una proteccin eficaz

La naturaleza sigilosa de los sistemas de distribucin del trfico dificulta mucho la proteccin
en esta capa. Al producirse de forma instantnea y silenciosa en segundo plano, los usuarios no
pueden evitar las cadenas de redireccin. Adems, a las empresas de seguridad les cuesta mucho
seguirles el ritmo.
Es muy importante que el proveedor de la solucin de filtrado web y proteccin de redes elegida
comprenda el funcionamiento de estos sistemas e invierta en detectar usos inadecuados. Por
ejemplo, si se dispone de los recursos apropiados, es posible vigilar la reputacin de los registros
del DNS para adelantarse a los ciberdelincuentes, y bloquear servidores proxy annimos y
redirecciones incluso antes de que estn en lnea.

Fase 3: Descarga de exploits

La siguiente etapa de los ataques web actuales consiste en la descarga de un paquete de
explotacin en el sitio que aloja el programa malicioso. Estos kits ejecutan una gran cantidad
de exploits para aprovechar las vulnerabilidades de los navegadores web y los complementos
relacionados (como Java, lectores de PDF y reproductores multimedia).

Paquetes de explotacin
Normalmente, los ciberdelincuentes adquieren paquetes de explotacin en el mercado negro,
aportando beneficios a sus creadores. Desde que apareci a finales de 2010, el kit de explotacin
Blackhole se ha convertido en uno de los ms destacados y, en torno a l, sus creadores han
construido un sofisticado negocio, vendindolo como servicio por 500 dlares al mes. Incluso
ofrecen una consola web de administracin y soporte tcnico en lnea.

Monogrficos de Sophos. Noviembre de 2014.

Las cinco fases del ataque de un programa malicioso

Figura 5: Captura de pantalla del panel de control de Blackhole.

En esta imagen del panel de control de Blackhole, podemos ver cmo controlan los
ciberdelincuentes las tasas de infeccin, el nmero de sitios que alojan programas maliciosos, los
sistemas afectados y la ubicacin de los sitios infectados.
Una vez que el navegador del usuario llega a un sitio que contiene un kit de explotacin Blackhole,
se cargan archivos que aprovechan vulnerabilidades especficas del sistema de la vctima, segn la
informacin disponible en el navegador. Para aprovechar las vulnerabilidades de los sistemas de los
usuarios, suelen utilizarse cuatro tipos de archivos:
PDF: Archivos PDF con JavaScript incrustado intentan aprovechar las vulnerabilidades conocidas
en Adobe Reader.
Flash: para aprovechar las vulnerabilidades de Adobe Flash Player, suelen cargarse dos tipos de
archivos flash con cdigo especialmente diseado.
Java: los archivos JAR con cdigo de applet o JavaScript suelen ser los que mejor funcionan a la
hora de buscar vulnerabilidades.
HTML/JS/VBS: puede descargarse cdigo en tiempo de ejecucin para aprovechar una
vulnerabilidad de la ayuda de Microsoft y el centro de soporte.

Monogrficos de Sophos. Noviembre de 2014.

Las cinco fases del ataque de un programa malicioso

Al igual que en las dems fases de los ataques web, las secuencias de comandos, el cdigo y el contenido
cargados durante la fase de descarga del kit de explotacin estn muy camuflados y son polimorfos para evitar
detecciones.

Java Rhino
Por desgracia, Java es el sueo hecho realidad de cualquier ciberdelincuente. Es compatible con todo tipo
de plataformas y millones de dispositivos y navegadores lo incluyen. Java Rhino, un motor de secuencias de
comandos incluido con Java que puede aprovecharse para ejecutar cdigo arbitrario fuera del espacio seguro
de Java, es uno de los exploits ms populares y exitosos. El exploit funciona en gran cantidad de clientes que
ejecutan Java versin 7 y anteriores. A pesar de que ya est disponible un parche, sigue siendo muy eficaz.
Segn Qualys, el 80% de los sistemas empresariales utilizan una versin anticuada de Java y no cuentan con
todos los parches.5

Tecnologa, herramientas y tcticas para una proteccin eficaz

La deteccin avanzada de los programas maliciosos de Internet es fundamental para bloquear el cdigo de
explotacin a medida que se descarga y antes de que pueda aprovechar cualquier vulnerabilidad. Sin embargo,
los autores de estos kits utilizan tcnicas de camuflaje y polimorfismo para evitar ser detectados por motores
antivirus.
Para conseguir una proteccin eficaz contra los programas maliciosos web, es necesario ir ms all de la
deteccin basada en firmas y utilizar filtrado de direcciones web para bloquear sitios maliciosos conocidos
e informacin sobre amenazas que vigile constantemente los kits de explotacin y recoja muestras para
determinar los algoritmos de deteccin.
Otra estrategia esencial para reducir el rea susceptible a ataques es controlar muy de cerca los navegadores
web elegidos por los usuarios y aplicaciones como los lectores de PDF. Al limitar el nmero y la variedad de
estas aplicaciones, y mantenerlas siempre actualizadas con todos los parches, es posible reducir drsticamente
el nmero de vulnerabilidades que los kits de explotacin pueden aprovechar.
Es triste pero cierto: el 90% de los ataques contra vulnerabilidades de aplicaciones podran haberse evitado con
un parche ya disponible.6 Sin embargo, los usuarios renuncian a menudo a instalar los parches porque puede
ser una tarea pesada. Afortunadamente, existen soluciones que pueden integrarse con la solucin de seguridad
de escritorio para controlar las aplicaciones, identificar los parches de seguridad necesarios y ordenarlos por
orden de prioridad.
Estas son algunas cuestiones de seguridad importantes a tener en cuenta a la hora de disear una poltica de
programas web cliente:
Navegador: siempre que sea posible, utilice un nico navegador mayoritario que sea compatible con la API
de navegacin segura de Google como Google Chrome, Mozilla Firefox o Apple Safari. Los navegadores
ms utilizados atraen un mayor nmero de ataques pero sus proveedores cuentan con ms recursos para
solventar vulnerabilidades y publicar parches con ms frecuencia.
Java: a menos que necesite Java para aplicaciones web relacionadas con el negocio, desactvelo o elimnelo
en los equipos de los usuarios, o limtelo a aquellos que realmente lo necesiten.

5 The Dark Side Of Java, Dark Reading, 1 de diciembre de 2011,

http://www.darkreading.com/attacks-breaches/the-dark-side-of-java/232200604
6 Improving Your 2011 Security Bang for the Buck: Patching Depth and Breadth, blog de Gartner, 4 de enero de 2011, http://blogs.
gartner.com/neil_macdonald/2011/01/04/improving-your-2011-security-bang-for-the-buck-patching-depth-and-breadth/
Monogrficos de Sophos. Noviembre de 2014.

10

Las cinco fases del ataque de un programa malicioso

Lector de PDF: utilice un nico lector de archivos PDF mayoritario. Active la funcin de
actualizacin automtica para que se instalen todos los parches y recomiende a los usuarios que
instalen los parches en cuanto estn disponibles.
Complementos y barras de herramientas: evite todo tipo de barras de herramientas y
complementos de navegadores. Lo nico que hacen es aumentar la superficie de ataque.

Fase 4: Infeccin
Una vez que el ciberdelincuente aprovecha una vulnerabilidad en una aplicacin para hacerse con
parte del control del equipo, la fase siguiente del ataque consiste en descargar una carga maliciosa
para infectar el sistema. La carga es el propio virus o programa malicioso que robar los datos o
intentar chantajear al usuario para conseguir dinero.
Los ciberdelincuentes pueden elegir entre una amplia variedad de cargas infecciosas. Estas son
algunas de las cargas ms utilizadas hoy en da.

Backdoor

6%

Ransomware 18%

ZAccess

6%

PWS 12%

Downloader 2%

Sinowal

Otro

Zbot

25%

11%

9%

Figura 6: Un
desglose de la
distribucin de
cargas de Blackhole durante un perodo de dos meses (agosto a septiembre de 2012). Fuente: SophosLabs

FakeAV

11%

Zbot (Zeus): Zeus es un troyano que registra pulsaciones en el teclado y marcos del navegador
para robar informacin personal. En un principio estaba dirigido a equipos de Windows, pero ya se
han detectado variedades que infectan tambin dispositivos Android.
Ransomware: el ransomware es un tipo de programa malicioso que restringe el acceso de los
usuarios al equipo o a determinados archivos, y solicita un pago para recuperarlo. Est dirigido
fundamentalmente a Windows, pero tambin ha aparecido recientemente una variedad para Mac,
menos daina pero igual de molesta.
PWS: PWS es un troyano de acceso remoto y robo de contraseas que infecta equipos de Windows.
Sinowal (Torpig): Torpig es una infeccin de redes de bots dirigida a equipos de Windows. Utiliza
un rootkit para robar credenciales y permitir el acceso remoto.
FakeAV: FakeAV (antivirus falso) instala un programa de software de seguridad falso que se hace
pasar por una aplicacin antivirus de escritorio. Escanea el equipo y detecta virus falsos para incitar
a los usuarios a que paguen por "eliminarlos". En un principio afectaba a sistemas Windows, pero
ya se est detectando tambin en equipos Mac.

Monogrficos de Sophos. Noviembre de 2014.

11

Las cinco fases del ataque de un programa malicioso

Tecnologa, herramientas y tcticas para una proteccin eficaz

En esta fase, los programas maliciosos se descargan al equipo de la vctima. Llegado este
punto, solo se puede confiar en el escaneado de programas maliciosos web y el filtrado
del contenido, que no han conseguido detectar el ataque hasta ahora.
La nica esperanza es que la carga sea menos sofisticada que el cdigo malicioso que no se
detect en fases anteriores. Evidentemente, este tipo de defensa no es el ms fiable. Lo ms
recomendable es conseguir una proteccin contra programas maliciosos web mejor para
detectarlos en una fase anterior del ataque.

Fase 5: Ejecucin
En esta ltima fase del ataque, la carga maliciosa ya se ha descargado e instalado en
el sistema de la vctima, y su objetivo es proporcionar dinero al delincuente mediante la
obtencin de credenciales, informacin bancaria o nmeros de tarjetas de crdito para
venderlos en el mercado negro, o chantajeando al usuario para que pague directamente.
Tanto el ransomware como los antivirus falsos son ejemplos de programas maliciosos que
chantajean a las vctimas para que paguen dinero. Analicemos algunas de las variedades de
ransomware ms recientes para ver cmo funcionan.
El ransomware de cifrado utiliza tcnicas de cifrado cada vez ms sofisticadas para impedir
el acceso a los archivos hasta que los usuarios pagan el rescate (generalmente, alrededor
de 100 dlares). En 2013 apareci una variedad nueva, denominada Cryptolocker, que cifra
todos los archivos personales y de trabajo, y solo los descifra a cambio de una tarifa de 300
dlares. El cifrado es tan sofisticado que la nica opcin, de no ser posible restaurar una
copia de seguridad, es pagar el rescate.
Existen diferentes variedades de ransomware sin cifrado que impiden el acceso de las
vctimas a sus equipos a cambio de un rescate. Una de ellas muestra un mensaje de
activacin de Windows y una opcin de pago; otra variedad ms enrevesada no solo impide
el acceso del usuario al sistema, sino que adems muestra un mensaje falso de la polica
en el que se solicita el pago de una multa por la posesin de software ilegal o material
pornogrfico. Estas ltimas variedades de ransomware hacen todo lo posible por parecer
legtimas e incluso pueden aparecer traducidas al idioma de la vctima y adaptadas a su pas
de residencia.

Monogrficos de Sophos. Noviembre de 2014.

12

Las cinco fases del ataque de un programa malicioso

Figura 7: Una solicitud de ransomware tpica.

Figura 8: Versiones traducidas de las solicitudes de rescate para diferentes pases.

Monogrficos de Sophos. Noviembre de 2014.

13

Las cinco fases del ataque de un programa malicioso

Ransomware para Mac. Con la expansin en aumento de la cuota de mercado de los equipos Mac
de Apple entre los consumidores y los usuarios corporativos, quiz no sea de extraar que ya exista
una variedad de ransomware para Mac. Funciona de manera un poco distinta y utiliza un cdigo de
JavaScript sencillo que se hace con el control del navegador y carga constantemente la misma
pgina para solicitar el rescate, haga lo que haga el usuario. En el caso de esta variedad para Mac
(figura 7), la solucin es bastante sencilla pero no evidente para la mayora de los usuarios, y el
programa malicioso resulta tan pesado que termina siendo muy eficaz y lucrativo (300dlares por
infeccin).

Figura 9: Un mensaje de ransomware para Mac procedente, supuestamente, del FBI. Fuente: Malwarebytes,
http://blog.malwarebytes.org/intelligence/2013/07/fbi-ransomware-now-targeting-apples-mac-os-x-users/

Tecnologa, herramientas y tcticas para una proteccin eficaz

Los ataques en fase de ejecucin superan la proteccin web y llegan a la ltima lnea de defensa:
el antivirus de escritorio. En esta capa, el ataque consiste en un archivo ejecutable, un rootkit o
un programa malicioso que reside en el equipo e intenta robar datos delicados, cifrar archivos o
impedir el acceso del usuario. Una vez que el ataque llega a este punto, la proteccin de estaciones
con actualizaciones en tiempo real y un sistema de prevencin de intrusiones en el host (HIPS)
avanzado son las nicas tecnologas que pueden evitar la infeccin.
Antes, la deteccin antivirus dependa de firmas. Cuando se descubran amenazas nuevas, se
publicaban actualizaciones con firmas de deteccin nuevas. Hoy en da, como hemos visto,
las amenazas son demasiado sofisticadas y cambian tan rpidamente que las firmas y las
actualizaciones antiguas de los antivirus ya no son eficaces.

Monogrficos de Sophos. Noviembre de 2014.

14

Las cinco fases del ataque de un programa malicioso

Para detectar los programas maliciosos avanzados actuales es necesario un sistema de prevencin de intrusiones
en el host (HIPS) que atrape las amenazas que los motores antivirus normales no pueden bloquear mediante la
deteccin de comportamientos maliciosos. Los motores de los sistemas HIPS estn compuestos por una serie de
reglas avanzadas para detectar comportamientos sospechosos del sistema, y notificar a los usuarios o bloquearlos
antes de que causen daos cuantiosos. Los sistemas HIPS ms avanzados incluyen prcticas recomendadas para
que no tenga que configurar reglas propias y detectar programas maliciosos nuevos sin falsos positivos.
Otra tecnologa que puede combatir las infecciones en esta fase es la deteccin de comunicaciones salientes, una
funcin incluida en algunas puertas seguras de enlace a Internet que puede detectar equipos infectados a partir de
las solicitudes de direcciones web conocidas de comando y control de programas maliciosos. Esta funcin no evita la
infeccin, pero puede ayudar a encontrar sistemas infectados en la red.

Lista de tecnologas, herramientas y tcticas para una proteccin web eficaz

Para poner en prctica una estrategia de proteccin web eficaz, son necesarias polticas que reduzcan la superficie
susceptible a ataques, herramientas y tecnologas adecuadas para imponer dichas polticas y proteccin para
bloquear ataques en todas las capas.
Descargue nuestra lista de tecnologas, herramientas y tcticas para una proteccin web eficaz y analice sus
polticas y su proteccin web.

Descargar

Sophos Web Protection

En Sophos, hacemos que la proteccin web sea fcil de implementar, administrar y mantener. Nuestras soluciones
de puerta de enlace web segura le permiten tomar el control sobre el trfico web y bloquear las amenazas ms
recientes all donde vayan los usuarios, incluso fuera de la red. Incluyen proteccin avanzada contra malware web
con tecnologas como emulacin de JavaScript para mayor tranquilidad. Elija entre un dispositivo web dedicado y
especialmente diseado o una puerta de enlace web segura integrada en Sophos UTM. Adems, en la estacin de
trabajo, nuestros paquetes asequibles ofrecen completa seguridad para los usuarios y los datos, y todo con una sola
licencia. Tambin ofrecemos la mejor proteccin con el apoyo de SophosLabs, nuestro sistema global de anlisis de
amenazas que funciona 24/7. Adems, ofrecemos el mejor soporte del sector.

Inscrbase en Sophos.com para realizar una

evaluacin gratuita
Puerta segura de enlace a Internet de Sophos
Paquetes de proteccin de Sophos para estaciones de trabajo
Ventas en Espaa:
Tel.: (+34) 913 756 756
Correo electrnico: seusales@sophos.com

Oxford (Reino Unido) | Boston (EE.UU.)

Copyright 2014. Sophos Ltd. Todos los derechos reservados.
Constituida en Inglaterra y Gales bajo el nmero de registro 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es la marca registrada de Sophos Ltd. Todos los dems productos y empresas mencionados son marcas comerciales o registradas de
sus respectivos propietarios.
11.14.wpes.simple