Está en la página 1de 23

ACTUALIZACIONES DE SOFTWARE

INTECO-CERT

Mayo 2011

La presente publicacin pertenece al Instituto Nacional de Tecnologa de la Comunicacin (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 Espaa de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar pblicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podr en ningn caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.

http://creativecommons.org/licenses/by-nc-sa/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). As, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es

Actualizaciones de Software

INDICE
1. 2. 3. INTRODUCCIN NECESIDAD DE LAS ACTUALIZACIONES SISTEMA OPERATIVO 4 5 6

3.1 3.2 3.3


4.

Microsoft Apple Ubuntu

6 9 11
13

NAVEGADORES

4.1
5.

Plugins

16
18

SOFTWARE DE APOYO

5.1 Secunia PSI 5.2 Techtracker Free 5.3 Conan

18 20 22

Actualizaciones de Software

1. INTRODUCCIN
Cuando un desarrollador/fabricante publica un programa (sistema operativo, lector de documentos, reproductor de vdeo, etc.) pueden aparecen fallos de seguridad. Estos fallos de seguridad, a los que denominaremos vulnerabilidades, son aprovechados por los cibercriminales para tratar de infectar nuestro equipo con software malicioso con el objetivo de robar nuestros datos, usar nuestro equipo para su trabajo, etc. Desde INTECO-CERT siempre hemos hecho hincapi en la constante atencin sobre las actualizaciones de nuestro sistema operativo as como aquellos programas que puedan implicar un agujero de seguridad en caso de ser explotados por un atacante o cualquier tipo de malware. No seguir estas recomendaciones es temerario, lo mismo que otra serie de acciones por parte del usuario como son: el uso de cuentas privilegiadas, abrir ficheros adjuntos o URL de fuentes desconocidas, carecer de un Firewall o de Antivirus que nos avise de acciones sospechosas, etc. El presente contenido tiene como objetivo ofrecer una serie de recomendaciones as como pautas a seguir a la hora de actualizar nuestros sistemas con el apoyo de herramientas gratuitas que permiten simplificar enormemente la gestin de actualizaciones sin que ello conlleve una rutina que resulte engorrosa y consuma tiempo al usuario final. Debido al constante cambio que experimentan los sistemas y el software hoy en da, el documento se actualizar peridicamente para reflejar aquellos cambios que afecten a las opciones de configuracin reflejadas en el mismo. El documento se encuentra dividido en una serie de apartados ordenados por orden de importancia en funcin de su criticidad. De esta forma, se comenzarn explicando las configuraciones recomendadas en los sistemas operativos ms comunes, as como herramientas que facilitarn el mantenimiento de los mismos para garantizar que los componentes ms importantes se encuentren actualizados y en caso de no ser as alertar al usuario. Posteriormente se enumerarn los mtodos de actualizacin de cada uno de los navegadores ms utilizados (Chrome, Firefox, Opera) recomendando tambin determinados complementos (plugins) y herramientas externas que proporcionarn proteccin adicional a los mismos.

Actualizaciones de Software

2. NECESIDAD DE LAS ACTUALIZACIONES


Mientras hacemos uso de Internet y sus servicios, los ciberdelincuentes- de forma anloga a como hara un ladrn al intentar entrar a robar a una casa desarrollan software malicioso para aprovechar cualquier vulnerabilidad en el sistema a travs del cual infectar el equipo. Para ello, suelen aprovechar las vulnerabilidades ms recientes que tienen tanto el sistema operativo como las aplicaciones instaladas en el mismo. Hay que tener en cuenta que cuanto ms tiempo tardemos en actualizar nuestros equipos ms tiempo estaremos expuestos a que cualquier tipo de malware pueda explotar alguna vulnerabilidad y nuestro equipo quede bajo el control del atacante. Para facilitar esta tarea, la mayora de aplicaciones y sistemas operativos tienen la opcin de actualizar el sistema automticamente, lo que permite tener los programas actualizados sin la necesidad de comprobar manual y peridicamente si la versin utilizada es la ltima disponible y, por tanto, la ms segura. Estas actualizaciones de software vienen justificadas por diferentes motivos: Corregir las vulnerabilidades detectadas. Proporcionar nuevas funcionalidades o mejoras respecto a las versiones anteriores. Aunque es posible hacer la actualizacin de forma manual, lo ms sencillo es hacerlo de forma automtica. De esta forma el propio sistema busca las actualizaciones y las descarga e instala sin que nosotros tengamos que intervenir en el proceso.

Actualizaciones de Software

3. SISTEMA OPERATIVO
Segn define la Wikipedia Un sistema operativo (SO) es el programa o conjunto de programas que efectan la gestin de los procesos bsicos de un sistema informtico, y permite la normal ejecucin del resto de las operaciones." El SO se trata por tanto del componente ms importante de nuestro equipo al servir de intermediario entre los recursos fsicos (hardware) de nuestra mquina y las aplicaciones de usuario. Por este motivo, debemos de estar constantemente al da de sus actualizaciones y fallos de seguridad, sobre todo si estos afectan a servicios que pueden ser explotados remotamente (ej: W32/Sasser). Generalmente los sistemas operativos vienen configurados de forma predeterminada con la opcin de Actualizaciones Automticas por lo que no es necesario habilitarla manualmente. A continuacin se explicarn donde y como se activan estas directivas de seguridad en los sistemas operativos ms comunes.

3.1 MICROSOFT
El ciclo habitual de actualizaciones de Microsoft se realiza los segundos martes de cada mes, salvo casos en los que el problema sea crtico y requiera de una actualizacin ms inminente; este es uno de los motivos por el que se desaconseja totalmente no tener las actualizaciones automticas habilitadas ya que nuestro equipo podra encontrarse desprotegido en situaciones en las que se liberara un 0-day. Las actualizaciones no interferirn con otras descargas y se descargarn de forma transparente al usuario siempre y cuando est conectado a Internet. Para comprobar que tenemos configurado nuestro equipo correctamente siga los siguientes pasos. Windows XP: 1. Haga clic en Inicio Panel de control Centro de seguridad

Actualizaciones de Software

2. Haga clic en Actualizaciones automticas. Seleccione la opcin Automticas (recomendado) haga clic en el botn Aceptar

Windows Vista: 1. Pulse en Inicio Todos los programas Windows Update.

2. En el panel izquierdo seleccione la opcin Cambiar la configuracin y posteriormente Instalar actualizaciones automticamente (recomendado), adems se debe marcar la casilla de verificacin Permitir que todos los usuarios instalen actualizaciones en este equipo. Por ltimo haga clic en el botn Aceptar

Actualizaciones de Software

Windows 7: 1. Pulse en Inicio Todos los programas-> Windows Update , en el panel izquierdo, pulse en Cambiar la configuracin.

2. Del desplegable de Actualizaciones importantes, seleccione Instalar actualizaciones automticamente (recomendado), se marcar la opcin Permitir que todos los usuarios instalen actualizaciones en este equipo". Por ltimo, hacer clic en el botn Aceptar

Actualizaciones de Software

3.2 APPLE
Mac OS X v10.5 y posteriores permiten configurar Actualizacin de Software para que descargue actualizaciones importantes automticamente. Cuando las actualizaciones estn listas para su instalacin, se recibir un aviso. El proceso para configurar las actualizaciones es el siguiente: 1. Se abre el men principal de Mac OS, se selecciona Preferencias del sistema, y posteriormente la opcin Actualizacin de software.

Actualizaciones de Software

2. Es posible configurar la periodicidad de comprobacin de las mismas, pudiendo elegir entre diaria (recomendada), semanal o mensualmente.

Tambin es posible forzar la bsqueda de actualizaciones, la forma de hacerlo es: 1. En el men Apple seleccionar la opcin Actualizacin de Software"

2. En la ventana Actualizacin de Software, selecciona los elementos que deseas instalar y, a continuacin, haz clic en Instalar. En principio te conviene instalar todas las actualizaciones disponibles. Introduce un nombre de cuenta de administrador y la contrasea. 1. Una vez finalizada la instalacin, reinicia el ordenador si fuera necesario. Puedes repetir estos pasos para ver si hay ms actualizaciones disponibles. Ciertas actualizaciones de software tienen que instalarse antes que otras, por lo que puede ser necesario repetir estos pasos varias veces para completar la secuencia de actualizacin.

Actualizaciones de Software

10

3.3 UBUNTU
Ubuntu tambin permite configurar actualizaciones automticamente sin intervencin del usuario o bien comprobar manualmente las actualizaciones disponibles. Para ello se seguirn los siguientes pasos: 1. La configuracin de las actualizaciones se encuentra en " Sistema" "Administracin" "Gestor de Actualizaciones."

2. La ventana nos mostrar la opcin de comprobar manualmente si existen actualizaciones y en caso de ser as instalarlas (botn Instalar Actualizaciones).

Actualizaciones de Software

11

3. Desde aqu tambin podremos acceder a la configuracin de las actualizaciones mediante el botn Configuracin, desde donde podremos seleccionar el tipo de actualizaciones (importantes, recomendadas, an no publicadas, no soportadas), el intervalo de las mismas (diariamente, semanalmente, etc.) y si deseamos instalar las actualizaciones de seguridad sin confirmacin (opcin recomendada) o bien manualmente.

Las actualizaciones importantes de seguridad y actualizaciones recomendadas solucionan problemas de seguridad crticos y actualizan aplicaciones y mdulos del Sistema Operativo, por lo que se recomienda que estn activadas. Actualizaciones de la distribucin: Adems de las actualizaciones de determinados programas y las actualizaciones circunstanciales que solventan problemas de seguridad, Ubuntu publica una versin estable de la distribucin cada 6 meses proporcionando cambios importantes mediante la instalacin de nuevos paquetes y actualizaciones para los componentes de nuestro sistema operativo. Adems, Canonical proporciona soporte tcnico y actualizaciones de seguridad durante 18 meses excepto para las versiones Long Term Support (versiones que se liberan cada cuatro versiones de Ubuntu) a las que proporcionan tres aos para la versin de escritorio y cinco para la versin servidor. Cuando exista una versin disponible para descargar, el gestor de actualizaciones nos avisar con un mensaje del siguiente tipo:

Actualizaciones de Software

12

4.

NAVEGADORES

Otro de los elementos imprescindibles y ms utilizados en nuestros equipos es el Navegador. Mantener nuestro navegador actualizado nos proteger de mltiples amenazas que se aprovechan de versiones vulnerables para llevar a cabo acciones maliciosas en nuestro equipo. El navegador es uno de los elementos a los que ms atencin tenemos que prestar ya que es el medio principal con el que nos conectamos a Internet. Visitar una Web con un navegador vulnerable es suficiente para infectarnos con virus, troyanos u otro tipo de malware. Una vector de ataque utilizado por los atacantes es enviar correos electrnicos masivamente en los que animan al usuario a abrir una determinada direccin. Otra va de engao pueden ser las redes sociales o clientes de mensajera instantnea a travs de los cuales nos envan direcciones con un mensaje sugerente. Estas pginas fraudulentas suele estar programadas para conseguir la versin de nuestro navegador y sistema operativo que ayudarn a localizar determinadas vulnerabilidades por medio de las cuales comprometer el equipo. Tener nuestro navegador correctamente actualizado es fundamental si queremos estar a salvo de las ltimas amenazas. A continuacin explicaremos la forma de cumplir dicho objetivo en los navegadores ms ampliamente utilizados. Chrome Para comprobar si se tiene instalada la ltima versin o existe alguna actualizacin manual, se debe hacer click en el icono de "herramientas" y seleccionar "Acerca de Google Chrome":

Si existe una actualizacin manual, aparecer:

Actualizaciones de Software

13

Firefox Para comprobar si existen actualizaciones podemos hacerlo desde la barra de herramientas de [Ayuda >> Buscar actualizaciones...]:

NOTA: A partir de la versin 4, Firefox proporciona la opcin de instalar las actualizaciones de seguridad automticamente cuando se reciben las notificaciones de actualizacin o bien esperar hasta que el usuario acepte manualmente las mismas. Adems, avisar al usuario cuando existan complementos desactualizados y permitir actualizarlos tambin a su versin ms reciente. Para seleccionar el tipo de configuracin deseada siga los siguientes pasos: 1. Pulse el men de Firefox Complementos

2. Pulse el icono de configuracin en la parte superior derecha y selecciona Actualizar complementos automticamente.

Actualizaciones de Software

14

Si no desea llevar a cabo actualizaciones para determinados complementos (algo desaconsejable) siga lo siguientes pasos: 1. Seleccione la ficha Extensiones en el Administrador de complementos. 2. Seleccione el complemento en el quieres deshabilitar la actualizacin automtica y pulse en el botn mas. 3. Seleccione la opcin No en el apartado Actualizaciones automticas.

De esta forma, Firefox 4 no actualizar de forma automtica dicho complemento aunque si se le indicar cuando exista una actualizacin disponible. Opera De forma similar a Chrome, opera permite actualizaciones automticas dando diversas opciones a la hora de configurar el tipo de actualizacin. Un cuadro de dilogo aparecer cuando se publica una nueva versin dando diversa informacin sobre dicha actualizacin. Opera comprobar de forma peridica si existen nuevas versiones disponibles aunque es posible comprobarla de forma manual seleccionando la opcin "Ayuda->Comprobar Actualizaciones" desde el botn Menu. Una vez finalizada la descarga, dar la opcin se instalarla inmediatamente reiniciando el navegador o bien instalarla ms adelante, instalndose la prxima vez que se inicie.

Actualizaciones de Software

15

El panel de configuracin de las actualizaciones se encuentra en "Configuracin>Opciones, Seguridad". Se recomienda mantener la opcin de Instalar actualizaciones automticamente; de esta forma todas las actualizaciones futuras ocurrirn silenciosamente, lo que implicar que la informacin acerca de la actualizacin se mostrar minimizada en la barra de estado y que la instalacin se realizar automticamente la prxima vez que inicie el navegador.

4.1

PLUGINS

El trmino plugin generalmente hace referencia a un complemento del navegador que tiene capacidad de interactuar con el Sistema Operativo y con aplicaciones externas. Los plugins permiten extender y aadir nuevas funcionalidades al navegador como por ejemplo visualizar formatos de imagen (PDF, 3D), reproducir videos o representar animaciones Flash. En cualquier caso, las actualizaciones de los plugins requieren una vigilancia constante ya que adems de aportar nuevas mejoras a las ya existentes, suelen corregir vulnerabilidades que podran ser aprovechadas por terceros para acceder a nuestro equipo o para instalar malware.
Actualizaciones de Software 16

Un claro ejemplo sobre el nivel de criticidad que representa una falta de revisin de nuestros plugins lo muestra un estudio realizado por el proveedor de servicios de navegacin segura Truster, segn el cual dos semanas despus de que Adobe liberara un parche crtico para Flash y Acrobat Reader, casi el 80% de los usuarios de Internet eran todava vulnerables a dicho fallo de seguridad. Es necesario revisar peridicamente los plugins que tenemos instalados al igual que lo es mantener nuestro antivirus actualizado y nuestro cortafuegos activo. Existen servicios web y herramientas gratuitas que permiten facilitar esta tarea y ahorrar gran cantidad de tiempo. A continuacin mostraremos algunas herramientas de apoyo que nos avisarn y facilitarn la gestin de nuestros plugins.

Check For Everyone

Check for everyone es un servicio web de Mozilla que comprueba el nmero de plugins instalados, as como su versin, para posteriormente informar al usuario de aquellos que no se encuentran actualizados. Adems, proporcionar un enlace para descargar la ltima versin de los mismos.

Si no es posible determinar la versin de algn plugin, mostrar la opcin Research que lanzar una bsqueda en Google con el criterio current version plugin seguido del nombre del plugin. Check For Everyone actualmente soporta los siguientes navegadores: Firefox, IE, Chrome, Safari y Opera.
Secbrowsing

Otra herramienta similar es la extensin para Chrome Secbrowsing, la cual comprueba peridicamente las actualizaciones de los plugins instalados alertando al usuario mediante un icono en la barra de direcciones cuando detecta una actualizacin pendiente. Pulsando este icono, mostrar aquellos plugins que necesitan ser actualizadas y un enlace a la pgina de descarga, de forma similar a Check for everyone.

Actualizaciones de Software

17

5.

SOFTWARE DE APOYO

Adems de las actualizaciones del sistema operativo, nuestros equipos contienen multitud de aplicaciones que usamos a diario y que, como cualquier software, contienen vulnerabilidades. Visores PDF, reproductores de msica y vdeo, programas ofimticos, clientes de correo, etc. Todos ellos son tambin objeto de atacantes y por tanto tambin se le debe prestar la atencin necesaria para mantenerlos actualizados y a salvo de los fallos de seguridad ms recientes. Aunque existen multitud de listas de seguridad a las que nos podemos suscribir para estar al da de las ltimas vulnerabilidades y actualizaciones ms relevantes, esto resulta una opcin muy tediosa para un usuario que nicamente utiliza su equipo para trabajar y que no dispone de tiempo suficiente para revisar las actualizaciones de seguridad ms recientes en cada uno de los programas que utiliza. Por este motivo, una de las opciones ms recomendables es apoyarnos en herramientas de seguridad que nos simplifiquen esta tarea avisndonos cuando algn programa de nuestro ordenador est desactualizado. De esta forma, el usuario no tendr que preocuparse de mirar si su software est actualizado a la ltima versin ya que automticamente nuestro equipo nos alertar o bien actualizar cuando detecte un programa que lo necesite. A continuacin os mostraremos algunas de las herramientas gratuitas que nos facilitarn enormemente la gestin de actualizaciones.

5.1 SECUNIA PSI


Secunia PSI es una herramienta de seguridad diseada para detectar programas y plugins vulnerables y desactualizados que requieran de parches de seguridad y que pueden exponer tu equipo a ataques que rara vez son bloqueados por antivirus tradicionales. Puedes descargarte Secunia PSI desde su pgina oficial. Durante la instalacin te dar opcin a elegir si actualizar automticamente el software que detecte desactualizado o bien que requiera previa autorizacin del usuario.

Actualizaciones de Software

18

Durante la instalacin tambin dar la opcin de seleccionar el nivel de detalle de la informacin que mostrar a travs de las notificaciones. Estas notificaciones se visualizarn en el "rea de notificacin de Windows" justo encima del icono de Secunia cuando se realice algn cambio o algn escaneo del sistema. Si se selecciona la opcin "Show full change information in tray icon notifications" el Tray Icon incluir detalles como el nombre del programa que ha sido instalado o eliminado. Si no se selecciona, nicamente indicar que un cambio ha ocurrido o bien que un programa ha sido aadido o eliminado sin especificar el nombre del mismo.

Una vez que finalice la instalacin, la primera vez que se ejecute Secunia PSI, empezar a escanear en segundo plano el equipo en busca de parches de seguridad para los programas instalados.

Actualizaciones de Software

19

Una vez finalizado el anlisis, desde la pgina de "Scan Results" podrs ver los el resultado del escaneo y si alguno de los programas requiere de algn parche crtico de seguridad.

5.2 TECHTRACKER FREE


De forma similar a Secunia PSI, TechTracker permite informar al usuario cuando algn programa de los que se encuentra en su base de datos y est instalado en el equipo del usuario se encuentra desactualizado. Para usar el programa es necesario crear una cuenta de CNET para poder visualizar los resultados completos una vez realizado el anlisis. Despus de descargar e instalar TechTracker, podrs ver su icono en el rea de notificacin, desde donde se pude acceder a los parmetros de configuracin.

Actualizaciones de Software

20

Puede configurar la frecuencia con que debe buscar actualizaciones (diaria, semanal o mensualmente). Por defecto, est configurado para comprobar todos los das.

Cada vez que TechTracker realiza un escaneo de nuestra mquina nos indicar el nmero de actualizaciones disponibles para los programas instalados. Para visualizar el resultado completo del anlisis pulsamos en el botn My Software, llevndonos a la pgina de CNET TechTracker y desde donde podremos ver el software instalado en nuestro equipo as como aquellas versiones que se encuentras desfasadas, facilitndonos tambin la descarga de la versin ms reciente.

Actualizaciones de Software

21

Es importante destacar que CNET dispone de una de las mayores bases de datos de software y que, por tanto, TechTracker nicamente se limitar a dicha base de datos para localizar e informar al usuario sobre las actualizaciones de software. Puede consultar ms informacin desde su pgina oficial.

5.3 CONAN
Herramienta gratuita del Instituto Nacional de Tecnologas de la Comunicacin (INTECO) que alertar de configuraciones incorrectas en nuestro sistema. Conan es una utilidad no intrusiva y pensada como complemento al antivirus ofreciendo un servicio de seguridad capaz de analizar y detectar posibles configuraciones de riesgo. A partir de la informacin recopilada, Conan generar un informe enfocado a prevenir fallos de seguridad y a reaccionar ante infecciones o ataques al sistema, identificando los elementos que causan el problema y ofreciendo a su vez soluciones para mitigar los mismos. De este modo, internautas y pymes pueden obtener un informe inmediato del nivel de seguridad de sus PCs, lo que podr posibilitar un incremento en la proteccin del equipo de una manera rpida y sencilla. Desde el cuadro resumen que ofrece Conan, se puede ver los elementos de riesgo as como las recomendaciones y posibles soluciones para corregir y elevar el nivel de seguridad del PC. Asimismo, enlaza a la Oficina de Seguridad del Internauta y el Catlogo de Empresas y Soluciones de Seguridad TIC donde el usuario podr encontrar las recomendaciones adecuadas para los diferentes problemas de seguridad detectados, actualizacin de sistemas operativos, y herramientas de seguridad, entre otros. Para poder usar Conan es necesario previo registro desde la pgina de Conan. Las credenciales que demos de alta sern las empleadas para acceder tanto a la propia aplicacin como a la plataforma Web desde la cual podemos visualizar todos los informes realizados. Para comenzar el anlisis se tiene que introducir nuestras credenciales en Conan y una vez autenticados pulsar el botn Analizar. Conan empezar a analizar mltiples aspectos de seguridad de nuestra mquina y una vez que finalice enviar automticamente el informe con los resultados a la plataforma web.

Actualizaciones de Software

22

Cada informe abarca numerosos aspectos de nuestra mquina proporcionando informacin detallada sobre recursos compartidos, servicios en ejecucin, conexiones de red, actualizaciones del Antivirus, ActiveX instalados, plugins, polticas de seguridad, actualizaciones del sistema operativo, etc.

Actualizaciones de Software

23