Curso para el uso seguro

de medios informticos
Amenazas actuales

ESET Latinoamrica: Av. Del Libertador 6250, 6to. Piso -

Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 -
Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com
 Uso seguro de medios informticos

ndice
Introduccin ................................................... 3

Malware ......................................................... 4

Virus ......................................................................... 4

Gusano ...................................................................... 5

Troyano ..................................................................... 6

Adware ...................................................................... 7

Spyware .................................................................... 8

Rogue ....................................................................... 8

Ransomware .............................................................. 9

Otras amenazas ............................................. 11

Spam ........................................................................ 11

Hoax ........................................................................ 11

Scam ........................................................................ 12

Phishing ................................................................... 13

Conclusin ..................................................... 15
 Uso seguro de medios informticos

El presente mdulo presenta la definicin y clasificacin de las principales amenazas a las que un usuario
hogareo o el administrador de un sistema informtico se pueden enfrentar. Se presentan las definiciones
de los cdigos maliciosos, se detallan las caractersticas de cada uno de los diversos tipos de malware
existentes y, finalmente, otros tipos de amenazas existentes en la actualidad.

Introduccin
Actualmente existen muchas amenazas a las que los usuarios estn expuestos por el simple
hecho de encender su computadora o de conectarse a una red. A continuacin se darn
definiciones de las amenazas ms frecuentes a la que se enfrentan los usuarios.

Desde comienzos de la dcada de 1980 se conocen los programas llamados virus informticos,
y su definicin ha variado notablemente con el correr el tiempo 1. A diferencia de programas
benignos, no considerados malware (y que son instalados con el consentimiento del usuario),
estas aplicaciones son capaces de realizar acciones dainas sin que el usuario lo sepa.

La mayora de los primeros cdigos maliciosos se reproducan de equipo en equipo utilizando

los medios extrables disponibles en ese momento, que eran los disquetes. Por esta razn, la
velocidad de propagacin era baja y se demoraba relativamente bastante desde que un virus
era creando hasta que el mismo lograba una extensa difusin. Luego se produjo la masificacin
de las redes, Internet lleg a los hogares y organizaciones, y la difusin de los cdigos
maliciosos se increment exponencialmente, haciendo que en solo un par de horas la cantidad
de infectados por un malware sea muy elevada.

La clasificacin del malware se ha diversificado y crece da a da, y cada vez es ms comn

escuchar distintos trminos anglosajones que los describen. Con el paso del tiempo, adems,
se reconoce un cambio en la finalidad de los cdigos maliciosos, donde inicialmente el
desarrollador buscaba reconocimiento y fama por haber desarrollado el malware. Hoy en da el
principal motivo del desarrollo de los mismos se centra en el beneficio econmico que genera, y
esto se ve reflejado en la gran cantidad de nuevos cdigos maliciosos que se publican a diario.

A continuacin se presentan las definiciones de malware ms conocidas junto con otras

amenazas existentes en la actualidad.

1
Para una lectura detalla se recomienda leer el documento Cronologa de los virus informticos: la historia del malware:
http://www.eset-la.com/centro-amenazas/1600-cronologia-virus-informaticos
 Uso seguro de medios informticos

Malware
Malware es el acrnimo, en ingls, de las palabras malicious y software (en espaol,
programa malicioso). Se puede considerar como malware todo programa diseado con algn
fin daino.

Dentro de este grupo se encuentran una serie de amenazas que difieren en sus caractersticas,
particularidades y formas de funcionamiento. Tambin es muy frecuente la existencia de
malware que combina diferentes caractersticas de cada amenaza.

A continuacin se describen los diversos tipos de cdigos maliciosos, las definiciones de cada
uno, y otras informaciones que pueden verse resumidas en la siguiente tabla, junto a sus
caractersticas:

Imagen 1 Clasificacin de malware

Virus
Un virus es un programa informtico creado para producir algn dao en el sistema del
usuario y que posee dos caractersticas particulares adicionales: acta de forma transparente
al usuario y tiene la capacidad de reproducirse a s mismo.

Los virus informticos requieren de un anfitrin donde alojarse. Este puede variar, siendo un
archivo (tanto ejecutable como no), el sector de arranque o incluso la memoria de la
computadora. Su origen data de los comienzos de los aos 80, siendo en aquel entonces el
nico cdigo malicioso existente (no exista el concepto de malware).

El mtodo tradicional de infeccin consiste en la inyeccin de una porcin de cdigo dentro de

un archivo del sistema. Al residir el cdigo malicioso dentro de un archivo benigno, cuando este
 Uso seguro de medios informticos

es ejecutado se procesan en primer trmino las acciones maliciosas y posteriormente las

contenidas normalmente en el archivo original.

Cuando un virus es ejecutado se producen dos acciones en paralelo: el dao en cuestin y la

propagacin para seguir infectando otros archivos. Esta es la caracterstica primordial de los
virus: su capacidad de reproducirse por s mismos; el mismo virus es el que causa el dao y
contina infectando nuevos sistemas o archivos.

Gusano
Un gusano informtico es un cdigo malicioso cuyas principales caractersticas son que no
infecta archivos (principal diferencia con los virus) y que se propaga por s mismo a travs la
explotacin de diferentes tipos de vulnerabilidades.

Su surgimiento data del ao 1988, cuando el gusano Morris, considerado el primero de este tipo
de malware, logr colapsar miles de sistemas, especficamente el 10% de los equipos
conectados a la Internet (ArpaNet por aquel entonces).

El medio utilizado puede diferir segn la variante, siendo algunas de las principales tcnicas
empleadas:
Envo de mensajes a travs de clientes de mensajera instantnea.
Copia por dispositivos USB.
Aprovechamiento de vulnerabilidades de software.

Ampliando este ltimo apartado, una de las caractersticas ms frecuentemente detectadas en

los gusanos es la posibilidad de explotar vulnerabilidades en el sistema operativo o las
aplicaciones para continuar su propagacin, y las variantes suelen tener altos ndices de
infeccin, especialmente cuando se trata de fallas de seguridad sin parche, o que aparezcan en
productos muy difundidos como puede ser, entre otros, Microsoft Windows.

Un ejemplo de esta amenaza es el reciente gusano Conficker, que apareci en octubre de 2008,
y durante los aos 2009 y 2010 continu como una de las principales amenazas informticas. El
mismo explota una vulnerabilidad en los sistemas Microsoft Windows (identificada como
MS08-067)2, poseyendo la capacidad de propagarse por equipos que no hubieran sido
actualizados. En sus otras variantes Conficker incorpor nuevos canales de difusin, como los
medios removibles y los recursos compartidos en red.

Amenazas como Conficker continan infectando equipos y empresas, esto se debe a que
muchas de ellas utilizan software no licenciado. La falta de licencias originales del sistema
operativo o programas de terceros, implica que no se actualicen los sistemas y vulnerabilidades
como las explotadas por Conficker continen causando infecciones.
 Uso seguro de medios informticos

Segn ESET tres de cada diez usuarios no mantienen seguro su sistema por tener versiones del
software no licenciadas. Esto se debe a que en muchos casos las actualizaciones poseen
mecanismos para detectar estas copias no legtimas de software, y es por ello que muchos
usuarios prefieren no correr ese riesgo, y a cambio (en muchos casos sin saberlo) terminan
corriendo otros riesgos.

Troyano
Un troyano es un cdigo malicioso que simula ser inofensivo y til para el usuario. Al igual que
los gusanos, no infectan archivos, aunque a diferencia de aquellos, el troyano necesita del ser
humano para su propagacin.

Los primeros troyanos pueden identificarse a finales de los aos 80 y principios de los aos 90,
de la mano de la masiva difusin de Internet. Al basar su xito en la simulacin y en la necesidad
de que el usuario ejecute el archivo, los troyanos se caracterizan por una extensa utilizacin de
tcnicas de Ingeniera Social.

Existe una gran variedad de troyanos, dependiendo sus acciones y utilidades:

Downloader: descargan otros cdigos maliciosos.
Banker: posee como objetivo el robo de credenciales de acceso financieras.
Dropper: se ejecuta en paralelo con un programa legtimo.
Clicker: busca beneficio econmico a travs de clics en publicidad.
Keylogger: registra las actividades que se realizan en el sistema.
Backdoor: abre puertos en el sistema.
Bot: convierte el sistema en zombi.
 Uso seguro de medios informticos

La siguiente imagen muestra una tcnica frecuentemente utilizada para engaar al usuario: la
instalacin de falsos cdec. El usuario es invitado a observar un video y es luego informado de la
necesidad de instalar un cdec. Toda la situacin es un engao y el usuario termina descargando
un troyano:

Imagen 2 Falso cdec

Adware
Adware (acrnimo de advertisement anuncio publicitario- y software) es un programa
malicioso, que se instala en el sistema sin que el usuario sepa realmente su objetivo principal,
que es descargar y/o mostrar anuncios publicitarios en la pantalla de la vctima.

Cuando un adware infecta un sistema, el usuario comienza a ver anuncios publicitarios que se
muestran de manera sorpresiva en pantalla. Por lo general, estos se ven como ventanas
emergentes en el navegador (pop-ups). Los anuncios pueden modificar las pginas que visita el
mismo (como puede ser, por ejemplo, los resultados de un buscador), e incluso aparecer
aunque el usuario no est navegando por Internet. Por lo general, el adware utiliza informacin
recopilada por algn spyware para decidir qu publicidades mostrar al usuario.
Frecuentemente se observa a estas dos amenazas trabajando en forma conjunta.
 Uso seguro de medios informticos

Spyware
El spyware, tambin conocido como programa espa, es una aplicacin cuyo fin es recolectar
informacin del usuario, sin su consentimiento.

Inicialmente el spyware naci como un conjunto de aplicaciones incluidas junto al software

gratuito, con el objetivo de generar estadsticas sobre la actividad del usuario en su
computadora, a fin de poder determinar su perfil de navegacin e intereses. Esto tiene mucho
valor para las compaas dedicadas al marketing en Internet, ya que gracias al material
recolectado pueden confeccionar bases de datos que les permiten conocer fehacientemente
qu es lo que puede atraer a cada usuario o perfil en particular.

Pero como toda amenaza informtica, el spyware evolucion y ya no solo se instala junto al
software distribuido libremente, sino que utiliza otros mtodos para llegar hasta las
computadoras de los usuarios.

Los datos que recopila un spyware son enviados a los atacantes, y pueden ser variados: historial
de navegacin, historial de descargas, compras va e-commerce, informacin demogrfica (sexo,
edad, etc.), intereses comerciales, bsquedas realizadas, etc.

Rogue
El rogue es un cdigo malicioso que simula ser un programa de seguridad, con el fin de lograr
que el usuario pague por una aplicacin daina o inexistente. Es una de las tcnicas que mayor
crecimiento ha experimentado en los aos 2008 y 2009. Emplea como herramienta la
generacin de miedo en el usuario, indicando falsas alertas sobre infecciones y/o problemas
que pudiera tener el sistema; logrando de esta forma que el usuario desee instalar el falso
producto.

Es utilizado para dos fines principalmente:

Instalacin de malware: trabajando como un troyano, mientras la vctima supone que
est instalando una aplicacin de seguridad (en la mayora de los casos gratuita), en
realidad se instala en el equipo un cdigo malicioso.
Scam: en algunos casos, luego de alertar al usuario sobre un riesgo de seguridad en el
sistema, se ofrece una aplicacin a un precio promocional. Luego el usuario pagar
por una aplicacin inexistente.
Es muy frecuente en este tipo de amenazas que se realicen falsas exploraciones del sistema,
para luego indicar al usuario la existencia de supuestos riesgos.
 Uso seguro de medios informticos

A continuacin vemos una imagen de este tipo de malware alertando acerca de una falsa
infeccin en el sistema:

Imagen 3 Rogue, alerta sobre falsas amenazas

Es muy importante estar atento ante este tipo de amenazas, y conocer las diversas maneras de
identificar un rogue 2.

Ransomware
El ransomware es una de las amenazas informticas ms similares a un ataque sin medios
tecnolgicos: el secuestro. En su aplicacin informatizada, el ransomware es un cdigo
malicioso que, por lo general, cifra la informacin del ordenador e ingresa en l una serie de
instrucciones para que el usuario pueda recuperar sus archivos. La vctima, para obtener la
contrasea que libera la informacin, debe pagar al atacante una suma de dinero, segn las
instrucciones que este comunique. Algunas de las tcnicas para el secuestro son las siguientes:
Cifrado de archivos del disco.
Bloqueo de acceso a ciertos archivos (frecuentemente documentos de ofimtica).
Bloqueo total de acceso al sistema (previo al login, o bloqueo de pantalla una vez que el
usuario accedi al sistema).

2
Ms informacin: http://blogs.eset-la.com/laboratorio/2010/09/14/5-formas-de-identificar-un-rogue/
 Uso seguro de medios informticos

10

Una vez que el sistema fue secuestrado, el atacante solicita al usuario una suma de dinero, a
travs de diversas tcnicas (algunas ms directas que otras): un depsito bancario, el envo de
un mensaje de texto, pago electrnico, la adquisicin de un producto, etc.

Aunque la principal proteccin ante esta amenaza es la utilizacin de un software de seguridad

antivirus, la realizacin de backups de la informacin es una buena prctica para prevenir
ciertos casos de ransomware.

Uno de los casos ms populares de este tipo de amenazas es el cdigo malicioso detectado por
ESET NOD32 como Win32/Gpcode, un malware que cifra todo el disco duro al infectar el sistema,
y solicita el pago de dinero para enviar al usuario una aplicacin que permite restaurar el estado
anterior del disco. Durante 2008 tuvo ndices de infeccin altos para un software de este tipo.
El mensaje que utilizaba para informar de la infeccin era el siguiente (originalmente en ingls):

Sus archivos fueron cifrados con el algoritmo RSA-1024. Para recuperar sus archivos, debe comprar
nuestra aplicacin de descifrado. Para comprar la herramienta, contacte a [ELIMINADO]@yahoo.com 3

Imagen 4 - Ransomware

3
Your files are encrypted with RSA-1024 algorithm. To recovery your files you need to buy our decryptor. To buy decrypting tool
contact us at: [ELIMINADO]@yahoo.com
 Uso seguro de medios informticos

11

Otras amenazas

Spam
Se denomina spam al correo electrnico no solicitado enviado masivamente por parte de un
tercero. En espaol tambin es identificado como correo no deseado o correo basura.

Es utilizado, por lo general, para envo de publicidad, aunque tambin se lo emplea para la
propagacin de cdigos maliciosos. Adems de los riesgos que representa el spam para el envo
de contenidos dainos y de la molestia que causa al usuario recibir publicidad no deseada,
tambin existen efectos colaterales de su existencia, como la prdida de productividad que
genera en el personal de una empresa la lectura de correo no solicitado, y el consumo de
recursos (ancho de banda, procesamiento, etc.) que estos generan.

La cantidad de spam ha ido en aumento con el pasar de los aos, y es de esperar que esta
tendencia contine. Respecto al porcentaje, algunos estudios afirman que entre un 80-85% del
correo electrnico es correo basura. Algunas fuentes han aventurado valores superiores,
llegando al 95%.

La principal barrera de proteccin son las herramientas antispam. De todas formas, tambin es
importante que los usuarios no reenven correos en cadena, utilicen la opcin de copia oculta
(para no difundir las direcciones de correo de sus contactos) y no publiquen su direccin de
correo en foros o sitios web.

Aunque el spam visto con mayor frecuencia es el realizado va correo electrnico, tambin se
pueden observar mensajes de spam en foros, comentarios en blogs o mensajes de texto, entre
otros.

Hoax
Un hoax es un correo electrnico distribuido en formato de cadena, cuyo objetivo es hacer creer
a los lectores que algo falso es real. A diferencia de otras amenazas, como el phishing o el scam;
los hoax no poseen fines de lucro, al menos como intencin principal.

Los contenidos de este tipo de correos son extremadamente variables. Entre otros, se pueden
encontrar alertas falsas sobre virus y otras amenazas, historias solidarias sobre gente con
extraas enfermedades, leyendas urbanas o secretos para hacerse millonario.
 Uso seguro de medios informticos

12

Existe una serie de caractersticas comunes a la mayora de los hoax que circulan por la red,
cuyo conocimiento puede ayudar al usuario a detectar este tipo de correos:

Muchos de ellos estn escritos de forma desprolija, sin firma y con redaccin poco
profesional.
Invitan al usuario a reenviar el correo a sus contactos, conformando lo que se conoce
como cadena de mails.
El remitente es alguien de confianza. Esto se debe simplemente a que el reenvo de esta
amenaza est dado voluntariamente por vctimas que ya han credo el contenido del
correo.
Por lo general, no poseen informacin especfica de ubicacin temporal. De esta forma,
al ser el contenido atemporal, la difusin del mensaje se puede dar por tiempo
indeterminado.
Algunos de ellos indican un beneficio o donacin por cada vez que se reenve el
mensaje.

Scam
Scam es el nombre utilizado para las estafas a travs de medios tecnolgicos. A partir de la
definicin de estafa, se describe scam como el "delito consistente en provocar un perjuicio
patrimonial a alguien mediante engao y con nimo de lucro, utilizando como medio la
tecnologa".

Los medios utilizados por los scam son similares a los que utiliza el phishing, aunque el objetivo
no es obtener datos sino lucrar de forma directa a travs del engao. Los argumentos utilizados
principalmente para engaar al usuario, son el anuncio de una ganancia extraordinaria o las
peticiones de ayuda caritativa.

En el primer caso aparecen, por ejemplo, los anuncios de empleo con rentabilidades
inesperadas o el premio de una lotera o juegos de azar. En estos casos, para convertir el ataque
en una estafa, se le solicita al usuario que haga una entrega de una suma de dinero (pequea en
comparacin con la supuesta ganancia ofrecida) para poder verificar algunos datos o cubrir los
costos de envo y administracin del dinero obtenido.

El segundo caso, y el ms comn, es el correo en que se solicita una donacin al usuario, para
una obra caritativa. Los contenidos ms generales hacen referencia a pases de extrema
pobreza (generalmente de frica), a personas enfermas o a catstrofes internacionales. El
correo invita a la vctima a hacer un depsito o envo de dinero a fin de colaborar con la causa
caritativa. Esta tcnica de Ingeniera Social aprovecha la bondad de las personas y su inters por
ayudar.
 Uso seguro de medios informticos

13

Los scam son una amenaza constante para el usuario y cientos de ellos rondan la red cada da.
Sin embargo, luego de algn desastre (terremoto, inundacin, guerra, hambruna) con impacto
meditico considerable, aumenta notablemente la cantidad de correos de este tipo que
circulan por la red.

Phishing
El phishing consiste en el robo de informacin personal y/o financiera del usuario, mediante la
falsificacin de comunicaciones provenientes de un ente confiable. De esta forma, el usuario
cree ingresar los datos en un sitio que conoce cuando, en realidad, estos son enviados
directamente al atacante. En su forma clsica, el ataque comienza con el envo de un correo
electrnico simulando la identidad de una organizacin de confianza, como por ejemplo un
banco o una reconocida empresa. Las caractersticas de un correo de phishing son las
siguientes:

Uso de nombres de organizaciones con presencia pblica.

El correo electrnico del remitente simula ser de la compaa en cuestin.
El cuerpo del correo presenta el logotipo de la compaa u organizacin que firma el
mensaje.
El mensaje insta al usuario a reingresar algn tipo de informacin que, en realidad, el
supuesto remitente ya posee.
El mensaje incluye un enlace.

El enlace es un componente importante del ataque. Cuando el usuario hace clic sobre l es
direccionado a un sitio web, donde podr ingresar la informacin solicitada en el correo
electrnico. A pesar de que el texto sobre el que usuario haga clic mencione una direccin web
vlida, el mismo puede apuntar a cualquier otro sitio web; en este caso, al sitio falsificado. De
esta forma el correo induce al usuario a hacer clics sobre los vnculos del mensaje.

Como tcnica de Ingeniera Social, el phishing suele utilizar el factor miedo, para inducir al
usuario a ingresar la informacin en el sitio del atacante. Un aviso legtimo de caducidad de
informacin (como contraseas, cuentas de correo o registros personales), nunca alertar al
usuario sin el suficiente tiempo para que este gestione las operaciones necesarias en tiempos
prudenciales. Mensajes del tipo "su cuenta caducar en 24hs." o "si no ingresa la informacin en las
prximas horas..." son frecuentemente utilizados en este tipo de incidentes.
 Uso seguro de medios informticos

14

La recepcin de este tipo de ataques usualmente se produce a travs de correos electrnicos y

el usuario (una vez que abre el mensaje o sigue el enlace) puede ser vctima de esta tcnica, tal
como se observa en la imagen siguiente

Imagen 4 Correo de phishing

 Uso seguro de medios informticos

15

Conclusin
Desde la aparicin de los virus informticos, particularmente en la dcada del 80, los cdigos
maliciosos han evolucionado encontrando nuevas caractersticas y mtodos de propagacin
para afectar a los usuarios.

Por un lado, es importante poder clasificarlos, para as conocer la diversidad de amenazas

existentes, sus caractersticas, sus metodologas, sus ndices de infeccin, etc. La clasificacin
es una medida conceptual y educativa, que es importante para comprender lo que representa la
amenaza del malware en la actualidad.

Sin embargo, por otro lado, debe recordarse que todos estos tipos de malware poseen un factor
comn: generar dao. Por lo tanto, la proteccin de amenazas debe abarcar todas las clases de
cdigos maliciosos descritos a lo largo del captulo, ya que cualquiera de ellos es un riesgo para
los usuarios de computadoras.
 Uso seguro de medios informticos

16

Copyright 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.

Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados
en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con
ESET, LLC y ESET, spol. s.r.o.

ESET, 2012

Acerca de ESET

Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que
provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con
oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego,
Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino
Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal
(Mxico).

Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET
Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del
primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos
el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de
productividad, velocidad de exploracin y un uso mnimo de los recursos.

Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde
dispone de un equipo de profesionales capacitados para responder a las demandas del mercado
en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento
proactivo de variadas amenazas informticas.

La importancia de complementar la proteccin brindada por tecnologa lder en deteccin

proactiva de amenazas con una navegacin y uso responsable del equipo, junto con el inters
de fomentar la concientizacin de los usuarios en materia de seguridad informtica, convierten
a las campaas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya
ha adquirido renombre propio.

Para ms informacin, visite www.eset-la.com