1

UNIVERSIDAD NACIONAL DE INGENIERÍA

Facultad de Ingeniería Industrial y de Sistemas

Seguridad Informática: Malware

Polanco Sevilla, Maycoll Kevin

Rojas Rodríguez, Sandra

Sánchez Arango, Jorge Luis

Sánchez López, Hector Enrique

Vega Sánchez, Diego Isidro

Profesor: Saúl Acevedo Raymundo

Monografía presentada para el curso de Técnicas de la Comunicación

Lima, Octubre del 2016

 3

ÍNDICE

CAPÍTULO I

NOCIONES GENERALES……………………………………………………………7

1.1. Definición………………………………………………………………………7

1.1.1. Software…………………………………………………………………..7

1.1.2. Malware…………………………………………………………………..7

1.1.3. Virus ………………………………………………………………….....7

1.2. Función…………………………………………………………………………7

1.2.1. Gusano Morris…………………………………………………………8

1.2.2. Virus Melissa…………………………………………………………..8

1.2.3. Ataque DDoS…………………………………………………………..9

1.3. Objetivos ………………………………………………………………………9

1.3.1. Usuarios …………………………………………………………………10

1.3.2. Phising …………………………………………………………………..10

CAPÍTULO II

CARACTERÍSTICAS/TIPOS DE MALWARE……………………………………….11

2.1. Características………………………………………………………………….11

2.2. Tipos de malware………………………………………………………………12

2.2.1. Virus ……………………………………………………………………12

2.2.2. Gusanos informáticos…………………………………………………..12

2.2.3. Caballo de troya (troyanos)……………………………………………..13

2.2.4. Spyware…………………………………………………………………13

2.2.5. Adware o software de publicidad……………………………………….14

 4

2.2.6. Phising…………………………………………………………………..14

2.2.7. Dialers…………………………………………………………………….15

2.2.8. Ransomware………………………………………………………………15

2.3. Spam……………………………………………………………………………..16

2.4. Burlas (joke)……………………………………………………………………..16

2.5. Rootkit……………………………………………………………………………17

2.6. Scam………………………………………………………………………………17

CAPITULO III

DETECCION………………………………………………………………………………18

3.1 Programas antimalware…………………………………………………………………18

3.1.1 Formas de combatirla…………………………………………………………18

3.1.2 Programas…………………………………………………………………….19

3.1.2.1 Malware Anti-Malware Free………………………………………..19

3.1.2.2 SuperAntiSpyware…………………………………………………..19

3.1.2.3 Emsisoft Anti Malware……………………………………………...20

3.1.2.4 Spybot – Search and Destroy……………………………………….20

3.1.2.5 Ad-Aware Free Antivirus+………………………………………….20

3.2 Escaneo…………………………………………………………………………………21

3.3 Peligrosidad……………………………………………………………………………..21
 5

CAPITULO IV

TRATAMIENTO……………………………………………………………………………23

4.1 Ubicación………………………………………………………………………..……….23

4.2 Erradicación……………………………………………………………………..……….24

4.2.1 Software antivirus o eliminador de malware……………………………..….……26

4.2.2 Cuando los eliminadores de malware entran en escena ……………..…………..26

4.2.3 El software antivirus y el eliminador de malware equivalen a seguridad inteligente.27

4.3 Recuperación del sistema……………………………………………………………….28

CAPÍTULO V

PREVENCION………………………………………………………………………………29

5.1. Firewall……………………………………………………………………………..29

5.2. Como evitar ser una victima…………………………………………………….…..30

5.3. Sentido común ……………………………………………………………….……..31

CAPÍTULO VI

USOS DEL MALWARE……………………………………………………………………33

CAPÍTULO VII

7.1 Ventajas…………………………………………………………………………………..35
 6

7.2 Desventajas……………………………………………………………………………..35

CAPITULO VIII

CASOS DE ATAQUES INFORMATICOS………………………………………………..36

8.1Ataques estatales…………………………………………………………………………36

8.1.1 Caso Bolivia…………………………………………………………………………….36

8.2 Ataques financieros……………………………………………………………………..38

8.2.1 Caso First National Bank………………………………………………………………38

8.2.2 Caso CITIBANK………………………………………………………………………39

CONCLUSIONES…………………………………………………………………………40
 7

CAPÍTULO I

NOCIONES GENERALES

1.1. Definiciones

1.1.1. Software: es el soporte lógico de un sistema informático, que comprende a los

componentes lógicos necesarios para realizar tareas específicas.

1.1.2. Malware: proviene del inglés “malicious software” o “software malicioso”, es un

software diseñado para acceder al dispositivo de un usuario sin su consentimiento con el

fin de robar información, dar entrada a más códigos maliciosos o descomponer el aparato.

Por definición se trata de programas no deseados y pueden incluir códigos para

instalar barras de herramientas en los navegadores, anuncios publicitarios, o para

descargar programas sin que el usuario lo sepa.

Estos programas suelen ser utilizados también por quienes operan redes criminales

en internet.

1.1.3. Virus: tipo específico de malware y termino mal empleado al referirse a las diferentes

variedades de malware, incluidos en estos los “virus” reales.

1.2. Función

Los primeros programas infecciosos fueron elaborados como experimentos o

simplemente como algo molesto y no para causar daños graves en una computadora.

Unos ejemplos de estos malware son el “gusano Morris” que en 1988 infecto 10% de

todos los computadoras conectadas a la red, o un virus tan extendido en 1999 como

“Melissa”.
 8

1.2.1. Gusano Morris:

El programa intentaba averiguar las contraseñas de las computadoras usando una

rutina de búsqueda que probaba los nombres de usuarios más conocidos y una lista

de contraseñas más comunes, usando un método por el cual se auto replicaba

indefinidamente, en un inicio no fue creado para hacer algún daño, pero debido a un

error en su código, fue catastrófico para su época. Produjo fallos en cientos de

computadoras de universidades, corporaciones y laboratorios del gobierno antes de

ser rastreado y eliminado. Era un ataque que fue llamado “gusano de internet”, al cual

la prensa llamo “el mayor asalto jamás realizado contra los sistemas de la nación”.

Erradicarlo costo cerca de 1 millón de dólares y por el tiempo que los sistemas

estuvieron detenidos las pérdidas fueron de casi 96 millones de dólares en 1988.1

1.2.2. Virus Melissa

Este virus se distribuyó por primera vez en un grupo de noticias. El virus estaba

dentro de un archivo llamado “List.doc”, que decía contener contraseñas que

permitían acceder a 80 sitios web pornográficos. Este fue enviado por e-mail a

muchas personas, se propagaba en los procesadores de texto de Microsoft Word 97,

Word 2000 y Microsoft Excel 97, 2000 y 2003, este “List.doc” es un documento de

Word que contiene el virus, que si se descarga y se abre, a continuación, se ejecuta

e inician los envíos masivos de sí mismo a las 50 personas de la libreta de direcciones

del correo electrónico, con ello multiplicándose, y escribe en los documentos que se

tengan abiertos:

“Veintidós puntos, más triple puntuación de palabras, más cincuenta puntos por usar

todas mis cartas. El juego termina. Me voy de aquí”

 9

El software creado para causar daños o perdida de información se consideran actos de

vandalismo. Muchos Virus (tipo de malware) son diseñados para destruir datos del disco duro

o para corromper el sistema de archivos escribiendo datos inválidos. Algunos “gusanos” son

diseñados para modificar las páginas web y dejar la marca del autor por todos los sitios por los

que pasa. Sin embargo debido al aumento de usuarios de internet el malware se ha diseñado

para obtener beneficios de este.

Desde 2003, los malware han sido diseñados para su explotación en el mercado negro al robar

información confidencial que lleva a extorciones o invasión de la privacidad, se insertan en las

computadoras usándolas para envió masivo de “spam” (mensajes no deseados con remitente

desconocido y potencialmente nocivo), para alojar datos ilegales como pornografía infantil, o

formar parte de ataques DDoS.

1.2.3. Ataque DDoS

Conocido por sus siglas en inglés “Distributed Denial of Service” es un ataque a un

sistema de computadoras o redes que causa que el servicio no sea accesible para los

verdaderos usuarios. Se genera por la saturación de los puertos con flujos de

información, haciendo que el servidor se sobrecargue ya que no se da abasto a la

cantidad de solicitudes de computadoras infectadas con malware.

Generalmente estos malware se instalan en los ordenadores por usuarios poco experimentados

al abrir correos no deseados y demás formas de spam.

1.3. Objetivos

Los malware creados para obtener beneficios buscan información privilegiada de usuario,

empresas o del mismo gobierno para fines lucrativos o por pura diversión.
 10

1.3.1. Usuarios

Los usuarios son objetivos de malware tales como spyware, cuyo objetivo es obtener

información de estos tales como las páginas web visitadas por el usuario, los correos

electrónicos de sus conocidos, a los cuales les envían spam, otros recogen información

mediante barras de herramientas instaladas en el navegador web, los autores de estos

malware a menudo son empresas que incluyen en sus términos de uso el acceso a esta

información, que los usuarios aceptan sin leer o entender.

Cuando un software produce perdidas económicas para el usuario de un equipo se le

califica como crimeware o software criminal, el objetivo de estos malware es suplantar

la identidad del usuario y espiarlo.

Algunos programas también realizan cambios en la configuración del navegador web.

Por ejemplo, algunos cambian las páginas de inicio de los exploradores por páginas de

publicidad o páginas pornográficas, otros re direccionan los buscadores a páginas de

phising bancario, que conducen a una web falsa que imita a la verdadera.

1.3.2. Phising

Phising o suplantación de identidad es un término informático que denomina un modelo

de abuso informático caracterizado por intentar adquirir información confidencial de

manera fraudulenta, el cibercriminal se hace pasar por una persona o empresa de

confianza en una aparente comunicación oficial utilizando comúnmente un correo

electrónico o servicio de mensajería instantánea, posteriormente te dirige a un sitio

clonado del oficial donde roba los datos que ingreses tales como números de tarjeta de

crédito, contraseñas de cuentas bancarias, etc.

 11

CAPÍTULO II

CARACTERÍSTICAS/TIPOS DE MALWARE

2.1. Clasificación del Malware

Los malware pueden ser:

 Benignos, es decir, no tienen un módulo de ataque, se limita a mostrar un mensaje o

simplemente es una broma.

 Pueden dañar archivos ejecutables, no permite abrir archivos como Word, Excel, power

point, etc. Es decir, ya no podríamos utilizar estos programas, también los archivos del

ordenador, hay algunos archivos que si no se ejecutan pueden causar un reinicio

continuo, que vaya muy lento o simplemente se nos bloquee el sistema.

 Pueden afectar las partes del disco duro que interviene en el arranque del ordenador, es

decir si el malware afecta la partición del disco duro donde está el sistema operativo, el

ordenador no va reconocer el sistema operativo y no va encender.

 Pueden afectar la BIOS (sistema básico de entrada y salida), en la BIOS se encuentran

instalados todos los dispositivos de hardware (microprocesador, memoria, tarjeta

gráfica, teclado, etc.), es decir, si el malware afecta la BIOS puede dañar el

funcionamiento de algún hardware instalado en la BIOS.

 Pueden abrir Backdoor para que otro usuario manipule nuestro sistema como él quiere,

robarse lo que escribimos como contraseñas, transferir archivos confidenciales o

simplemente hacer que nuestro ordenador forme parte de su Botnet.

 12

2.2. Tipos de Malware

2.2.1. Virus

Los virus son programas maliciosos que infectan un archivo y este se convierte en la fuente de

infección, añade su propio código para tomar control de los archivos infectados, la velocidad

de propagación de los virus es menor que los gusanos

Los virus tienen la siguiente estructura:

 La de reproducción es la parte que permite al virus copiarse en ciertos archivos, e

infectar nuevos ordenadores.

 El de ataque es la parte que realmente hace el daño.

 El de defensa permite el retraso de su detección y eliminación.

2.2.2. Gusanos informáticos

Es un tipo de malware que tiene la propiedad de multiplicarse y esconderse en archivos

ocultos del sistema operativo, a diferencia del virus el gusano no infecta archivos. Los

gusanos suelen propagarse de computadora a computadora pero no necesitan de la ayuda

de una persona, ellos envían miles de copias de la misma computadora causando

problemas en la red creando un efecto a gran escala que podría ser devastador se

distribuyen de distintos modos por ejemplo: Correo electrónico, Facebook, etc. Los

creadores del malware camuflan al gusano con un nombre atractivo como famosos, temas

morbosos o temas de actualidad.

 13

2.2.3. Caballos de Troya (troyanos)

Los troyanos no se propagan por sí mismos como su nombre lo dice: “Caballos de Troya”

ingresan al sistema como un programa aparentemente inofensivo, pero en determinados

casos al ejecutarlo instalara en el equipo infectado un segundo programa.

Los troyanos al igual que los virus tiene la capacidad de eliminar programas o la

información del disco duro, pero no solo eso pueden abrir Backdoor y enviar datos

confidenciales de un sistema a otro o que otra persona controle nuestro ordenador, otro

uso que se les puede dar es para grabar lo que escribes como una contraseña o una

dirección, puede también ocupar el ordenador con archivos basura.

Los troyanos son de varios tipos como:

 Los Backdoor que crean puertas traseras para que otra persona pueda entrar a nuestro

sistema sin que el usuario se dé cuenta.

 Los keyloggers registran todo lo escrito en el teclado y lo envían a otro ordenador.

 Las Botnets crean una red zombi para que el usuario creador del troyano manipule este

sistema para diferentes fines.

 Los downloaders son troyanos utilizados para descargar piezas del malware y así infectar

al usuario.

 Password Stealer: este tipo de troyano es para robar todo tipo de contraseñas.

2.2.4. Spyware

Es un malware que recopila todo tipo de información del sistema y lo envía a otro

ordenador sin el conocimiento del propietario, la presencia del spyware puede ser

invisible para el usuario se pueden colectar datos del disco duro, calidad y velocidad de

la conexión, software instalado. Pero recientemente se ha aumentado la intensidad del

 14

spyware y se usa para controlar ordenadores, es decir, es un malware espía que le brinda

al creador del malware apropiarse de toda la información del ordenador. Algunos de los

efectos secundarios son en sí disminución en el rendimiento del sistema (hasta un 50%),

también causan dificultades a la hora de conectarse a la red.

2.2.5. Adware o software de publicidad

Son programas que muestran anuncios se muestran a través de ventanas emergentes,

banners, cambios en la búsqueda de inicio o de búsqueda en el navegador. La publicidad

está asociada a productos y/o servicios asociados por los propios creadores o por terceros

que lo usan como spywares. Los adware pueden ser instalados con el consentimiento del

usuario pero en ocasiones no es así y por eso algunos adware son creados por piratas para

actuar como spyware y robarse información de nuestro sistema.

2.2.6. Phishing

Es una cantidad variedad de programas espías que se propagan a través del correo. Se

les envía páginas falsas de bancos o empresas para que registres en esa página falsa tu

número de tarjeta de crédito o alguna contraseña, poner alguna información confidencial.

El phishing ha sido utilizado también para el lavado de dinero con el uso de páginas falsas

ofreciéndoles trabajar en casa y otros beneficios, cuando la gente acepta y envía toda su

información y recibe dinero, pero sin saberlo están en problemas legales por lavado de

dinero y tienen que remunerar todo el dinero que es más de lo que recibieron.

Una de las modalidades de phishing es el pharming esta técnica consiste en modificar el

sistema de nombres de dominio (DNS) para conducir al usuario a una página web falsa.
 15

2.2.7. Dialers

Son un tipo de malware que se instalan en el ordenador con la forma de un fichero

ejecutable.exe y toman el control del modem y recargan nuestra tarifa telefónica

haciendo llamadas internacionales de tarifación especial. La forma habitual de infección

suelen ser páginas que ofrecen contenidos gratuitos pero solo permite el acceso mediante

conexión telefónica.

De esta manera los dialers afectan nuestra tarifa telefónica y la aumentan sin que nosotros

nos demos cuenta.

2.2.8. Ransomware

Este tipo de malware es muy molesto es un tipo de malware secuestrador consiste en

secuestrar un cierto número de archivos y pedir un rescate por ellos en dinero, otro caso

es que se hacen pasar por la policía diciendo que encontraron material ilegal en el equipo

y de no pagarse cierta cantidad de dinero se procederá a acciones legales.

Estos archivos se propagan como los gusanos o los troyanos infectando el sistema con

un archivo descargado y luego de infectar cierta cantidad de archivos, el creador del

malware les pone una clave que luego es negociada por dinero a través de correo

electrónico.
 16

2.3. Spam

Se le llama correo basura o SMS basura a los mensajes no solicitados son de tipo

publicitario enviados en diversas cantidades que perjudican de varias maneras al receptor

la más usada es en el correo electrónico, estos spam pueden ser phishing, rasomware, entre

otros.

El spam es la mayor parte de los mensajes intercambiados en internet siendo utilizados

para anunciar productos de dudosa procedencia, la causa de estos spam son los gusanos

informáticos que alguno de nuestros contactos poseen y son vías para que el creador del

spam sepa nuestra dirección de correo a través de su historial.

2.4. Burlas (joke)

Las burlas con utilizadas por su creador para molestar al usuario mostrándole mensajes

falsos de que está infectado por cierta cantidad de virus o troyanos, pero en realidad no

está infectado por esa cantidad, los mensajes varían en intensidad desde un simple mensaje

de virus, hasta un mensaje de que su computadora ha sido formateada y todos sus archivos

se han perdido, varían en intensidad pero el objetivo en sí es hacerle una broma pesada al

usuario de la computadora.

2.5. Rootkit

Un rootkit permite ocultar las acciones que hacen un hacker al haber entrado a tu sistema

por ejemplo a través de un backdoor. Este malware permite mantener las herramientas que

permiten que el hacker entre a tu sistema.

 17

Los rootkit pueden cubrir las acciones maliciosas que un hacker hace en tu sistema

mientras tu estés conectado, oculta los Hotmail enviados, los mensajes cualquier cosa que

delate que un hacker este manipulando tu sistema.

2.6. Scam
Son bastante parecidas al phishing pero el objetivo cambia no busca sacar información

del usuario si no su compasión o su ambición por ejemplo en el caso de un terremoto,

inundación o algún desastre natural ha generado un sin número de estafas con objetivo de

caridad. También para manipular a algunas personas para que las ayuden a mover grandes

cantidades de dinero para esto te pide que le envíes dinero para cubrir “costos

administrativos”. A veces por estas estafas las personas fueron asesinadas o secuestradas

por viajar y encontrarse con el estafador que le va dar su dinero, en otros casos el usuario

termina endeudado con miles de dólares.

 18

CAPITULO III

DETECCION

3.1 Programas Antimalware

3.1.1 Formas de combatirla

Como los ataques con malware son cada vez más frecuentes, el interés ha empezado a cambiar

de protección frente a virus y spyware, a protección frente al malware, y los programas han

sido desarrollados para combatirlos.

Los programas anti-malware pueden combatir el malware de dos formas:

1. Proporcionando protección en tiempo real (real-time protección) contra la instalación

de malware en una computadora. El software anti-malware escanea todos los datos

procedentes de la red en busca de malware y bloquea todo lo que suponga una amenaza.

La protección en tiempo real funciona igual a la protección de los antivirus: el software

escanea los archivos al ser descargados de Internet y bloquea la actividad de los

componentes identificados como malware. En algunos casos, también pueden

interceptar intentos de ejecutarse automáticamente al arrancar el sistema o

modificaciones en el navegador web.

La protección en tiempo real funciona igual a la protección de los antivirus: el software

escanea los archivos al ser descargados de Internet y bloquea la actividad de los

componentes identificados como malware. En algunos casos, también pueden

interceptar intentos de ejecutarse automáticamente al arrancar el sistema o

modificaciones en el navegador web.

 19

2. Detectando y eliminando malware que ya ha sido instalado en una computadora. Este

tipo de protección frente al malware es normalmente mucho más fácil de usar y más

popular.

Este tipo de programas anti-malware escanean el contenido del registro de Windows,

los archivos del sistema operativo, la memoria y los programas instalados en la

computadora. Al terminar el escaneo muestran al usuario una lista con todas las

amenazas encontradas y permiten escoger cuales eliminar.

3.1.2 Programas

3.1.2.1 Malware Anti-Malware Free:

Malwarebytes Anti-Malware Free es una potente herramienta para detectar y remover

todo rastro de malware, que incluyen gusano, troyanos, rootkits, marcadores y

programas espías. El programafunciona en Windows de 32 y 64 bit y cuenta con un

buen rango de detección. Otra cosa interesante es que es muy sencillo de usar y no pesa

mucho.

3.1.2.2 SuperAntiSpyware:

SuperAntiSpyware puede detectar y limpiar Spywares, Adwares y remover Malwares,

troyanos, marcadores, gusanos, keyloggers, Rogue software, entre otros. El

programa es muy liviano y está diseñado para analizar tu computadora sin ponerlo

lenta.
 20

3.1.2.3 Emsisoft Anti Malware:

Si quieres prevenir ingresar a páginas que contengan troyanos o programas espías,

entonces debes probar Emisoft Anti Malware. Este programa previene todo tipo de

páginas que contengan software malicioso, su base de datos se actualiza cada hora y

contiene capas de protección de todos los archivos y los revisa con una base de 10

millones de programas maliciosos.

3.1.2.4 Spybot – Search and Destroy:

Spybot – Search and Destroy encuentra y destruye los programas maliciosos de nuestra

computadora, también programas de Malware y adware (los cuales llenan de publicidad

nuestra computadora) El programa es gratuito si lo quieres usar de forma personal. El

programa puede eliminar malware y rootkits de nuestro sistema y también protege

nuestra PC de programas que quieran modificar nuestro navegador y archivos hosts. Si

necesitas más protección puedes pagar por versión Pro.

3.1.2.5 Ad-Aware Free Antivirus+:

Ad-Aware Free Antivirus+ combina nuestro legendario Anti-spyware con un super

rápido y gratuito antivirus. Ahora tiene otras características de protección (bloquea

archivos maliciosos), mantienen las aplicaciones desconocidas en un ambiente virtual

y tienen una detección avanzada de programas maliciosos.

 21

3.2 Escaneo De Malware

El análisis malware le ayuda a protegerse contra las inclusiones en las listas negras de los

motores de búsqueda y a reducir el riesgo de propagación de virus entre los sistemas de sus

clientes:

 La revisión diaria ayuda a garantizar la supervisión periódica en busca de códigos

maliciosos en su sistema.

 Alerta inmediata por correo electrónico advierte sobre infecciones de programas

maliciosos.

 La lista de páginas infectadas y de problemas ayuda a los administradores a localizar y

eliminar los programas maliciosos.

 Identifica y genera un reporte con el código malicioso para que pueda ser eliminado de

forma inmediata del portal web.

3.3 Peligrosidad

Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de

una computadora, algunos son:

 Tener el sistema operativo y el navegador web actualizados.

 Tener instalado un antivirus y un firewall y configurarlos para que se actualicen

automáticamente de forma regular ya que cada día aparecen nuevas amenazas.

 Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo

debe utilizarse cuando sea necesario cambiar la configuración o instalar un nuevo software.
 22

 Tener precaución al ejecutar software procedente de Internet o de medio

extraíble como CD o memorias USB. Es importante asegurarse de que proceden de algún

sitio de confianza.

 Una recomendación en tableta, teléfono celular y otros dispositivos móviles es instalar

aplicaciones de tiendas muy reconocidas comoApp Store, Google Play o Nokia Store, pues

esto garantiza que no tendrán malware. Existe además, la posibilidad de instalar un

antivirus para este tipo de dispositivos.

 Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su

procedencia.

 Desactivar la interpretación de Visual Basic Script y

permitir JavaScript, ActiveX y cookies solo en páginas web de confianza.

 Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.

Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a

medios extraíbles como CD, DVD o Disco duro externo, para poderlos recuperar en caso de

infección por parte de algún malware, pero solamente si se está 100% seguro que esas copias

están limpias.

3.3.1 Recomendación

Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a

medios extraíbles como CD, DVD o Disco duro externo, para poderlos recuperar en caso de

infección por parte de algún malware, pero solamente si se está 100% seguro que esas copias

están limpias.
 23

CAPITULO IV

TRATAMIENTO

4.1 Ubicación

Un incidente de seguridad relacionado con malware puede ser detectado de diferentes maneras

y con distintos niveles de detalle, y para hacerlo se pueden utilizar desde herramientas de

detección automatizadas -como consolas que centralizan la información relacionada con

amenazas identificadas en los equipos administrados hasta medios manuales -como un reporte

de falla de un usuario que considere un comportamiento anormal en su sistema.

Algunos incidentes muestran signos que facilitan la detección, no obstante, se pueden presentar

ocasiones en donde es casi imposible detectarlos si no se cuenta con herramientas adecuadas.

Por lo tanto, reconocer los indicios de infección es fundamental para conocer los equipos

infectados y la información que puede estar en riesgo. Familias de malware han cambiado su

funcionamiento tradicional que buscaba pasar desapercibido al usuario; otras familias, por el

contrario, se han vuelto muy evidentes para mostrar que han afectado los equipos o la

información, tal es el caso del ransomware.

Las actividades de detección de malware pueden aplicarse a distintos niveles dentro de la

organización: a nivel de host (en los sistemas operativos de servidores y estaciones de trabajo),

a nivel de aplicaciones de servidor (correo electrónico o proxies web) y a nivel de aplicaciones

de cliente (mensajería instantánea o correo electrónico de clientes). Independientemente de la

manera en la cual se lleve a cabo, la detección es el paso inicial para atender un incidente por

malware.

1. Resuelva cada infección de malware del equipo. Para obtener más información,

consulte Trabajo con un equipo infectado. Para este tipo concreto de alerta:
 24

 Compruebe si existe una entrada para el malware en la enciclopedia de software

malintencionado de Microsoft y obtenga información acerca de las mitigaciones

globales para proteger a la organización de este malware, por ejemplo, cerrando

un puerto del firewall.

2. Decida si el software detectado es no deseado.

4.2 Erradicación

La remoción de la amenaza es un procedimiento complejo que implica, inicialmente, un

análisis minucioso del comportamiento del malware para comprender su funcionamiento y, en

condiciones ideales, un análisis del código fuente del mismo.

Las soluciones de seguridad dan soporte a este tipo de actividades, permitiendo la

automatización de la desinfección y el ahorro de tiempo en el proceso de respuesta. Si los

medios empleados por los atacantes no son erradicados completamente, existe una enorme

posibilidad de que puedan retomar sus actividades maliciosas sobre los equipos infectados a

través de otro vector de ataque.

Por ello, es de vital importancia aislar la falla que les permitió el ingreso, para luego eliminarla

del sistema. Aun si los equipos comprometidos han sido desinfectados, continúa presente el

riesgo de mantener en funcionamiento otros equipos infectados no descubiertos.

Para evitar que esto ocurra, se pueden poner en práctica otras acciones como el análisis de los

paquetes de red para identificar tráfico anormal, con la ventaja de que ahora se conocen los

protocolos, puertos y comandos utilizados en el análisis previo. Por lo tanto, todas las acciones

de análisis son fundamentales para conocer el malware y, posteriormente, erradicarlo.

 25

Luego de conocer el comportamiento, es necesario comenzar a aplicar medidas de protección.

Por ejemplo, junto con la revisión de las reglas de firewall, el cambio de las contraseñas es otra

medida preventiva a tomar luego de detectar recursos comprometidos, ya que éste es uno de

los objetivos en los ataques corporativos. Si bien el proceso de actualización de credenciales

de acceso implica dedicar tiempo y esfuerzo, impedirá que los atacantes puedan utilizar

cualquier información robada para suplantar la identidad de un usuario legítimo.

De la misma manera, existen otras herramientas de seguridad, como los sistemas de

‘Información de seguridad y administración de eventos’ (SIEM por las siglas de Security

Information and Event Management) o ‘Sistemas de prevención y detección de intrusos’

(IPS/IDS), que permiten contar con alertas tempranas sobre actividades anormales en la red y

sistemas, y pueden ser configuradas para evitar nuevas infecciones que utilizan vías conocidas.

A partir de la identificación del método de propagación, es obligatorio llevar a cabo algunas

acciones que mitiguen de manera específica el vector, por ejemplo el filtrado de correo

electrónico y análisis de los mensajes y adjuntos, la modificación de los sistemas operativos

para evitar la ejecución de programas de manera automática cuando se introduce un dispositivo

removible, la actualización de software necesario para evitar la explotación de alguna

vulnerabilidad que permita el ingreso de malware a la red corporativa, entre otras acciones.

Llegada esta instancia, es necesario definir si la infección fue el simple resultado de un descuido

en la Web o si, por el contrario, constituye el eslabón exitoso dentro de una cadena de ataques

persistentes y dirigidos. Si se determina que la infección tuvo como objetivo específico a la

organización, entonces se debe tener en mente que un nuevo ataque puede ser inminente.

Por ello, el análisis de las piezas maliciosas debe orientarse a determinar las acciones

específicas del malware, cómo puede ser detectado en la red, así como también medir y

contener su daño. Una vez logrado esto, se deben generar las firmas correspondientes para
 26

detectar las infecciones en las redes corporativas. Gran parte de esta actividad puede ser

realizada por los laboratorios de investigación.

4.2.1 Software antivirus o eliminador de malware

Software antivirus todo consiste en la prevención. Se utiliza para evitar que archivos

que contienen virus se descarguen en su computadora.

También intenta evitar que el virus se active, si de algún modo se ha descargado en su

computadora, se ha posicionado en la memoria o se encuentra en una ubicación similar

a un archivo. Si el archivo portador de virus nunca se descarga, entonces no hay

problema.

Si se descarga el archivo, pero el software antivirus lo etiqueta como malware y evita

que se active, no causará ningún daño a su sistema; de todos modos el archivo infectado

debe contenerse y eliminarse.

4.2.2 Cuando los eliminadores de malware entran en escena

Algunos software antivirus pueden contar con herramientas rudimentarias para eliminar

virus activos, pero los malware modernos son sofisticados para esconderse en lugares

desde los cuales pueden ser reiniciados en otro momento, por lo que estas herramientas

rudimentarias podrían no eliminar completamente las infecciones.

Eliminador de malware proporciona herramientas que se utilizan específicamente para

sacar el malware de una computadora infectada, en caso de que un virus haya logrado

pasar inadvertido durante una revisión de software antivirus.

 27

Los programas de malware pueden ser virus activos, virus contenidos y malware

inactivo que puede esconderse y acechar en la computadora infectada.

4.2.3 El software antivirus y el eliminador de malware equivalen a seguridad inteligente

Es necesario contar con herramientas adicionales de eliminación de malware dado que

el malware puede esconderse, luego volver a emerger, propagarse e infectar, incluso si

se etiqueta y elimina un archivo con virus identificado mediante el programa antivirus.

El malware puede existir en una variedad de formas, como un archivo, un archivo

escondido o un archivo parcialmente corrupto; puede esconder los mecanismos que

inician el virus, tal como un servicio de encendido o ítem de registro.

En el peor de los casos, el malware funciona para un tercero que intenta robar

información valiosa de su computadora, tal como números de cuenta de bancos o

identificadores personales sin llamar la atención.

Con el malware moderno, usualmente no es suficiente eliminar un archivo con virus.

En vez de eso, es necesario utilizar técnicas de revisión de varias ubicaciones y escaneo

de virus para eliminar por completo el paquete del malware.

Existe un número de antivirus gratuitos y ofertas de escaneo de malware gratuito que

pueden representar un punto de partida importante si se encuentra en el proceso de

implementar seguridad en las computadoras de su casa.

Algunas herramientas gratuitas pueden decirle si su computadora está infectada y

proporcionarle un reporte completo de los resultados. Sin embargo, podrían no eliminar

las infecciones de virus detectadas, por lo que es probable que en última instancia desee
 28

comprar tanto el software antivirus como el eliminador de malware para proteger la

inversión de su computadora de manera correcta.

4.3 Recuperación del sistema

La fase de recuperación se presenta luego de que un incidente por malware ha sido contenido

y de que se han identificado y mitigado las vulnerabilidades que fueron explotadas. Llegado

este punto, se confirma que los sistemas se encuentran funcionando de manera normal y que el

malware ha sido removido para evitar incidentes similares.

La recuperación puede incluir acciones como la restauración de sistemas operativos y

respaldos, el reemplazo de archivos infectados, la instalación de parches de seguridad y

actualizaciones, el cambio de contraseñas en los sistemas, el refuerzo de la seguridad perimetral

a través de nuevas reglas de firewall, la creación de listas de control de acceso o el desarrollo

de nuevas firmas de malware.

A partir de los patrones identificados, es posible determinar que si un ataque cumplió su

cometido malicioso y si se intentarán nuevos casos de una manera similar. Por este motivo, es

fundamental eliminar de raíz los problemas para mantener la seguridad; cabe destacar que esto

logra con el conocimiento pleno del código malicioso.

El tiempo de recuperación dependerá en gran medida de las consecuencias generadas por la

infección, por lo que no se puede establecer un periodo para alcanzarla, aunque siempre se

busca que sea en el menor tiempo posible.

 29

CAPITULO V

PREVENCIÓN

En tiempos modernos, la sociedad ha tenido que enfrentarse al cambio de generación y a las

innovaciones tecnológicas y ha logrado adaptarse con éxito en la mayoría de los casos, los

seres humanos han logrado crear máquinas como las computadoras que facilitan procesos y

mejoran el estilo de vida de cada uno de nosotros, pero también se han creado programas que

infectan a las computadoras para robar información, dañar archivos y que estos se vuelvan

irrecuperables, todo esto último para sabotear a una compañía o dejarla en bancarrota, por ello

en este capítulo vamos a explicar cómo podemos evitar los grandes riesgos que puede afrontar

nuestra computadora por los diferentes medios de propagación, explicados en anteriores

capítulos, como al entrar al internet y descargar archivos de procedencia desconocida o al

conectársele un dispositivo externo como un USB o un disco.

5.1. Firewall:

Una de las primeras cosas que se deben hacer para proteger el ordenador de posibles

amenazas es en la instalación de un sistema “Firewall” que es un mecanismo de seguridad

contra ataques de Internet. Filtra y controla todas las comunicaciones que pasan de una red

a otra evitando el ingreso y salida de ciertos procesos o aplicaciones no seguras, de este

modo un firewall puede permitir o denegar desde una red local hacia Internet servicios de

Web o correo electrónico. Pero también tiene algunos defectos, tales como que el firewall

no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios

negligentes, no puede prohibir a espías corporativos copiar datos sensibles en medios

físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio o por último,

que el firewall no puede proteger contra los ataques posibles a la red interna por virus

informáticos a través de archivos y software. La solución real está en que la organización

 30

debe ser consciente en instalar software antivirus que venga incluido con una versión

actualizada y optimizada del firewall en cada máquina para protegerse de los virus que

llegan por cualquier medio de almacenamiento u otra fuente.

Windows, uno de los sistemas operativos más comercializados, también provee a sus

usuarios de un servicio Firewall gratuito, pero este tiene muchas deficiencias y

limitaciones a pesar de sus constantes actualizaciones, ya que el spyware es cada vez más

potente y más difícil de eliminar del software o del RAM.

5.2. ¿Cómo evitar ser una víctima?

La prevención consiste en un punto vital a la hora de proteger nuestros equipos ante la

posible infección de algún tipo de virus

Hay muchas formas con las que un computador puede exponerse o infectarse con virus.

Veamos algunas de ellas:

 Mensajes dejados en redes sociales como Twitter o Facebook.

 Archivos adjuntos en los mensajes de correo electrónico.

 Sitios web sospechosos.

 Insertar USBs, DVDs o CDs con virus.

 Descarga de aplicaciones o programas de internet.

 Anuncios publicitarios falsos.

Los programas antivirus, tanto de prevención como de detección de virus, no son cien por

ciento efectivos, pero constituyen una fuerte barrera siempre que estén actualizados con

las últimas versiones provistas por los fabricantes. Es recomendable instalar un antivirus

(de algún fabricante reconocido) en el computador.

 31

Antes de usar programas de USB o discos externos es conveniente revisarlos con un

antivirus para detectar la presencia de virus.

Si se detecta alguna actividad viral en un sistema conectado a una red de datos es

conveniente aislar el equipo fisicamente de la red desconectandolo hasta tanto se haya

eliminado el virus del equipo infectado.

Los equipos de computadoras nuevos poseen mecanismos de hardware (activables desde

el "setup") para impedir escrituras en los sectores de arranque de los discos rígidos. Es

recomendable que esta característica esté habilitada para impedir el contagio de algún tipo

de virus de boot.

5.3. Sentido común:

En este práctico caso lo más recomendable es no dejarte influenciar por las opiniones y “malas

“sugerencias de los demás, no ser confiado y estar siempre precavido ante cualquier ataque

tecnológico.

Sea precavido con los archivos adjuntos de mensajes de correo electrónico:

- No abra ninguno que proceda de una fuente desconocida, sospechosa o no fidedigna.

- No los abra a menos que sepa qué son, aun cuando parezca proceder de alguien que conoce.

- No los abra si la línea del asunto es dudosa o inesperada. Si existe la necesidad de abrirlo,

antes de hacerlo, guarde siempre el archivo en la unidad de disco duro.

Sea precavido cuando descargue archivos desde Internet: compruebe que la fuente es legítima

y de confianza; y asegúrese de que el programa antivirus comprueba los archivos en el sitio de

descarga. Si no está seguro, no transfiera el archivo o descárguelo en un disquete o algún otro

 32

dispositivo de almacenamiento extraíble y pruébelo con el programa antivirus del que

disponga.

Rechace los archivos que no haya solicitado cuando esté en chats o grupos de noticias ("news")

y compruebe aquellos que sí ha solicitado.

No comparta ficheros a través de programas P2P(como torrents, Ares, eMule) ni utilice estos

programas: son una fuente inagotable de virus, tanto por los puertos que se dejan abiertos para

transmitir la información, como por los ficheros descargados que pueden contener virus.

Instálese un anti-spyware (como AdBlock) para navegar por Internet, de esta forma evitará

publicidad no deseada y redirecciones a páginas no esperadas.

 33

CAPITULO VI

USOS DEL MALWARE

El malware es un software que puede afectar a los usuarios con su sola ejecución en su

dispositivo. Pero en realidad, el malware en un principio fue ideado como una forma de

encontrar espacios no utilizados o errores en la World Wide Web o simplemente molestar a

otros usuarios en una red local. Los primeros malware fueron creados bajo el concepto de un

juego de laboratorio de 1959 llamado CoreWar cuyo objetivo era que programas combatan

entre sí tratando de ocupar toda la memoria de la máquina eliminando así a los oponentes, el

primer malware de laboratorio conocido fue creado en el año 1988 por Robert Tappan

Morris(rtm) y fue llamado el “Gusano Morris”, el malware era capaz de infectar máquinas IBM

360 de la red ARPANET (la precedente de Internet) y emitía un mensaje en pantalla que decía

“Soy una enredadera (creeper), atrápame si puedes”. El 2 de noviembre de 1988,

aproximadamente 6000 de los 60 000 servidores conectados a la red fueron infectados por

este gusano informático. Para eliminarlo, se creó otro virus llamado Reaper (segadora) que

estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus, pero

esta es otra historia.

Luego, han llegado nuevos y más dañinos malware como el ILoveYou, un gusano creado en el

año 2000 por Reonel Ramones, un filipino de 24 años y que era ejecutado al abrir un .vbs

llamado LOVE-LETTER-FOR-YOU.TXT.vbs anclado a un correo electrónico; tuvo un gran

impacto global, el 13 de mayo de 2000 se habían reportado 50 millones de infecciones

alrededor del globo, cifra que representaba al 10 por ciento del total de computadores con

conexión a Internet en esa época. El virus inclusive atacó a El Pentágono, la CIA, el Parlamento
 34

Británico y grandes empresas europeas; o el gusano Sasser, creado por Sven Jaschan, un

estudiante alemán de 18 años, que sin haber estudiado informática había creado un virus "tan

efectivo". "Sasser" (W32/Sasser), que ataca a los sistemas operativos Windows 2000, Windows

Server 2003 y Windows XP, puede infectar un ordenador simplemente con conectarse a

Internet, y no mediante un correo electrónico, tuvo un impacto igual o mayor que el otro caso.
 35

CAPITULO VII

VENTAJAS Y DESVENTAJAS DEL MALWARE

7.1 Ventajas:

Una persona con intenciones maliciosas puede adquirir su propio malware personalizado en

Internet. Puede seleccionar diferentes módulos que desee incluir en su componente de

malware y conseguir exactamente la funcionalidad que desee.

Los autores de malware son competidores

Hasta cierto punto, los creadores de software malicioso compiten entre ellos, puesto que la

motivación que subyace actualmente a la creación del malware es el beneficio económico, se

podría considerar a los creadores de malware como competidores en el mismo mercado.

Como en muchos otros mercados: se trata de ocultar las ventajas propias sobre la

competencia, como un cambio particularmente inteligente utilizado en un programa

malicioso.

7.2 Desventajas:

Por otro lado, las desventajas son muchas. Desde problemas simples como lo es el estar

atiborrado de publicidad o pequeños problemas en el funcionamiento del equipo, hasta dejar

la computadora infectada sin defensas, convirtiendo al equipo en un procesador más lento. Y

claro, no está demás mencionar el robo de información y la pérdida de funcionalidad de la

computadora que en ocasiones puede quedar inutilizada por tanta basura.

 36

CAPITULO VIII

CASOS DE ATAQUES INFORMÁTICOS

8.1 Ataques estatales:

8.1.1 Caso Bolivia

Los sitios en internet de los medios estatales Patria Nueva, el periódico Cambio y la

Agencia Boliviana de Información (ABI) sufrieron ayer un ataque informático que

redireccionó sus web a una página de contenido pornográfico.

“Ingresamos a las ocho de la mañana y nos encontramos con que nuestra página ya estaba

bloqueada. A eso de las 09.30 el sitio ya remitía al usuario a una página de sexo explícito”,

señaló a La Razón el jefe de turno de la estatal ABI, el periodista Milton Condori.

Apenas conocida la situación, técnicos del Ministerio de Comunicación —cuyo sitio

web también fue afectado por el ataque— tomaron cartas en el asunto para desbloquear el

acceso digital a estas instituciones. El periodista señaló que es la primera vez que algo así

ocurre en la agencia. “Es muy prematuro especular con respecto a quién o quiénes fueron

los autores de ello, serán las autoridades del ministerio quienes se encarguen de develar a

los posibles responsables”, apuntó Condori.

 37

Daños. El perjuicio para ABI “es grande”, complementó el comunicador porque a

pesar de que el flujo de noticias es menor durante los fines de semana, esta agencia difunde

la información oficial del Gobierno. Similar perjuicio fue para la red Patria Nueva que ayer

no pudo divulgar, desde su plataforma web, la agenda que desarrolló el presidente

Evo Morales y la programación habitual de los fines de semana.

El sitio del periódico Cambio presentó por la mañana la misma anomalía que Patria

Nueva y ABI, pero ya en la tarde su web estaba totalmente anulada. Los servicios

informativos del Ministerio de Comunicación y de los medios estatales afectados estaban

bloqueados hasta las 17.00 de ayer cuando se cerró esta página. El único portal del grupo

de medios estatales que no fue afectado por este ataque fue el del canal Bolivia Tv.

De acuerdo con un reporte divulgado por La Razón el 5 de julio, al menos 25 páginas

en internet pertenecientes al Estado boliviano sufrieron ataques informáticos debido a la

configuración de contraseñas poco seguras y a la falta de actualización de los sistemas.

“Los hackers van explotando los errores más comunes en estas páginas: claves inseguras,

desactualización del sistema, malas configuraciones y falta de verificación. Ese tipo de

problemas son los que se fueron identificando”, indicó Nicolás Laguna, director de la

Agencia para el Desarrollo de la Sociedad de la Información en Bolivia (ADSIB), entidad

dependiente de la Vicepresidencia del Estado.

El hacker es una persona “muy aficionada y hábil en informática que entra ilegalmente

en sistemas y redes ajenas”, según el Diccionario de la Lengua Española. Pero los

ciberactivistas aseguran que, en muchos casos, es un experto en programación que ayuda

a acceder a la información.
 38

La ADSIB, creada en 2002, identificó en el primer semestre del año al menos 23

ataques cibernéticos a páginas del Estado, cifra que supera los 20 de los dos semestres de

2014. Otros expertos contabilizaron 30 los sitios afectados por la acción de los hackers.

Una parte de los ataques, que llegaron a deformar el contenido informativo de los sitios, estuvo

motivada por activistas que enviaron mensajes en contra de la demanda marítima.

8.1.2 Caso “Snowdengate”

Año: 2013 y años anteriores

Supuestos agresores: de momento, se habla de China, de las embajadas de treinta y ocho

países en suelo estadounidense, incluidas las delegaciones de la Unión Europea y de las

comunicaciones de la población de Estados Unidos

Agredidos: China, Estados Unidos, UE, Japón, Corea del Sur, India, Naciones Unidas y

Turquía

Contexto: el ex analista de la CIA y de la NSA Edward Snowden podría tener en su poder

miles de documentos clasificados sobre diversos programas de la NSA. El escándalo ha

surgido por las revelaciones de Snowden en las que acusa a la NSA de espiar

indiscriminadamente a los propios ciudadanos estadounidenses mediante el programa

PRISMA. Snowden también ha revelado –pocos lo dudaban- que los servicios de espionaje

estadounidense y británico (este último, a través del Centro de Escuchas y Decodificación

británico, el GCHQ) colaboran estrechamente desde hace años en varios proyectos de

espionaje a través de la Red. A nivel diplomático, causará ciertos quebraderos de cabeza a

los funcionarios del Foreign Office tener que explicar a sus homólogos del G-20 si

expiaron o no las comunicaciones de las delegaciones que participaron en la reunión del

grupo celebrada en Londres en 2009. Los esfuerzos diplomáticos estadounidenses tendrán

 39

que ser aún más intensos si quieren contentar con sus explicaciones a los casi cuarenta

países –muchos de ellos supuestos aliados- cuyas delegaciones en suelo estadounidense

habrían sido espiadas por la NSA. Entre ellas, se encontrarían las de la Unión

Europea. Snowden, que estaría negociando la concesión de asilo con varios países, ha

acusado a Barack Obama de presionar a muchos gobiernos para que se le deniegue el asilo.

Si, finalmente, fuese extraditado a EE UU, se enfrentaría un juicio parecido al que está

teniendo el soldado Bradley Manning por sus filtraciones a Wikileaks, en el que se podría

pedir su condena a muerte por traición y en el que, difícilmente, se libraría de una larga

condena. Cabe esperar que las filtraciones de Snowden destapen más ciberataques en las

próximas semanas, delimitando con más precisión algunos de los escenarios del campo de

batalla cibernético de una guerra entre agencias de seguridad que, o eso parece al menos,

no ha hecho aún más que empezar.

8.1.3 Caso “Darksaeoul”

Año: 2011 y 2013

Supuestos agresores: Corea del Norte

Agredidos: Corea del Sur

Objetivo: canales de televisión en Corea del Sur y sistemas informáticos de bancos

Contexto: el pasado marzo, los sistemas informáticos de medios de comunicación

surcoreanos sufrieron un importante ciberataque que inutilizó numerosos ordenadores.

Algunas fuentes hablan de unos 50.000 ordenadores afectados. En algunas pantallas

aparecieron calaveras tras producirse el fallo del sistema. El virus, según las autoridades

surcoreanas, no comprometió el funcionamiento de ningún sistema informático estatal. El

objetivo esta vez eran los bancos surcoreanos, pero no es el primer ataque similar que sufre

Corea del Sur. En 2011, otro asalto paralizó gran parte de las operaciones de uno de los
 40

principales bancos del país, el Nonghyup. En 2009, un ataque tuvo como objetivos

agencias gubernamentales. En aquella ocasión, el Gobierno de Seúl acusó de ser el

responsable al Laboratorio 110, una división de informáticos del Ejército norcoreano

encargada, entre otros asuntos, de llevar a cabo ciberataques. Corea del Sur ha acusado,

repetidamente, a las autoridades del vecino del Norte de ser las responsables de los ataques.

Algo que desde Pyongyang niegan.

Días antes del último asalto en marzo 2013, Corea del Norte había denunciado un

ciberataque contra varios de los sistemas informáticos del país, incluidas páginas oficiales.

Pyongyang acusó a Estados Unidos de haber orquestado esas operaciones aprovechando

que el Ejército estadounidense se encontraba realizando unas maniobras conjuntas con los

militares surcoreanos.

8.1.4 Caso “Flame”

Año: 2012

Supuestos agresores: desconocido

Agredidos: Irán (el país más afectado), Palestina (Cisjordania), Arabia Saudí, Sudán,

Líbano y Egipto

Objetivos: sin objetivos concretos o conocidos. Apunta a ser más un ataque destinado a

recopilar información de inteligencia de todo tipo, desde correos electrónicos hasta

documentos secretos.

Contexto: según Yevgueni Kasperski, el director de la compañía de seguridad que lleva su

apellido, si a su equipo de informáticos les llevó seis meses analizar en profundidad el

complejo virus Stuxnet, las primeras previsiones cuando se descubrió Flame en mayo de

2012 parecían indicar que era un virus veinte veces más complejo. También afirmó que

dicha complejidad, sumada a la conflictiva zona geográfica donde habían tenido lugar los
 41

ataques, hacía pensar en que detrás de Flame se encontraba algún Estado. Muchos indicios

–incluidas algunas supuestas fuentes de la inteligencia israelí- señalan a Israel como el

patrocinador. Aunque, el hecho de que algunos sistemas informáticos israelíes resultasen

también afectados pone en cuestión la autoría de los servicios secretos del Estado hebreo.

Aunque no se descarta. La amplitud de su espectro, por lo que respecta a sus objetivos, ha

motivado que muchos señalen a Flame como el precursor de un nueva modalidad de ciber

espionaje. El peso del contenido de este virus, unos 20MB, fue altísimo, comparado con

los gusanos informáticos anteriores como Duqu, 300KB, o Stuxnet, unos 500KB.

8.1.5 Caso “Shamon”

Año: 2012

Supuestos agresores: Irán

Agredidos: Arabia Saudí y Qatar

Objetivo: los sistemas informáticos de la compañía saudí de petróleo Aramco y de la

segunda empresa gasística mundial, la catarí RasGAs

Contexto: los ataques contra Aramco y RasGas se produjeron con pocos días de diferencia

en agosto de 2012. Una de las características principales del virus Shamoon es que, además

de robar información de los sistemas informáticos, borra ingentes cantidades de datos de

los sistemas infectados. Algunas fuentes señalaron que hasta treinta mil ordenadores de

Aramco pudieron sufrir los efectos de Shamoon: la pérdida podría ascender hasta los tres

cuartos de todos los datos almacenados por la empresa estatal saudí. Al parecer, la parte

del virus destinada a borrar archivos compartía el código con el virus Flame, que unos

meses antes había atacado el sistema informático de la red energética iraní. Una de las

particularidades de Shamoon es que en las pantallas de los ordenadores infectados

generaba la imagen de una bandera de EE UU en llamas. Como es sabido, tanto Arabia

 42

Saudí como Qatar, además de potencias regionales rivales de Irán, son firmes aliados de

Estados Unidos. El Ejército estadounidense cuenta incluso con una base militar a escasos

kilómetros de Doha. Ni Aramco ni RasGas se han pronunciado de forma oficial sobre los

ataques informáticos sufridos.

8.1.6 Caso “Stuxnet”

Año: 2008, 2009 y 2010

Supuestos agresores: Estados Unidos e Israel

Agredidos: Irán

Objetivo: instalaciones nucleares iraníes

Contexto: mientras que fuentes iraníes han minimizado los daños causados en sus sistemas

nucleares por el gusano informático Stuxnet, algunos analistas afirman que podría haber

retrasado de forma notable el programa nuclear iraní, afectando seriamente a la principal

planta nuclear iraní llamada Natanz. Ni las autoridades estadounidenses ni las israelíes han

confirmado estar detrás del ataque. Stuxnet estaba diseñado para afectar en especial a los

sistemas con software SCADA (Supervisión, Control y Adquisición de Datos), un tipo de

sistema informático que permite gestionar sistemas industriales. A finales de 2012 se supo

que Stuxnet podría haber infectado también los sistemas de las empresas occidentales

como Chevron. Algo que confirmaría que los virus como Stuxnet no siempre pueden ser

controlados una vez que se deciden lanzar al campo de batalla cibernético. El ataque, cuyo

nombre en clave fue Juegos Olímpicos, habría motivado que Irán reforzase su seguridad

informática y crease grupos operativos que le permitiesen responder a los ataques

cibernéticos sufridos.

A finales de 2008, Alí Ashtari, vendedor de componentes electrónicos, fue ahorcado en

el patio de la prisión de Evin –la principal cárcel de Teherán-: se le había condenado a

 43

muerte acusado de facilitar a Israel información sobre el programa nuclear iraní, entre la

que estarían incluidos posibles objetivos para el ataque de Stuxnet. El Mossad negó

cualquier relación con Ashtari.

8.1.7 Caso Operación aurora

Año: 2009

Supuestos agresores: China

Agredidos: Estados Unidos

Objetivos: los sistemas informáticos de hasta 34 compañías estadounidenses como

Google, Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemicanl, entre otras.

Contexto: a principios de 2010, Google denunció que había detectado un ciberataque

procedente de China que habría vulnerado el muro de seguridad de la compañía y tenido

acceso a sus servidores. En un primer momento, se denunció que los atacantes querían

sobre todo tener acceso a las cuentas del correo electrónico (gmail) de destacados

opositores chinos, como Ai Weiwei. Google no facilitó la investigación puesta en marcha

por el FBI en su sede de Mountain View y comenzó una disputa legal con la agencia de

seguridad estadounidense para impedir que sus agentes pudiesen acceder a información

sensible de la compañía relacionada con su funcionamiento técnico. Hace unos

meses, según una noticia publicada en el periódico Washington Post, se supo que los

ciberataques contra Google y otras compañías estadounidenses, además de tener una

vertiente de espionaje industrial y anti oposición, podrían haber tenido como principal

finalidad el contraespionaje. Según estas fuentes, piratas informáticos al servicio de

agencias estatales chinas habrían lanzado la Operación Aurora para controlar la

 44

información en poder de agencias estadounidenses sobre agentes de inteligencia chinos

operando dentro del territorio de Estados Unidos. El Ejército chino contaría con una

unidad especializada en ciberataques denominada la Unidad 61398, cuya sede estaría en

un gris edificio de doce plantas ubicado en el barrio de Pudong, en Shanghai.

Unos años antes de que se produjera este ataque, otro asalto proveniente de China

consiguió vulnerar las defensas del sistema informático militar estadounidense

manteniéndose activo durante casi dos años, entre 2003 y 2005. Aquel ataque, conocido

como Titan Rain, se infiltró principalmente en contratistas privados de defensa, aunque

también penetró en los sistemas de la NASA.

8.1.8 Caso OSETIO

Año: 2008

Supuestos agresores: piratas informáticos trabajando desde Rusia. Las autoridades rusas

han negado las acusaciones que relacionaban a sus servicios secretos con el ataque

Agredidos: Georgia y Azerbaiyán

Objetivos: las webs de los medios de comunicación y de las instituciones de Georgia y

Azerbaiyán

Contexto: en agosto del 2008, pocos días antes del inicio de la breve guerra entre Georgia

y Rusia por el control de Osetia del Sur, medios de comunicación y webs de instituciones

georgianas y azerís comenzaron a sufrir ataques que inutilizaron su funcionamiento. En la

página del Ministerio de Asuntos Exteriores georgiano apareció la imagen del presidente,

Mikheil Saakashvili, caracterizado como Hitler antes de bloquearse su funcionamiento.

Desde el Kremlin se negó que los servicios secretos rusos estuviesen implicados en dichos

ataques y se acusó a piratas informáticos independientes. Los analistas no se ponen de

 45

acuerdo sobre la implicación oficial de Rusia en dichos ciberataques. No se descarta que

el FSB (servicio de inteligencia ruso) coordinase los ataques llevados a cabo por piratas

informáticos no pertenecientes al propio FSB.

Un año antes, en la primavera de 2007, un ataque similar en cuanto a objetivos, también

procedente de Rusia, afectó a los sistemas informáticos de las empresas y los organismos

estonios. El Kremlin negó también toda implicación. El asalto, conocido como Black Hat,

se produjo en un momento de tensión política entre Moscú y Tallín por

algunas políticas del Gobierno de Estonia contrarias, según los rusos, a los derechos de los

estonios de origen ruso.

8.1.9 Caso Operación Huerto

Año: 2007

Supuestos agresores: Israel

Agredidos: Siria

Objetivos: defensas antiaéreas de Siria

Contexto: en septiembre de 2007, la aviación israelí llevó a cabo un ataque contra

supuestas instalaciones nucleares sirias. Según Israel, Siria estaba desarrollando un

programa nuclear con la ayuda de expertos y tecnología procedentes de Corea del Norte.

La operación Huerto habría comenzado a gestarse a finales de 2006, cuando agentes del

Mossad accedieron al ordenador portátil que un alto oficial sirio tenía en su habitación de

un lujoso hotel londinense. Para hacerse con esa información usaron viejos métodos:

allanamiento de morada. Aprovecharon la operación para inocular en el portátil un virus

troyano con la intención de que les continuara suministrando información. El material

contenido en el ordenador del oficial sirio, siempre según fuentes israelíes, contenía

indicios de un programa nuclear secreto. Este descubrimiento se vería reforzado meses

 46

más tarde por el testimonio de un alto oficial iraní desertor que pidió protección a la CIA –

a través de su base en Estambul- para él y su familia a cambio de información. La reciente

victoria de Ahmadineyah había generado una serie de purgas dentro del régimen. El oficial

iraní habría suministrado tanto información sobre el programa nuclear iraní como sobre el

sirio que, supuestamente, Irán estaba ayudando a financiar. Una vez que Tel Aviv dio el

visto bueno a la operación militar contra las instalaciones sirias que albergaban las

supuestas instalaciones nucleares faltaba planificar cómo se superarían las defensas

antiaéreas sirias. Y en esa parte de la coreografía de guerra es donde habría entrado en

juego el componente de ciberguerra de la operación: un programa informático –

desarrollado por Estados Unidos- denominado Suter, que permite interceptar las

comunicaciones enemigas, infiltrarse en su sistema y llegar a bloquear dichas

comunicaciones, por ejemplo las señales electrónicas que forman un sistema de radares

antiaéreos. De confirmarse todos estos extremos, la operación Huerto habría supuesto una

combinación entre armas de guerra tradicionales y armas de guerra cibernéticas que ofrece

sinergias aún poco exploradas

8.1.10 Caso Moonlight Maze

Año: entre 1998 y 2000

Supuestos agresores: piratas informáticos operando desde Rusia

Agredidos: Estados Unidos

Objetivos: sistemas informáticos del Pentágono, la NASA, el Departamento de Energía

estadounidense y, también, universidades privadas de EE UU

Contexto: los intrusos en los sistemas informáticos tuvieron acceso a miles de

documentos clasificados, muchos de ellos relacionados con información del Ejército:

mapas de instalaciones militares, por ejemplo, o planes de despliegue de tropas. Las

 47

investigaciones, aún en curso, han establecido que el ataque comenzó en la primavera de

1998 y duró casi dos años. Se rastreó la procedencia del sofisticado asalto hasta conexiones

ubicadas en Rusia. Las autoridades rusas negaron estar implicadas. No se ha podido probar

quiénes fueron los autores materiales ni quiénes los eventuales patrocinadores del ataque

que, se sospecha, pudieron haber sido agencias de espionaje estatales.

8.1.11Caso Logic bomb

Año: 1982

Supuestos agresores: Estados Unidos

Agredido: Rusia

Objetivos: gaseoducto soviético en Siberia

Contexto: en junio de 1982 los satélites estadounidenses que orbitaban sobre la Unión

Soviética fotografiaron la explosión no nuclear más grande registrada hasta la fecha. No

fue hasta más de veinte años más tarde que se supo que aquella explosión -que no causó

víctimas- había sido el resultado de una operación de la CIA. La Agencia de Inteligencia

estadounidense había conseguido una información valiosa: el KGB estaba tratando de

robar en Occidente nuevos programas informáticos que permitiesen mejorar las

prestaciones de su sistema de producción y transporte de recursos energéticos. El gas y el

petróleo constituían los activos más económicos de la economía soviética, lastrada desde

1980 por el excesivo gasto militar que representaba la invasión de Afganistán. A través de

un doble agente soviético, la CIA consiguió hacer llegar al KGB un software defectuoso

para controlar el transporte de gas: afectaba al control de la presión del gas en los

gaseoductos y sería el culpable de la gran explosión. El agente del KGB implicado en la

operación, el coronel Vladimir Vetrov, fue descubierto y ejecutado en 1983.

 48

8.2 Ataques financieros

8.2.1 Caso First National Bank

El golpe al First National Bank de 1988 capitaneado por Armand Devon Moore que el Fiscal

de los Estados Unidos del Distrito Sur de Illinois de la época calificó como “el esquema de

malversación de fondos más grande en la historia de Chicago, y sin duda el más grande si

tenemos en cuenta la cantidad de dinero que se movió”.

El modus operandi fue el siguiente: Moore convenció a Otis Wilson y Gabriel Taylor,

empleados del First National Bank a los que llegó a través de su primo Herschel Bailey, para

que le ayudaran a robar la entidad, pero no con pasamontañas y pistolas sino mediante

transferencias electrónicas. Dicho y hecho; aprovechándose de su acceso a los equipos

informáticos y telefónicos del First National Bank y de los conocimientos que poseían sobre el

funcionamiento del sistema interno de transferencias electrónicas, seleccionaron tres grandes

clientes corporativos del banco -Merrill Lynch & Co, United Airlines y Brown-Forman Corp-

y traspasaron casi 70 millones de dólares en unos 60 minutos de sus cuentas a otras dos abiertas

por la banda en Viena.

Para lograrlo simularon tres llamadas de responsables de las empresas solicitando las

transferencias. A su vez Taylor fingió haber realizado las llamadas a Merrill Lynch, United

Airlines y Brown-Forman necesarias para verificar las operaciones -en realidad llamaba a uno

de los compinches-. De ahí las órdenes pasaron a un tercer empleado, que nada tenía que ver

con el robo, y las hizo efectivas.

 49

Aunque todo parecía perfecto, pocas horas después de consumar el atraco les pillaron. Las

víctimas no tardaron en detectar la falta de los fondos, contactaron con el First National y se

descubrió el pastel.

El tipo de esquema delictivo descrito, en el que la piedra angular son empleados o exempleados

con acceso a la información interna y a los equipos informáticos de la empresa que toque, se

sigue repitiendo constantemente pero no es de los más sofisticados.

8.2.2 Caso CITIBANK

Los hay mucho más complejos, como el que aplicó Vladimir Levin en 1994 en su mítico robo

al poderoso CITIBANK. Sin salir de San Petersburgo ni contactos dentro, logró colarse en la

red de la entidad, acceder a las cuentas de cientos de clientes y realizar un buen puñado de

transferencias a otras creadas por él en bancos de Alemania, Israel, Estados Unidos, Holanda,

Argentina, etc. En pocas semanas consiguió robar 3,7 millones de dólares y marcó un antes y

un después; se trató del primer robo serio de dinero a nivel internacional perpetrado contra un

gran banco mediante la irrupción en sus redes de manera completamente remota.

Muy inteligente, sin embargo no lo fue tanto al alargar en el tiempo el robo (casi un año) y

depender de una amplia red de colaboradores que retiraba en cajeros y sucursales el dinero

saqueado. La INTERPOL siguió el rastro dejado por las transferencias, poco a poco capturaron

a los colaboradores y en 1995 detuvieron a Levin en el aeropuerto de Heathrow (Inglaterra).

Más tarde le extraditaron a los Estados Unidos donde se declaró culpable de los cargos

imputados y le condenaron a tres años de prisión.

 50

CONCLUSIONES

 El malware seguirá avanzando y automatizando algunas de sus técnicas de

ataque manuales más eficaces. Conforme las medidas de defensa contra el malware se

vuelven más sofisticadas, el malware, inevitablemente, encontrará nuevos métodos para

evitarlos.

 Esto requerirá una atención constante con el fin de controlar y mitigar los ataques

potenciales. Los controles y tecnologías de seguridad tendrán que ser revisados

constantemente para asegurarse de que son eficaces contra los ataques actuales. El

cambio de programas y controles de seguridad cuando se descubren nuevos ataques o

vulnerabilidades es esencial para permanecer delante.

 Se tiene que capacitar en Detección y Eliminación en forma manual de manera

profesional, la otra alternativa es dejar este proceso a personas especializadas en este

rubro

 Hay que tomar las medidas correctivas para poder detectar y eliminar los software

maliciosos (Malware) que están poniendo en peligro la información almacenada en

nuestras computadoras.
 51

REFERENCIAS

• Anti-Malwares (s.f). Consultado Octubre 2, 2016,

https://sites.google.com/a/istpargentina.edu.pe/roca-christian/anti-malwaes

• Los Mejores Programas contra Malware y Spyware (s.f). Consultado en Octubre

2, 2016, de https://www.arturogoga.com/los-5-mejores-programas-contra-

malware-y-spyware-en-windows/

• En qué consiste el escaneo de Malware? (s,f) Consultado Octubre 2, 2016,

https://symantec.certicamara.com/centro-de-informacion/en-que-consiste-el-

escaneo-de-malware/

• Técnicas contra el Malware (s.f) Consultado Octubre 2, 2016,

• http://osoriorosa.jimdo.com/seguridad-temas/tecnicas-contra-el-malware/

• Guía de respuesta a una infección por malware - We Live Security (s.f) .

Consultado Octubre 2, 2016,en

http://www.welivesecurity.com/wpcontent/uploads/2015/11/Guia_respuesta_infec

cion_malware_ESET.pdf

• ¿Qué son los Malwares? | InfoSpyware (s.f). Consultado Octubre 1, 2016, de

https://www.infospyware.com/articulos/que-son-los-malwares /

• Los tipos de malware - Kaspersky Lab Technical Support (s.f.). Consultado Octubre 1,

2016, de http://support.kaspersky.com/sp/viruses/general/614

• Tipos de Malware (s.f.). Consultado Octubre 1, 2016, de

http://roble.pntic.mec.es/jprp0006/tecnologia/4eso_informatica/peligros_internet/
 52

• Los tipos de malware más peligroso para tu negocio - Panda Security (s.f.). Consultado

Octubre 2, 2016, de http://www.pandasecurity.com/spain/mediacenter/malware/los-tipos-

de-malware-mas-peligrosos/

• Tipos de Malware y Programas Antimalware – Tecnologia (s.f.). Consultado Octubre 2,

2016, de http://www.areatecnologia.com/informatica/tipos-de-malware.html

• Diferentes tipos de malware que abundan en la red – ADSLZone (s.f.). Consultado

Octubre 2, 2016, de http://www.adslzone.net/redes/diferentes-tipos-de-malware-que-

abundan-en-la-red/

• Ranking de Los tipos de malware - Listas en 20minutos.es (s.f.) Consultado 2 de

Octubre, 2016, de http://listas.20minutos.es/lista/los-tipos-de-malware-310619/