04/04/2011 Guía de defensa en profundidad antiviru…

Guía de defensa en profundidad

antivirus
Capítulo 2: Amenazas de software malintencionado

Publicado: mayo 20, aaaa

En esta página

Introducc ión
Evoluc ión de los virus informáticos
Definición del software malintencionado
Características del software malintenc ionado
¿Qué no se considera software malintencionado?
Software antivirus
Ciclo de vida típic o del software malintencionado en circ ulac ión
Resumen

Introducción

En este capítulo de la Guía de defensa en profundidad antivirus se describe de forma concisa la

evoluc ión de los virus informáticos, desde los primeros virus relativamente simples hasta la gran
diversidad de software malintencionado o malware que existe hoy en día. Asimismo, se definen distintos
tipos y técnicas comunes de software malintencionado, se proporciona información sobre su
propagac ión y se analizan los riesgos que suponen para cualquier tipo de organización.

Dada la continua evoluc ión de los virus informáticos, sería imposible inc luir y explic ar en esta guía todos
los tipos de software malintenc ionado junto c on sus posibles variaciones. No obstante, este documento
constituye un primer paso muy importante hacia el entendimiento de la naturaleza de los distintos
elementos que componen este tipo de software. En esta guía también se presentan y definen otros
ejemplos que no pertenec en a la categoría de software malintencionado, c omo spyware (programas
espía que realizan ciertas ac tividades en un equipo determinado sin el consentimiento del usuario),
spam (c orreo electrónic o no deseado o solicitado) y adware (publicidad no deseada integrada en
software).

Principio de la página

Evolución de los virus informáticos

Los primeros virus informáticos aparecieron a principios de los 80. Se trataba, en su mayoría, de
archivos relativamente simples de replic ación automática que mostraban burlas o bromas cuando se los
ejec utaba.

Nota: es necesario señalar que resulta prác ticamente imposible ofrecer un historial definitivo de la
evoluc ión de los virus informáticos. La propia naturaleza ilegal del software malintenc ionado hac e que
los responsables de los ataques intenten ocultar su origen. En esta guía se desc ribe la historia del
software malintenc ionado comúnmente aceptada y avalada por los investigadores de virus informáticos
y los proveedores de productos antivirus.

En 1986 aparecieron los primeros casos de ataques de virus informáticos a equipos Microsoft® MS-
DOS®, de los cuales se identificó al virus Brain como el primero de todos. Sin embargo, en 1986
aparecieron otros virus: Virdem (el primer virus de archivos) y PC-Write (el primer troyano; un programa
aparentemente útil o inofensivo que en realidad contiene código oculto diseñado para dañar o
beneficiarse del sistema en el que se ejecuta). En el caso de PC-Write, se trataba de un troyano oculto
…microsoft.com/…/dd578362(printer).as… 1/16
04/04/2011 Guía de defensa en profundidad antiviru…
que utilizaba el mismo nombre que una conocida aplicac ión de procesamiento de textos que se distribuía
como "shareware".

A medida que más usuarios se iniciaban en la tecnología de creación de virus informáticos, comenzó a
aumentar considerablemente su número, la complejidad y diversidad de los virus informátic os y las
plataformas susceptibles de ser atacadas. Durante un tiempo, los ataques se centraron en los sectores
de inic io. Más tarde pasaron a infectar los arc hivos ejecutables. En 1988 apareció el primer gusano de
Internet (un tipo de software malintenc ionado que utiliza c ódigo malintencionado de propagac ión
automática capaz de distribuirse de un equipo a otro a través de las conexiones de red). El gusano
Morris, por ejemplo, consiguió ralentizar c onsiderablemente las comunic aciones de Internet. En
respuesta a esta situación y al crec iente número de ataques de virus registrados, se fundó el Centro de
coordinac ión de CERT: http://www.cert.org/1 (en inglés). Su objetivo era garantizar la estabilidad de
Internet prestando asistencia para coordinar las respuestas a ataques de virus y otro tipo de
inc idencias.

En 1990 apareció en Internet la primera BBS de intercambio de virus, que utilizaban los creadores de
virus para colaborar y compartir sus c onocimientos. También en esta época se publicó el primer libro
sobre c reación de virus y se desarrolló el primer virus polimórfico (conoc ido c omúnmente como
Camaleón o Casper). Un virus polimórfico es un tipo de software malintenc ionado que utiliza un número
ilimitado de rutinas de cifrado para evitar ser detectado. Este tipo de virus tiene la capacidad de
modific arse cada vez que se replica, lo que dificulta su detec ción mediante programas antivirus basados
en firmas, diseñados para "reconocer" virus. Poc o después hizo su aparición Tequila, el primer gran virus
polimórfico. En 1992 aparec ió el primer motor de virus polimórficos y los primeros kits de herramientas
para la c reación de virus.

Desde entonces, el nivel de sofisticac ión de los virus ha aumentado considerablemente: aparec ieron
virus informáticos c apaces de obtener acceso a las libretas de direcc iones de c orreo elec trónico y
enviarse a sí mismos a los contactos; virus de mac ro que se adjuntaban por sí solos y atac aban
distintos arc hivos de aplicaciones tipo Office; y virus creados específicamente para aprovec har las
vulnerabilidades de los sistemas operativos y aplicaciones. Los virus informáticos aprovechan las
vulnerabilidades del c orreo elec trónic o, de las redes de uso compartido de archivos de igual a igual
(P2P), de los sitios Web, de las unidades compartidas y de los productos para replicarse y atac ar.
Asimismo, crean puertas traseras (puntos de entrada de red secretos u ocultos a través de los cuales
penetra el software malintenc ionado) en los sistemas infectados para permitir a los c readores de virus,
o intrusos, regresar y ejecutar el software que deseen. En el c ontexto de esta guía, un intruso es un
programador o usuario de un equipo que intenta obtener acc eso a un sistema o una red informátic a de
forma ilegal. En la secc ión siguiente de este capítulo se trata el software malintencionado en
profundidad.

Determinados virus informátic os incorporan su propio motor de correo electrónico incrustado, a través
del cual pueden propagarse direc tamente por correo elec trónico desde un sistema infec tado, obviando
la configuración del c liente o servidor de c orreo elec trónic o del usuario. Los creadores de virus también
han c omenzado a estructurar cuidadosamente sus ataques y a utilizar la ingeniería social para
desarrollar mensajes de c orreo electrónic o c on aspec to y diseño auténtic os. Con ello se pretende
engañar a los usuarios para que abran el archivo c on el virus adjunto, aumentando, de este modo, la
posibilidad de que tenga lugar una infec ción a gran escala.

Al tiempo que el software malintencionado ha evolucionado, se ha desarrollado también software

antivirus para contrarrestarlo. No obstante, la mayoría del software antivirus actual se basa c asi por
completo en las firmas de virus (característic as de identificación de software malintenc ionado) para
detectar el código potencialmente dañino. Esto beneficia a los c readores de virus en tanto que
aprovechan el período que va desde el lanzamiento del virus hasta que los proveedores de software
antivirus distribuyen a gran escala los archivos de firma. Por ello la norma general es que la tasa de
infecc ión del virus sea tremendamente elevada durante los primeros días, y que se produzca un declive
pronunciado una vez que se distribuyen los archivos de firma.

Principio de la página

…microsoft.com/…/dd578362(printer).as… 2/16
04/04/2011 Guía de defensa en profundidad antiviru…
Definición del software malintencionado

En esta guía se utiliza el término software malintencionado o malware (procedente del término inglés
"malicious software") como denominación colectiva para hac er referencia a los virus, gusanos y
troyanos que realizan tareas malintenc ionadas en un sistema informático con total premeditación.

Por tanto, ¿qué es exac tamente un virus o un gusano informátic o? ¿En qué se diferencian de los
troyanos? ¿Actúan las aplicac iones antivirus sólo frente a gusanos y troyanos, o sólo ante virus?

Estas preguntas surgen dada la gran confusión, y a menudo la distorsión, que ac ompaña al concepto de
código malintenc ionado. La gran cantidad y variedad de código malintencionado existente hac e difícil
proporcionar una definic ión exacta de cada una de sus c ategorías.

A c ontinuac ión se muestran varias definiciones simples de carácter general de c ategorías de software
malintencionado:

Troyano. Programa aparentemente útil o inofensivo que en realidad contiene código oc ulto
diseñado para dañar o beneficiarse del sistema en el que se ejec uta. Los troyanos se envían
normalmente a través de mensajes de c orreo electrónic o que falsean el objetivo y la función del
programa. También se denominan códigos troyanos. El troyano deja una c arga o realiza una tarea
malintencionada c uando se ejecuta.

Gusano. Los gusanos utilizan código malintencionado de propagación automática capaz de

distribuirse de un equipo a otro a través de las conexiones de red. Los gusanos pueden realizar
acc iones dañinas, c omo consumir los recursos de la red o del sistema local, dando lugar
probablemente a un ataque de denegación de servic io. Determinados tipos de gusanos se pueden
ejecutar y propagar sin la intervención del usuario, mientras que otros requieren que éste ejec ute
directamente el c ódigo para su propagac ión. Además de replicarse, los gusanos también pueden
dejar una carga.

Virus. Los virus ejecutan c ódigo esc rito con la intenc ión expresa de replicarse. Se intentan
propagar de un equipo a otro adjuntándose a un programa host. Pueden dañar elementos de
hardware, software o datos. Cuando el host se ejecuta, también lo hace el c ódigo del virus,
infectando nuevos hosts y, en oc asiones, dejando una carga adicional.

A efec tos de esta guía, carga es un término colectivo que hace referencia a las acc iones que realiza el
software malintenc ionado en un equipo infec tado. Estas definiciones de las distintas categorías de
software malintenc ionado permiten presentar las diferencias entre ellas en un simple gráfico de flujo. En
la ilustrac ión siguiente se muestran los elementos que permiten determinar si un programa o una
secuenc ia de comandos se incluye dentro de alguna de las c ategorías:

…microsoft.com/…/dd578362(printer).as… 3/16
04/04/2011 Guía de defensa en profundidad antiviru…

Figura 2.1 Árbol de decisión para determinar si se trata de código malintencionado

La ilustración nos permite distinguir las c ategorías de código malintencionado más comunes según se
presentan en esta guía. No obstante, es importante señalar que un mismo ataque puede introduc ir
código que se ajuste a varias de estas categorías. Estos tipos de ataque (conoc idos c omo amenazas
mixtas porque constan de más de un tipo de software malintencionado y utilizan varios vectores de
ataque) se pueden propagar muy rápidamente. Un vector de ataque es la ruta que el software
malintencionado puede utilizar para realizar un ataque. Por ello, la defensa frente a las amenazas mixtas
puede resultar especialmente difícil.

En las sec ciones siguientes se ofrec e una explicación más detallada de cada categoría de software
malintencionado y de algunos de los elementos clave que lo c omponen.

Troyanos

Los troyanos no se consideran virus informátic os ni gusanos porque no se pueden propagar por sí
mismos. No obstante, se puede utilizar un virus o un gusano para copiar un troyano en el sistema que
se desea atacar c omo parte de una carga de ataque. Este proc eso se denomina colocación.
Normalmente, los troyanos tienen como objetivo interrumpir el trabajo del usuario o el funcionamiento
normal del sistema. Por ejemplo, los troyanos pueden crear una puerta trasera en el sistema para que
los atacantes puedan robar datos o cambiar la configuración.

Hay otros dos términos que se suelen utilizar al hablar de troyanos o actividades troyanas; se
identific an y explic an a c ontinuación:

Troyanos de acceso remoto. Algunos programas troyanos permiten al atacante o ladrón de

…microsoft.com/…/dd578362(printer).as… 4/16
04/04/2011 Guía de defensa en profundidad antiviru…
datos hacerse c on el c ontrol de un sistema de forma remota. Estos programas se denominan
troyanos de ac ceso remoto (RAT) o puertas traseras. Varios ejemplos de RAT son: Back Orifice,
Cafeene y SubSeven.

Para obtener una explicación detallada de este tipo de troyano, consulte el artículo "Danger:
Remote Ac cess Trojans" en Mic rosoft Tec hNet:
http://www.microsoft.c om/tec hnet/security/topic s/virus/virusrat.mspx2 (en inglés).

Rootkits. Se trata de c olecc iones de programas de software que los atacantes utilizan para
obtener acc eso remoto no autorizado a un equipo y ejecutar ataques adic ionales. Pueden utilizar
varias técnicas diferentes, entre las que se incluyen el seguimiento de las pulsaciones de tec las,
el c ambio de los archivos de registro o de las aplicaciones existentes en el sistema, la creación de
puertas traseras y el ataque a otros equipos de la red. Por lo general, los rootkits se organizan
como un conjunto de herramientas que se adaptan específicamente para atacar a un sistema
operativo determinado. Los primeros aparecieron a princ ipios de los 90, siendo sus principales
objetivos los sistemas operativos Sun y Linux. Ac tualmente son muc hos los sistemas operativos
objetivo, entre ellos la plataforma Mic rosoft® Windows®.

Nota: no hay que olvidar que tanto los RAT c omo determinadas herramientas que forman los
rootkits pueden tener usos legítimos de c ontrol remoto y seguimiento. No obstante, se trata de
herramientas que pueden suponer problemas para la seguridad y privacidad, lo que aumenta los
riesgos globales de los entornos en los que se utilizan.

Gusanos

Si el código malintenc ionado se replica, no se trata de un troyano. Por tanto, la c uestión que debe
plantearse para definir más c laramente el software malintencionado es la siguiente: "¿Puede el código
replicarse sin necesidad de un portador?". Es dec ir, ¿puede replicarse sin necesidad de infectar un
archivo ejecutable? Si la respuesta a esta pregunta es "Sí", el c ódigo se considera un tipo de gusano.

La mayoría de los gusanos intentan copiarse a sí mismos en un equipo host para, a continuación, utilizar
sus canales de c omunicación y replic arse. El gusano Sasser, por ejemplo, se aprovec ha inicialmente de
la vulnerabilidad de un servicio para infectar un sistema y, a c ontinuac ión, utiliza la conexión de red del
mismo para intentar replic arse. Si ha instalado las últimas actualizaciones de seguridad (para detener la
infecc ión) o ha habilitado los servidores de seguridad de su entorno para bloquear los puertos de red
utilizados por el gusano (para detener la replicac ión), el ataque no tendrá éxito.

Virus

Si el código malintenc ionado agrega una copia de sí mismo a un archivo, documento o sector de inic io
de una unidad de disco con el fin de replicarse, estaremos frente a un virus. Puede ser una c opia
directa del virus original o una versión modific ada del mismo. Para obtener información más detallada al
respecto, c onsulte la sec ción "Mecanismos de defensa" que aparece más adelante en este c apítulo.
Como se menc ionó anteriormente, los virus contienen a menudo c argas que pueden c oloc ar en un
equipo loc al, por ejemplo, un troyano, que realizará una o varias acciones malintencionadas, como la
eliminac ión de datos del usuario. No obstante, aunque el virus sólo se replique y no contenga carga,
seguimos estando frente a un problema de software malintencionado, ya que el virus es capaz de dañar
datos, utilizar recursos del sistema y consumir ancho de banda de red a medida que se replica.

Principio de la página

Características del software malintencionado

Las carac terísticas de las distintas categorías de software malintencionado son a menudo muy similares.
Por ejemplo, los virus y los gusanos pueden utilizar la red c omo mecanismo de transporte. No obstante,
mientras que el virus buscará archivos que infec tar, el gusano sólo intentará copiarse a sí mismo. En la
secc ión siguiente se explican las carac terísticas típicas del software malintencionado.

…microsoft.com/…/dd578362(printer).as… 5/16
04/04/2011 Guía de defensa en profundidad antiviru…
Entornos objetivo

Para que el ataque del software malintencionado a un sistema host tenga éxito, es necesario que
disponga de una serie de componentes espec íficos. A continuación se muestran varios ejemplos típicos
de componentes que requiere el software malintencionado para lanzar un ataque a un sistema host:

Dispositivos. Ciertos tipos de software malintenc ionado se dirigen espec íficamente a un tipo de
dispositivo determinado, c omo un PC, un equipo Apple Mac intosh o inc luso un dispositivo PDA,
aunque este último caso es muy poco común en la ac tualidad.

Sistemas operativos. En determinadas oc asiones, el software malintencionado requiere un

sistema operativo determinado para ser efectivo. Por ejemplo, los virus CIH o Chernobyl de finales
de los 90 sólo podían atacar equipos Microsoft Windows® 95 o Windows® 98.

Aplicaciones. También puede que el software malintencionado requiera que en el equipo al que
va a atacar esté instalada una aplicación determinada para poder dejar una carga o replicarse.
Por ejemplo, el virus LFM.926 de 2002 sólo podía atac ar si los archivos Shoc kwave Flash (.swf) se
ejecutaban en el equipo local.

Portadores

Cuando el software malintencionado es un virus, intenta atacar a un portador (también conoc ido c omo
host) e infectarlo. El número y tipo de portadores susceptibles de ser atac ados varía
considerablemente, no obstante, en la lista siguiente se muestran algunos ejemplos de los portadores
que suelen ser objeto de ataques con mayor frecuencia:

Archivos ejecutables. Se trata del objetivo del virus "clásico", que se replica adjuntándose a un
programa host. Además de los arc hivos ejecutables típicos que utilizan la extensión .exe, también
pueden ser objeto de ataques archivos con las siguientes extensiones: .com, .sys, .dll, .ovl, .ocx
y .prg.

Secuencias de comandos. Los ataques que utilizan sec uencias de comandos como portadores
se dirigen a archivos que utilizan un lenguaje de secuenc ias de comandos como Microsoft Visual
Basic® Script, JavaScript, AppleScript o Perl Script. Entre las extensiones de este tipo de
arc hivos se enc uentran: .vbs, .js, .wsh y .prl.

Macros. Estos portadores son archivos que admiten el lenguaje de sec uencias de c omandos c on
mac ros de una aplicación determinada, c omo una aplicac ión de procesamiento de textos, de hoja
de cálculo o de base de datos. Por ejemplo, los virus pueden utilizar los lenguajes de macro de
Microsoft Word y Lotus Ami Pro para produc ir una serie de efec tos, desde pequeñas malas
pasadas (cambio de palabras en el documento o de c olores) hasta acc iones malintenc ionadas
(formateo del disco duro del equipo).

Sector de inicio. Otras áreas específicas del disco del equipo (discos duros y medios extraíbles
de inicio), como el registro de inicio maestro (MBR) o el registro de inicio de DOS, también se
pueden considerar portadores, dada su capac idad de ejecutar código malintencionado. Una vez
que el disc o se ha infectado, la replicación tiene lugar cuando éste se utiliza para inic iar otros
sistemas.

Nota: si el virus intenta infec tar tanto a arc hivos c omo a sectores de inicio, hablamos de un virus
multipartite.

Mecanismos de transporte

La replic ación de los ataques de virus en distintos sistemas informátic os se puede llevar a c abo a través
de uno o varios métodos diferentes. En esta sección se proporc iona información sobre algunos de los
mecanismos de transporte más comunes utilizados por el software malintenc ionado.

…microsoft.com/…/dd578362(printer).as… 6/16
04/04/2011 Guía de defensa en profundidad antiviru…
Medios extraíbles. La transferencia de arc hivos es el primer y probablemente más utilizado
método de transmisión de virus informáticos y otro tipo de software malintenc ionado (al menos,
hasta el momento). Se inició c on los disquetes, luego pasó a las redes y, en la actualidad, utiliza
nuevos medios, como los dispositivos de bus serie universal (USB) y los servidores de seguridad.
Aunque la tasa de infección no es tan alta c omo la del software malintencionado transmitido a
través de redes, la amenaza siempre está presente. Resulta difícil de erradicar c ompletamente
dada la nec esidad de intercambiar datos entre sistemas.

Recursos compartidos de red. Cuando los equipos dispusieron de un método que les permitía
conectarse entre sí directamente a través de una red, se abrió ante los creadores de software
malintencionado un nuevo mecanismo de transporte que superaba a los medios extraíbles en
cuanto a capac idad de propagar código malintencionado. Cuando el sistema de seguridad de los
rec ursos compartidos de red está mal implementado, se obtiene como c onsec uencia un entorno
apto para la replicación de software malintenc ionado a un gran número de equipos c onectados. El
uso de los recursos compartidos ha reemplazado en gran medida al de los medios extraíbles.

Exploración de la red. Los creadores de software malintencionado utilizan este mec anismo para
explorar redes en busca de equipos vulnerables o para atacar de forma aleatoria direcc iones IP.
Con este mecanismo, por ejemplo, se puede enviar un paquete utilizando un puerto de red
espec ífico a un intervalo determinado de direcciones IP en busc a de un equipo vulnerable al que
poder atacar.

Redes de igual a igual (P2P). Para que tenga lugar una transferencia de arc hivos P2P, es
nec esario que el usuario instale previamente un componente c liente de la aplicación P2P que
utilice uno de los puertos autorizados en el servidor de seguridad de la organizac ión, por ejemplo,
el puerto 80. Las aplicaciones utilizan este puerto para atravesar el servidor de seguridad y
transferir arc hivos directamente de un equipo a otro. Estas aplicac iones se pueden obtener
fác ilmente en Internet y proporcionan un mec anismo de transporte que los c readores de software
malintencionado utilizan directamente para propagar un arc hivo infectado en el disco duro de un
cliente.

Correo electrónico. El correo electrónico se ha convertido en el mecanismo de transporte

utilizado por muchos creadores de software malintenc ionado. La facilidad c on la que se puede
llegar a cientos de miles de personas a través del correo electrónico sin necesidad de que los
responsables del ataque abandonen sus equipos ha hec ho de este mecanismo un método de
transporte muy efectivo. Resulta relativamente sencillo engañar a los usuarios para que abran
arc hivos adjuntos al c orreo electrónic o (utilizando técnicas de ingeniería social). No es de
extrañar, por tanto, que muc hos de los ataques de software malintenc ionado más prolíficos hayan
utilizado el c orreo elec trónic o c omo transporte. Existen dos tipos básic os de software
malintencionado que lo utilizan de forma específica:

Servicio de envío de correo. Este tipo de software malintencionado se envía a sí mismo

por c orreo a un número limitado de direcciones, bien utilizando el software de correo
instalado en el host (por ejemplo, Mic rosoft Outlook® Express), bien empleando su propio
motor integrado de protoc olo simple de transferencia de correo (SMTP).

Servicio de envío de correo masivo. Este tipo de software malintenc ionado busca en el
equipo infectado direc ciones de correo electrónico y, a continuac ión, se envía a sí mismo de
forma masiva a dic has direcc iones, utilizando el software de correo instalado en el host o su
propio motor integrado SMTP.

Aprovechamiento remoto. El software malintencionado puede intentar aprovechar una

vulnerabilidad determinada de un servicio o aplicación para replic arse. Este c omportamiento se
observa a menudo en los gusanos; por ejemplo, el gusano Slammer aprovechó una de las
vulnerabilidades de Mic rosoft SQL Server™ 2000 para generar una saturación de búfer que
permitió que se sobrescribiera una parte de la memoria del sistema con código que se podía
ejecutar en el mismo contexto de seguridad que el servicio SQL Server. Las saturaciones de búfer
se produc en al agregar una cantidad de información superior a la que el búfer es capaz de

…microsoft.com/…/dd578362(printer).as… 7/16
04/04/2011 Guía de defensa en profundidad antiviru…
contener. Se trata de una vulnerabilidad muy aprovechada por los atacantes para hacerse con un
sistema. Aunque Microsoft ya había identificado y soluc ionado esta vulnerabilidad meses antes de
que aparec iera Slammer, pocos sistemas se habían actualizado, por lo que el gusano se pudo
propagar.

Cargas

Una vez el software malintencionado ha alcanzado el equipo host a través del transporte, generalmente
realizará una ac ción denominada carga, que puede adoptar diferentes formas. En esta sección se
identific an algunos de los tipos de carga más habituales:

Puerta trasera. Este tipo de c arga permite el acc eso no autorizado a un equipo. Aunque puede
proporc ionar acceso completo, también se puede limitar, por ejemplo, a habilitar el acceso
mediante el protocolo de transferencia de archivos (FTP) a través del puerto 21 del equipo. Si el
ataque se produjo para habilitar Telnet, un intruso podría utilizar el equipo infectado como área de
almacenamiento temporal para los ataques a través de Telnet en otros equipos. Como se ha
mencionado anteriormente, una puerta trasera en oc asiones se conoce como troyano de acc eso
remoto.

Daños o eliminación de datos. Uno de los tipos de carga más destructivos puede ser un c ódigo
malintencionado que daña o elimina los datos, y deja inservible la información del equipo del
usuario. El creador del software malintencionado tiene dos opciones: la primera consiste en c rear
la c arga de modo que se ejec ute con rapidez. Aunque es potenc ialmente desastroso para el
equipo que infecta, el diseño del software malintencionado permite desc ubrirlo antes y esto
favorec e que se reduzcan las posibilidades de que se replique sin ser detectado. La otra opción
consiste en dejar la c arga en el sistema local (a modo de troyano) durante un período de tiempo
(consulte la sección "Mec anismos de activación" más adelante en este c apítulo para ver ejemplos)
para que el software malintenc ionado se extienda antes de que se intente entregar la carga y,
por lo tanto, se alerte al usuario de su presencia.

Robo de información. Un tipo de carga de software malintenc ionado especialmente preoc upante
es el que se ha diseñado para robar informac ión. Si una c arga c ompromete la seguridad de un
equipo host, podrá proporcionar un mecanismo para pasar información a los atacantes. Esto
puede ocurrir de diferentes formas; por ejemplo, la carga de software malintenc ionado puede
automatizar una transferencia con el objetivo de c apturar archivos locales o información tal c omo
las teclas que el usuario presiona (con el fin de intentar obtener el nombre y la contraseña del
usuario). Otro mecanismo consiste en proporcionar un entorno en el host loc al que permita al
atac ante controlarlo de forma remota u obtener ac ceso a los arc hivos del sistema directamente.

Denegación de servicio (DoS). Uno de los tipos de carga de aplicac ión más senc illa es el
ataque de denegac ión de servicio, que consiste en un asalto c omputerizado que inicia un
atac ante para sobrec argar o detener un servicio de red, por ejemplo un servidor Web o de
arc hivos. El objetivo de los ataques DoS es simplemente dejar inutilizable un servicio determinado
durante un período de tiempo.

Denegación de servicio distribuida (DDoS). Estos tipos de ataques utilizan

habitualmente c lientes infec tados que desconoc en por completo que partic ipan en el
ataque. Un ataque DDoS es un tipo de denegac ión de servic io en el que un usuario utiliza
código malintencionado instalado en varios equipos para alcanzar un único objetivo. Con
este método se puede conseguir un efecto mayor en el objetivo de lo que se podría obtener
si se usara un únic o equipo. La semántica del ataque varía de unos a otros, si bien
generalmente implic a el envío de grandes cantidades de datos a un host o un sitio Web
específic o, que hacen que éste deje de responder (o se vuelva incapaz de responder) al
tráfico legítimo. De este modo, inunda el ancho de banda disponible en el sitio de la víctima
y hac e que se quede sin conexión.

Puede resultar extremadamente difícil defenderse de este tipo de ataque, puesto que los
hosts responsables son de hec ho víctimas involuntarias. Los ataques DDoS generalmente se
…microsoft.com/…/dd578362(printer).as… 8/16
04/04/2011 Guía de defensa en profundidad antiviru…
llevan a c abo mediante bots (programas que realizan tareas repetitivas), c omo Eggdrop de
Internet Relay Chat (IRC), que un intruso puede utilizar para controlar los equipos "víctimas"
a través de un canal IRC. Una vez que esos equipos quedan bajo el control del intruso, se
convierten en zombies que pueden atac ar a un objetivo bajo las órdenes del intruso y sin el
conoc imiento de sus propietarios.

Los ataques DoS y DDoS pueden implicar distintas técnic as, entre las que se incluyen:

Cierres del sistema. Si el software malintencionado c onsigue apagar o bloquear el sistema

host, puede oc asionar problemas en uno o varios servicios. Para poder atacar el sistema
host y hacer que se apague, el software malintenc ionado debe encontrar un punto débil en
una aplicación o en el sistema operativo.

Inundación del ancho de banda. La mayor parte de los servic ios que se proporcionan en
Internet están vinculados a través de una c onexión de red de banda ancha limitada que los
conec ta a sus clientes. Si un creador de software malintencionado puede entregar una
carga que ocupe este anc ho de banda con tráfico de red falso, puede producir una
denegación de servicio simplemente impidiendo que los clientes puedan c onectarse
directamente al mismo.

Denegación de servicio de red. Este tipo de carga intenta sobrec argar los recursos
disponibles para el host local. Recursos como el microprocesador y la capac idad de la
memoria quedan saturados por los ataques del tipo inundación de paquetes SYN, en los que
un atacante utiliza un programa para enviar múltiples solic itudes de SYN de TCP c on el fin
de llenar la c ola de conexión pendiente en el servidor e impedir el tráfic o de red legítimo a y
desde el host. Los ataques del tipo bomba de c orreo también saturan los rec ursos de
almacenamiento para c rear un ataque DoS, en el que se envía a una dirección una c antidad
excesiva de datos de correo electrónic o en un intento de ocasionar problemas en el
programa de correo electrónico o de impedir que el destinatario reciba otros mensajes
legítimos.

Problemas en los servicios. Este tipo de carga también puede oc asionar una denegac ión
de servicio. Por ejemplo, esta técnica de ataque DoS tiene éxito cuando el ataque en un
servidor de Sistema de nombres de dominio (DNS) deshabilita el servicio DNS. Sin embargo,
puede que todos los demás servic ios del sistema no resulten afectados.

Mecanismos de activación

Los mecanismos de activación son una carac terística que el software malintencionado utiliza para iniciar
la replicac ión o la entrega de la carga. Entre los mec anismos de activación típicos se encuentran los
siguientes:

Ejecución manual. Consiste simplemente en la ejecuc ión del software malintencionado por parte
de la propia víc tima.

Ingeniería social. El software malintencionado utilizará con frecuenc ia alguna forma de

ingeniería social para tratar de engañar a una víc tima y c onseguir que ejecute manualmente
el código malintenc ionado. El enfoque puede resultar relativamente sencillo, como el de los
gusanos de c orreo masivo, en los que el elemento de ingeniería social se centra en
selec cionar el texto del campo Asunto del mensaje de correo elec trónico que tenga más
posibilidades de ser abierto por una víc tima potencial. Los creadores de software
malintencionado pueden utilizar asimismo la suplantación de correo electrónico para intentar
hacer creer a la víctima que un mensaje proviene de un remitente de confianza. La
suplantac ión es el acto de imitar un sitio Web o una transmisión de datos para hac er que
parezcan auténticos. Por ejemplo, el gusano Dumaru original que aparec ió por primera vez
en 2003 modificaba el campo De: de los mensajes de c orreo electrónic o para hacer creer
que se enviaban desde sec urity@microsoft.com. (Consulte la sec ción "Mensajes de virus
falsos" en el siguiente apartado de este capítulo para obtener más informac ión sobre esta

…microsoft.com/…/dd578362(printer).as… 9/16
04/04/2011 Guía de defensa en profundidad antiviru…
carac terística.)

Ejecución semiautomática. Este tipo de mecanismo de activación lo inicia primero la propia

víctima y a partir de ahí se ejec uta automátic amente.

Ejecución automática. Este mecanismo de activac ión no requiere de ninguna ejecuc ión manual.
El software malintencionado lleva a cabo su ataque sin nec esidad de que la víctima ejecute un
código malintencionado en el equipo de destino.

Bomba de tiempo. Este tipo de mec anismo realiza una acción tras un determinado período de
tiempo. Este período puede ser un retraso desde la primera ejecuc ión de la infecc ión o una fecha
o intervalo de fechas previamente establecidos. Por ejemplo, el gusano MyDoom.B únicamente
inició sus rutinas de carga contra el sitio Web de Mic rosoft.com el día 3 de febrero de 2004, e
hizo lo propio contra el sitio Web del grupo SCO el 1 de febrero de 2004. Después, detuvo toda
replicación el 1 de marzo de ese mismo año, aunque el componente de puerta trasera de la bomba
de tiempo continuaba ac tivo después de esta fecha.

Activación condicional. Este mecanismo utiliza alguna condic ión predeterminada para entregar la
carga. Por ejemplo, un archivo con un nombre nuevo, una serie de pulsac iones de teclas o el
inicio de una aplicac ión. El software malintencionado que emplea esta activación se denomina en
ocasiones bomba lógica.

Mecanismos de defensa

Numerosos ejemplos de software malintencionado utilizan algún tipo de mecanismo de defensa para
reduc ir la probabilidad de ser detec tados y eliminados. En la siguiente lista se ofrec en algunos ejemplos
de las técnicas empleadas:

Armadura. Este tipo de mecanismo de defensa emplea técnic as que intentan impedir el análisis
del código malintencionado, por ejemplo, detectar cuándo se ejecuta un depurador e intentar
evitar que func ione correctamente, o agregar grandes cantidades de código sin sentido para
ocultar el objetivo del código malintencionado.

Ocultación. El software malintenc ionado utiliza esta técnica para ocultarse mediante la
interceptación de solicitudes de información y la devolución de datos falsos. Por ejemplo, un virus
puede almac enar una imagen del sec tor de inicio no infectado y mostrarla cuando se intente
visualizar el sec tor de inicio afectado. El virus informático más antiguo c onocido, denominado
“Brain”, utilizó esta técnica en 1986.

Cifrado. El software malintencionado que utiliza este mecanismo de defensa realiza un cifrado de
sí mismo o de la carga (y en oc asiones incluso de otros datos del sistema) para evitar la
detección o la recuperación de datos. El software malintenc ionado cifrado contiene una rutina de
descifrado estátic a, una clave de c ifrado y el código malintenc ionado c ifrado (que inc luye una
rutina de cifrado). Cuando se ejecuta, utiliza la rutina de descifrado y la clave para descifrar el
código malintencionado. A continuación, c rea una copia del código y genera una nueva clave de
cifrado. Emplea esa clave y la rutina de cifrado para cifrar la c opia nueva de sí mismo, agregando
la c lave nueva con la rutina de desc ifrado al inicio de la copia nueva. A diferencia de los virus
polimórfic os, el software malintenc ionado de cifrado utiliza siempre las mismas rutinas de
descifrado, así que aunque el valor de la clave (y, por tanto, la firma de los códigos
malintencionados cifrados) generalmente c ambia de una infec ción a otra, los programas antivirus
pueden buscar la rutina de descifrado estátic a para detectar el software malintencionado que
utiliza este mec anismo de defensa.

Software malintencionado oligomórfico. Se trata de software que utiliza el cifrado c omo

mec anismo para defenderse y puede cambiar la rutina de cifrado únicamente un número
determinado de vec es (generalmente una cantidad reducida). Por ejemplo, un virus que puede
generar dos rutinas de descifrado diferentes se clasific aría como oligomórfico.

…microsoft.com/…/dd578362(printer).as… 10/16
04/04/2011 Guía de defensa en profundidad antiviru…
Software malintencionado polimórfico. Utiliza el cifrado como mecanismo de defensa para
cambiarse con el fin de evitar ser detectado, generalmente mediante el cifrado del propio
software malintencionado con una rutina de c ifrado para, a continuación, proporc ionar una c lave
de descifrado diferente para cada mutación. De este modo, el software malintenc ionado
polimórfic o utiliza un número ilimitado de rutinas de cifrado para evitar la detección. Cuando el
software se replica, una parte del código de descifrado se modifica. En función del tipo espec ífico
de código, la c arga u otras acc iones llevadas a cabo pueden utilizar o no el cifrado. Generalmente
existe un motor de mutación, que es un componente incorporado del código malintencionado de
cifrado que genera rutinas de c ifrado aleatorias. Este motor y el software malintencionado quedan
cifrados y la nueva clave de desc ifrado se pasa con ellos.

Principio de la página

¿Qué no se considera software malintencionado?

Existe una serie de amenazas que no se c onsideran software malintenc ionado puesto que no son
programas informátic os escritos con intención de hacer daño. No obstante, estas amenazas pueden
afectar a la seguridad y a los aspectos financieros de una organización. Por estos motivos se
recomienda que c onozc a las amenazas que representan para la infraestruc tura de TI de su organización
y para la produc tividad de los usuarios de TI.

Software de humor

Las aplicac iones de humor están diseñadas para c onseguir una sonrisa o, en el peor de los casos, una
pérdida de tiempo para el usuario. Estas aplicac iones son tan antiguas como los propios equipos
informáticos. Como no se han creado con una intenc ión maliciosa y se pueden identific ar fác ilmente
como bromas, no se consideran software malintencionado en esta guía. Existen numerosos ejemplos de
aplicac iones de humor, que ofrec en desde interesantes efec tos de pantalla hasta divertidas
animac iones o juegos.

Mensajes de virus falsos

Generalmente, resulta más sencillo engañar a alguien para que realic e la acc ión que uno desea que
escribir software que la lleve a c abo sin que éste lo advierta. Por lo tanto, en la comunidad de TI existe
una gran cantidad de mensajes de virus falsos.

Al igual que otras formas de software malintencionado, un mensaje de virus falso utiliza la ingeniería
social con el fin de intentar engañar a los usuarios de los equipos para que realicen una acción. No
obstante, en el c aso de un mensaje de virus falso, no se ejecuta ningún c ódigo; su c reador
habitualmente sólo intenta engañar a la víc tima. A lo largo de los años, estos mensajes han adoptado
formas muy diversas. Sin embargo, un ejemplo muy común c onsiste en un mensaje de c orreo electrónic o
en el que se anunc ia la aparic ión de un nuevo tipo de virus y se ac onseja reenviar el mensaje a los
contac tos para ponerles sobre aviso. Estos mensajes de virus falsos suponen una pérdida de tiempo,
oc upan los recursos de los servidores de correo electrónico y consumen anc ho de banda de red.

Fraudes

Práctic amente toda forma de comunicación se ha utilizado en algún momento por parte de delincuentes
para intentar engañar a sus víctimas y c onseguir que realicen ac ciones que les reporten un benefic io
ec onómico. Internet, los sitios Web y los mensajes de correo electrónic o no son una excepción. Un
ejemplo típico consiste en un mensaje de correo electrónico que intenta engañar al destinatario para
que revele información personal que se pueda utilizar con objetivos ilegales (por ejemplo, información
sobre c uentas bancarias). Un tipo espec ial de fraude es el denominado phishing, que se pronuncia igual
que “fishing”, ("pesc a", en inglés) y que también se conoce como suplantación de marca o carding.

Como ejemplos de "phishing" se pueden mencionar los casos en los que los remitentes suplantan a
compañías de gran prestigio, como por ejemplo eBay, para intentar obtener acceso a la información de
…microsoft.com/…/dd578362(printer).as… 11/16
04/04/2011 Guía de defensa en profundidad antiviru…
la cuenta del usuario. Este tipo de mensajes utiliza c on frec uencia un sitio Web que imita el aspecto del
sitio Web oficial de una compañía. El mensaje de c orreo electrónic o se utiliza para redirigir al usuario al
sitio Web falso y c onseguir que escriba la información de su c uenta de usuario, que se guarda y usa con
fines ilícitos. Estos casos se deben tratar c on total seriedad y poner en conocimiento de las autoridades
legales.

Correo no deseado

También conocido c omo spam, se trata de correo electrónico no deseado que se genera para hacer
publicidad de un servicio o producto. Aunque generalmente se considera una molestia, no se trata de
software malintenc ionado. Sin embargo, el enorme incremento en la cantidad de mensajes de este tipo
constituye un problema para la infraestruc tura de Internet, c on el resultado de pérdida de productividad
para los empleados, que se ven obligados a descartar y eliminar estos mensajes a diario.

Aunque no existe ac uerdo sobre el origen del término "spam", no hay duda de que éste se ha convertido
en una de las molestias más constantes en las comunicaciones basadas en Internet. Muc hos c onsideran
que c onstituye un problema de tal gravedad que actualmente representa una amenaza para el
funcionamiento de las comunicac iones a través de c orreo electrónic o en el mundo. Sin embargo, es
preciso mencionar que salvo por la c arga que soportan los servidores de correo elec trónico y los
programas anti-spam, los mensajes no deseados no se pueden replicar o amenazar el correc to estado y
funcionamiento de los sistemas de TI de una organización.

Los creadores de c orreo no deseado (c onocidos con el término inglés spammers) han utilizado a
menudo software malintencionado para instalar un servicio de servidor de correo electrónico SMTP de
pequeño tamaño en un equipo host que, a continuación, utilizan para enviar este tipo de mensajes a
otros destinatarios de correo electrónico.

Programas espía

Este tipo de software se denomina en oc asiones spybot o software de seguimiento. Los programas
espía utilizan otras formas de software y programas engañosos que realizan algunas acciones en un
equipo sin el consentimiento del usuario. Entre ellas se incluyen la rec opilación de información personal y
el cambio de los parámetros de c onfiguración del explorador de Internet. Además de ser una molestia,
los programas espía pueden causar problemas que abarcan desde la reducción del rendimiento general
del equipo hasta la violac ión de la privac idad personal.

Los sitios Web que distribuyen estos programas utilizan una gama de trucos para conseguir que los
usuarios los descarguen e instalen en sus equipos. Entre estos truc os se inc luye la creación de
experiencias de usuario engañosas y la inclusión de programas espía junto con otro software en el que
los usuarios pueden estar interesados, por ejemplo los programas gratuitos para c ompartir archivos.

Publicidad no deseada

La public idad no deseada se combina con frec uencia c on una aplicac ión host que se ofrece de modo
gratuito a condición de que el usuario acepte dicha publicidad. Como las aplicac iones de publicidad no
deseada generalmente se instalan después de que el usuario haya ac eptado un c ontrato de licenc ia en
el que se advierte del objetivo de la aplicación, no se comete ningún delito. No obstante, los mensajes
de publicidad emergentes se pueden c onvertir en una molestia y, en algunos casos, afectar al
rendimiento del sistema. Asimismo, la información que recopilan algunas de estas aplic aciones puede
plantear problemas de privacidad a los usuarios que no eran totalmente c onscientes de los términos del
contrato de licencia.

Nota: aunque los términos spyware (programa espía) y adware (public idad no deseada) se utilizan con
frecuenc ia c omo sinónimos, únicamente la publicidad no deseada que el usuario no ha autorizado se
puede equiparar a los programas espía. La publicidad no deseada que advierte a los usuarios y les
ofrec e la posibilidad de elec ción y el control no es engañosa y no se debe clasific ar como programa
espía. Por otra parte se debe tener en cuenta que una aplicac ión espía que afirma realizar una func ión

…microsoft.com/…/dd578362(printer).as… 12/16
04/04/2011 Guía de defensa en profundidad antiviru…
específic a y que, en realidad, lleva a cabo otra diferente, actúa como un troyano.

Cookies de Internet

Las cookies de Internet son arc hivos de texto que los sitios Web colocan en el equipo de un usuario
cuando éste los visita. Contienen y proporcionan informac ión de identificación acerca del usuario a los
sitios Web que las han c oloc ado en su equipo, además de otra información que los sitios deseen
conservar acerca de su visita.

Son herramientas legales que numerosos sitios Web utilizan para realizar un seguimiento de la
información de los visitantes. Por ejemplo, un usuario adquiere un artíc ulo en una tienda en línea, pero
una vez que ha colocado el producto en su carro de la c ompra, puede que desee visitar otro sitio Web
por alguna razón. La tienda en línea puede elegir guardar en una cookie en el equipo del usuario la
información de los productos seleccionados, para que, c uando éste vuelva al sitio, sigan en el carro de
la compra listos para que el usuario los adquiera si así lo decide.

Los desarrolladores de sitios Web sólo deberían poder recuperar la información almac enada en las
cookies que ellos han creado. Este enfoque debería garantizar la privacidad evitando que otras personas
que no sean los desarrolladores de estos sitios puedan tener acceso a las cookies que se han dejado en
los equipos de los usuarios.

Por desgracia, se sabe que algunos desarrolladores de sitios Web utilizan c ookies para rec opilar
información sin el conoc imiento del usuario. Algunos pueden engañar a los usuarios o no respetar las
directivas que han establec ido. Por ejemplo, pueden realizar un seguimiento de los hábitos de visita a
diferentes sitios Web sin informar al usuario y utilizar esta información para personalizar la publicidad
que éste ve en un sitio Web, algo que se considera una invasión de la privac idad. Resulta difíc il
identific ar esta forma de publicidad orientada al usuario y otras formas de "uso indebido de las cookies",
con lo que es c omplicado decidir si se deben bloquear las cookies en el equipo y cuándo y cómo
hacerlo. Además, el nivel ac eptable de informac ión compartida varía de unos usuarios a otros, por lo
que también resulta c omplicado crear un programa "anti-c ookies" que satisfaga las necesidades de
todos los usuarios informátic os de un entorno.

Principio de la página

Software antivirus

El software antivirus se c rea espec íficamente para defender un sistema frente a las amenazas del
software malintenc ionado. Mic rosoft rec omienda encarecidamente el uso de este tipo de programas
para proteger el equipo de cualquier forma de software malintenc ionado, no únic amente de los virus.

El software antivirus utiliza diferentes técnicas para detectar el software malintencionado. En esta
secc ión se explicará el func ionamiento de algunas de ellas, entre las que se incluyen:

Análisis de firma. La mayor parte de los programas antivirus utilizan actualmente esta técnica,
que se centra en analizar el objetivo (equipo host, unidad de disc o o arc hivos) en busca de un
patrón que pueda tratarse de software malintenc ionado. Estos patrones se almac enan
generalmente en archivos denominados arc hivos de firma, que los proveedores del software
actualizan c on regularidad con el fin de garantizar que los esc áneres antivirus rec onocen todos
los ataques de c ódigo malintencionado posibles. El principal problema de esta téc nica radica en
que el software antivirus ya debe estar actualizado para que el escáner lo pueda reconocer.

Análisis heurístico. Esta técnic a intenta detectar las variantes nuevas y c onocidas de software
malintencionado mediante la búsqueda de c aracterísticas generales en dicho software. La
principal ventaja de esta técnica consiste en que no depende de los archivos de firma para
identificar y hac er frente al software malintencionado. No obstante, el análisis heurístico muestra
una serie de problemas espec íficos, entre los que se incluyen los siguientes:

Positivos falsos. Esta técnic a utiliza características generales y, por tanto, es susceptible

…microsoft.com/…/dd578362(printer).as… 13/16
04/04/2011 Guía de defensa en profundidad antiviru…
de confundir el software legítimo con el malintenc ionado si una característica fuera similar
en ambos.

Lentitud del análisis. El proceso de búsqueda de característic as resulta una tarea más
laboriosa que la de buscar un patrón de software malintencionado ya conocido. Por este
motivo, el software antivirus puede tardar más tiempo en realizar un análisis heurístico que
un análisis de firma.

Es probable que se pasen por alto características nuevas. Si el ataque de un nuevo

software malintencionado presenta una característica que no se ha identific ado
previamente, probablemente el analizador heurístico no la detec te hasta que se ac tualice.

Bloqueo del comportamiento. Esta técnic a se c entra en el comportamiento de un ataque en

lugar de en el propio código. Por ejemplo, si una aplicac ión intenta abrir un puerto de red, un
programa antivirus de bloqueo del comportamiento podría detectarlo como una ac ción típica de
software malintencionado y, a continuación, c lasificar este comportamiento c omo posible ataque.

Numerosos proveedores de antivirus utilizan ac tualmente una combinación de estas técnic as en sus
soluc iones antivirus en un intento de mejorar el nivel de protec ción general de los equipos informáticos
de sus clientes.

Muchos socios de Mic rosoft ofrecen programas antivirus. Para obtener una lista completa y ac tualizada,
consulte la página "Microsoft Antivirus Partners" en Microsoft.c om:
http://www.microsoft.com/security/partners/antivirus.asp3 (en inglés).

Principio de la página

Ciclo de vida típico del software malintencionado en circulación

Se ha establec ido un patrón que define el c iclo de vida de los nuevos ataques de software
malintencionado presente en las redes públicas o que está ac tualmente en circ ulac ión o in the Wild. El
examen de este patrón ayuda a comprender el riesgo que representan los nuevos ataques tras su
aparic ión.

Un nuevo ciclo de vida se inicia con el desarrollo del software malintencionado y finaliza cuando se
elimina por completo de las redes supervisadas. Las etapas del ciclo de vida son las siguientes:

1. Creación. El desarrollo del software malintencionado se inicia con frecuencia cuando se sugiere y
comparte entre las comunidades de piratas informáticos la posibilidad de una nueva forma de
ataque o aprovechamiento. Durante un tiempo, se estudian y analizan estos métodos hasta que
se descubre un enfoque que se puede convertir en ataque.

2. Desarrollo. Anteriormente, la c reación de software malintenc ionado requería un conoc imiento del
lenguaje del ensamblado del equipo así como del c omplejo func ionamiento del sistema contra el
que se dirigía el ataque. Sin embargo, la aparición de los kits de herramientas y de los salones de
chat de Internet ha hecho posible que c asi cualquier persona que lo desee pueda c rear software
malintencionado.

3. Replicación. Una vez que el nuevo software se ha desarrollado y puesto en circ ulac ión,
normalmente busca replicarse en los dispositivos host potenciales durante un tiempo antes de
poder llevar a cabo su función principal o entregar su c arga.

Nota: aunque existen decenas de miles de programas de software malintenc ionado conocidos,
únic amente una pequeña parte está en c irculación actualmente. La mayor parte de estos
programas nunca se han expuesto al públic o y a menudo se conoc en c omo virus de zoo.

4. Entrega de la carga. Una vez el software malintenc ionado ha infectado un host, puede entregar
una carga. Si el código contiene una activación condicional para su carga, es en este momento
cuando se cumplen las condiciones para el mecanismo de entrega. Por ejemplo, algunas cargas se

…microsoft.com/…/dd578362(printer).as… 14/16
04/04/2011 Guía de defensa en profundidad antiviru…
activan c uando un usuario realiza determinada acción o cuando el reloj del equipo host llega a una
fec ha específica. Si el software malintenc ionado c ontiene una ac tivación de acción direc ta,
simplemente comenzará a entregar la carga en el momento en que se complete la infecc ión. Por
ejemplo, en el caso de las cargas de registro de datos, el programa de software malintencionado
simplemente comenzará a registrar los datos requeridos.

5. Identificación. En este momento de su cic lo de vida, las comunidades antivirus identifican el

software malintencionado. En la mayor parte de los casos, este paso oc urrirá antes de la etapa 4
o incluso antes de la 3, aunque no siempre es así.

6. Detección. Una vez identificada la amenaza, los desarrolladores de software antivirus deben
analizar el código para hallar un método de detec ción apropiado. Cuando han determinado el
método, pueden ac tualizar los archivos de firma antivirus para permitir que las aplicac iones
antivirus existentes detecten el nuevo software malintencionado. La duración de este proc eso es
fundamental para c ontrolar un ataque.

7. Eliminación. Cuando la actualización está disponible para el público, es responsabilidad de los

usuarios de las aplicac iones antivirus aplicar la actualización periódicamente para proteger sus
equipos del ataque (o limpiar los equipos ya infectados).

Nota: si no se actualizan los arc hivos de firma loc ales c on regularidad los riesgos pueden ser muy
altos, ya que los usuarios creen que están protegidos mediante sus productos antivirus, cuando
en realidad no lo están.

Cuantos más usuarios ac tualic en sus programas antivirus, el software malintencionado irá dejando de
constituir una amenaza. Este proceso en pocas ocasiones elimina todas las instanc ias del software en
circulación, puesto que éste puede seguir residiendo en los equipos c onectados a Internet con escasa o
nula protección antivirus. No obstante, se reduce la amenaza de un ataque generalizado.

Aunque este c iclo de vida se repite con cada nuevo ataque diseñado, no es típico de todos los
ataques. Muchos de ellos son simplemente versiones modific adas de una parte de un c ódigo
malintencionado original. Por lo tanto, el código básic o y el enfoque del software malintenc ionado son
idénticos, pero se realizan pequeñas modificac iones para impedir que se detec te y elimine. Típic amente,
un ataque que haya tenido éxito generará diferentes versiones durante las semanas y meses siguientes.
Esta situación lleva a una especie de "carrera armamentístic a" en la que los creadores de este tipo de
software intentan evitar la detección para su propio provecho, ya se trate de obtener beneficio
ec onómico, fama o simplemente satisfacer su c uriosidad. Las defensas antivirus se ac tualizan de nuevo,
se revisan o modifican según sea nec esario para reducir la renovada amenaza.

Principio de la página

Resumen

El software malintencionado es un área compleja y en c onstante evolución dentro del ámbito de la

tec nología informátic a. De todos los problemas que se encuentran en la TI, poc os están tan extendidos
y resultan tan engorrosos c omo los ataques de este tipo de software y los costes derivados de su
tratamiento. Comprender su func ionamiento, el modo en que evolucionan a lo largo del tiempo y los
vectores de ataque que aprovechan, puede ayudar a tratar este asunto de un modo activo. Este
conoc imiento puede, a su vez, propic iar un proceso de reac ción más efectivo cuando afecten a su
organización.

Como este tipo de software utiliza tantas téc nicas para generarse, distribuirse y explotar los equipos
informáticos, puede resultar difícil saber cómo se puede asegurar un equipo lo sufic iente como para
resistir a tales ataques. No obstante, una vez se conoc en los riesgos y vulnerabilidades, se puede
administrar un sistema de modo que la posibilidad de que un ataque tenga éxito se reduzc a en gran
medida.

El siguiente paso consiste en analizar los riesgos en diferentes puntos de la infraestruc tura de TI c on el
fin de diseñar una defensa efic az, cuestión que se tratará en el siguiente capítulo. El diseño de un plan
…microsoft.com/…/dd578362(printer).as… 15/16
04/04/2011 Guía de defensa en profundidad antiviru…
de recuperación efic az es el tema principal en el que se c entra el último c apítulo de esta guía.

Descargar la solución completa

Guía de defensa en profundidad antivirus4

En esta guía

Capítulo 0 - Descripción general5

Capítulo 1 - Introducción6

Capítulo 2 - Amenazas de software malintenc ionado7

Capítulo 3 - Defensa en profundidad antivirus8

Capítulo 4 - Control y recuperac ión de los ataques de virus9

Rec onoc imientos10

Principio de la página

Tabla de vínculos
1http://www.cert.org/

2http://technet.microsoft.c om/sec urity/c c165596.aspx

3http://www.mic rosoft.com/security/partners/antivirus.asp

4http://go.microsoft.c om/fwlink/?LinkId=28734&clcid=0x409

5http://www.mic rosoft.com/latam/tec hnet/seguridad/guidance/antivirus/avdind_0.mspx

6http://www.mic rosoft.com/latam/tec hnet/seguridad/guidance/antivirus/avdind_1.mspx

7http://www.mic rosoft.com/latam/tec hnet/seguridad/guidance/antivirus/avdind_2.mspx

8http://www.mic rosoft.com/latam/tec hnet/seguridad/guidance/antivirus/avdind_3.mspx

9http://www.mic rosoft.com/latam/tec hnet/seguridad/guidance/antivirus/avdind_4.mspx

10http://www.microsoft.c om/latam/technet/seguridad/guidanc e/antivirus/avdind_5.mspx

© 2011 Mic rosoft. Reservados todos los derechos.

…microsoft.com/…/dd578362(printer).as… 16/16