Está en la página 1de 32

Suplemento de PC World Nº 218

Suplemento

Blinde
su PC
• Los fallos de seguridad
más peligrosos
• Qué hacer cuando
todo falla
• Reglas para protegerse
• Trucos para descubrir virus
y troyanos
• Olvídese del software espía
• Proteja a los niños
en Internet

PORTADA SUPLEMENTO_SEGURIDAD.indd 1 21/02/2005 13:08:12


Blinde
su PC
T
odos los días oímos noticias también lo ha hecho y parece que
sobre un nuevo y peligroso nuestro ordenador es cada día más
virus o un fallo de seguridad vulnerable a pesar de implementar
en alguna aplicación o cada vez más medidas de seguridad.
sistema operativo. Ahora que el Con este Suplemento que tiene
uso de Internet se ha generalizado, en sus manos podrá conocer cuáles
la expansión de estos problemas son los principales problemas de
seguridad a los que nos enfrentamos
y cómo podemos evitarlos. Aprenderá
a detectar y evitar algunos de
los ataques más frecuentes y a
SEGURIDAD: EL ENEMIGO EN CASA 5
proteger su PC contra el software
espía. Además conocerá los fallos
BLINDE SU PC CONTRA VIRUS Y FALLOS 14 más importantes de los principales
sistemas operativos, que son los que
aprovechan los creadores de virus para
LOS 20 FALLOS DE SEGURIDAD MÁS PELIGROSOS 20 introducirse en nuestros ordenadores.
Pero como no todos los peligros
CÓMO DETECTAR HACKERS Y TROYANOS 26 provienen del exterior, a los
responsables de redes locales también
les orientamos sobre los problemas
DIGA ADIÓS AL SOFTWARE ESPÍA 30 que pueden generar sus propios
usuarios y cómo hacerles frente.
Esperamos que su lectura le
NIÑOS E INTERNET 33
permita estar un poco más tranquilo
cuando utilice su ordenador.

SUPLEMENTO PC WORLD 3

00-Introducción.indd 3 18/02/2005 10:50:57


4 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 4 18/02/2005 10:45:55


Blinde su PC

Seguridad:
el enemigo en casa
JUAN BLÁZQUEZ MARTÍN jblazquez@pcw.idg.es

Si en algo coinciden todas las estadísticas e informes sobre incidentes de seguridad es en destacar el
alto porcentaje de sucesos que tienen como origen los propios empleados, en activo o no. Poner todo
el esfuerzo y recursos de seguridad en prevenir los ataques externos deja la retaguardia completamente
desguarnecida frente a la amenaza más probable y posiblemente más dañina: el propio usuario.

Para propios y extraños, puede parecer un empleado desleal, descontento o saltar todas las medias de seguridad
que la seguridad está de moda en -por qué no- perturbado, puede causar implantadas para impedir estos
informática. Sin embargo, lo que mayor estrago que cualquier ataque asaltos.
realmente sucede es que se está hacker proveniente de Internet. La Protegerse de estas y otras
cubriendo otra etapa dentro de la ausencia de barreras y la falta de amenazas pasa necesariamente por
rápida evolución de esta tecnología. control sobre su actividad puede la definición y puesta en marcha de
Hasta no hace mucho tiempo, en dar alas a un empleado disgustado un plan de seguridad que evalúe
el mundo del ordenador lo que dispuesto a cometer cualquier la realidad del sistema, detecte las
realmente importaba era conseguir tropelía sobre el sistema informático necesidades y aplique las medidas
conectividad y se dejaban de lado para llamar la atención sobre su protectoras adecuadas al nivel de
otros aspectos importantes en aras despecho. No hay que descartar seguridad buscado. No se trata de
de su consecución. Ahora que la otras motivaciones más prosaicas, aplicar seguridad por aplicarla, sino
interconexión de ordenadores es algo como obtener beneficio personal de hacerla coherente y posible. Un
casi trivial, cuando el ordenador es económico o de cualquier otra índole, plan de seguridad debe ocuparse
omnipresente en cualquier actividad, dentro de la propia compañía o frente de definir medidas que protejan los
es el momento en el que se necesita a terceros. Tampoco hay que perder recursos tanto frente a las amenazas
hacerlo más seguro. de vista la posibilidad de sufrir un externas como internas, identificando
Habitualmente se identifica el sabotaje procedente del exterior con claramente qué se protege, por
peligro como una amenaza que datos precisos proporcionados por qué y cómo, así como recoger
procede del exterior y se olvida que personal propio a los atacantes, para procedimientos y medidas correctoras

SUPLEMENTO PC WORLD 5

01-Seguridad el enemigo en casa.indd 5 18/02/2005 10:45:57


en caso de que se produzca algún
incidente. Esta actitud de gestión
no sólo forma parte del “manual del
buen administrador”, sino que puede
ser exigible desde el punto de vista
legal. Su ausencia puede acarrear
consecuencias jurídicas, tanto si se
producen percances de seguridad
como si no. La Ley de Protección de
Datos en vigor es un claro exponente
de la responsabilidad que exige
el mantenimiento de un sistema
informático.
Para conseguir implantar
un buen plan de seguridad
es imprescindible crear una
“cultura de seguridad” entre los
usuarios, que les haga partícipes La función de encriptación incorporada en Windows puede evitar que los archivos
y les implique en su efectiva sean visualizados por otros usuarios aunque tengan amplios privilegios sobre ellos,
aplicación. Dar publicidad sobre como muestra el detalle de la imagen.
normas de obligado cumplimiento,
recomendaciones sobre cómo llevar finalidad de la seguridad. Mantener de datos, resultan bienes intangibles
a cabo determinadas operaciones, la confidencialidad e integridad del patrimonio de la empresa que no
consejos y todo tipo de información de sus datos es una tarea crítica figuran en ningún inventario, pero su
relacionada, puede evitar que para la informática de la empresa, pérdida o menoscabo puede acarrear
técnicas como la ingeniería social independientemente de su actividad graves trastornos y perjuicios de
puedan afectar al personal de la y dimensión. toda índole. Y no es sólo cuestión
organización, puede revelar a los El personal interno no suele de permitir o no el acceso a los
responsables informáticos posibles dar importancia a la información datos. También es importante el
fisuras inadvertidas o alertar sobre que maneja, seguramente por momento en el que se puede acceder
comportamientos y actitudes que la cotidianidad de su acceso, a la información. Como botón de
puedan dar lugar a incidentes si no y normalmente se implantan muestra, si una oferta se filtra antes
se atajan a tiempo. Un ejemplo claro restricciones sólo a los datos que no de llegar al cliente puede hacer que
de la importancia de la colaboración “conviene” que sean ampliamente la competencia reaccione y presente
del usuario en el mantenimiento conocidos. Sin embargo, la mayoría de una propuesta más atractiva por la que
de la seguridad se encuentra en la los datos manejados por la compañía se decante el comprador. La facilidad
lucha antivirus y contra el spam. Es son fundamentales para su actividad. para obtener datos implica la misma
incuestionable que unos usuarios La base de clientes, proveedores, facilidad para poder atentar contra
concienciados y bien aleccionados informes de situación financiera, stock ellos.
son el primer filtro más efectivo para de almacén, propuestas a clientes, La seguridad en el acceso a
impedir la propagación de código programas propios y una larga retahíla la información básicamente está
malicioso de todo tipo en
la red interna. PERSEGUIR CUALQUIER DELITO
Confidencialidad Cuando se sospecha o se tiene la certeza que se ha sufrido algún tipo de fraude en el ordena-
e integridad dor, la posibilidad de perseguir legalmente al autor de la acción dependerá de las evidencias
Obviamente, que la información se que se puedan conseguir de su perpetración. Es importante no realizar ninguna operación
difunda sólo entre aquellos usuarios que pueda acarrear el borrado o alteración del equipo y avisar a la policía. Si se quiere reali-
que realmente deben tener acceso a zar cualquier investigación por iniciativa propia, lo mejor es utilizar una herramienta de clo-
ella, en el momento adecuado y que nación de disco, dejar el original tal cual y trabajar sobre el clon obtenido.
los datos sean veraces, es la principal

6 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 6 18/02/2005 10:45:57


Blinde su PC

conformada por la asignación de RESPONSABILIDAD JURÍDICA


privilegios mediante permisos y
la encriptación. La integridad de La Ley de Protección de Datos LOPD, Ley Orgánica 15/1999, identifica la figura del respon-
los datos tiene, además, como sable de fichero, que no tiene por qué ser personal del área de informática. Realmente
principal valedor la firma electrónica. el personal informático es quien tiene que encargarse de implementar las medidas de
Mientras que la propuesta de los seguridad que los responsables de la información consideren oportunas respecto a su
primeros mecanismos es impedir los contenido. Sólo se puede exigir responsabilidad sobre seguridad al personal informáti-
accesos no deseados, la validación co, si recibe instrucciones de implementarla. Claro está, el responsable de la información
digital se utiliza para confirmar que indicará cuál es el nivel de protección que se debe aplicar y será responsabilidad del in-
los documentos electrónicos son formático implementar los mecanismos que proporcionen dicha seguridad.
originales y no han sufrido ningún
tipo de modificación. Aquellos
administradores que basen sus los permisos que se otorgan La tradicional seguridad ofimática
sistemas en Microsoft Windows 200X, desde el sistema operativo pueden de acceso mediante contraseña, en
la plataforma más extendida, tienen ser insuficientes para regular las la práctica no resulta eficaz y puede
disponible este tipo de mecanismos necesidades de acceso a los datos o volverse en contra si, por ejemplo,
como funciones incorporadas dentro no aplicables, como puede suceder una persona despedida decide poner
del sistema operativo, tanto en las en el acceso a los registros de una contraseña a todos los archivos a los
que puede acceder. En este caso, la
facilidad para romper esta protección
dependerá del método utilizado por el
programa en cuestión.
Ahora bien, para que los
mecanismos de confidencialidad e
integridad respondan a los objetivos
establecidos, conviene desterrar
como práctica habitual la utilización de
credenciales genéricas, con palabra
La gestión de permisos desde los programas y por los propios usuarios resulta más de paso conocida por gran parte del
conveniente. Office 2003 es un ejemplo de cómo están evolucionando en este senti- personal. Sólo interesa aprovechar las
do las herramientas ofimáticas. ventajas de este tipo de cuentas para
accesos de consulta. Para cualquier
ediciones de escritorio como de base de datos. La seguridad de otra operación que pueda acarrear la
servidor, de las que ya hablamos en acceso resulta mucho más flexible, modificación de datos, los usuarios
PC World nº 210, de junio de 2004. completa y fácil de utilizar cuando que puedan realizar estas operaciones
Sin embargo, aunque tradicionalmente se establece desde los programas deben estar perfectamente
la asignación de privilegios le ha que tratan los datos a proteger. Por identificados. Por ejemplo, es
correspondido al personal informático, ello interesa implantar programas corriente que varias personas
un buen plan de seguridad debe dejar que permitan establecer privilegios utilicen el programa de contabilidad
esta tarea en manos de los usuarios, de paso, regular las operaciones que accediendo con una misma cuenta.
los responsables de los contenidos, se realizan y que sean los usuarios En esta situación un usuario tiene
quienes mejor saben qué información los responsables de su asignación. muchas oportunidades de introducir
hay, quiénes pueden acceder a ella, Esta filosofía suele estar recogida en impunemente datos falsos o erróneos
cuándo y para qué. El informático los programas de bases de datos y que acarreen serios problemas
conoce la información desde un hacia ella evolucionan los programas administrativos dentro y fuera de la
punto de vista técnico, como archivo, ofimáticos, donde Office 2003 puede empresa. Estas alteraciones pueden
como base de datos o programa, ser una muestra. En esta edición de ser introducidas por activa o por
y se preocupa de ella desde esa la conocida suite de Microsoft, dentro pasiva, consecuencia de una acción
perspectiva. de las propiedades de los documentos desleal premeditada o resultado del
Para que los usuarios puedan puede incluirse una lista de control desconocimiento, de un error. En
hacer un buen uso de los privilegios, de acceso que facilita su vigilancia. cualquier caso, detectar el origen para

SUPLEMENTO PC WORLD 7

01-Seguridad el enemigo en casa.indd 7 18/02/2005 10:45:58


emprender acciones sancionadoras
/correctoras, resulta difícil y puede
prolongar la situación en el tiempo.
Esta política de cuentas tiene
que reforzarse con otras medidas
complementarias, como la
implantación de una directiva de
contraseñas que evite que los usuarios
puedan averiguar y utilizar fácilmente
la de sus compañeros o superiores.
Tamaño, complejidad, posibilidad de
repetición y tiempo de renovación, son
algunos de los aspectos importantes
para desplegar un correcto control de
las cuentas de usuario y, por ende,
de su actividad. Este tipo de política
tiene fácil plasmación en el ordenador
dentro de la plataforma Microsoft
en el Directorio Activo. Mediante la
definición de paquetes de directivas,
GPO, los administradores cuentan con En redes basadas en Windows 200X los administradores cuentan con la posibilidad
una potente herramienta para forzar de restringir el software que se ejecuta en los ordenadores cliente recurriendo a la
el establecimiento de reglas para aplicación de directivas.
contraseñas de usuario, acorde con
sus necesidades. Estos parámetros servicios disponibles y la posibilidad para archivos con cualquier formato
pueden definirse a nivel de equipo de que se haga un uso fraudulento del de información o utilizar herramientas
individual, con directivas locales, ordenador, son otras cuestiones de las que permiten realizar toda clase de
o para grupos, con directivas de que se debe preocupar la seguridad acciones en red, es muy asequible
dominio. Esta última opción es mejor informática. Las facilidades actuales sin necesidad de tener amplios
para la gestión del sistema. para instalar y manejar programas, conocimientos sobre informática.
la potencia de los ordenadores de Sin ir más lejos, los programas de
Evitar fraudes sobremesa o portátiles y lo cotidiano intercambio P2P bordean la legalidad
Si los datos albergados en el del acceso a Internet, son campo y se necesita muy poco para convertir
ordenador deben ser el bien más abonado para cualquier iniciativa un ordenador en nodo de estas
cuidado por el personal informático, del usuario, buena o perniciosa. La redes. Aunque más rebuscado, no
no representan su única preocupación adquisición a bajo coste o gratuita de tiene más complicación montar un
en seguridad. Los riesgos en el programas para todo tipo de propósito, sitio de descarga de pornografía,
ordenador no están limitados a los desde Internet y otras fuentes, está al que tan pingües beneficios reporta
atentados contra la información. El alcance de cualquier usuario. Montar a sus promotores. Los usuarios con
buen funcionamiento de los distintos un sitio web, albergar un repositorio inquietudes “hacker” tampoco tienen
que superar grandes inconvenientes
para hacerse con un amplio y potente
PROTEGER CONFIGURACIONES arsenal de utilidades de fácil manejo
que mal empleadas pueden resultar
Cualquier dato sobre infraestructura de la red debe ser considerado como “secreto” devastadoras, en el sistema propio
y se debe evitar que los usuarios lo conozcan. Datos como topología, tipo de firewall o contra el de otros. Son ejemplos
o simplemente el esquema de direccionamiento IP, pueden ser aprovechados para verídicos que están a la orden del
asaltar el sistema. Algo parecido a conocer la combinación de la caja fuerte. Este ti- día. Estas acciones, por otra parte,
po de información no es necesaria para el trabajo de los usuarios y debe ser total- no tienen por qué ser consecuencia
mente transparente para ellos. de una iniciativa premeditada. Una
nota sobre cómo cambiar el logotipo

8 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 8 18/02/2005 10:45:58


Blinde su PC

estándar del navegador de Internet SINGLE SIGN-ON


vista en cualquier sitio web, puede
animar al usuario a probar por simple La proliferación de programas que exigen la correspondiente introducción de nombre
curiosidad y sustituir el gráfico habitual y contraseña, añade seguridad pero complica la gestión y causa inconvenientes para los
por otro de mal gusto u ofensivo. usuarios, que acaban hartos de validarse a cada paso que dan. La solución pasa por im-
Una acción que puede resultar hasta plantar programas que puedan relacionarse con los servicios de directorio, como el Direc-
jocosa, pero cuya solución puede ser torio Activo, o recurrir a programas intermedios que son capaces de realizar la validación
un verdadero quebradero de cabeza. de forma transparente para el usuario. La mejor opción y más segura, es buscar programas
No se verá con la misma simpatía que que puedan trabajar con la base de datos de usuarios del sistema operativo, puesto que
el usuario decida experimentar otra esto evita tener que duplicar la definición de usuarios y habilitar procedimientos y me-
clase de “truco” y dejar inutilizado canismos para sincronizar dichas cuentas. Etrust Single Sing On de Computer Associates
el servidor de correo durante varias o Novell Nsure SecureLogin son algunos ejemplos de este tipo de programas.
horas.
Los usuarios propios no sólo deben
ser considerados como una amenaza funcionamiento, convirtiéndola en una actividad que realizan los usuarios en
para la información albergada en capacidad muy útil para el control del la red propia y en su navegación en
la red. El buen funcionamiento de puesto de usuario. Internet, con la finalidad de comprobar
los servicios y la posibilidad de que En aquellos equipos que no que los controles realmente están
se utilicen los ordenadores como disponen de los sistemas operativos funcionando y evitar sorpresas
plataforma de acciones de dudosa de Microsoft de última generación, sobre las acciones que los usuarios
legalidad, fraudulentas o poco éticas, queda como alternativa migrar a realizan. Establecer registros de
obligan a plantearse ejercer algún esas nuevas plataformas o recurrir actividad dependerá de los servicios
control sobre qué pueden hacer con su a programas que se encargan de implementados y del software
ordenador y qué es lo que realmente controlar qué aplicaciones se ejecutan utilizado para ello. Lo habitual es que
hacen con él. en el ordenador, permitiéndolas o no, los servidores web, correo, proxys y
Para poder aplicar restricciones demás, dispongan de opciones para
sobre las operaciones permitidas a mantener un exhaustivo registro de su
los usuarios, es fundamental contar actividad. No se trata de monitorizar
con las facilidades que ofrezca el constantemente los servicios,
sistema operativo, verdadero motor sino de establecer en la rutina de
del ordenador. En el mundo Microsoft, gestión la obligación de revisar estos
mediante los paquetes de directivas logs con cierta periodicidad para
se dispone de los mecanismos verificar que todo marcha según
adecuados para ejercer este control lo esperado y poder anticiparse a
efectivo de una manera cómoda y eventos sospechosos, evitando
sencilla para los administradores. males mayores. Conviene, eso sí,
Los principales parámetros de tener claro qué interesa registrar para
configuración se pueden localizar evitar someter a los servidores a un
en distintos apartados del árbol de trabajo extra y generar un exceso de
configuración de equipo y se pueden información. Cada programa tiene
definir individualmente para un según una definición previa. Aunque su propia forma de manejar estos
ordenador o a nivel de dominio, para esta última posibilidad no suele dar los logs. Tanto su activación como su
ser aplicados sobre varias máquinas. resultados apetecidos por tener que configuración suelen ser operaciones
Cabe destacar en este sentido las resolver múltiples inconvenientes de desprovistas de complejidad, por lo
nuevas opciones disponibles en las funcionalidad, puede ser en la práctica que no disponer de esta información
directivas de equipo para definir cuál el único medio de establecer un es difícil de excusar.
es el software autorizado para ejecutar mínimo control sobre el uso El control en la actividad de los
en un ordenador. Esta funcionalidad, que realiza el trabajador de su ordenadores debe complementarse
heredera de la tecnología de Terminal puesto informático. con medidas que impidan realizar
Server, ha mejorado sustancialmente Como perfeccionamiento de estas manipulaciones sobre los equipos
su filosofía de aplicación y directivas, conviene escudriñar la que permitan evitar las restricciones

SUPLEMENTO PC WORLD 9

01-Seguridad el enemigo en casa.indd 9 18/02/2005 10:45:59


impuestas. Configurar el ordenador VIRTUALIZACIÓN de estos parámetros permite
para que sólo pueda arrancar desde identificar las necesidades que tiene la
disco duro, deshabilitar los puertos La virtualización de servidores es una organización y cuál puede ser la mejor
no utilizados y establecer una práctica habitual en cualquier entorno solución para permitir la continuidad
contraseña para acceder al menú de de producción actual. Son dos los fabri- buscada y justificar la viabilidad
configuración BIOS, son las medidas cantes que copan actualmente el merca- económica para implantar la solución.
más sencillas e inmediatas que deben do. Microsoft con Virtual PC y VMware Así, por ejemplo, en un gabinete
ser aplicadas para los ordenadores de con el producto del mismo nombre. jurídico puede tener consideración
la red. Y no está de más, si es viable, Mientras que el gigante de Redmond crítica un programa dietario en el que
colocar algún mecanismo de cierre (www.microsoft.com/spain/windo- se registran los compromisos de todos
o sello que obstaculice la apertura wsxp/virtualpc) acaba de desembarcar los abogados para juzgados, plazos
fácil del ordenador y pueda evitar la en este tipo de software y recientemente de presentación de trámites y otras
manipulación de sus componentes, ha lanzado al mercado la versión de ser- efemérides. Para una empresa de
para instalar otros o, simplemente, vidor, VMware dispone de varias edicio- distribución, el programa que genera
para dar el “cambiazo”. nes de servidor, GSX y ESX, además de las etiquetas identificativas de los
una completa gama de productos com- envíos es fundamental. En ambos
Disponibilidad plementarios para la gestión de la plata- casos, puede que el acceso a Internet
Ni la confidencialidad ni la integridad forma virtualizada, como es Virtual Cen- o el correo electrónico al que tanta
conseguida en el sistema tienen razón ter (www.vmware.com) importancia se da actualmente, no
de ser si los programas y datos no dejen de ser pura anécdota para la
están disponibles en tiempo y lugar actividad de estas organizaciones.
para los usuarios. La disponibilidad es El primer paso para establecer En el despacho profesional, los
una de las máximas aspiraciones de un plan sensato de disponibilidad es usuarios pueden pasar sin el dietario
cualquier sistema y uno de los pilares identificar cuáles son los servicios bastante más tiempo que el que
en los que se asienta la seguridad. críticos para la organización y cuál es puede permitirse la empresa de
La disponibilidad debe ser una de las el impacto que su pérdida tiene en la distribución sin tener disponible su
prioridades de los administradores, actividad de los usuarios. Además se programa de etiquetado. Mientras que
dirigida a resolver dos aspectos debe evaluar cuánto tiempo puede para los primeros la tolerancia a fallos
cruciales que garantizan la continuidad estar ese servicio caído sin que puede implementarse perfectamente
de la actividad de los usuarios: la suponga un grave perjuicio económico, recurriendo a una simple restauración
tolerancia a fallos y la recuperación difícil de asumir. La cuantificación desde backup, sobreponerse a una
frente a desastres. situación de fallo en el etiquetado con
Hay que entender por tolerancia la misma respuesta, puede suponer
a fallos la capacidad del sistema para el colapso de la actividad y acarrear
seguir manteniendo un grado de pérdidas económicas derivadas de
operatividad aceptable, a pesar la imposibilidad de cumplir con los
que se hayan producido averías envíos comprometidos. En este
en ordenadores o fallos en escenario seguro que la mejor
los servicios. Sólo partiendo recomendación es “duplicar”
de esta premisa puede ser el etiquetado de envíos. Como
abordado un despliegue se ve, no es posible aplicar
realista de este tipo una regla generalista para
de medidas. Si bien el implementar medidas de
paradigma de disponibilidad tolerancia a fallos y éstas
está en conseguir deben ser adoptadas después
mantener la operatividad en de analizar sensatamente las
todo momento y situación, necesidades de cada escenario.
este objetivo para muchas Indudablemente, con la mente
organizaciones puede ser puesta en conseguir disponibilidad,
desmesurado y su implantación de deben articularse las actuaciones
difícil justificación. que se realicen en la adquisición de

10 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 10 18/02/2005 10:46:00


Blinde su PC

equipos y programas. A la hora de rápidamente. Sin embargo, si la


evaluar el nuevo equipamiento informática no puede reactivarse con
hardware y software, se debe la misma celeridad esa vuelta a
tener en cuenta qué rol va a la normalidad no se producirá y
desempeñar y cómo puede puede ser el fin de cualquier
adaptarse a las situaciones empresa por muy boyante que
de fallo. Hoy por hoy, la fuera su actividad y alta su
solución más extendida para póliza del seguro. ¿Cuánto
lograr disponibilidad es la tiempo puede llevar regenerar
configuración de equipos y la contabilidad, el estado de
programas en cluster, una compras y ventas, la base de
disposición que permite que clientes y proveedores...? Y
varios elementos trabajen esto después de volver a recrear
conjuntamente y en caso de completamente el sistema, en
producirse un fallo en cualquiera hardware y software. Si todo está
de ellos otro puede asumir su instalado de manera convencional
trabajo, automáticamente o de forma puede ser un tiempo aceptable. En el
manual. Existen en el mercado caso de que existan configuraciones
distintas soluciones de cluster a nivel
hardware y software, asequibles
económicamente, que cubren un
amplio rango de situaciones. Pero
no son las únicas opciones posibles.
La configuración de discos en RAID,
duplicar la tarjeta de red, contar con
más de una fuente de alimentación
o instalar sistemas de alimentación
ininterrumpida, pueden ser medidas
suficientes para prevenir los fallos
más habituales, sin necesidad de
abordar soluciones más complejas en
instalación y dinero.

Al mal tiempo,
buena cara
Para la continuidad de la actividad de
los usuarios, nunca puede descartarse La política de contraseñas para equipos individuales o grupos de ellos puede ser
que se produzca un desastre que fácilmente gestionada mediante directivas.
provoque la inutilización completa de
todo el sistema. Se suele minimizar todas las dependencias anegadas de muy personalizadas, programas
la probabilidad de que ocurran y por agua hasta la rodilla. Ante una de estas propios y otras particularidades,
ello, cuando suceden, rara vez se está situaciones, las medidas tolerantes conseguir devolver el sistema al
preparado para responder de manera a fallos sólo sirven para incrementar mismo punto en el que se encontraba
rápida y eficaz. En nuestro país, la el inventario de reclamación a la antes de la calamidad, puede ser,
posibilidad de que se produzca un compañía de seguros. simplemente, imposible en tiempo,
terremoto que eche abajo la oficina es Cuando se produce una calamidad medios y dinero.
remota. No lo es que se produzca un de esta envergadura, el centro de La necesidad de implementar
incendio, seguro que pavoroso. Ser trabajo, el mobiliario, los enseres y una estrategia que dé respuesta a
víctima de un robo con o sin escalo -por qué no- las mercancías pueden una de estas hipotéticas situaciones
o que, sencillamente, reviente la reponerse con más o menos críticas abarca a cualquier sistema,
conducción general de agua y queden prontitud y retomar cierta normalidad grande o pequeño. Al igual que ocurre

SUPLEMENTO PC WORLD 11

01-Seguridad el enemigo en casa.indd 11 18/02/2005 10:46:00


con la tolerancia a fallos, el
plan y los medios deben ser
ajustados a las necesidades y
posibilidades de cada entorno.
Si bien las grandes redes
destinan recursos a mantener
ubicaciones físicas alternativas
desde las que poder seguir
operando su informática
en caso de que suceda un
desastre, la imposibilidad
de afrontar estas medidas
de contingencia no debe ser
motivo para que las redes
pequeñas deban resignarse a
su suerte y cruzar los dedos
para que no ocurra ninguna
calamidad. Simplemente
incluir en la estrategia de
backup el mantenimiento
y almacenamiento de una
copia se seguridad de todo el
sistema en otra ubicación física Se puede evitar que los usuarios utilicen el ordenador para fines poco convenientes a horas
distinta, puede ser suficiente intempestivas, utilizando las propiedades del objeto usuario para controlar las horas de inicio
para evitar la ruina informática de sesión.
de la organización frente
un desastre.
Una alternativa que se está Infinitamente menor que el tiempo En resumidas cuentas, las
revelando como ágil, flexible y que lleva instalar el sistema operativo, amenazas a las que se enfrenta
de bajo coste para resolver esta el software de mensajería y, por cualquier área informática no
preocupación, se puede hallar en las supuesto, aplicar la configuración provienen únicamente del exterior
máquinas virtuales. A los consabidos que necesita. Una alternativa que y los usuarios propios representan
beneficios que aporta este tipo de proporciona rapidez y elimina la rígida un riesgo frente al que hay que
software para la explotación de dependencia tradicional del software estar convenientemente protegido.
servidores, se une la facilidad para de sistema operativo al hardware, una Un percance protagonizado por un
guardar y la sencillez para reponer relación que se traslada al backup y a usuario del sistema puede causar
servidores completos en tiempo su correspondiente restauración. Con mayor destrozo que cualquier otro
record. Al residir toda la información máquinas virtuales, un equipamiento ataque externo, puesto que sabe
de los servidores en archivos, tanto de ordenadores mínimo y un plan dónde puede hacer más daño y
datos como configuraciones, allá en sensato de copia de seguridad tiene fácil acceso. Esta protección
donde se encuentren estos ficheros, de las carpetas de los servidores se debe complementar con medidas
estará disponible el ordenador que virtualizados, la recreación de un tendentes a mantener la operativa
representa. Por poner un ejemplo, sistema completo, por muy complejo del sistema en caso de avería y
un servidor de correo completo que resulte, puede ser cuestión conseguir recuperarlo lo mejor y
virtualizado, configurado y operativo, de horas y realizable con personal más rápidamente posible en caso
puede guardarse perfectamente en mínimamente formado. La misma de que se produzca algún desastre,
un DVD. Si ese servidor de correo reconstrucción sobre máquinas intencionado o no. PCW
queda inutilizado por cualquier físicas puede llevar semanas, con
circunstancia, ponerlo en marcha inversiones elevadas en cuanto JUAN BLÁZQUEZ MARTÍN.
en otro equipo lleva el tiempo a equipamiento y dedicación de MCSE (Microsoft Certified Systems Engineer).
que se invierte en copiar el DVD. técnicos cualificados. Consultor en Danysoft Internacional.

12 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 12 18/02/2005 10:46:00


Seguridad informática

Blinde su pc
contra virus y fallos
JORGE E. RODRÍGUEZ VEGA jrvega@pcw.idg.es

Si su PC está conectado a Internet está sometido a una serie de peligros conocidos y por conocer.
Descubra cómo mejorar la seguridad de su equipo ejecutando una serie de sencillos pasos.

Lamentablemente, que aparezca un existente en los sistemas operativos Sasser. Este mecanismo de infección
nuevo virus que se transmita a través de Microsoft (en especial sus últimas no es nuevo (los virus originales
del servicio de correo electrónico de versiones, 2000, XP y 2003) para no utilizaban el correo electrónico
Internet ha dejado de ser una noticia infectar los equipos. En estos casos, de Internet porque, simplemente,
impactante (aunque sigue siendo la solución más adecuada para impedir este servicio no existía, sino que
preocupante), es un hecho al que la infección es instalar los parches necesitaban de la colaboración del
comenzamos a estar habituados. correspondientes desarrollados por usuario para ejecutar un determinado
A pesar de esta reincidencia, las Microsoft. ¿No lo ha hecho todavía? programa que normalmente llegaba
últimas variantes de este tipo de virus Consulte la dirección www.microsoft. hasta nuestro ordenador en un disquete
están produciendo daños y pérdidas com/spain/technet/seguridad/ que alguien nos había dejado), lo que sí
incalculables en empresas de todo el boletines para ver lo que se está es relativamente reciente es que con
mundo. Virus como Netsky, Mydoom perdiendo. la inestimable colaboración de Internet
o Bagle han conseguido cuotas de Pero, por si no fuera suficiente con este mecanismo de propagación
propagación enormes utilizando, este peligro que nos acecha al abrir o de los virus es ahora
simplemente, el archiconocido previsualizar el contenido del correo prácticamente imparable.
mecanismo de difusión a través del enviado por un amigo, en los últimos Ante esta situación de aparente
correo electrónico mediante técnicas tiempos estamos sufriendo la amenaza indefensión la única acción que
de ingeniería social más o menos de un tipo de virus, más peligroso puede parecer adecuada sería
elaboradas y con el apoyo de los en potencia, que infecta nuestras desconectar nuestros equipos de
siempre poco fiables anexos. máquinas por el simple hecho de estar Internet. Sin embargo, en un mundo
Los gusanos Blaster y Sasser se conectadas a Internet. Nos estamos altamente interconectado, donde la
aprovechan de una vulnerabilidad refiriendo a virus tales como Blaster o información fluye con gran rapidez,

14 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 14 18/02/2005 10:46:01


pretender quedarse al margen sería y actualizarlo con frecuencia su PC Mantenga actualizado su
un tremendo error. se vaya a ver libre de toda amenaza. antivirus. No basta con instalarlo en
¿Qué podemos hacer? ¿Cómo En general, los nuevos virus no son su PC y olvidarse. Deberá conectarse
podemos proteger nuestros sistemas detectados por los antivirus clásicos, periódicamente con el fabricante a través
ante estas amenazas? ¿Basta con por lo que entrarán con total facilidad de Internet para descargarse las últimas
utilizar un antivirus y actualizarlo a en su sistema. Normalmente, el actualizaciones del producto. Las últimas
diario para que nos encontremos tiempo de reacción de una compañía versiones de los antivirus suelen contar
plenamente protegidos? antivirus para actualizar sus con un año de actualizaciones gratuitas.
Un problema al que se enfrentan mecanismos de detección y frenar a Cuando expire el año no sea perezoso y
actualmente las empresas que los nuevos virus puede ser de horas, si solicite una ampliación de este servicio
desarrollan antivirus y, por consiguiente, no de días. Pero unas horas puede ser de actualización. Piense que este dinero
los usuarios de este tipo de productos, mucho tiempo. será una de las mejores inversiones que
es la rápida generación de nuevos puede realizar para garantizar un mínimo
virus y su “mutación”. En los últimos Reglas de oro de seguridad en su PC.
tiempos, algunas compañías de para protegerse Esté alerta sobre posibles
desarrollo de antivirus han tenido que No existen reglas magistrales que le síntomas de infección. Ralentización
actualizar sus productos hasta tres garanticen que su PC se vaya a ver de su PC, aparición de tareas o
veces en un día, cuando hace un año libre de todos estos peligros, aunque servicios sospechosos que no ejecute
esta frecuencia de actualización podía sí puede tomar algunas medidas usted y que tampoco se encuentren
rondar la semana. para dificultar su labor a los hackers entre la lista de tareas o servicios
Nadie le garantiza que por el hecho malintencionados. Veamos algunas de que ejecuta automáticamente
de tener instalado un buen antivirus carácter general. el sistema operativo.

SUPLEMENTO PC WORLD 15

01-Seguridad el enemigo en casa.indd 15 18/02/2005 10:46:03


Utilice siempre software de
confianza. Evite las descargas de
aplicaciones por Internet de fuentes
desconocidas (observe los certificados
de los sitios web). Si quiere descargar
una aplicación desarrollada por un
determinado fabricante conéctese a
la página web de dicho fabricante y
evite descargarse el programa de otro
sitio. No resulta demasiado complicado
anexar a un programa un caballo de
Troya o un virus.
Extreme las precauciones
cuando utilice servicios tales como
chats, grupos de noticias o correo
electrónico. Elimine cualquier archivo
que haya recibido sin solicitarlo. Figura 1. ¿Está seguro de que lo que va a instalar es de total garantía?

LOS VIRUS MÁS DAÑINOS correspondientes a programas antivirus y a otros gusanos. La pri-

DE LOS ÚLTIMOS TIEMPOS mera variante de este gusano apareció el 17 de febrero de 2004. Pa-
ra su propagación necesita que el usuario abra el archivo adjunto
VIRUS DE PROPAGACIÓN BASADA EN CORREO al correo electrónico.
Zafi : gusano que se propaga a través del correo y las redes P2P y
surge en su primera variante el 19 de abril de 2004. Detiene los pro- VIRUS DE PROPAGACIÓN BASADA EN INTERNET
gramas de seguridad y monitorización (cortafuegos, antivirus, ad- Blaster: gusano que realiza ataques de denegación de servicio (DoS)
ministrador de tareas y editor de registro), por lo que deja total- contra el sitio windowsupdate.com de Microsoft (los equipos basa-
mente vulnerable el ordenador infectado. Según la versión puede dos en Windows utilizan este sitio para descargarse actualizaciones
lanzar ataques de denegación de servicio a algunas web, o abrir el del sistema operativo) entre los días 15 y 31 de cada mes, y durante
puerto 8181. todos los días de los meses de septiembre a diciembre de cualquier
Netsky: es un gusano que se propaga a través del correo electróni- año. Reinicia el ordenador afectado. Este gusano tuvo diferentes va-
co, entre otros medios. Este gusano se activa sin más que visualizar el riantes (Blaster.B, Blaster.C, Blaster.Gen, etc.). Hizo su aparición el 11
mensaje a través de la vista previa de Outlook. Para ello utiliza una vul- de agosto de 2003. Blaster aprovecha una vulnerabilidad conocida
nerabilidad existente en Internet Explorer que permite la ejecución au- de los sistemas operativos Windows (2003/XP/NT/2000), denomina-
tomática de los archivos anexos a los mensajes de correo electrónico. da Desbordamiento de búfer en Interfaz IRC para propagarse. Para la
Apareció en el mes de marzo del año 2004. Existen diferentes varieda- infección no hace falta la intervención del usuario. Blaster se propa-
des, la más peligrosa es la mutación Netsky.P. El 9 de febrero de 2005 ga atacando direcciones IP generadas aleatoriamente desde el PC del
seguía siendo el segundo de la lista de los más extendidos. atacante intentando detectar algún equipo víctima que cuente con la
Mydoom: familia de gusanos que se propagan utilizando el correo vulnerabilidad mencionada anteriormente. La mejor solución es ins-
electrónico, cuyo objetivo era lanzar ataques de denegación de ser- talar el parche desarrollado por Microsoft en el boletín de seguridad
vicio contra los sitios de las compañías SCO y Microsoft. Estos gu- MS03-026 en el mes de julio de 2003.
sanos abren varios puertos en el ordenador afectado, con lo que Sasser: para propagarse utiliza una vulnerabilidad conocida de al-
consiguen controlarlo de forma remota. Las primeras variedades gunas versiones del sistema operativo Windows (2000, XP, etc.) pro-
aparecieron a finales de enero del año 2004. Para que este gusano vocando reinicios constantes del ordenador. La vulnerabilidad que
entre en el sistema hace falta que el usuario abra el anexo al men- utiliza está basada en el servicio LSASS y fue resuelta por Microsoft
saje de correo. el pasado mes de abril en su boletín de seguridad MS04-011. Sasser
Bagle: gusano con numerosas variantes que se propaga a través del no necesita la intervención del usuario para propagarse, por ello
correo electrónico utilizando ingeniería social y un archivo anexado. resulta extremadamente peligroso. El mejor antídoto para evitar la
Este gusano notifica al usuario que su ordenador ha sido afectado y infección por este virus es aplicar el parche correspondiente desa-
termina numerosos procesos entre los que se encuentran algunos rrollado por Microsoft.

16 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 16 18/02/2005 10:46:04


Blinde su PC

Atención especial merecen aquellos Tampoco sería descabellado Si su sistema operativo está
archivos que tengan doble extensión instalar en su PC algún tipo basado en Windows deberá instalar
como, por ejemplo, nombre_archivo. de cortafuegos, ya sea físico o los parches que periódicamente
pif.src. Los archivos potencialmente lógico. En la actualidad existen publica Microsoft. La mayoría
más peligrosos son aquellos que numerosos programas antivirus de los virus y gusanos que no se
tienen extensiones .exe .scr .pif, que incluyen esta función. El transmiten por correo electrónico
aunque puede haber muchas otras. cortafuegos protegerá su PC de utilizan vulnerabilidades existentes en
Recuerde que antes de abrir o aquellos atacantes que deseen los sistemas operativos y aplicaciones

Figura 2. Aspecto del servicio Windows Update de Microsoft.

instalar un archivo en su PC debe tomar el control de su equipo (véase la descripción de los gusanos
estar muy seguro de su contenido. utilizando vías de entrada que usted Blaster y Sasser). Pero lo más grave
Windows suele avisarle de la pueda desconocer, por ejemplo, es que estas vulnerabilidades suelen
potencial peligrosidad que supone puertos distintos de los utilizados haber sido resueltas antes de que
instalar un archivo desconocido en para acceder a las páginas web o al aparezca el virus de turno. ¿Qué
nuestro sistema, no desdeñe este correo. Si se conecta asiduamente ocurre? El fabricante del sistema
consejo (vea la Figura 1). No abra a Internet, especialmente utilizando operativo (en general Microsoft) o de
nada directamente, es preferible que un tipo de conexión fija, como pueda la aplicación que tiene la vulnerabilidad
copie primero el archivo en algún ser una línea ADSL, instalar en su PC suele publicar un parche que la corrige.
directorio temporal y que lo analice un cortafuegos no es una opción, es El problema es que los usuarios no
con su antivirus. una necesidad. suelen instalar este parche en sus

SUPLEMENTO PC WORLD 17

01-Seguridad el enemigo en casa.indd 17 18/02/2005 10:46:04


sistemas, por lo que siguen siendo PARA SABER MÁS todo lo que necesita para mantener
vulnerables mucho tiempo después de su sistema Windows actualizado y
descubierta la solución. Sólo hay que Algunas direcciones útiles para mante- razonablemente libre de peligros.
esperar un tiempo prudencial para que nerse al día en seguridad informática Podrá descargarse este documento en
aparezca el virus que se aproveche y antivirus: download.microsoft.com/download/
de la vulnerabilidad y ¿a que no se Panda: www.pandasoftware.es e/2/0/e20d9d87-2de9-4f8d-aee7-
imagina qué PC se verán afectados por Zonavirus: www.zonavirus.com 1f18bd8d5336/gestion_parches.pdf.
dicho virus? Centro de alerta temprana de antivirus: Algunas de las herramientas que
Instale todos los Service Pack alerta-antivirus.red.es Microsoft pone gratuitamente a su
que se encuentren disponibles para Microsoft Technet España: www.micro- disposición para mejorar la seguridad
su sistema operativo, aplicaciones, soft.com/spain/technet/homepage.asp de sus sistemas Windows son:
etc. Los Service Pack (o paquetes Hispasec Sistemas: www.hispasec.com - Windows Update. Es un servicio
de servicio) son recopilaciones bastante conocido al que podrá acceder
de la mayor parte de parches, en la dirección windowsupdate.micro
actualizaciones, etc. que hayan si estos están basados en los sistemas soft.com. Este servicio le proporcionará
aparecido hasta una determinada operativos de Microsoft. Nos estamos todo tipo de actualizaciones críticas para
fecha para una determinada versión refiriendo a la gestión e instalación de su sistema operativo y para diversas
del sistema operativo o de una parches. Por supuesto, realizar esta aplicaciones del mismo (por ejemplo,
aplicación (por ejemplo, Microsoft tarea sin ningún tipo de ayuda resultaría Internet Explorer o DirectX). Está dirigido
Office). En lugar de instalar parche a extremadamente arduo a pesar de que especialmente a equipos individuales
parche, podrá instalar el último Service Microsoft ha concentrado la publicación y no a redes. Podrá conectarse a este
Pack correspondiente para tapar todos de sus parches de seguridad y servicio de Microsoft por iniciativa
los agujeros de seguridad existentes. estos sólo aparecen una vez al mes propia o bien de manera automática.
agrupados en boletines de seguridad En la Figura 2 puede ver el aspecto de la
Gestión de parches (estos boletines se publican, en general, ventana de Windows Update tras haber
y actualizaciones el segundo martes de cada mes). analizado un equipo basado en Windows
Tras la lectura de las recomendaciones Microsoft ha elaborado un 2000. Bastaría con pulsar el botón
anteriores hay un extremo que deberá excelente documento denominado Instalar ahora para que comenzara la
tener siempre en cuenta a la hora de “Gestión de parches y actualizaciones instalación de todos los elementos de
proteger sus sistemas, especialmente en sistemas” que le permitirá conocer seguridad que necesitase el sistema.
- Microsoft Software Update
Services. Si su problema es que tiene
que administrar la seguridad de una
red de ordenadores, ir instalando todas
las actualizaciones de seguridad que
emita Microsoft en cada uno de los
PC de la red puede convertirse en una
auténtica tortura. Afortunadamente,
Microsoft ha desarrollado la aplicación
Microsoft Software Update Services
o SUS. Permite la descarga
automática, distribución e instalación
de actualizaciones críticas y parches
de seguridad para sistemas Windows
2000, Windows XP y Windows
Server 2003 (no podrá utilizarlos para
los demás sistemas operativos de
Microsoft). El administrador deberá
descargar todos los parches y
actualizaciones en el servidor de red
Figura 3. Resultados obtenidos con la herramienta Microsoft Baseline Security Analizer. que tenga instalado Microsoft SUS.

18 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 18 18/02/2005 10:46:04


Blinde su PC

Posteriormente, los demás PC de la administración está basada en Microsoft y resolver todos los problemas
red deberán conectarse a este servidor Management Console (MMC). descubiertos. Lamentablemente, no
para instalar estas descargas; este - Microsoft Baseline Security podrá subsanar automáticamente estos
servidor de red se erigirá, por lo tanto, Analizer (versión 1.2). Se trata de defectos encontrados, deberá efectuar
en nuestro servicio Windows Update una herramienta gratuita que podrá a mano la descarga e instalación
interno. Además, esta aplicación utilizarse tanto en PC aislados como de las actualizaciones necesarias.
proporcionará al administrador de la red en redes empresariales. Su objetivo Podrá descargarse esta aplicación
un elevado control sobre la forma en que (en inglés) desde la dirección www.
se actualizan los PC clientes, los parches microsoft.com/technet/security/tools/
que se instalan, etc. Este servicio le mbsahome.mspx.
permitirá actualizar el propio sistema En la Figura 3 puede ver los
operativo y sus componentes básicos resultados del análisis realizado con
(Internet Explorer, DirectX, Windows
Media, etc.). La administración está
basada en Web (este producto debe es analizar la configuración de
ir instalado sobre Internet Information seguridad del equipo con respecto a
Services 5.0 o superior). Encontrará una línea base. Esto implica no sólo
amplia información sobre SUS en PC el análisis de la existencia o no de
World nº 210, de junio de 2004. lagunas de seguridad por la ausencia
- System Management Server de determinados parches, sino que
Software Update Services (SMS SUS). también analizará y detectará las
El problema de Microsoft SUS es que configuraciones inadecuadas de
la labor del administrador sigue siendo SQL Server o IIS, le recomendará
pesada porque todavía tiene que realizar buenas prácticas de seguridad que
muchas tareas de forma manual. Para no se estén cumpliendo y le advertirá la herramienta Microsoft Baseline
automatizar completamente esta labor sobre configuraciones inapropiadas Security Analizer sobre un equipo
en redes de gran tamaño Microsoft en las zonas de seguridad de Internet basado en Windows 2000. PCW
ha lanzado este servicio, que permite Explorer y Microsoft Office. MBSA
gestionar íntegramente las actualizaciones generará informes de seguridad en JORGE E. RODRÍGUEZ VEGA es responsable de
de software en redes corporativas. formato XML, indicando en ellos todos Calidad y Seguridad del Centro de Evaluación de
SMS Software Update Services (SUS) los posibles defectos encontrados, la Seguridad de las Tecnologías
aprovecha el potencial de SMS para además de ofrecerle todos los enlaces de la Información del Instituto Nacional
conseguir el objetivo de la automatización necesarios para ampliar información de Técnica Aerospacial (INTA)
casi plena. Podrá informarse sobre la
descarga de este paquete en la dirección: NO SÓLO VIRUS
www.microsoft.com/spain/technet/
seguridad/herramientas/sus.asp. Con Aunque los virus son los más extendidos, existen otros tipos de aplicaciones que pueden ser
esta herramienta podrá actualizar los aún más perjudiciales que ellos. Nos estamos refiriendo a los programas spyware, adware
clientes de su red con independencia y keyloggers, así como el spam y los dialers. En realidad, hace tiempo que están ahí, pero es
del sistema operativo Windows que ahora cuando han empezado a tomar importancia al proliferar mucho más rápidamente.
utilice (ya sean de la familia Windows Para referirse a todas estas aplicaciones se utiliza el término malware (Malicious software).
9x o Windows NT). Las aplicaciones Por lo tanto, al plantear una estrategia de seguridad, no sólo hay que cerrarle la puerta a los
que podrá actualizar son muchas: los virus, sino, en general, a todo el malware. Para ello lo más adecuado es contar en el equipo
propios sistemas operativos, Internet con un software antimalware y un firewall que bloquee los puertos que no necesitemos y
Explorer, Windows Media Player, IIS, sean susceptibles de ser usados por estos programas.
SQL Server, Exchange y Microsoft Por ejemplo, Panda nos propone su suite de seguridad Platinum Internet Security 2005 que,
Office. El administrador deberá aprobar además de antivirus, incorpora sistemas de detección y eliminación para las otras amenazas
las actualizaciones antes de que sean de Internet. Además, incorpora un firewall personal y las nuevas Tecnologías TruPrevent,
distribuidas a los equipos clientes. Se capaces de detectar y bloquear virus desconocidos e intrusos.
pueden definir reglas de aprobación www.pandasoftware.es
automática de actualizaciones. La

SUPLEMENTO PC WORLD 19

01-Seguridad el enemigo en casa.indd 19 18/02/2005 10:46:07


Los 20 fallos de seguridad
más peligrosos
La mayoría de los virus,
gusanos y demás ciberataques
realizados con éxito son
posibles gracias a la
explotación de unas pocas
vulnerabilidades que afectan
siempre a un pequeño número
de servicios o de componentes
muy importantes de Windows,
Linux y UNIX.

JORGE E. RODRÍGUEZ VEGA jrvega@pcw.idg.es

En general, los atacantes suelen agujeros de seguridad de sus sistemas, En el año 2000, el Instituto SANS y
utilizar la filosofía del mínimo esfuerzo; de tal forma que siempre aprovechan el Centro Nacional de Protección de la
siempre recorren los caminos vulnerabilidades descubiertas Infraestructura (NIPC), departamento
más fáciles y adecuados para sus anteriormente y que todavía no han sido del FBI, emitieron un documento que
propósitos, explotando los defectos parcheadas. Su forma de ataque suele resumía las diez vulnerabilidades de
mejor conocidos y utilizando para sus ser indiscriminada, exploran Internet de seguridad más críticas de Internet.
malévolos propósitos las herramientas forma masiva en busca de los sistemas Desde entonces, con una periodicidad
de ataque más eficaces y difundidas. que sigan siendo vulnerables y les anual estas instituciones vienen
Los piratas informáticos siempre se envían el exploit correspondiente para publicando conjuntamente la lista de
valen del hecho de que la mayoría de hacerse con su control o para infligirles las 20 vulnerabilidades o debilidades
las empresas no tapan con diligencia los el máximo daño posible. más utilizadas para atacar los sistemas

20 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 20 18/02/2005 10:46:11


Blinde su PC

conectados a Internet (Top-20). Se los parches, que no está utilizando Windows Workstation determina si el
trata de las vulnerabilidades que han la configuración predeterminada de recurso se encuentra en el sistema local
utilizado la mayoría de los gusanos estos servidores (lo cual suele ser una o si se trata de un recurso compartido
más conocidos (por ejemplo, Blaster, fuente importante de problemas) y que de red, y encamina la petición del
Slammer, Code Red o Nimda) para tiene desactivadas las aplicaciones de usuario en la forma apropiada.
llevar a cabo su infame tarea. ejemplo incluidas en algunos servidores Por desgracia, este servicio puede
La lista del año 2004, publicada (tal como IIS 5.0 y versiones anteriores). sufrir un desbordamiento de búfer
el mes de octubre, está en realidad En general, sólo deberá utilizar aquellos basado en la pila de Windows que
dividida en dos listas: los diez servicios servicios y funciones que sean podrá provocar determinadas llamadas
o elementos de Windows más atacados imprescindibles para su trabajo. especialmente preparadas. Este
y los correspondientes diez servicios Algunos de los gusanos que han desbordamiento puede ser explotado
o componentes de UNIX/Linux. En utilizado esta vulnerabilidad son: Nimda, por usuarios remotos no autenticados
el presente artículo analizaremos Code Red y Code Red 2. que podrán ejecutar el código que
brevemente las debilidades deseen en la máquina vulnerable
correspondientes a Windows, dejando 2. Servicio Windows con los privilegios de System, lo que
las de Linux, como ejercicio posterior Workstation permitirá un acceso ilimitado en el
para el lector, resumidos en el cuadro Este servicio procesa las peticiones sistema atacado. Esta vulnerabilidad de
de la página 25. de los usuarios para acceder a desbordamiento de búfer se encuentra
Seguimos insistiendo en lo mismo: determinados recursos, tales como presente en el servicio Workstation
aunque en los últimos meses han archivos o impresoras. El servicio de Windows 2000 (SP2, SP3 y SP4)
hecho su aparición cientos, tal vez
miles, de ataques a la seguridad de
los equipos informáticos conectados a INSTITUTO SANS
Internet, la mayoría han utilizado uno o
varios de los servicios o componentes Este organismo es uno de los más prestigiosos y activos, desde el punto de vista de la
vulnerables que SANS ha compendiado seguridad informática, que existen actualmente en todo el mundo. Desarrolla, actualiza
y que nosotros analizaremos de forma y distribuye de forma gratuita un gran volumen de información y documentación rela-
resumida aquí. cionada con distintos aspectos de la seguridad de la información y es responsable de la
operación de uno de los sistemas de vigilancia temprana de Internet más reconocidos: el
1. Instalación Internet Storm Center.
predeterminada de los El Instituto SANS, cuyo
servidores HTTP (web) nombre es el acrónimo
y de sus servicios asociados en inglés de “Adminis-
La instalación por defecto, con la tración de Sistemas
configuración predeterminada, de (SysAdmin), Auditoría,
los servidores web incluidos en Redes (Network) y Se-
Windows puede provocar: ataques guridad, fue fundado
por denegación de servicio, riesgos en 1989 como una ins-
para sus archivos o datos sensibles, la titución de formación
ejecución de comandos arbitrarios en y de investigación. Sus
el servidor por parte de un atacante o el programas de forma-
compromiso total de su seguridad. ción llegan en la actua-
Entre los servidores web que han lidad a más de 165.000 profesionales entre los que se incluyen: auditores, administra-
resultado vulnerables se encuentran IIS dores de sistemas, administradores de red, responsables de seguridad de TI, etc. En el
(Internet Information Server), Apache corazón de SANS se encuentran cientos de profesionales que trabajan en agencias gu-
e iPlanet (en la actualidad conocido bernamentales, empresas y universidades de todo el mundo. Si desea conocer más deta-
como SunOne). Todos ellos presentan lles sobre esta prestigiosa institución o acceder a sus numerosos trabajos desarrollados
numerosos agujeros de seguridad que en el campo de la seguridad informática, no tendrá más que conectarse a www.sans.
se han ido sido parcheando a medida org/aboutsans.php. Si desea acceder a la lista exhaustiva de las 20 vulnerabilidades
que se han detectado. que analizamos en este artículo podrá hacerlo desde www.sans.org/top20.
Compruebe que ha instalado todos

SUPLEMENTO PC WORLD 21

01-Seguridad el enemigo en casa.indd 21 18/02/2005 10:46:11


y Windows XP (hasta SP1). Uno de
los gusanos que utilizó con éxito esta
vulnerabilidad fue el denominado
Phatbot/Gaobot, que infectó a millones
de ordenadores.
Una vez más, la mejor forma de
evitar esta vulnerabilidad es instalar los
parches correspondientes de Windows
o instalar el SP 2 de XP si está utilizando
este sistema operativo.

3. Configuración
inapropiada de los recursos
compartidos de red y de los
protocolos de acceso remoto
No hay duda de que la existencia
de protocolos de comunicaciones,
que permiten a un usuario manipular
archivos remotos como si estuvieran Figura 1. Un buen lugar para encontrar información sobre virus es la “Enciclopedia
en su equipo local, es una función de Virus” que podrá encontrar en los sitios web de las empresas de antivirus.
de Windows de gran potencia y
utilidad. Sin embargo, una inadecuada
configuración de los recursos 4. Vulnerabilidades de búfer en el servicio SQL Server
compartidos de la red puede poner asociadas a Microsoft Resolution. En este caso, se podría
en peligro ciertos archivos críticos del SQL Server haber evitado este ataque instalando el
sistema o proporcionar a los atacantes Este sistema gestor de bases de parche que anulaba esta vulnerabilidad.
un mecanismo para obtener un datos desarrollado por Microsoft ha
control total del host. Algunas de las presentado desde su aparición diversas 5. Autenticación
funciones potencialmente peligrosas y graves vulnerabilidades que permitían de Windows
son: Anonymous Logon (Inicio de a los atacantes remotos obtener Una de las causas más frecuentes de
sesión anónima), Remote registry información de importancia, modificar la falta de seguridad en los sistemas
access (Acceso remoto al registro) y el contenido de las bases de datos, informáticos de las empresas suele
Remote procedure calls (llamadas a los poner en peligro los servidores SQL y, ser la no utilización de contraseñas
procedimientos remotos o RPC). en determinados casos, hacerse con para proteger cuentas de usuario o
Una de las formas en las que los el control del servidor. Todas estas sistemas informáticos, o el empleo
gusanos de la familia Klez y Nimda, vulnerabilidades son bien conocidas de contraseñas débiles o fácilmente
o el virus Sircam se extendieron tan en el mundo hacker y han servido de adivinables. Si un atacante consigue
rápidamente, fue la utilización de un base para recientes ataques masivos en detectar una cuenta o un recurso no
recurso compartido de red no protegido. Internet protagonizados por los gusanos protegido mediante una contraseña
Esta familia de vulnerabilidades afecta SQLSnake, Spida y SQLSlammer. podrá hacerse con el control del mismo
a todas las versiones del sistema Por ejemplo, el ataque del gusano y, tal vez, seguir escalando privilegios
operativo Windows, desde Windows 95 SQLSnake se basaba en que la cuenta hasta adueñarse por completo de la
hasta Windows 2003. El Service Pack del administrador de la base de datos máquina o del sistema. Sin embargo,
2 (SP2) de Windows XP ha resuelto tuviera definida una contraseña nula. a pesar de que esta amenaza es bien
numerosos problemas asociados con Resulta de la máxima importancia conocida, son muchos los sistemas y
las RPC. Una vez más, la mejor forma asegurarse de que todas las cuentas, empresas que carecen de una buena
de protegerse frente a estos problemas especialmente si se trata de las cuentas política de contraseñas.
es instalar la última versión disponible administrativas, están protegidas En otras ocasiones, los algoritmos
del Service Pack correspondiente y mediante contraseñas robustas. Por su de cifrado utilizados para proteger las
los últimos parches aparecidos para la parte, el gusano SQLSlammer basaba contraseñas definidas por los usuarios,
versión del sistema operativo. su ataque en un desbordamiento son débiles y fácilmente explotables.

22 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 22 18/02/2005 10:46:12


Blinde su PC

Uno de los algoritmos de autenticación


utilizado por Windows (LM-
LanManager) es débil y sus contraseñas
pueden ser descifradas en poco
tiempo. Este algoritmo de autenticación
sigue siendo utilizado de forma
predeterminada por las versiones NT,
2000 y XP de Windows. Algunas de las
herramientas software que podrá utilizar
para detectar en su sistema cuentas de
usuario con contraseñas débiles o mal
protegidas por el algoritmo LM son LC6
(l0phtcrack versión 6) y John the Ripper.
La mejor forma de defenderse contra Figura 2. Cómo definir una buena política de contraseñas en Windows.
esta vulnerabilidad es utilizar una buena
política (directiva) de contraseñas que aplicaciones, los usuarios no aplican aplicaciones P2P (peer to peer o igual
incluya instrucciones detalladas sobre los parches que permiten corregirlos, a igual) sigue aumentando con rapidez.
cómo generar contraseñas robustas y los controles ActiveX y Active Scripting Estas aplicaciones son uno de los
difíciles de romper (combinaciones de permiten que el atacante supere los sistemas más sencillos para descargar
caracteres alfanuméricos, mayúsculas mecanismos de seguridad instalados. y distribuir numerosos tipos de datos,
y minúsculas, y caracteres de control). Además, con frecuencia, en el desde archivos de música hasta
Para definirla en Windows puede PC del usuario se instalan de forma películas, gráficos, código fuente,
abrir el Panel de Control, seleccionar inadvertida aplicaciones spyware y documentación, etc. Son muchos los
Herramientas administrativas, elegir adware que, en ocasiones, debilitan empleos legítimos de este servicio
Directivas de seguridad local y la seguridad de los sistemas, etc. Los (por ejemplo, la distribución de código
definir las opciones relacionadas con las diseñadores web malintencionados y librerías del tipo OpenSource o
contraseñas (vea la Figura 2). pueden crear páginas web que GPL, demos de juegos o tráileres de
Otro punto a tener en cuenta será saquen partido a estas debilidades películas). En la actualidad, la mayoría
desactivar la autenticación LM en su sin más que el usuario explore de los programas P2P están basados
red informática y proteger sus archivos dichas páginas web (este fue el caso en una red distribuida de clientes que
de contraseñas (SAM) para impedir su de la vulnerabilidad denominada comparten directorios de archivos e,
captura y análisis. “Download.Ject”). Los ataques de incluso, discos duros completos, y
este tipo pueden incluir el revelado de con ellos, gusanos, virus, caballos de
6. Exploradores web las cookies y de archivos locales, la troya y todo tipo de malware. La clave
Los exploradores o navegadores son ejecución de programas, la descarga de todo este sistema es la descarga
las aplicaciones informáticas mediante y ejecución de código malévolo, o el de archivos, donde cada usuario juega
las que los usuarios acceden al control total del sistema vulnerable. simultáneamente dos papeles, el de
servicio web de Internet. El explorador Para mejorar la seguridad de IE y, descargar contenidos de otros equipos
dominante en Windows es Internet en general, de los demás exploradores y el de actuar, además, como servidor
Explorer (IE), que es el explorador web, puede consultar el artículo de contenidos para otros usuarios.
instalado de forma predeterminada aparecido en PC World nº 214, de En ocasiones, el tráfico provocado
en las plataformas Windows, pero noviembre de 2004, “Cómo mejorar la por este tipo de transacciones es
hay otros muchos exploradores protección de Internet Explorer” pero, tan elevado que puede provocar la
web disponibles, entre ellos Opera, como consejo habitual, utilice la última saturación de las redes.
Mozilla, Firefox y Netscape. Todos versión disponible para el explorador e Este tipo de servicio presenta tres
ellos presentan vulnerabilidades de instale todos los parches existentes a tipos de vulnerabilidades:
seguridad, en ocasiones críticas, que medida que vayan apareciendo. - Las técnicas, que son aquellas
permitirán al atacante hacerse con el que podrán ser explotadas de forma
control del sistema. Los problemas 7. Programas remota por un atacante (por ejemplo,
son múltiples: son muchas las para compartir archivos denegaciones de servicios o acceso a
vulnerabilidades existentes en estas El número de usuarios de las archivos no compartidos). También se

SUPLEMENTO PC WORLD 23

01-Seguridad el enemigo en casa.indd 23 18/02/2005 10:46:12


incluyen en este grupo la instalación Procedimiento Remoto (RPC) sobre de www.foundstone.com/resources/
de aplicaciones spyware o adware los sistemas Windows indicados proddesc/dsscan.htm.
que pueden proporcionar información anteriormente, aunque requiere 3. Sasser Worm Scanner,
sobre los hábitos de los usuarios a sus privilegios administrativos para que desarrollada por eEye, analiza si su
diseñadores. este ataque sea eficaz. El servicio sistema es vulnerable al ataque LSASS y
- Las sociales, que son aquellas LSAS juega un papel muy importante al gusano Sasser. Podrá descargar esta
que se basan en la modificación en el mecanismo de autenticación y en herramienta en www.eeye.com.
o encubrimiento de un programa la funcionalidad del Directorio Activo
malintencionado (virus, caballos de de Windows. 9. El programa cliente
troya, gusanos, etc.) tras una apariencia Algunos de los gusanos que han del servicio de correo
inocente. En general, la gran mayoría utilizado esta vulnerabilidad con gran de Internet
de este software malévolo se podrá éxito han sido los conocidos Sasser y Como ya sabe, Microsoft Outlook es el
detectar utilizando un simple antivirus. Korgo. Los administradores deberán programa cliente de correo electrónico
- Las legales, que son aquellas parchear adecuadamente sus sistemas y utilizado con mayor frecuencia por
que resultan de las transgresiones aplicar todos los controles de acceso que los usuarios de Windows. Además
en los derechos de copia y propiedad
o de la compartición de material que
puede resultar ofensivo y legalmente
reprochable.
En la actualidad existen aplicaciones
P2P disponibles para todas las
versiones del sistema operativo
Windows (así como de Linux y UNIX).
Si está intentando proteger una
red empresarial de este tipo de usos
y abusos no permita que sus usuarios
instalen aplicaciones P2P en los PC
corporativos. Su empresa debería
emitir una política que advirtiera a sus
empleados de las infracciones en que
podrían incurrir en el caso de descargar
ilícitamente material protegido por las
leyes de la propiedad intelectual o por
utilizar de forma inaceptable la conexión
a Internet de la empresa. Utilice un Figura 3. Descarga del programa Nessus desde Internet.
servidor proxy para controlar el acceso a
Internet de sus usuarios y vigile. Utilice
un buen antivirus empresarial. sean necesarios en su red para detener del servicio de correo, Outlook es un
cualquier intento de abuso del servicio administrador de información personal
8. Los peligros RPC de Windows por parte de atacantes que le proporciona funciones tales
del servicio LSAS remotos. como calendario y administración de
El servicio LSAS (Local Security Existen tres herramientas gratuitas contacto y tareas. Este programa forma
Authority Subsystem), que está que pueden detectar la existencia de parte integrante de Windows desde
presente en Windows 2000, Windows esta vulnerabilidad en su sistema: las primeras versiones de este sistema
Server 2003 y Windows XP, contiene 1. Nessus, herramienta de análisis de operativo (Windows 95).
una vulnerabilidad crítica que permite vulnerabilidades basada en red (pruebe a Por desgracia, la aplicación
la ejecución de un desbordamiento descargarla en www.nessus.org). Microsoft Outlook, y su versión
de búfer que puede conducir al 2. DSScan desarrollada por reducida Outlook Express, introducen
dominio total del sistema. Este ataque Foundstone, con la que podrá analizar vulnerabilidades y puntos simples de
puede realizarse de forma remota toda su red y enviar alertas a los fallo que pueden llegar a comprometer
y anónima utilizando una Llamada a sistemas vulnerables. Podrá descargarla todo el sistema. A través del correo

24 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 24 18/02/2005 10:46:13


Blinde su PC

electrónico y de sus anexos, cualquier trabajo dispersos por todo el país o, explotables de estos programas
usuario puede recibir virus, gusanos, incluso, en diferentes países. utilizando las últimas versiones e
código malicioso y muchas otras La mayor parte de los sistemas instalando los Service Packs y los
formas de ataque, así como la difusión basados en Windows utilizan algunos parches más actualizados, sino que
y recepción masiva de correo comercial de estos sistemas de mensajería, habrá que desarrollar una política en la
no solicitado (Spam). de los cuales los más famosos son: empresa que defina el uso adecuado y
Por fortuna, las últimas versiones Yahoo! Messenger (YM), AOL Instant permitido de este tipo de aplicaciones.
de Outlook y Outlook Express pueden Messenger (AIM), MSN Messenger A partir de Windows 98, todas
proteger a los usuarios de las amenazas (MSN) y Windows Messenger (WM), las versiones del sistema operativo
que acabamos de comentar, siempre este último integrado en diferentes Windows vienen con Microsoft Instant
que hayan sido convenientemente versiones de Windows. Messenger y, por tanto, todas ellas
configurados y parcheados. Instale Por desgracia, estos programas resultarán vulnerables en alguna
siempre los últimos Service Pack cuentan con vulnerabilidades que medida. Todas las versiones anteriores
para la versión que esté utilizando de son explotables de forma remota a la 6.2 de Instant Messenger, deberán
Outlook. Así, por ejemplo, existen los y que constituyen una amenaza ser actualizadas inmediatamente.
siguientes Service Pack disponibles: para la integridad y seguridad de las En definitiva, aunque las
* Outlook 2000 - Service Pack 3. redes. Estos ataques pueden ser de vulnerabilidades detectadas y
* Outlook XP (Outlook 2002) - diferentes tipos (desbordamientos de los ataques ejecutados sobre las
Service Pack 3. búfer, ataques basados en vínculos plataformas Windows parezcan
* Outlook 2003 - Service Pack 1. malévolos, vulnerabilidades en las infinitos, en realidad la mayor parte
Entre otras muchas medidas transferencias de archivo y ataques podrían ser evitados prestando
de seguridad que puede adoptar basados en ActiveX) y podrán más atención a los diez puntos que
se encuentra la de extremar las proporcionar el control completo del acabamos de señalar y, una vez más,
precauciones sobre todos aquellos sistema al atacante. estos diez se podrían resumir en sólo
anexos de correo que tengan las En muchas ocasiones, a nivel dos: actualiza tu sistema operativo y
extensiones .exe, .com o .vbs. Tenga empresarial, estas aplicaciones aplicaciones con el último Service Pack
siempre a mano un buen antivirus para no sólo introducen este tipo de que esté disponible e instala todos los
analizar los anexos antes de abrirlos. vulnerabilidades, sino que también parches y actualizaciones que hayan
Rechace los correos que provengan implican la aparición de ciertos riegos aparecido posteriormente. PCW
de fuentes no conocidas y extreme de pérdida de la propiedad intelectual,
las precauciones cuando, aunque de la confidencialidad de la información JORGE E. RODRÍGUEZ VEGA es responsable de
conozca al emisor del mensaje, le y de la productividad de los empleados. Calidad y Seguridad del Centro de Evaluación de
resulte extraño su contenido. Incluso Una vez más, no sólo será necesario la Seguridad de las Tecnologías de la Información.
los archivos .DOC (documentos) o mitigar el peligro de las debilidades Instituto Nacional de Técnica Aerospacial (INTA)
.XLS (hojas de cálculo Excel) pueden
contener macros VBA que pueden
dañar su sistema. LOS DIEZ SERVICIOS O ELEMENTOS
MÁS EXPLOTADOS EN UNIX/LINUX
10. Mensajería
instantánea 1. El sistema de nombres de dominio BIND.
Los programas de mensajería 2. Los servidores web (Apache y Sun Java System Web Server, anteriormente iPlanet).
instantánea permiten a los usuarios estar 3. Los sistemas de autenticación (mal uso de las contraseñas).
en contacto con sus amigos y familiares 4. Los sistemas de control de versiones (vulnerabilidades en CVS).
de forma sencilla y barata a través de 5. El servicio de transporte de correo.
Internet. En la actualidad, el empleo 6. El Protocolo Simple de Administración de Red (SNMP).
de este tipo de aplicaciones ha dejado 7. La Biblioteca Open Secure Sockets Layer (OpenSSL).
de ser un patrimonio exclusivo del 8. Configuración inadecuada de los Servicios NIS (Sistema de Archivos de Red) y NFS (Ser-
usuario doméstico para pasar al ámbito vicio de Información de red) para compartir recursos de red.
de las comunicaciones empresariales, 9. Bases de datos. Compromiso de la integridad y confidencialidad de los datos almacenados.
especialmente en aquellas compañías 10. El núcleo (kernel) del sistema operativo. Existencia de múltiples vulnerabilidades.
que disponen de varios centros de

SUPLEMENTO PC WORLD 25

01-Seguridad el enemigo en casa.indd 25 18/02/2005 10:46:13


Cómo detectar
hackers y troyanos
GONZALO ÁLVAREZ MARAÑÓN gonzalo@pcw.idg.es

Internet está infestada de peligros y molestias: hackers, virus, gusanos, programas espía…
En este artículo explicamos las mejores técnicas de seguridad para detectar los ataques más
frecuentes y dañinos procedentes de Internet.

Espiando el tráfico de red


¿Sabe qué información está circulando
por su red en un momento dado?
Aunque no tenga una red local,
sino un solo ordenador conectado a
Internet, ¿sabe qué información se
está transmitiendo en todo momento
desde su equipo hacia el exterior?
Con la cantidad de virus, gusanos,
software espía y demás plagas que
azotan Internet, la única forma de estar
seguro consiste en utilizar un sniffer,
también conocido como analizador de
protocolos o monitor de red.
Un sniffer es un programa que
captura todo el tráfico que circula
desde/a un equipo conectado a una
red de ordenadores. Los hay de todos
los tipos y para todos los sistemas
operativos. Dependiendo de cuál sea circula por su red, incluido el de otros En las redes Ethernet, en las que
la tipología de su red, un sniffer le equipos, o solamente el tráfico que los distintos equipos se conectan a
permitirá interceptar todo el tráfico que entra y sale de su ordenador. un concentrador o hub, cuando un

26 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 26 18/02/2005 10:46:13


Blinde su PC

equipo envía un paquete, éste llega llamado “Monitor de red”. Por defecto conectarse al exterior desde su
a todos los ordenadores de la misma no está instalado, pero puede hacerlo equipo.
red. La cabecera del paquete contiene desde el Panel de control, en Agregar
la dirección MAC de la tarjeta de o quitar programas. ¿Qué puertos tengo
red a la que va dirigido, de manera El usuario doméstico encontrará abiertos?
que sólo el equipo adecuado presta los sniffers de especial utilidad en una El inconveniente que puede presentar
atención al paquete. Sin embargo, una gran variedad de aplicaciones: un sniffer para el usuario novel es que
tarjeta puede configurarse en modo - Por encima de todo, ¡aprender! proporciona cantidades ingentes de
promiscuo, en cuyo caso aceptará Gracias al sniffer verá cómo funcionan información sobre todos los paquetes
todos los paquetes, tanto si van los distintos protocolos de Internet, que están circulando por la red. Si
dirigidos a ella como si no. cómo se establecen las conexiones, simplemente desea saber de forma
Para entenderlo con claridad, qué paquetes se intercambian, etc. sencilla qué puertos tiene abiertos en
imagínese un largo pasillo, con Nada como un sniffer para ver en la todo momento dentro de su máquina,
despachos a cada lado. Abre la puerta práctica cómo funciona la teoría. no tiene más que utilizar una de las
del suyo y grita en el pasillo a pleno - Si en su casa tiene instalada una muchas herramientas de exploración
pulmón: “¡Pepe! ¡Sal a la ventana!”.
Resulta evidente que no sólo Pepe,
sino también los ocupantes del resto
de los despachos del pasillo habrán
oído el mensaje, pero lo ignoran
puesto que no va dirigido a ellos. A
pesar de todo, si quisieran podrían salir
también ellos a la ventana.
Existen otras redes, como las redes
conmutadas, en las que el sniffer sólo
puede ver el tráfico que entra y sale
de la máquina en la que está instalado.
Aunque existen técnicas basadas en
la falsificación ARP para interceptar el
tráfico de otras máquinas, no serán
tratadas en estos trucos por
su complejidad.
En definitiva, si quiere ver todo el
tráfico que va y viene de su máquina,
puede hacerlo con la ayuda de un
buen sniffer. Algunos sniffers que
puede utilizar gratuitamente en
plataformas Windows son NG Sniff
(www.nextgenss.com/products/ pequeña red podrá ver qué es lo que de puertos disponibles en Internet
ngssniff.htm), daSniff (demosten. están haciendo otros usuarios de la gratuitamente.
com/dasniff), Ethereal (www. LAN. De esta forma sabrá sin que Como es de sobra conocido, TCP
ethereal.com), NetworkActiv nadie se entere por dónde navegan y UDP son dos de los protocolos más
Sniffer (www.networkactiv.com), sus hijos y qué uso hacen de la red. utilizados en las comunicaciones a
GreedyDog (www.shadowpenguin. - Podrá detectar el funcionamiento través de Internet. Los diferentes
org/sc_toolbox/unix/gdd/index.html). subrepticio de programas espía: verá servicios de Internet se caracterizan
Si tiene que decantarse por uno, no a dónde se conectan, qué paquetes por basarse en estos protocolos para
lo dude y pruebe Ethereal, también envían y reciben, etc. Pillará in fraganti su funcionamiento, escuchando en un
disponible en plataformas UNIX. a cualquier programa adware o número de puerto determinado. Por
Windows 2000 Server y Windows spyware. ejemplo, el servicio HTTP, utilizado
2003 Server vienen con su propio - Detectará la actividad de troyanos, para la navegación de páginas web,
sniffer de serie, eufemísticamente gusanos y otros virus, que intentan escucha en el puerto TCP número

SUPLEMENTO PC WORLD 27

01-Seguridad el enemigo en casa.indd 27 18/02/2005 10:46:14


80; POP3, utilizado para leer el correo también aparecerán abiertos los corresponden con ningún servicio que
electrónico, escucha en el puerto puertos correspondientes. usted haya instalado voluntariamente,
TCP 110; etc. Es decir, cada servicio Por lo tanto, ejecutando un anote el número de puerto e
que preste una máquina lo hará en programa de exploración de puertos intente averiguar a qué servicio
un puerto bien definido. La IANA contra el propio equipo o contra otros corresponde. En www.simovits.
mantiene un listado de estos puertos equipos de la red local, se encontrará com/nyheter9902.html se ofrece
en www.iana.org/assignments/port- la lista de puertos a la escucha. un listado exhaustivo de troyanos y
numbers. Los números de puerto Algunas de las mejores herramientas los puertos comúnmente utilizados
oscilan entre 1 y 65.535, ya que se para realizar esta exploración son por ellos. Muchos de estos troyanos
expresan con números de 16 bits. Superscan (www.foundstone.com/ utilizan puertos asociados a servicios
Las herramientas de exploración de knowledge/proddesc/superscan. comunes, por lo que no debería
alarmarse si el puerto 80 ó 139 están
abiertos. Investigue si se trata del
servicio legítimo o del troyano. Es
posible que se trate de un troyano o
de una puerta trasera de un hacker,
que está a la escucha en ese número
de puerto. En ese caso, posiblemente
necesitará la cooperación de un buen
antivirus para limpiar su sistema.

Estado de las conexiones


de red
Todos los sistemas Windows
incorporan una herramienta que
permite analizar el estado de sus
conexiones de red. Se trata de una
utilidad de línea de comandos llamada
Netstat. A menudo puede resultar
más práctica si lo que desea es saber
puertos funcionan enviando paquetes html) o NScan (nscan.hypermart. no sólo los puertos que tiene a la
a la máquina destino secuencialmente net), ambas gratuitas. Se recomienda escucha, sino también las conexiones
en todos los puertos, desde 1 hasta que las ejecute contra su máquina establecidas y con qué máquinas.
65.535, y esperando su respuesta. o máquinas de su red y guarde para Para ejecutarla, abra una ventana
Si la máquina responde, entonces se futuras referencias en lugar seguro el de DOS y escriba netstat -a. Se
sabe que el puerto está abierto o a la informe resultado de su exploración listarán todas sus conexiones activas,
escucha, lo que hace suponer que el para todo el rango de puertos, desde en qué puertos se han establecido
servicio asociado a dicho número de el 1 hasta el 65.535. Esta exploración y en qué estado se encuentran.
puerto se está prestando. puede tardar muchos minutos. Puede agrupar las respuestas por
En una máquina Windows Sea paciente. Una vez terminada, protocolos si ejecuta netstat -s. Si
convencional, es típico encontrar identifique cuidadosamente cada uno de todos los protocolos le interesa
abiertos puertos como 137, 138 y de los puertos abiertos mencionados uno en particular, puede obtener la
139, asociados a NetBios. Si se tiene en el informe generado y verifique que estadística para ese protocolo en
activado el Universal Plug And Play se trata de puertos que usted desea concreto escribiendo netstat -s -
(UPnP) entonces estará abierto el que estén abiertos. p proto, donde proto representa el
puerto 5.000. Si se tiene activado el En el futuro, puede ejecutar nombre del protocolo, que puede ser
escritorio remoto, entonces también periódicamente la exploración y tcp, udp o ip. Así, por ejemplo, para
aparecerá abierto el puerto 3.389. Si comparar el nuevo informe con ver exclusivamente los paquetes IP, se
se utilizan programas de intercambio el primero. Si encuentra puertos escribe netstat -s -p ip. Si necesita
de archivos, como eMule, KaZaa, sospechosos que no estaban en consultar esta información cada
WinMx, SoulSeek, etc., entonces el primer informe y que no se pocos segundos, en vez de escribir el

28 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 28 18/02/2005 10:46:14


Blinde su PC

comando de nuevo puede pulsar F3.


Y lo que es aún mejor, puede escribir
al final del comando el número de
segundos que desea como frecuencia
de refresco. Por ejemplo, si quiere
que cada 10 segundos se actualice la
información sobre los paquetes UDP
enviados y recibidos, escriba netstat
-s -p udp 10. Para cancelar el listado,
pulse Ctrl+C. Para obtener un listado
de todas las opciones de Netstat,
escriba netstat -x.
¿Cómo debe interpretarse la salida
de la ejecución de netstat? En la
primera columna (proto) se informa
del protocolo utilizado por la conexión.
En la segunda columna se informa de
la dirección IP o nombre de máquina
del equipo local, junto con el número
de puerto en el que está a la escucha.
En la tercera columna se informa de
la dirección IP o nombre de máquina
del equipo remoto, junto con el puerto Tests de seguridad bajo control o si se trata de un
utilizado para la conexión. Por último, Existen varios sitios en Internet troyano o de un servicio del que
en la cuarta columna se informa e incluso programas que puede usted no tenía noticia.
del estado de la conexión. Valores ejecutar desde su propio equipo Puede probar tests de seguridad
típicos para el estado son LISTEN (el que realizan un test de seguridad online en Security Scan de Sygate
puerto está a la escucha, pero todavía sobre su ordenador. Estos tests (scan.sygate.com), Shields Up! de
no se ha establecido la conexión), le informan de los puertos que Gibson Research Corporation (grc.
com/x/ne.dll?bh0bkyd2), o Basic
Security Audit de SecuritySpace
EJECUTANDO UN PROGRAMA DE (https://secure1.securityspace.
EXPLORACIÓN DE PUERTOS CONTRA EL com/smysecure/basic_index.html).
Como resultado de los tests se le
PROPIO EQUIPO O CONTRA OTROS EQUIPOS informará de los puertos abiertos y
de las medidas que debe adoptar. En
DE LA RED LOCAL, SE ENCONTRARÁ LA
general, estos tests no funcionarán
LISTA DE PUERTOS A LA ESCUCHA si se encuentra detrás de un proxy,
un cortafuegos corporativo o un
router. Para estos casos, puede
ESTABLISHED (la conexión está siendo tiene abiertos y de otras posibles utilizar alguna herramienta que se
utilizada), TIME_WAIT (se ha cerrado vulnerabilidades. Recuerde no ejecute en local en su propio equipo,
la conexión). Para una descripción obstante que un puerto abierto no como por ejemplo Microsoft Baseline
detallada del resto de estados significa necesariamente ni que Security Analyzer (MBSA), que puede
posibles consulte support.microsoft. tenga un agujero de seguridad ni descargarse gratuitamente desde
com/default.aspx?scid=kb;en- que tenga un troyano. Simplemente www.microsoft.com/mbsa.
us;q137984. Por defecto Netstat informan de que existe un servicio GONZALO ÁLVAREZ MARAÑÓN
intenta resolver el nombre de las a la escucha en ese número de es autor del libro “Los mejores trucos para
máquinas y de los puertos. Si se utiliza puerto. Deberá dilucidar si era su Internet” y mantiene su propia web sobre
el parámetro -n muestra puertos y intención que ese servicio estuviera criptografía y seguridad en Internet en www.iec.
direcciones en formato numérico. presente y por lo tanto todo está csic.es/criptonomicon.

SUPLEMENTO PC WORLD 29

01-Seguridad el enemigo en casa.indd 29 18/02/2005 10:46:14


Diga adiós
al software espía
La privacidad y seguridad de nuestro PC se ve
amenazada cada vez que nos conectamos a
Internet, haciendo que la máxima de “un ordenador
seguro es únicamente aquel que está apagado”
sea cada vez más cierta. Uno de los peligros más
directos se encuentra en los conocidos programas
espía o “spyware”, que violan nuestra privacidad y
por tanto deben ser eliminados

VÍCTOR GIMENO MARTÍNEZ vgimeno@pcw.idg.es

BENEFICIOS La creciente práctica del adware mientras navegamos. En el peor


Eliminará de una vez por todas como medio de financiación en de los casos también podrían ser
el spyware de su PC. programas gratuitos hace que capaces de obtener claves bancarias,
nuestros ordenadores se infecten contraseñas personales, etc.
con algo más que simples banners Por todo esto, y por el evidente
publicitarios. En muchos casos consumo no deseado de recursos
este tipo de software instala otras del sistema y de ancho de banda
TIEMPO REQUERIDO NIVEL DE EXPERIENCIA aplicaciones ocultas con o sin nuestro que conlleva la ejecución de estos
30 minutos Bajo consentimiento (trackware y spyware) programas en segundo plano, se
cuyo fin normalmente es recabar trata de un software que debemos
información sobre nuestros hábitos erradicar de nuestro PC. Vamos a
de navegación y preferencias; datos eliminar estos programas mediante
que son utilizados para estudios una magnífica aplicación de Lavasoft
de marketing y publicidad, y que llamada Ad-aware 6 Standard Edition
desembocan en que posteriormente (versión gratuita), para sentirnos un
COSTE HERRAMIENTAS
0� Ninguna seamos bombardeados con multitud poco más seguros salvaguardando
de spam o pop-ups publicitarios nuestra intimidad.

30 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 30 18/02/2005 10:46:15


Blinde su PC

1 Instalar Ad-aware 6 Standard Edition


Entraremos en la página
del fabricante, www.
lavasoftusa.com, para
descargar Ad-aware 6
Standard Edition, el pack de
idiomas o LanguagePack
y sus Plug-ins (HexDump,
FileSpecs, LSP Explorer
Messenger Control).
Para comenzar la
instalación hacemos
doble clic sobre el archivo
ejecutable aaw6.exe que
y
directorio donde se instaló
Ad-aware (por defecto,
Yes) y pulsamos Next. Tras
varias pantallas se mostrará
una ventana en la que
debemos elegir los idiomas
que deseamos que sean
previamente hemos instalados.
descargado en el PC. Ejecutamos Ad-aware
Únicamente tendremos que 6 Standard Edition y, para
elegir el directorio donde traducirlo al castellano,
deseamos instalar desde la pantalla principal,
el programa. seleccionamos el icono
A continuación pasamos Settings, situado en
a instalar el paquete de la parte superior de la
idiomas aaw-lang-pack. ventana con forma de
exe. En este caso el engranaje. Desplegamos
instalador nos pregunta si la opción Language File y
deseamos que se busque seleccionamos el idioma
automáticamente el Español; para terminar

La continua aparición
de software malicioso
hace que la herramienta
recién descargada pueda
no ser 100% eficaz. Una
de las características que
hacen tan potente esta
aplicación es la posibilidad
de obtener gratuitamente
Actualizaciones gratuitas
conectar se accederá
a los servidores de
Lavasoft y se descargarán
automáticamente las
actualizaciones. En caso
de problemas, habrá que
revisar la configuración del
proxy, en el botón Configurar
y establecer los valores
acordes a la conexión.
Le recomendamos que
compruebe la existencia
de nuevas actualizaciones
antes de cada búsqueda de
spyware para garantizar la
eficacia de la misma.
2
actualizaciones con las
últimas referencias
sobre spyware.
Para actualizar Ad-aware
pinchamos sobre el icono
Webupdate (globo terráqueo)
situado en la parte superior
derecha del programa o en
Buscar Actualizaciones.
Con ambos métodos le
aparecerá una ventana,
donde pulsando en

SUPLEMENTO PC WORLD 31

01-Seguridad el enemigo en casa.indd 31 18/02/2005 10:46:16


3 Búsqueda, identificación
y eliminación de spyware
Para empezar la búsqueda
de software sospechoso,
deberemos pulsar sobre
Examinar ahora o Iniciar.
En la siguiente pantalla
podemos modificar las
registro, donde se describen
todas las incidencias durante
la búsqueda, pulsando sobre
el botón Mostrar logfile,
aunque la revisión de esta
información no es del todo
Para eliminar los elementos
solamente tenemos que
marcarlos en la columna Obj.
y pulsar sobre Siguiente.
Si dudamos podemos
marcarlo y pulsar sobre el
botón Cuarentena. Con ello,
lo que conseguimos es
desactivarlo temporalmente
hasta comprobar su verdadero
funcionamiento.
Accediendo al tercer icono
situado en la parte superior
derecha (caja). Nos aparecerá
una lista de todos los paquetes
de archivos puestos en
cuarentena. Pinchando sobre
cada uno de ellos con el botón
derecho se nos ofrecen las
diferentes acciones a realizar:
Detalles del Artículo
opciones de búsqueda entre relevante para alcanzar (información sobre el archivo),
las que destacan la selección nuestro fin. Si pulsamos en Reinstalar (volver a dejar
de las unidades a escanear. Siguiente aparecerá una operativo el archivo), Borrar
Pulsamos en Siguiente para ventana en la que se nos archivo (eliminar el elemento
iniciar el proceso de rastreo. mostrarán los resultados seleccionado), Borrar todos
Una vez terminado el de la búsqueda junto con los archivos (eliminar todos
escaneo del equipo podremos información detallada los paquetes en cuarentena) o

4
acceder a un archivo de de cada objeto. Ayuda (ayuda de Ad-aware).

Uso de Plug-ins
Primero ejecutamos cada y activarlo o desactivarlo. Para LSP Explorer: con
uno de los archivos que ello seleccionamos Messenger este plug-in es posible
hemos descargado. Al igual Control y a continuación, explorar nuestra lista de LSP
que con el pack de idiomas, Ejecutar Plugin. (proveedores de servicios
se ofrece la posibilidad de HexDump: se utiliza para por capas) instalados en
una busquede automática obtener información extra el controlador TCP/IP
del directorio de Plug-ins; sobre los archivos encontrados de Windows y obtener
seleccionamos Yes y durante el escaneo del información detallada sobre
pulsamos Next hasta que sistema. Muestra una ventana ellos. En ocasiones estas
concluya la instalación. con el código hexadecimal pequeñas aplicaciones
Messenger control: para en el que se pueden desvelar pueden desviar el tráfico de
ejecutar este plug-in debemos datos de interés, como la URL datos que enviamos a Internet
dirigirnos a la sección Plugins del fabricante. Para ejecutarlo a otros sitios no deseados
en la pantalla principal del nos situamos sobre el archivo con fines maliciosos.
programa. Permite comprobar y hacemos clic con el botón Para ejecutarlo basta con
el estado del servicio de derecho, seleccionando seleccionarlo desde la lista de
mensajería de las versiones Extensions » Create hex- plug-ins instalados y pulsar
de Windows NT, 2000 y XP, dump of object. sobre Ejecutar Plugin.

32 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 32 18/02/2005 10:46:16


Blinde su PC

Niños e Internet
En el enorme entresijo de páginas que es Internet se puede
encontrar todo tipo de información. Cualquier persona
desde cualquier lugar y de forma prácticamente
anónima puede conectarse a la red y consultar
libremente sus contenidos. Tal libertad de acceso
puede convertirse en un inconveniente si los receptores
son niños, ya que tienen a su disposición información no
apta para esas edades tan tempranas. Y al igual que todos
nos preocupamos por sus actividades físicas conviene
también hacerlo por las virtuales.

ÁNGEL GONZALO agonzalo@idg.es

La campaña “Niños e Internet” de a contenidos web, en relación directa


Panda software pretende ayudarnos con el tema de la campaña. Aunque su
a librar a los más pequeños de los instalación es sumamente sencilla, le
peligros de Internet mediante el sitio indicamos aquí los pasos principales a
www.menorenlared.com que han seguir para activar este filtrado.
habilitado a tal efecto. En el CD-ROM 1- Instalación de PIS 2005:
de este mes incluimos una pequeña ejecute el archivo childrenPIS05esp.
aplicación que contiene la misma exe que encontrará en la carpeta 1
información que la página de Panda - Especial\Panda Platinum 2005
Software pero que nos permite Internet Security del CD-ROM.
consultarla de forma offline. Podrá 2 - Instalación del filtrado de
encontrarla en la carpeta 1 - Especial\ contenidos web: tras un análisis 3 – Contraseña del supervisor:
Niños e Internet del CD-ROM. de la memoria y casi al finalizar la el supervisor que activa el filtrado
Además, incluimos una versión instalación se le preguntará si quiere es el único que puede modificar los
promocional de Panda Platinum 2005 instalar ahora el filtrado de contenidos filtros. En este paso indicaremos la
Internet Security con la que podrá web. Tanto si lo hace ahora durante contraseña (deberemos confirmarla)
proteger su ordenador de los virus que la instalación como si lo hace luego, que impedirá que los menores, o
amenazan el ciberespacio así como dentro de la propia aplicación, los cualquier otra persona no autorizada,
aplicar filtros que restringen el acceso pasos a seguir son los mismos. pueda modificarlos.

SUPLEMENTO PC WORLD 33

01-Seguridad el enemigo en casa.indd 33 18/02/2005 10:46:20


aunque podemos importar opción de registro online, para lo cual,
otros, que podemos configurar evidentemente, es necesario tener
individualmente. conexión a Internet. Una vez acabado

4 – Usuarios: se pueden activar los


filtros tanto de forma general como
para usuarios particulares, en cuyo
caso deberemos indicarlos aquí.

6 – Activación / el proceso anote los datos de usuario


Desactivación: la última de las y contraseña, que necesitará para
opciones del interfaz principal de activar las actualizaciones.
Platinum Internet Security permite
activar o desactivar el filtrado web
(o instalarlo si no se ha hecho
durante la instalación del antivirus).
5 – Configurar los filtros: 7 – Registrar Panda Platinum
Platinum Internet Security trae 2005 Internet Security: para poder
unos cuantos filtros predefinidos, disfrutar de los 3 meses (90 días)
de soporte y actualizaciones
que ofrece Panda Software con
esta versión promocional de su
producto es necesario registrarse
en la web de Panda mediante la

34 SUPLEMENTO PC WORLD

01-Seguridad el enemigo en casa.indd 34 18/02/2005 10:46:22