Con el precedente de que el año 2007 ha sido el peor en la historia de los virus, el futuro de la seguridad en línea no suena demasiado prometedor

El 2007 será recordado como el año en que desaparecieron los virus y programas maliciosos sin interés comercial. Desde el robo de contraseñas bancarias hasta la formación de grandes ejércitos de máquinas zombies que esperan para concretar un ataque o lanzar una oleada de correo no solicitado (spam), la finalidad detrás de la intención de los criminales es obtener una compensación económica por sus esfuerzos.

A principios de la década, Eugene Kaspersky, un ingeniero ruso presidente de la compañía de seguridad digital Kaspersky Labs, alertó que las mafias se estaban apropiando de la industria del virus y muchos observadores casuales se mofaron de semejante idea, ya que no se vislumbraba un uso malicioso que justificara dicha apropiación. Sin embargo, es lo que está ocurriendo. El crimen cibernético es ya un crimen organizado.

Durante el año no se vivieron grandes epidemias como solía suceder. Los ataques tienden a ser más discretos, con objetivos fijos. Un gran ataque levanta alarmas de inmediato. Estos ataques en sombras buscan infectar el mayor número de máquinas posibles sin levantar sospecha. Posteriormente, estas máquinas serán usadas para realizar algún ataque de negación de servicio (DDoS) contra un sitio Web o bien darán inicio a una oleada de correo no solicitado. Si el virus se descubre, se acaba el negocio.

Kaspersky Labs publicó su informe 2007 sobre malware, del cual les brindamos un resumen de lo acontecido durante el año 2007 y lo que nos espera en el futuro cercano.

El virus tormenta (conocido como Zhelatin en los cuarteles de Kaspersky Labs) se destacó –apareció en enero de 2007–- por el gran número de variantes y comportamientos demostrados a lo largo del año. Los virus de esta familia incorporaron en su código prácticamente todos los avances que habían logrado otros virus, incluso tecnología de rootkits, redes de máquinas robots para defenderse, ofuscación de código y comunicación entre máquinas infectadas usando tecnología P2P. Este virus utiliza todos los métodos existentes de contagio, entre ellos nuevos (blogs, titulares RSS y Web 2.0) y tradicionales (correo-e y mensajería instantánea).

El 2007 también se destacó por ser el año de regreso de los ataques DDoS, que habían sido muy comunes en 2003-2004, pero ahora la finalidad detrás de ellos es diferente. La extorsión ha sido suplantada, al menos en parte, por razones políticas o de castigo. Un ataque de este estilo en Estonia, ocurrido en mayo de 2007, continua aún sin ser resuelto y muchos expertos lo califican como el primer ataque guerrillero digital.

Los caballos de Troya que roban información bancaria siguieron atacando en 2007, pero perdieron su predominancia ante los que roban información de cuentas de juegos en línea.

Algunos eventos notables de 2007 incluyen intentos de apoderarse de numerosas máquinas al mismo tiempo, como el acontecido en Italia, donde usando el Mpack (un paquete de desarrollo de virus) un hacker logró comprometer numerosos servidores (unos 10.000). El asunto además llamó la atención sobre una realidad existente: los criminales se aprovecharon de un sistema de hospedaje de sitios Web que ofrece como ventaja principal el anonimato de sus usuarios,  el borrado de todos los rastros de actividad y protección legal.

En líneas generales, el año 2007 ha sido el más virulento de la historia, con más del doble de programas maliciosos detectados que los que existían a finales de 2006, al punto que la firma Kaspersky Labs realizó más actualizaciones a su base de datos de amenazas durante 2007 que durante los 15 años previos.

Las amenazas que vienen

Un nuevo modelo de amenazas en la Red está ocurriendo ya. Desde sus inicios hace pocos años, ha demostrado ser muy eficaz –vale como prueba el gusano Tormenta– y es de temer que sea mejorado continuamente.

Básicamente, el modelo comprende:

• Una red de PC infectadas y controladas de manera no centralizada.

• Hay funciones diferentes que se efectúan por partes diferentes de la red.

• El software malicioso es capaz de luchar para contrarrestar el software antivirus que lo quiera analizar.

• El programa malicioso se distribuye en numerosas máquinas, pero sólo por un período de tiempo limitado.

• Se usan métodos avanzados de ingeniería social para garantizar el éxito de la propagación.

• Se utilizan diferentes métodos para la propagación. Ya el correo electrónico no es el único método.

Estas nuevas generaciones de malware serán conocidas como Malware 2.0 y son muchos los caballos de Troya que roban información bancaria o de juegos, que están siguiendo este camino.

La tecnología conocida como rootkit, que ayuda a ocultar la presencia de caballos de Troya en un sistema está empezando a ser usada por los virus también. Entre los métodos usados para esconderse están el modificar el registro de arranque del disco duro, una vieja técnica que involucra mucho peligro para la estabilidad del sistema.

Pero, sin duda, uno de los factores más importantes del ataque del malware durante el próximo año es aprovecharse del carácter social de la Web 2.0. El "phishing" ocurrirá cada vez más relacionado con redes sociales y los servicios como Facebook, MySpaces, Livejournal, Blogger, etc. estarán entre los más atacados, y los blogs y cuentas de usuarios servirán para distribuir caballos de Troya.

–Alcides León

PC World Venezuela

Lea más información sobre el tema en www.pcwla.com/buscar/08044501.

Como funciona un laboratorio antivirus Stanislav Shevchenko es el jefe del laboratorio antivirus de Kaspersky Labs en Moscú. Se trata de alguien con mucha experiencia en esta área y coordina un equipo de personas que trabajan las 24 horas del día, los 365 días del año. PC WORLD le pidió que nos explicara en detalle cómo funciona este laboratorio. El primer frente lo constituyen empleados entrenados en el diagnóstico de las amenazas. Son jóvenes ansiosos de realizar su trabajo y que son conocidos como “pájaros carpinteros” por los ruidos que producen con sus teclados. Para realizar su trabajo cuentan con una serie de herramientas automatizadas, una serie de motores de detección, que son el centro de la tecnología de Kaspersky Labs. En base a su experiencia y a los resultados que arrojen estos módulos, los pájaros carpinteros toman la decisión de incorporar la amenaza al archivo de firmas de la compañía, que se distribuye de manera automática. Si la amenaza no fuera de fácil interpretación, existen dos niveles de supervisores sobre estos empleados, que tienen mayor experiencia. Estos dos niveles superiores están conformados por consultores especializados que trabajaron como pájaros carpinteros hace ya algún tiempo. A pesar de todo el esfuerzo realizado en automatización se hace necesaria la opinión de los operadores humanos para evitar generar falsos positivos que incomoden a los usuarios bloqueando sus operaciones normales.

Las pesadillas de un genio PCWorld fue hasta las oficinas de Eugene Kaspersky –en Moscú— para conversar con el jefe de Kaspersky Labs eugene Kaspersky  entró al negocio de la seguridad después de que su máquina fuera infectada por un virus, y tuviera que esforzarse para eliminarlo. Para él la industria de seguridad se encuentra ante una transformación muy importante; de los productos aislados –como antivirus, software para proteger servidores, etc.— la industria está evolucionando para proveer soluciones integrales que cubran todos los aspectos, ya que las amenazas actuales son de lo más variadas. Mientras la Web se basa cada vez más en servicios, se hace necesario entregar la seguridad a expertos bien equipados, en este caso nuevos actores llamados ISP (Internet Security Providers) o Proveedores de Seguridad en Internet. Además, los dispositivos móviles representan un reto para la seguridad que complican más el panorama. No quisimos perder la oportunidad sin preguntarle sobre cuáles son sus peores pesadillas en el área de seguridad. "Realmente hay varios escenarios que me preocupan. El primer escenario catastrófico sería que la Internet colapse con una oleada de ataques maliciosos. El segundo escenario, más realista, es que haya tantos criminales en la Internet y esta se vuelva tan peligrosa que los negocios empiecen a abandonarla. El impacto económico podría ser tan grande que modificaría la economía mundial. El tercer escenario es que un "hacker" no muy listo encuentre una vulnerabilidad seria en Vista, e intente obtener una buena suma de dinero por parte de Microsoft, y estos pongan al FBI y otras agencias detrás de él haciéndolo huir y forzándolo a realizar una estupidez. Es algo posible, aunque poco probable. El último escenario, el que más temo, es que empiece a realizarse terrorismo por Internet. Y sobre eso no quiero comentar nada".