En esta entrada de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, cambiaremos un poco el chip, para dar algunas nociones sobre mitos, heurística y polimorfismos a la hora de diseñar virus antiguos que siguen infectando como el primer día.
Seguramente muchos de vosotros habéis sido víctima de una pregunta como la que acompaña esta entrada, o bien os habéis preguntado lo mismo al ver que vuestro dispositivo “hacía cosas raras“.
Podría deciros que la mejor manera de no tener problemas con virus es usando el sentido común, y estaría en lo cierto. De nada sirve un antivirus si eres tú mismo quien insertas un USB corrompido en tu ordenador por el simple hecho de que te lo has encontrado en la calle, o bajas el último CD de Justin Bieber y éste viene con regalito. Más aún, si sois asiduos a blogs de seguridad (incluso a este blog), sabréis que casi no hay semana que pase sin noticias de nuevas vulnerabilidades 0-Day, en particular sobre nuestro querido y afamado plugin Java, que después de años y años de fixes y nuevas vulnerabilidades, sigue siendo uno de los vectores de ataque más útiles en la actualidad, siendo el caso más reconocido los últimos accesos a terminales de compañías de la talla de Apple, Microsoft, Twitter, Facebook, y mismamente antesdeayer Evernote.
Pero entonces, ¿qué debemos hacer para evitar resultar infectados? Primero entendamos el funcionamiento de un antivirus.
Índice de contenido
¿Cómo funcionan los antivirus?
Es ridículo que, hoy en día, sigamos pensando que tener un antivirus es más que suficiente para estar seguro. El antivirus cumple una misión muy específica con mayor o menor acierto (menor acierto la mayoría), y es la de buscar en todo programa que intenta acceder a nuestro terminal, las llamadas signatures reconocidas como código potencialmente peligroso (esto es, extractos de código maligno que tiene la empresa de turno en su base de datos). Algunos antivirus incluyen otros servicios, como análisis de puertos (cortafuegos), o servicios activos, revisión de correo en la bandeja de entrada,…, pero hay que tener claro, que estas medidas son solo una de las capas que deberíamos tener activas para evitar infectarnos con malware, siendo precisamente una de las menos eficaces, por cierto.
El mundo del malware mueve millones de dólares (tanto por parte de las compañías de antivirus y hackers éticos como por las mafias y malignos que pueblan nuestro planeta, en especial en Rusia y China, :)), por lo que vista la regla, hecha la trampa.
No hay que ser un genio del desarrollo para bajarte un programa de encoders que “reescribe” el código malicioso para que el analizador no encuentre equivalencia en su base de firmas. Por supuesto, estos encoders usan algoritmos de morfismo que al cabo del tiempo acaban siendo resueltos en directo por los antivirus mediante heurística, pero para cuando ya hay solución, habrá nuevos encoders, y vuelta a empezar.
Puesto que hacer un análisis en paralelo de cada servicio que está funcionando consumiría mucho procesamiento y previsiblemente reduciría la eficiencia del dispositivo, los antivirus suelen analizar el archivo cuando se escribe en el disco, o cuando es ejecutado. Además, los antivirus actuales, y debido nuevamente a la necesidad abusiva de copar procesamiento para elevar sus tareas, son incapaces de analizar grupos de archivos como los de los programas normales, sino que lo hacen uno a uno por separado. Conociendo estos dos datos, supongo que ya os viene a la mente cómo podemos ofuscar código malicioso de forma que pongamos en serio entredicho la labor del antivirus.
En SecurityByDefault ponen un ejemplo de exploit con Java que utiliza una clase con funciones que requiere privilegios de sistema llamada desde otra clase que no los requiere. De esta manera, y separando el código, resultaba bastante sencillo burlar al antivirus.
Otro método que se empieza a usar con cada vez más frecuencia es el de cargar en disco el código malicioso, teniendo en cuenta el peligro que ello conlleva (por el análisis del antivirus extra), pero que si está bien ofuscado, pasará inadvertido, y tendrá vía libre para campar a sus anchas en el sistema a partir de entonces. Un divide y vencerás de guión, vamos.
Ya conocemos un poco el funcionamiento de un antivirus normal, ahora vamos a hablar de buenas pautas para evitar encontrarnos con regalos inesperados.
Actualizaciones
La amplia mayoría de la gente se compra un ordenador, le pone un antivirus gratuito, y vive tan feliz hasta que pasados unos meses, se encuentra con que éste va demasiado lento, hasta el punto que acaba por llevarlo a la tienda para formatearlo y volver a empezar. Esta situación se ha agravado últimamente con la explosión de las redes sociales y los archivos en la nube, cuando de la noche a la mañana, alguien puede usurpar tu identidad y robarte o modificarte todo lo que tienes subido a internet.
Y cerca del 90% de estos ataques vienen precisamente de tener programas y el mismo SO sin actualizar.
En cada actualización (por lo general), se agregan nuevas funcionalidades, y se intenta cubrir con fixes aquellos posibles exploits que, o bien se han descubierto a tiempo, o seguramente ya se están explotando.
Y esto se extrapola tanto al antivirus, como al resto de servicios de nuestros dispositivos (muy atentos al navegador), tanto si usas Windows, como si usas MacOS, Linux, Android, iOS, WebOS, ChomeOS,…
Si te huele mal, mejor no hacerlo
Te pones a bajar el último capítulo de The Big Bang Theory y te encuentras con un .exe: Raro, raro,… Siempre que pasen cosas raras, es mejor dejarlas donde están, borrarlas, y no ejecutarlas.
Desconfiar sobre todo de los .exe y los PDFs, aunque en la práctica de cualquier archivo que o bien no sea el esperado, o bien te pida ejecutar otro servicio distinto al esperable (un .doc que llama a la consola, por ejemplo, o un plugin que al parecer te falta para visionar un vídeo en una página de novias rumanas).
La guerra del malware juega a nuestro favor
Se da cada vez más el caso de malware que, una vez infectado el terminal, fixea black doors o vectores potenciales del sistema y te limpia eficazmente de algunos malware de la competencia. Por tanto, eso de que “el ordenador me está haciendo algo raro, debo tener un virus” ya no tiene porqué ocurrir. De hecho puede que si el dispositivo te va de la noche a la mañana mejor de lo esperado, estés infectado, aunque suene a chiste.
Y es paradigmático que sean en estos casos los propios crackers quien nos ayudan a librarnos de otros malware más eficazmente que los propios antivirus.
Como parte negativa, está el hecho que por lo general, este malware tiene como principal función robar datos personales (ya sea activándote la cámara para mostrarte en páginas de vouyerismo, o con payloads para grabar qué tecleas y obtener tus cuentas y contraseñas, que acabarán seguramente en un fichero multitudinario colgado en la red).
No existe el método definitivo
Todo sistema operativo, todo programa, puede ser atacado, y ten claro que acabará siéndolo. Tener actualizado todo ayuda y mucho. También lo hace la cabeza (si huele mal,…), y como última barrera, el antivirus y un buen cortafuegos. Pero recordar que primero surge el exploit, y luego el fix que lo soluciona, así que en esta batalla siempre estamos en desventaja.
________
Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Lo de “novias rumanas” me ha sacado una carcajada. Con respecto al sentido común, doy fe de que es bastante escaso
Tienes toda la razón enrique. Hay una costumbre arraigada en la creencia que el antivirus debe hacer milagros, cuando en verdad nos evitaríamos la gran mayoría de problemas no siendo tan cabezones como somos y usando el sentido común.
Si no tengo activo mi navegador, obviamente, no puedo ser atacado por virus, ¿no es así?
Puedes Hector. Simplemente por estar conectado a internet puedes ser atacado, o por usar servicios que se conectan a la red, o por instalar programas, o por el uso de USBs.
Muchos ataques vienen de la mano de una mala gestión del navegador, pero no es el único vector de ataque que hay.
Además, cuenta que aunque no hayas abierto el navegador, es posible que el programa esté corriendo en segundo plano, o cuando lo has usado, o ya hayas sido infectado con anterioridad.
Tampoco hay que vivir con miedo. Simplemente ten activo un antivirus y el cortafuegos de tu sistema, y sobre todo, que es lo importante, usa el sentido común. No instales sin saber a ciencia cierta que lo que instalas es seguro. No aceptes ninguna descarga extra cuando estás navegando. Ojo con los USBs que conectas a tu dispositivo,…
Excelente post. Felicitaciones. Lo hemos utilizado como referencia de:
Enlace (ES)
Me alegro que te gustara maravento. Buen post! Saludos!
Disculpe. Hemos cambiado el enlace de referencia y el post, para ampliarlo
Enlace (ES)
Gracias
Hola Pablo..Estoy desesperada..
Cada vez que entró en el navegador de Google Chrome, me dice o salta un alerta de que tengo varios virus…tengo varios antivirus, limpieza de bateria.,. Etc… Y siempre me dice que tengo algo…Bloqueo todo, borró todo…No se que hacer…Instaló y desinstaló antivirus y chequeo el dispositivo todos los días, automáticamente y manualmente.
Perdona si te incordio… Pero es que soy una analfabeta de la informática…
Pasa buen día y muchas gracias.
Buenas Rosa, ¿y te lo dice el Chrome?
Me parece que más que un virus tendrás algún tipo de adware. ¿intenta recomendarte que te bajes algún programa específico? Si es así, no lo hagas.
Lo mejor que puedes hacer es comprar una versión de pago de un antivirus conocido. Norton, ESET, bitdefender,… el que quieras (más o menos todos son buenos), y ver qué te dice.
Pero huye de programas milagrosos que te van a limpiar el ordenador. La mayoría de las veces, de hecho, hacen justo lo contrario.
Saludos!
hola pablo tengo una duda.Te explico yo me conecto en el trabajo pero con mi ordenador es decir cojo el cable de internet lo conecto a mi portatil y navego pero como detalle segun dicen los encargados es una red cerrada o algo asi.dicen que en esa red cerrada entran virus y lo que quiero saber es si es posible que sea yo conectandome asi como te digo yo analfabetico en ordenadores creo que si entrara algo seria en mi portatil asi que si me puedes resolver esta duda te estaria agradecido un saludo
Buenas Miguel. Con los datos que tienes no puedo decirte mucho. Ten en cuenta que para que un malware “entre”, tiene que venir de algún lado.
Hay muchos tipos de malware, y el virus es uno de ellos, que tiene la particularidad de ser capaz de replicarse en otros dispositivos. Un virus puede entrar por Internet (por descargarte algo que está infectado, por ejemplo), o por vulnerabilidades propias de tu sistema operativo/aplicaciones que son explotadas de alguna manera (un navegador no actualizado, o la carga automática de archivos de un USB).
Lo mejor que podéis hacer en la empresa es actualizar el sistema de todos los dispositivos conectados, y establecer defensas perimetrales (cortafuegos y demás) que bloqueen ataques dentro de vuestra red.
Por tu parte, tener el portátil actualizado, con un Windows10 (presupongo que usas windows) al corriente de actualizaciones, y utilizar, en la medida de lo posible, navegadores como Chrome o Firefox en la última versión. Eso minimiza mucho los problemas, presentes y futuros.