#MundoHacker: Desmitificando el mundo de los virus informáticos

virus informaticos

Es una de las preguntas que más me acaban llegando a la bandeja de correo cada semana. Veo que hay dos frentes abiertos en la mayoría de usuarios de tecnología, y que sirven de caldo de cultivo perfecto para que siga proliferando la industria del malware.

Por ello, en este nuevo capítulo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, hablaremos sin tapujos de cómo funciona la industria de los virus informáticos, contra qué nos enfrentamos, y qué creencias tan extendidas no dejan de ser puro mito.

¿Qué piensa el usuario medio que es un virus?

Básicamente, lo que me encuentro en la mayoría de los casos son personas que consideran los virus informáticos el peor de los riesgos asociados a la tecnología. Una pieza de software que acaba habitualmente complicando el uso del dispositivo, y que al final puede llegar incluso a obligarles a formatearlo.

Y la idea es correcta, siempre y cuando siguiéramos a principios de los años 90, con toda aquella oleada de virus cuyo objetivo era o bien puramente reputacional (demostrar lo “listo” que eras infectando dispositivos que no tenían protección alguna y estaban siendo usados, en la mayoría de los casos, por personas que ni siquiera eran conscientes del peligro que corrían) o activista (atacar objetivos específicos, como en su día fueron las operadoras de telecomunicaciones y demás organismos expuestos al odio visceral de X o Y colectivo).

¿Qué es un virus en la actualidad?

Lo primero que hay que dejar claro es que a día de hoy, virus como tal, apenas se ven en el ciberespacio. No porque no haya, ojo, sino porque la mayoría ya son inocuos, habida cuenta de lo que ha evolucionado el sector en materia de seguridad.

Ahora lo que hay es malware y fraudes, que engloba a esos antiguos virus, pero que en la práctica es lo que a cada uno de nosotros debería preocuparnos.

De hecho, los malwares de la actualidad no suelen hacer que el dispositivo funcione peor, sino todo lo contrario. Es más, no es la primera vez que un virus se encarga de infectar dispositivos, y acto y seguido, obligarles a actualizar los parches de seguridad oportunos para evitar que este dispositivo sea objetivo de un malware diseñado por ejemplo por la competencia.

Y para muestra un botón:

Recientemente Symantec descubría la existencia de un virus, Linux.Wifatch (EN), diseñado para infectar sistemas operativos Linux, y que ya contaba con más de 10.000 víctimas, principalmente en China, Brasil, México y la India.

Ahora estará leyendo esto y estará tranquilo pensando que sólo afecta a SO Linux. Pues bien, siento decirle que su router de casa seguramente tenga un SO Linux. Que su smartphone Android en esencia es un Linux. Que prácticamente el 99% de dispositivos del Internet de las Cosas, que quizás están a día de hoy controlando el termostato de su hogar, o conectados a su televisor, o como alarma antirobo, lleva Linux en su interior.

La curiosidad que arroja este virus era precisamente que su único cometido (aparentemente, y a la vista de que el código que ejecuta no está ofuscado, como suele ocurrir habitualmente en el sector, y que los creadores hasta han abierto una página (EN) para que cualquiera pueda auditarlo) es segurizar los sistemas que infectan.

Tan pronto encuentra un sistema Linux vulnerable (por ejemplo, un router), desactiva la red, obligando al usuario a cambiar la contraseña por una más segura, comprueba que el firmware del terminal esté actualizado (algo que sin duda tanto usted como un servidor hace cada semana…) y obliga a actualizarlo en caso contrario, e incluso mete al dispositivo en una red botnet con el fin de compartir información de las vulnerabilidades encontradas mediante P2P cifrado.

Lamentablemente, el caso de Linux.Wifatch es anecdótico. La realidad del mercado es que un virus a día de hoy infecta un dispositivo, mete a este en una red botnet, y a partir de entonces, será usado bien para robar datos de la víctima, bien para extorsionarla, bien para utilizarla con fines económicos.

Porque esta es otra. Ahora ya no hay virus cuyo objetivo no sea otro que sacar billetes. Salvando el mundo del hacktivismo, que sigue estando presente, y el lucrativo mercado de las píldoras anti-ransomware (que con anterioridad te han infectado).

El desarrollador tipo de virus no es ya un chico de 17 años oculto en la habitación de casa de sus padres, sino cibercriminales que operan, consciente o inconscientemente, dentro de una industria que mueve miles de millones anualmente.

Y debido a ello, ese malware que han conseguido instalar en nuestro dispositivo, intentará evitar por activa y por pasiva que el usuario sienta que está siendo infectado, que hay algo que no funciona. Ya no hay interés en hacer partícipe a la víctima del ataque. Lo que interesa es que todo funcione a la perfección para mientras, estar robando credenciales de acceso a servicios de la víctima, o utilizar parte del procesamiento y conectividad del dispositivo para realizar ataques a terceros (DDoS) que son contratados por otras empresas. O simplemente para hacerse pasar por el usuario de turno, y financiar socialmente una campaña en redes sociales, o inflar los datos de visitas de una web monetizada con AdSense, o…

Ese es precisamente el riesgo al que nos estamos sometidos en la actualidad. A que el malware de ahora ya no es visible para el usuario, y sí es muy lucrativo para el atacante.

¿Qué podemos hacer para defendernos?

En dispositivos en los que tenemos la capacidad de interaccionar, como PCs y smartphones, nuestra mejor herramienta es el sentido común. La mayoría de estos sistemas ya cuentan con medidas básicas de seguridad, pero al final las infecciones suelen venir de acciones por parte del usuario (esa aplicación que instalas pese a que “todo alrededor de ella huele mal”, esos permisos que entregas al programa de turno, ese enlace acortado al que pinchas pese a que viene claramente de parte de un usuario ficticio,…), o por la falta de ellas (sistemas que no actualizamos, versiones piratas,..).

Lo que de verdad es preocupante es la cantidad de dispositivos del Internet de las Cosas que se instalan la primera vez, y jamás recibirán actualizaciones.

Dispositivos habitualmente asociados con datos físicos, que podrían ser controlados remotamente, como podría ser el caso de una pulsera cuantificadora o una bomba de insulina.

Y ahí nuestra mejor defensa es exigir a la industria que se ponga las pilas. Que establezca protocolos seguros de comunicación y los fuerce a actualizarse.

Justo lo mismo que hace Linux.Wifatch, pero legalmente :).