Llegamos a ustedes gracias a:



Reportajes y análisis

Malware: Una guerra sin fin

Puede que estemos ante una situación de estancamiento. O bien, podemos estar evolucionando hacia una nueva biósfera cibernética.

[14/01/2014] Sin cesar, sin final a la vista, a pesar de los gastos que ascienden a un impuesto sobre los negocios, la lucha de décadas contra el malware se prolonga.
Hoy en día, alrededor del 5% del presupuesto medio de TI se dedica a la seguridad, estima John Pescatore, director en el Instituto Tecnológico SANS. La ciberdelincuencia (incluyendo los ataques internos maliciosos y el robo de los dispositivos) le cuesta a las corporaciones estadounidenses un promedio de 11,6 millones de dólares anuales, según un estudio de octubre del 2013, hecho por el Instituto Ponemon y que fue patrocinado por HP Enterprise Security. Este costo representa un aumento del 23% respecto a la media de 8,9 millones de dólares por empresa que se registró en el 2012.
Al preguntarles por qué el malware es una guerra sin fin, los expertos normalmente abrazan una metáfora ecológica o militar. Los que tienen el punto de vista militar dicen que las defensas erróneas han llevado a un punto muerto. Los de mente ecológica no lo ven como una guerra que se gana o se pierde -ven un ciclo eterno entre presa y depredador, y el objetivo no es la victoria, sino el equilibrio.
Uno que favorece la metáfora militar es David Hoelzer, director de investigación de Enclave Forensiscs en Henderson, Nevada. "Vamos esencialmente en círculos", señala. "Mejoramos solo después de que nuestros adversarios derrotan nuestras defensas. La mayoría del software todavía está plagado de vulnerabilidades, pero los vendedores no suelen hacer ningún movimiento para corregirlas hasta que se vuelven públicas. Los codificadores no están capacitados en seguridad, y 'bien escrito' significa 'bajo presupuesto'.
El consultor de seguridad, Lenny Zeltser, elige la metáfora de la ecología. "Los atacantes se aprovechan de los defensores y las defensores responden. Es parte del ciclo", señala. "Si los atacantes lo consiguen con demasiada facilidad, están gastando demasiado para atacarnos. Si bloqueamos el 100% de los ataques, es probable que estemos gastando demasiado en la defensa. Hemos estado en un estado de equilibrio durante algún tiempo y siempre lo estaremos. Pero ser complaciente es peligroso, ya que tenemos que aplicar constantemente energía para mantener el equilibrio".
La evolución del sector financiero ofrece un ejemplo de por qué es importante aplicar constantemente energía para mantener el equilibrio. Un nuevo informe de Trend Micro señala que los ataques dirigidos a robar credenciales de banca online subieron recientemente a un nivel no visto desde el 2002.
Sin embargo, los expertos coinciden en que se ha avanzado -aunque solo hacia el mantenimiento del equilibrio ecológico o un estancamiento militar.
Las victorias hasta el momento
En este momento, "no hay tipos de malware para el que no haya defensas", señala Roel Schouwenberg, investigador del proveedor de software anti-malware de Kaspersky Lab.
"Ya no vemos el tipo de propagación de malware grande que observábamos hace tres o cuatro años, como el virus ILOVEYOU del 2000", añade William Hugh Murray, consultor de seguridad y un profesor de la Naval Postgraduate School.
Las entrevistas con los analistas y ejecutivos de los proveedores de seguridad de McAfee, AVG y Kaspersky Lab indican que las siguientes son las cuatro armas principales que hacen que esto sea posible:
* Detección de Firma. Este enfoque le da la capacidad de detectar códigos maliciosos, entre otras cosas.
* Supervisión de comportamiento. Con la adopción de esta técnica, se pueden hacer cosas como detectar actividades maliciosas en una computadora, o determinar si un archivo sospechoso responderá a cebos virtuales
* Listas negras. Este es un mecanismo para bloquear el acceso a sitios y archivos que se incluyen en una lista de entidades indeseables.
* Lista blanca. Con este enfoque, esencialmente lo opuesto a las listas negras, a los usuarios solo se les permite el acceso a sitios y archivos en una lista de entidades que se sabe que son inofensivas; se niega el acceso a los sitios y archivos que no están en la lista.
Cada una de las cuatro tiene sus partidarios y detractores, y todos los fabricantes de software anti-malware consultados para este artículo dijeron que usan alguna forma de las cuatro armas, en combinación.
Otras defensas incluyen firewalls, que pueden prevenir las intrusiones y -con Windows, al menos- son parte del sistema operativo y tienen parches periódicos del fabricante para abordar las vulnerabilidades.
Una pregunta que a veces se plantea es si hay armas más avanzadas de las que aún no hemos aprendido. "He oído que los vendedores de anti-malware tienen mejores defensas bajo la manga que optan por no liberar, ya que aún no son necesarias, y que no quieren darlas a conocer", señala Zeltser.
Los vendedores lo niegan. "Nuestras armas secretas están en vigor todos los días -es una batalla diaria", anota Tony Anscombe, un ejecutivo del proveedor de software anti-malware AVG Technologies. De hecho, si los proveedores tuvieran algo que pueda detener todos los virus "sería insensato esperar para usarlo", anota Kevin Haley, portavoz del fabricante de software anti-malware Symantec. "Sería una ventaja competitiva" para ayudar a vender más software, agrega.
De cualquier manera, el resultado final es que los fabricantes de software anti-malware ahora pueden responder a un nuevo ataque (o "día cero") dentro de dos horas, aunque las hazañas complicadas pueden requerir un seguimiento posterior, añade Haley.
Paralelamente se han realizado esfuerzos para hacer que el software sea menos vulnerable a la infección. Por ejemplo, Tim Rains, director de Microsoft Trustworthy Computing, señala que Microsoft ha renovado las bibliotecas de código que utilizan los desarrolladores para eliminar errores y vulnerabilidades.
Como resultado de ello, corromper las pilas, que era la explotación de la vulnerabilidad que ocurría el 43% del tiempo en el 2006, ahora se utiliza solo el 7% de las veces. También cita un estudio realizado en el 2011 por el analista Dan Kaminsky y otros, indicando que había 126 vulnerabilidades explotables en Microsoft Office 2003, pero solo siete en Office 2010.
Años de parches de software descargados por los usuarios y relacionados con la seguridad también han tenido un efecto medible. Rains cita estadísticas derivadas de ejecuciones de la herramienta en línea Malicious Software Removal de Microsoft, que mostraron que los sistemas con protección actualizada tenían 5,5 veces menos probabilidades de infectarse.
A diciembre del 2012, la tasa fue de 12,2 infecciones por cada mil máquinas para sistemas desprotegidos, frente a dos por mil para los sistemas protegidos. El promedio mundial fue de seis infecciones por cada mil.
Por otro lado, las infecciones siguen ocurriendo. Pero incluso la naturaleza de las infecciones parece haber alcanzado un estado de equilibrio.
Los ataques de hoy: Dos amplias categorías
Roger Thompson, jefe investigador de seguridad en la firma de pruebas de seguridad y filial de Verizon ICSA Labs, divide a las infecciones más comunes de hoy en dos categorías: ATP ("Amenaza persistente avanzada" por sus siglas en inglés) y AFT ("Otro troyano maléfico" por sus siglas en inglés).
Nuevos ejemplares de malware APT aparecen aproximadamente una vez al mes, se dirigen a un objetivo en particular y son producidos por organizaciones con recursos, habilidades y paciencia impresionantes, señala el ejecutivo. El ejemplo clásico es el virus Stuxnet del 2010, cuyo objetivo parece haber sido hacer centrifugadoras en los laboratorios de investigación nuclear iraníes para que se destruyan a sí mismos haciéndolos girar demasiado rápido.
"Cada uno es diferente y de temer", señala Thompson.
En cuanto a AFT, el malware auto-replicante ya no es el vector de infección de elección, con atacantes que prefieren lanzar ataques desde páginas web infectadas a donde las víctimas fueron atraídas con engaños. (Sin embargo, los gusanos y malware más viejos todavía están al acecho en Internet, y una máquina sin protección aún puede infectarse en cuestión de minutos, según concuerdan las fuentes).
La adquisición de nuevos troyanos parece estar limitada solo por la capacidad del investigador para descargar ejemplos, según los expertos, y cientos de miles se pueden recoger cada día. Muchos ejemplos son simplemente miembros de varias familias de malware que han sido recientemente recopilados, y algunos sitios web maliciosos recopilarán su carga útil -creando un archivo único- por cada ataque dirigido. Probablemente hay más de un millar de estas familias, ya que hay un número finito de maneras de tomar más de una máquina sin hacer que caigan, señala Thompson.
La infección inicial suele ser un mecanismo de arranque compacto que descarga otros componentes. Puede informarle al atacante qué tipo de huésped ha infectado, y los atacantes puede entonces decidir cómo utilizar a la víctima, explica Zeltser.
En estos días, un sistema de casa infectado es normalmente secuestrado por los atacantes para su propio uso. Con una pequeña empresa, el objetivo es obtener datos bancarios, mientras que con las grandes empresas, el objeto es típicamente el espionaje industrial, explica Murray.
Mientras que los fabricantes de anti-malware han adoptado una estrategia en varios frentes, también lo han hecho los atacantes -por ejemplo, la escritura de malware que no se mueve hasta que se ve que no está en el tipo de máquina virtual utilizada para hacer que los programas maliciosos que revelen a sí mismos.
Mientras tanto, los atacantes han formado su propia economía, con una división del trabajo. "Algunos son buenos en la elaboración de programas maliciosos, otros son buenos en infectar sistemas, y otros son buenos para hacer dinero con las infecciones, como el envío de correo no deseado, o mediante el lanzamiento de ataques de denegación de servicio, o por hurtos de datos", señala Zeltser.
"Puede comprar el software necesario para tomar el control de la cuenta y de convertir el dinero en efectivo", añade Murray.
Nuevos campos de batalla incluyen a XP, Android
Pero mientras que muchos expertos esperan ver un ciclo continuo de ataque y defensa, también prevén futuros peligros adicionales: Windows XP puede quedar inutilizable debido a la situación de su soporte, y el entorno de smartphone Android puede ser el próximo coto de caza en busca de malware.
Por su parte, Windows Vista ya no recibe soporte estándar, pero Microsoft ha anunciado que la compañía continuará la emisión de actualizaciones de seguridad para el sistema operativo hasta mediados de abril del 2017.
Windows XP, lanzado en el 2001, sigue siendo ampliamente utilizado, pero Microsoft dejará de emitir actualizaciones de seguridad después de abril del 2014. En ese momento, Microsoft seguirá publicando actualizaciones de seguridad para Windows 7 y Windows 8, y después de la emisión de cada uno, los creadores de malware harán ingeniería inversa para identificar vulnerabilidades, predice Rains.
"A continuación, probarán XP para ver si la vulnerabilidad existe allí, y si está, escribirán el código de explotación para tomar ventaja de ello", señala Rains. "Ya que XP nunca tendrá otra actualización, los creadores de malware se encontrarán en una situación de día cero-para siempre. Si pueden ejecutar código remoto de su elección en aquellos sistemas, será muy difícil que la protección anti-virus sea eficaz. La situación se pondrá peor y peor y, finalmente, no será capaz de confiar en el sistema operativo para Windows XP".
"La gente no debería estar ejecutando XP", concuerda Schouwenberg. "Cuando fue escrito el problema de malware era muy diferente de lo que es hoy. No tenía las estrategias de mitigación y era extremadamente vulnerable".
Android, por su parte, está frenéticamente en los teléfonos inteligentes -sobrepasando en ventas a los teléfonos con el sistema iOS de Apple en el tercer trimestre de este año, según Gartner- lo que los convierte en un gran objetivo para los crackers.
Los expertos ven muchos paralelos entre el desarrollo de Android y la historia temprana historia del mercado de Windows, con los fabricantes de hardware adaptando un sistema operativo de terceros para sus productos, sin dejar que una sola parte garantice la seguridad. Y con el mercado Android, la participación adicional de las empresas de telecomunicaciones es un factor de complicación.
"No es como el caso de Apple, que puede llevar actualizaciones de seguridad para todos los iPhone del mundo en un día", señala Schouwenberg. "Con Android, el fabricante tiene que aplicar los parches y luego pasar los la certificación de la compañía antes de que sean implementados. Asumiendo que su teléfono sigue recibiendo actualizaciones de seguridad, pueden pasar meses antes de que usted los consiga. Eso no sería considerado aceptable en una computadora portátil".
"Android está en una posición en la que Windows estaba hace unos cuantos años atrás, no hay suficiente protección", añade Johannes Ullrich, jefe de investigación en el SANS Technology Institute, que certifica profesionales de la seguridad informática.
¿Hay esperanza?
Volviendo a la metáfora de la ecología, a veces el impacto de un asteroide hará que se extingan las especies. Y, de hecho, las fuentes pueden apuntar a la extinción de ciertos acontecimientos en la corta historia de la biósfera malware.
Thompson, por ejemplo, señala que la adopción de Windows 95 hizo que el malware MS-DOS se extinguiera al añadir el modo protegido, por el que un programa no puede sobrescribir otro a voluntad. Microsoft Office 2000 condujo a la extinción (PDF) del malware basado en Office 1995 mediante la adición de una característica que básicamente requería el permiso del usuario antes de que se ejecute una macro. Windows XP Service Pack 2 en el año 2004 estableció el firewall de Windows de forma predeterminada, acabando con otra generación de malware.
"Pero no hay extinción a la vista que elimine a los troyanos actuales", anota Thompson.
Incluso si hubiera un milagro, los atacantes podrían insistir con el correo electrónico persuasivo, llamadas telefónicas oficiosas, caras sonrientes u otras manipulaciones no técnicas que normalmente se conocen como "ingeniería social".
"La tasa de éxito para la ingeniería social es fenomenal", agrega John Strand, probador de la penetración de la red en Black Hills Information Security con sede en Sturgis, Dakota del Sur.
La gente llamará a lo que pretende ser una mesa de ayuda, que le sugerirá bajar el software (infectado). O emails plausibles como una notificación de entrega que atraerá a los usuarios para que hagan clic en enlaces infectados, explica.
Y luego está el software que le dice al usuario desactivar la protección contra malware del sistema "para asegurar la compatibilidad". "Yo no creo que haya ningún software legítimo que necesite que se desactive la protección de seguridad por razones de compatibilidad", señala Schouwenberg. "Pero algunos software que piden eso durante la instalación, crean un precedente, por lo que creen que está bien cuando les llega un correo electrónico desde un sitio web diciéndoles que lo apaguen".
Incluso si los usuarios están capacitados para resistir tales estratagemas, personas sonrientes y con credenciales falsas pueden aparecer en la recepción diciendo que necesitan inspeccionar la sala de servidores con un pretexto -y probablemente se les permita hacerlo, agrega Strand.
Más allá de eso, un gran número de credenciales de acceso a las redes corporativas están siempre a la venta en varios sitios maliciosos, porque las personas se han inscrito en los sitios de terceros utilizando sus direcciones y contraseñas de correo electrónico de la oficina -y esos sitios fueron más tarde comprometidos, añade Strand.
Aferrarse
"La buena noticia es que es relativamente fácil defenderse contra la mayoría del malware, si utiliza un software anti-virus actualizado, ejecuta un servidor de seguridad, obtiene actualizaciones de seguridad y utiliza contraseñas seguras", señala Rains. "Estas técnicas pueden bloquear los ataques importantes utilizados en la actualidad y probablemente en los próximos años".
"Las mejores prácticas que le recomendaba a la gente hace 10 años todavía tienen vigencia en la actualidad", añade Haley. "Tener un buen software de seguridad, actualizar el sistema y utilizar el sentido común. No hacer clic en enlaces de correo electrónico que no les parezcan seguros".
Por último, Pescatore sugiere buscar en el campo de la salud pública (en lugar de los militares o la ecología) como una metáfora sobre la vida con malware. "Hemos aprendido a lavarnos las manos y mantener el pozo negro a cierta distancia del agua potable", señala. "Todavía tenemos el resfriado común, y todavía tenemos epidemias ocasionales -pero si reaccionamos rápidamente podemos limitar el número de fallecidos".
Lamont Wood, Computerworld (EE.UU.)