Llegamos a ustedes gracias a:



Reportajes y análisis

Anatomía de un spambot

[11/12/2017] Para los profesionales de la seguridad los spambots son los enemigos. Para los inexpertos, son entidades desconocidas. Y aun así proliferan como hormigas en un picnic o adolescentes en aplicaciones de mensajería. Podría estar recibiendo incontables mensajes de bots cada día. E incluso peor, un bot podría estar enviando correos electrónicos no deseados desde su computadora ahora mismo, convirtiéndolo en el participante involuntario en un caos digital.

Al igual que con cualquier desconocido, puede ser útil entender cómo funcionan los spambots, qué es lo que hacen, cómo proliferan y qué es lo que puede hacer para protegerse de ser forzado a operar uno de ellos.

Cómo empieza todo

Antes de que pueda entender cómo un spambot infecta su computadora y cómo funciona, vale la pena explorar cómo llegan a existir en primer lugar.

Thomas Pore, director de TI y servicios de Plixer, una compañía de detección de malware, compartió con Computerworld alguno de los detalles desagradables. Usualmente todo comienza cuando los hackers, muchos de ellos pertenecientes a otros continentes, en lugares como Rusia y China, compran una base de datos de direcciones de correo electrónico en la Web Oscura.

Esto es más fácil de lo que suena, y se está volviendo aún más fácil todo el tiempo. Cuando Yahoo! anunció recientemente que todas las cuentas de sus tres mil millones de usuarios habían sido invadidas en el 2013 -incluyendo información como direcciones de correo electrónico, contraseñas y fechas de nacimiento- la noticia probablemente no sorprendió a los creadores de los spambots. Lo más probable es que ellos hayan estado usando esa información en sus bots por años.

Los spambots se alimentan de direcciones de correo electrónico y no pueden operar sin ellas. El origen de cualquier spambot siempre involucra una colección de correos electrónicos.

Aunque, originalmente, los spambots simplemente adivinaban direcciones de correo electrónico, e intentaban infectar a las computadoras. Lawrence Pingree, analista de Gartner, afirma que esto ya no es cierto. Existen muchas direcciones en venta. Y mediante el uso de ingeniería social, los creadores de spambots instalan un círculo vicioso. Una incursión exitosa de ingeniería social puede derivar en la filtración de datos, y una filtración de datos exitosa hace que más direcciones se encuentren disponibles. Esto explica el incremento masivo de datos filtrados. Se trata de recolectar más información para engañar a más personas. Todo se trata de recolectar más información para engañar a más personas.

Cómo lo infectan

Una de las dificultades para combatir los spambots es que sus creadores siempre están cambiando de tácticas. Por ejemplo, la infección inicial que produce un spambot generador de correos electrónicos en la computadora de un usuario inadvertido. Por algún tiempo, señala Pingree, los spammers han engañado a los usuarios para que éstos, sin ser conscientes, descarguen malware desde sitios web de dudosa reputación, o han usado mensajes de phishing para lograr que los usuarios den clic en un enlace que conlleva problemas.

Las organizaciones de seguridad han grabado profundamente en las mentes de los usuarios la idea de que deben tener cuidado con los archivos adjuntos y enlaces que reciben de extraños. Sin embargo, los spammers han recurrido a tácticas más sofisticadas. Pingree afirma que una técnica reciente es secuestrar la foto de Facebook de algún usuario y después se le envía esta foto en un mensaje que imita bastante bien a una notificación de Facebook informándole que un amigo ha comentado la foto. Responda, y su computadora alojará a un spambot sin su conocimiento.

Otro truco, uno que felizmente es solo una prueba experimental, es mostrar el cuadro de diálogo de contraseña y registro en un iPhone -pero el registro es de una aplicación que tiene el propósito de robar la información de su cuenta y posiblemente instalar malware en su teléfono.

"Los spammers usan ingeniería social (que equivale a 'engaños por medio de mentiras') para conseguir que un usuario confíe en el correo electrónico y abra algún archivo adjunto o dé clic en el contenido del correo, afirma Pingree.

Si el usuario no llega a dar clic, el spammer sigue siendo capaz de obtener algo. Una inspección cercana del mensaje de spam podría rebelarle al ojo conocedor una etiqueta de imagen apenas detectable. Cuando el usuario abre el correo electrónico, la etiqueta le comunica el clic al amo del bot, que ahora sabe que el usuario es una persona real afirma Joe St Sauver, científico y consejero técnico senior de Farsight Security.

En esos casos, cuando un spambot ha sido instalado exitosamente, una nueva computadora que lo alojará, puede empezar a enviar más correos electrónicos, la mayoría de ellos son ataques de phishing o incluso una mayor propagación del código del spambot a través de un cliente de malware.

Lo que sucede en términos técnicos

De acuerdo con Pore de Plixer, una vez que su computadora es infectada, el spambot comienza a comunicarse con un centro de comando y control -esencialmente, un servidor maestro para muchos bots. El servidor maestro opera de una manera que es sorprendentemente similar a un verdadero servidor de correo electrónico. El hacker recibe reportes provenientes del spambot respecto a los niveles de éxito y fracaso. Algunas veces, el centro de comando trasmite instrucciones adicionales al bot respecto a dónde enviar la información. Cambiar constantemente esa información de contacto es importante, afirma Pore, porque el amo del bot está intentando evadir la detección de oficiales de la ley y de profesionales de la seguridad.

Todo ese ir y venir mantiene al spambot en operación, afirma St Sauver.

"Típicamente, el bot funcionará como un apoderado que admite tráfico y después lo bombea hacia afuera, generando confusión respecto a su verdadero origen, e intentando evitar filtros de tráfico que algunos sitios web puedan estar usando, afirma. "O también puede ser utilizado como una 'fábrica' de spam, que toma inputs -como las plantillas de mensajes; falsas líneas "De: y títulos, así como listas de correos electrónicos a las que se dirige- para formular y después enviar mensajes inmediatamente.

Algunas veces los spambots descubrirán que han sido bloqueados para que no envíen spam. Pero eso no hace que el spambot sea inútil, explica St Sauver. Un spambot que no puede cumplir su misión primaria sigue siendo capaz de realizar otras tareas como el engaño de tráfico en una página web, o participar en un ataque de denegación de servicio con el fin de herir a una página web.

Lo que puede hacer respecto a los spambots

Desafortunadamente, lo spambots no siguen un patrón típico de comportamiento por mucho tiempo: Los métodos de ataque están cambiando constantemente, dificultando mucho la protección de las computadoras frente a las infecciones. Puede actualizar el software de detección de malware en la empresa, pero los spammers son hábiles para buscar maneras alternas de seguir infectando.

Debido a que el malware está intentando evadir técnicas antimalware, las empresas grandes se han movido a soluciones de sandboxing y detección y respuesta de terminal, afirma Pingree de Gartner, y están combinando esas defensas con bloqueos de URLs, dominios e IPs, así como con el uso compartido de inteligencia de amenazas.

La batalla siempre creciente puede hacer que la situación suene terrible, donde las organizaciones se enfrentan a creadores de spambot que son tan persistentes como los engaños de phishing que producen. Pero existen algunas buenas noticias. Los spambots tienden a tener un código muy pobre, de acuerdo con los expertos, y se rinden fácilmente. Si usted los golpea demasiado -y actualiza su software de detección y seguridad de terminal- éstos rodarán y morirán.