malware_search

Existe la creencia entre muchos usuarios de equipos informáticos que solamente con el uso de un software antivirus su seguridad está garantizada. Es obvio que muchas de las amenazas existentes, un antivirus las neutralizará, pero en algunos casos su eficacia es limitada, por lo que se deberá implementar otras soluciones y extremar las precauciones. En el siguiente artículo se explican estas situaciones y se proponen soluciones para evitar posibles problemas.

1. Ataques de día cero

Un ataque de día cero (en inglés 0-day attack) es un ataque contra un sistema operativo o una aplicación instalada en el mismo con el objetivo de la ejecución de código malicioso a través de vulnerabilidades generalmente desconocidas para el fabricante del producto y para las casas antivirus así como también las demás personas. El ataque se basa en estas vulnerabilidades desconocidas que utilizan un exploit (del inglés to exploit = explotar o aprovechar), el cual consiste de un software, fragmento de datos o una secuencia de comandos o acciones, utilizada con el objetivo de aprovechar una vulnerabilidad en el sistema operativo o en un software determinado instalado en mismo (navegadores web, complementos, reproductores de video, etc) para conseguir un comportamiento no deseado del mismo mediante la ejecución de código remoto (ejs: tomar el control de un equipo, elevación de privilegios ilícitos, acceso no autorizado y lanzamiento de ataques de denegación de servicio).

Estos exploit maliciosos pueden tomar forma en distintos tipos de software, ejemplo de ellos son los scripts, troyanos, virus o gusanos informáticos los cuales al ser completamente nuevos los fabricantes de antivirus aún no tienen la solución para los mismos.

¿Cómo se puede proteger? Hay dos maneras de defenderse de los ataques de día cero.

Uso de las tecnologías: Hips y BOPS. Estas buscan acciones sospechosas e impiden que se ejecuten.

– Antivirus dinámicos. Interactúan con el fabricante, actualizándose rápidamente y enviando informes de virus.

2. El trabajo desde el exterior del cortafuego

Cada vez más los usuarios usan sus portátiles y dispositivos móviles fuera de la protección de su oficina en la que seguramente tendrá instalado un cortafuego (firewall). La red a la que se conecta en lugares como aeropuertos, hoteles o cafés puede estar comprometida y al usarla los datos que envié a través de la misma.

Una buena solución puede ser implementar en los equipos portátiles cortafuegos con detección de ubicación. Los cortafuegos con tecnología Hips detectan comportamientos sospechosos, por lo que una comunicación saliente que ofrezca dudas de su seguridad será debidamente bloqueada evitando de esta manera la fuga de datos.

3. Computadoras sin parches de actualizaciones

Es paradigmático el caso de Conficker (también conocido como Downup, Downandup y Kido). Este es un gusano informático que después de tres años de existir una solución contra él, aún en el año 2012 era el malware más activo debido a que los usuarios no instalan los parches de seguridad. Cualquier vulnerabilidad del sistema operativo, navegador web, o de cualquier aplicación puede causar problemas muy graves. El software no actualizado puede hacer que su computadora se infecte una y otra vez a través de las vulnerabilidades sin corregir cada vez que se conecte a la red. Una solución es usar herramientas de evaluación de parches que nos mostrarán las actualizaciones necesarias para cada equipo. Una aplicación de software que cumple muy bien esta función es Secunia Personal Software Inspector (PSI).

Otra medida a tomar es usar herramientas de control de acceso a la red (NAC) para permitir acceso a los usuarios con parches y antivirus actualizado.

4. Aplicaciones no restringidas

Suponen riesgos innecesarios y problemas de rendimiento las aplicaciones no administradas (P2P, VOiP, juegos, redes sociales, etc).

Mediante la restricción de aplicaciones se impide la instalación de programas esenciales que hay que administrar, proteger y que restan ancho de banda. Además al usar firmas de identidad y no fijándose en los nombres de archivo estos programas de seguridad informaran de programas ocultos y serán más difíciles de engañar.

5. Navegación por Internet sin protección

No se refiere únicamente a los archiconocidos antimalware, antivirus y firewall, cuyo uso es imperativo cuando se navega por Internet. Pues se debe incorporar software de filtrados de páginas web que analicen la página antes de ser cargada por su navegador web aumentado considerablemente su seguridad. En el caso de las empresas, un filtrado ampliado a sitios web de carácter pornográfico, armas, apuestas, etc. hará que la productividad de sus empleados aumente de manera notable. Esto también se puede aplicar a nivel del hogar para evitar que niños y jóvenes tengan acceso a este tipo de sitios web.

6. Portátiles extraviados o robados

Actualmente las leyes de protección de datos son muy exigentes en lo relacionado con la fuga de datos delicados de los clientes. El problema no es la pérdida o el robo de los portátiles, el problema radica en los datos contenidos en los mismos. Multas, perdidas de confianza y notificación a los ciudadanos hacen que el cuidado de esta información sea clave.

La solución es prácticamente sencilla: cifrar los datos en los portátiles y en los elementos extraíbles para que nadie pueda acceder a ellos sin la contraseña correspondiente. Además cumplirá con la normativa y en el caso de ser extraviados o robados se evitara el uso de datos confidenciales de manera fraudulenta.

7. Mensajes de correo electrónico a direcciones equivocadas

En un email con información confidencial al enviarlo con un sólo clic a una dirección errónea puede suponer un gran problema al llegar a un destinatario incorrecto.

Un error como este es más difícil que ocurra gracias al filtrado de datos ya que puede cifrar los archivos adjuntos al observar el envío de información clasificada o avisarle de que se está enviando información confidencial.

8. Dispositivos USB infectados

Una de los principales focos de infección en las computadoras son los dispositivos USB ya que evitan las capas de seguridad como es el cortafuego.

En el ámbito de las empresas utilice el control de dispositivos para especificar que dispositivos se pueden conectar a las computadoras, y en algunos casos deberá impedir su uso o solamente permitirlo en modo lectura para impedir la fuga de datos.

Otra opción dependiendo del usuario es otorgar distintos permisos.

Fuente: Sophos Iberia Blog