Folleto 4 RIESGOS Y AMENAZAS EN LA RED DE UNA ORGANIZACION

ndice Introduccin. 1 Anlisis de Riesgo.. 1 Riesgo en la Web................................................................................................... 2 Errores (Bugs) o mal configurado del servidor Web.. 3 Perspectiva del cliente...... 3 Interceptar la informacin enviada desde el usuario al servidor Web y viceversa a travs de la red..... 3 Personificacin del servidor Web o del usuario 3 Control de Amenazas en una red.............................. 3 Identificacin de Recursos.... 4 Identificacin de amenazas 5 Medidas de Proteccin 5 Sistema de descubrimiento de red.. 6 Puntos sensibles 6 Robo de Informacin... 6 Abuso Aplicaciones... 6 DDoS... 6 Virus Informticos 7 Clasificacin 7 Daos 9 Mtodos de contagio 9 Mtodos de Proteccin.. 9

INTRODUCCION Hoy en da la vulnerabilidad de las redes informticas de las organizaciones influye grandemente en las prdidas econmicas o resultados satisfactorios de las mismas. Podemos tener una visin general sobre las grandes organizaciones actuales. Empresas con cientos de empleados, con gran presencia de colaboradores externos integrados dentro de la compaa compartiendo recursos e infraestructuras o estableciendo, en ocasiones, conexiones externas con las redes de dichos colaboradores. Por otro lado, la movilidad de los empleados obliga en ocasiones a que dispongan de equipos porttiles que a veces estn conectados a la red de la compaa pero en otros casos se encuentran conectados a otras redes no seguras. Todo esto sin olvidar las complejas organizaciones internas de estas compaas, que cuentan con un elevado nmero de departamentos que, en muchas ocasiones, llegan a ser prcticamente independientes. Y por ltimo, pero no por ello menos importante, el dinamismo reinante en las grandes empresas en el que no faltan fusiones de compaas, adquisiciones o fuertes reorganizaciones, que llevan a situaciones de desconocimiento de la red y los servicios que en ella existen y como consecuencia aumenta el riesgo. Los responsables de seguridad pueden llegar a controlar en mayor o menor medida las conexiones que se mantienen con el exterior; eso es la situacin ideal, pero en ocasiones existen comunicaciones con otras redes que o bien nunca deberan haber estado ah o bien son accesos que en un momento fueron necesarios y nunca llegaron a eliminarse cuando dejaron de serlo o sencillamente, por los motivos mencionados anteriormente, los responsables de seguridad nunca tuvieron conocimiento de ellas. Todas estas circunstancias conducen a una serie de riesgos potenciales que en ms de una ocasin los responsables de seguridad o sistemas desconocen y para los que hasta hace bien poco no existan soluciones efectivas que pudieran detectar. ANALISIS DE RIESGOS En un entorno informtico existen una serie de recursos (humanos, tcnicos, de infraestructura...) que estn expuestos a diferentes tipos de riesgos: los `normales', aquellos comunes a cualquier entorno, y los excepcionales, originados por situaciones concretas que afectan o pueden afectar a parte de una organizacin o a toda la misma, como la inestabilidad poltica en un pas o una regin sensible a terremotos. Para tratar de minimizar los efectos de un problema de seguridad se realiza lo que denominamos un anlisis de riesgos, trmino que hace referencia al proceso necesario para responder a tres cuestiones bsicas sobre nuestra seguridad: qu queremos proteger? contra quin o qu lo queremos proteger? cmo lo queremos proteger?

En la prctica existen dos aproximaciones para responder a estas cuestiones, una cuantitativa y otra cualitativa. La primera de ellas es con diferencia la menos usada, ya que en muchos casos implica clculos complejos o datos difciles de estimar. Se basa en dos parmetros fundamentales: la probabilidad de que un suceso ocurra y una estimacin del coste o las prdidas en caso de que as sea; el producto de ambos trminos es lo que se denomina coste anual estimado (EAC, Estimated Annual Cost), y aunque tericamente es posible conocer el riesgo de cualquier evento (el EAC) y tomar decisiones en funcin de estos datos, en la prctica la inexactitud en la estimacin o en el clculo de parmetros hace difcil y poco realista esta aproximacin. El segundo mtodo de anlisis de riesgos es el cualitativo, de uso muy difundido en la actualidad especialmente entre las nuevas `consultoras' de seguridad (aquellas ms especializadas en seguridad lgica, cortafuegos, tests de penetracin y similares). Es mucho ms sencillo e intuitivo que el anterior, ya que ahora no entran en juego probabilidades exactas sino simplemente una estimacin de prdidas potenciales. Para ello se interrelacionan cuatro elementos principales: las amenazas, por definicin siempre presentes en cualquier sistema, las vulnerabilidades, que 1

potencian el efecto de las amenazas, el impacto asociado a una amenaza, que indica los daos sobre un activo por la materializacin de dicha amenaza, y los controles o salvaguardas, contramedidas para minimizar las vulnerabilidades (controles preventivos) o el impacto (controles curativos). Por ejemplo, una amenaza sera un pirata que queramos o no (no depende de nosotros) va a tratar de modificar nuestra pgina web principal, el impacto sera una medida del dao que causara si lo lograra, una vulnerabilidad sera una configuracin incorrecta del servidor que ofrece las pginas, y un control la reconfiguracin de dicho servidor o el incremento de su nivel de parcheado. Con estos cuatro elementos podemos obtener un indicador cualitativo del nivel de riesgo asociado a un activo determinado dentro de la organizacin, visto como la probabilidad de que una amenaza se materialice sobre un activo y produzca un determinado impacto. Es interesante la metodologa de anlisis de riesgos desarrollada en Espaa desde el Consejo Superior de Informtica (Ministerio de Administraciones Pblicas) y denominada MAGERIT (Metodologa de Anlisis y GEstin de Riesgos de los sistemas de Informacin de las AdminisTraciones pblicas); se trata de un mtodo formal para realizar un anlisis de riesgos y recomendar los controles necesarios para su minimizacin. MAGERIT se basa en una aproximacin cualitativa que intenta cubrir un amplio espectro de usuarios genricos gracias a un enfoque orientado a la adaptacin del mecanismo dentro de diferentes entornos, generalmente con necesidades de seguridad y nivel de sensibilidad tambin diferentes. Tras obtener mediante cualquier mecanismo los indicadores de riesgo en nuestra organizacin llega la hora de evaluarlos para tomar decisiones organizativas acerca de la gestin de nuestra seguridad y sus prioridades. Tenemos por una parte el riesgo calculado, resultante de nuestro anlisis, y este riesgo calculado se ha de comparar con un cierto umbral (umbral de riesgo) determinado por la poltica de seguridad de nuestra organizacin; el umbral de riesgo puede ser o bien un nmero o bien una etiqueta de riesgo (por ejemplo, nivel de amenaza alto, impacto alto, vulnerabilidad grave, etc.), y cualquier riesgo calculado superior al umbral ha de implicar una decisin de reduccin de riesgo. Si por el contrario el calculado es menor que el umbral, se habla de riesgo residual, y el mismo se considera asumible (no hay porqu tomar medidas para reducirlo). El concepto de asumible es diferente al de riesgo asumido, que denota aquellos riesgos calculados superiores al umbral pero sobre los que por cualquier razn (poltica, econmica...) se decide no tomar medidas de reduccin; evidentemente, siempre hemos de huir de esta situacin. RIESGOS EN LA WEB La Internet rpidamente ha ganado aceptacin como medio de mercadeo y distribucin para una amplia variedad de negocios, ya que provee una plataforma barata para la negociacin y el intercambio de servicios, informacin y bienes a consumidores. Existe un incremento de organizaciones que han tomado la Internet como medio de reducir costos y extenderse. Sin embargo, la seguridad representa una barrera para el comercio electrnico en la Internet. La habilidad de enviar y recibir datos seguros es un requerimiento fundamental. En un medio tan inseguro es necesario un mecanismo que prevenga los accesos no autorizados a los datos intercambiados por los usuarios, tales como informacin de tarjetas de crdito y cuentas. Aunado a esto, en este ambiente annimo, los negocios y las organizaciones necesitan un medio para establecer su identidad y credibilidad para protegerse as mismas y a sus clientes de impostores. El protocolo TCP/IP, utilizado por la Internet, no fue diseado para asegurar transacciones seguras, ya que es vulnerable a los fisgones de red. Cuando una informacin confidencial es trasmitida entre un servidor Web y el usuario o viceversa, los datos viajan por un medio inseguro con posibilidad de ser capturados por terceros. Aunque los riesgos son ms severos desde la perspectiva del servidor Web, ya que este puede representar una debilidad potencial para la seguridad de la red de una organizacin; los usuarios estn en la posibilidad de correr riesgos al visitar pginas que atenten a su seguridad.

Errores (bugs) o mala configuracin del servidor Web Tanto el software del servidor Web y el sistema operativo que sirve de plataforma para el mismo puede contener errores que representen agujeros vulnerables a ataques, tal es el caso del sistema Unix, lo que facilita a usuarios remotos no autorizados se aprovechen de estos agujeros para robar documentos confidenciales, ejecutar comandos en la maquina servidor para ganar acceso al sistema o simplemente lanzar un ataque de negacin de servicio. Sin embargo, se debe considerar el factor de la experiencia de los administradores de los sistemas y los anfitriones. Perspectiva del cliente No slo el servidor Web puede presentar riesgos en la seguridad, as tambin los usuarios que utilizan los navegadores para visitar los Web Sites son vulnerables a ataques. Contenidos activos, tales como los applets de java o cdigos de JavaScript, pueden daar el sistema del usuario, violar la privacidad del mismo o simplemente molestarlo. Interceptar la informacin enviada desde el usuario al servidor Web y viceversa a travs de la red El protocolo que utiliza la Internet (TCP/IP) hace que viaje la informacin a travs de la red en forma leble, siendo vulnerable a ser capturada por los llamados espas (eavesdroppers) de la red en cualquier punto del camino entre el usuario y el servidor, atentando de esta manera a la confidencialidad de la misma Personificacin del servidor Web o del usuario En un medio annimo como Internet, existe el riesgo de que un tercero pueda personificar a un determinado usuario o a un servidor Web, ya que el protocolo TCP/IP es vulnerable a ataques spoofing. CONTROL DE AMENAZAS EN UNA RED Identificacin de recursos Debemos identificar todos los recursos cuya integridad pueda ser amenazada de cualquier forma; por ejemplo, bsicamente los siguientes: Hardware Procesadores, tarjetas, teclados, terminales, estaciones de trabajo, ordenadores personales, impresoras, unidades de disco, lneas de comunicacin, servidores, routers... Software Cdigos fuente y objeto, utilidades, programas de diagnstico, sistemas operativos, programas de comunicacin. Informacin En ejecucin, almacenados en lnea, almacenados fuera de lnea, en comunicacin, bases de datos. Personas Usuarios, operadores... Accesorios Papel, cintas, tners... Aparte del recurso en s (algo tangible, como un router) hemos de considerar la visin intangible de cada uno de estos recursos (por ejemplo la capacidad para seguir trabajando sin ese router). Es difcil generar estos aspectos intangibles de los recursos, ya que es algo que va a depender de cada organizacin, su funcionamiento, sus seguros, sus normas...No obstante, siempre hemos de tener en cuenta algunos aspectos comunes: privacidad de los usuarios, imagen pblica de la organizacin, reputacin, satisfaccin del personal y de los clientes - en el caso de una universidad, de los alumnos -, capacidad de procesamiento ante un fallo... Con los recursos correctamente identificados se ha de generar una lista final, que ya incluir todo lo que necesitamos proteger en nuestra organizacin. 3

Identificacin de amenazas Una vez conocemos los recursos que debemos proteger es la hora de identificar las vulnerabilidades y amenazas que se ciernen contra ellos. Una vulnerabilidad es cualquier situacin que pueda desembocar en un problema de seguridad, y una amenaza es la accin especfica que aprovecha una vulnerabilidad para crear un problema de seguridad; entre ambas existe una estrecha relacin: sin vulnerabilidades no hay amenazas, y sin amenazas no hay vulnerabilidades. Se suelen dividir las amenazas que existen sobre los sistemas informticos en tres grandes grupos, en funcin del mbito o la forma en que se pueden producir: Desastres del entorno Dentro de este grupo se incluyen todos los posibles problemas relacionados con la ubicacin del entorno de trabajo informtico o de la propia organizacin, as como con las personas que de una u otra forma estn relacionadas con el mismo. Por ejemplo, se han de tener en cuenta desastres naturales (terremotos, inundaciones...), desastres producidos por elementos cercanos, como los cortes de fluido elctrico, y peligros relacionados con operadores, programadores o usuarios del sistema. Amenazas en el sistema Bajo esta denominacin se contemplan todas las vulnerabilidades de los equipos y su software que pueden acarrear amenazas a la seguridad, como fallos en el sistema operativo, medidas de proteccin que ste ofrece, fallos en los programas, copias de seguridad... Amenazas en la red Cada da es menos comn que una mquina trabaje aislada de todas las dems; se tiende a comunicar equipos mediante redes locales, intranets o la propia Internet, y esta interconexin acarrea nuevas - y peligrosas - amenazas a la seguridad de los equipos, peligros que hasta el momento de la conexin no se suelen tener en cuenta. Por ejemplo, es necesario analizar aspectos relativos al cifrado de los datos en trnsito por la red, a proteger una red local del resto de Internet, o instalar sistemas de autenticacin de usuarios remotos que necesitan acceder a ciertos recursos internos a la organizacin (como un investigador que conecta desde su casa a travs de un mdem). Algo importante a la hora de analizar las amenazas a las que se enfrentan nuestros sistemas es analizar los potenciales tipos de atacantes que pueden intentar violar nuestra seguridad. Es algo normal que a la hora de hablar de atacantes todo el mundo piense en crackers, en piratas informticos mal llamados hackers. No obstante, esto no es ms que el fruto de la repercusin que en todos los medios tienen estos individuos y sus acciones; en realidad, la inmensa mayora de problemas de seguridad vienen dados por atacantes internos a la organizacin afectada. En organismos de I+D estos atacantes suelen ser los propios estudiantes (rara vez el personal), as como piratas externos a la entidad que aprovechan la habitualmente mala proteccin de los sistemas universitarios para acceder a ellos y conseguir as cierto status social dentro de un grupo de piratas. Los conocimientos de estas personas en materias de sistemas operativos, redes o seguridad informtica suelen ser muy limitados, y sus actividades no suelen entraar muchos riesgos a no ser que se utilicen nuestros equipos para atacar a otras organizaciones, en cuyo caso a los posibles problemas legales hay que sumar la mala imagen que nuestras organizaciones adquieren. No siempre hemos de contemplar a las amenazas como actos intencionados contra nuestro sistema: muchos de los problemas pueden ser ocasionados por accidentes, desde un operador que derrama una taza de caf sobre una terminal hasta un usuario que tropieza con el cable de alimentacin de un servidor y lo desconecta de la lnea elctrica, pasando por temas como el borrado accidental de datos o los errores de programacin; decir `no lo hice a propsito' no ayuda nada en estos casos. Por supuesto, tampoco tenemos que reducirnos a los accesos no autorizados al sistema: un usuario de nuestras mquinas puede intentar conseguir privilegios que no le corresponden, una persona externa a la organizacin puede lanzar un ataque de negacin de servicio contra la misma sin necesidad de conocer ni siquiera un login y una contrasea, etc. 4

Medidas de proteccin Tras identificar todos los recursos que deseamos proteger, as como las posibles vulnerabilidades y amenazas a que nos exponemos y los potenciales atacantes que pueden intentar violar nuestra seguridad, hemos de estudiar cmo proteger nuestros sistemas, sin ofrecer an implementaciones concretas para protegerlos (esto ya no seran polticas sino mecanismos). Esto implica en primer lugar cuantificar los daos que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades de que una amenaza se pueda convertir en realidad. Este clculo puede realizarse partiendo de hechos sucedidos con anterioridad en nuestra organizacin, aunque por desgracia en muchos lugares no se suelen registrar los incidentes acaecidos. En este caso, y tambin a la hora de evaluar los daos sobre recursos intangibles, existen diversas aproximaciones como el mtodo Delphi, que bsicamente consiste en preguntar a una serie de especialistas de la organizacin sobre el dao y las prdidas que cierto problema puede causar; no obstante, la experiencia del administrador en materias de seguridad suele tener aqu la ltima palabra a la hora de evaluar los impactos de cada amenaza. La clasificacin de riesgos de cara a estudiar medidas de proteccin suele realizarse en base al nivel de importancia del dao causado y a la probabilidad aproximada de que ese dao se convierta en realidad; se trata principalmente de no gastar ms dinero en una implementacin para proteger un recurso que vale menos que la implementacin o menos de lo que nos costara recuperarnos de un dao en l o de su prdida total. Por ejemplo, llamamos al riesgo de perder un recurso R (a la probabilidad de que se produzca un ataque), y le asignamos un valor de 0 a 10; de la misma forma, definimos tambin de 0 a 10 la importancia I de cada recurso, siendo 10 la importancia ms alta. La evaluacin del riesgo es entonces el producto de ambos valores, llamado peso P o riesgo evaluado de un recurso P = RI. De esta forma podemos utilizar hojas de trabajo en las que, para cada recurso, se muestre su nombre y el nmero asignado, as como los tres valores anteriores. Evidentemente, los recursos que presenten un riesgo evaluado mayor sern los que ms medidas de proteccin deben poseer, ya que esto significa que es probable que sean atacados, y que adems el ataque puede causar prdidas importantes. Es especialmente importante un grupo de riesgos denominados inaceptables, aquellos cuyo peso supera un cierto umbral; se trata de problemas que no nos podemos permitir en nuestros sistemas, por lo que su prevencin es crucial para que todo funcione correctamente. Una vez que conocemos el riesgo evaluado de cada recurso es necesario efectuar lo que se llama el anlisis de costos y beneficios. Bsicamente consiste en comparar el costo asociado a cada problema (calculado anteriormente,) con el costo de prevenir dicho problema. El clculo de este ltimo no suele ser complejo si conocemos las posibles medidas de prevencin que tenemos a nuestra disposicin: por ejemplo, para saber lo que nos cuesta prevenir los efectos de un incendio en la sala de operaciones, no tenemos ms que consultar los precios de sistemas de extincin de fuego, o para saber lo que nos cuesta proteger nuestra red slo hemos de ver los precios de productos como routers que bloqueen paquetes o cortafuegos completos. No slo hemos de tener en cuenta el costo de cierta proteccin, sino tambin lo que nos puede suponer su implementacin y su mantenimiento; en muchos casos existen soluciones gratuitas para prevenir ciertas amenazas, pero estas soluciones tienen un costo asociado relativo a la dificultad de hacerlas funcionar correctamente de una forma continua en el tiempo, por ejemplo dedicando a un empleado a su implementacin y mantenimiento. Cuando ya hemos realizado este anlisis no tenemos ms que presentar nuestras cuentas a los responsables de la organizacin (o adecuarlas al presupuesto que un departamento destina a materias de seguridad), siempre teniendo en cuenta que el gasto de proteger un recurso ante una amenaza ha de ser inferior al gasto que se producira si la amenaza se convirtiera en realidad. Hemos de tener siempre presente que los riesgos se pueden minimizar, pero nunca eliminarlos completamente, por lo que ser recomendable planificar no slo la prevencin ante de un problema sino tambin la recuperacin si el mismo se produce; se suele hablar de medidas

proactivas (aquellas que se toman para prevenir un problema) y medidas reactivas (aquellas que se toman cuando el dao se produce, para minimizar sus efectos). Sistemas de descubrimiento de red Cuestiones que deberan plantearse y para las que los sistemas de descubrimiento de red aportan una respuesta: A qu redes esta conectada mi empresa? Deberamos conocer si existen conexiones no controladas con redes inseguras, modems en puestos de usuarios o colaboradores externos conectados a la red, o si persisten conexiones con clientes o proveedores externos. Existen fugas de informacin en mi red a travs de caminos alternativos? Es importante tener en cuenta que de nada sirven las medidas de seguridad que se implanten a nivel central si es posible establecer un canal paralelo de comunicacin inseguro que evite estas medidas. Pongamos un ejemplo: Un empleado de la empresa (A) tiene a un vecino trabajando en otra empresa (B) en la planta inferior del mismo edificio y ambos deciden conectar sus porttiles con una conexin Wifi del mismo modo que hacen en su casa. La empresa A cuenta con un importante despliegue de soluciones de seguridad perimetral (cortafuegos, antivirus, IDS, etc) mientras que la empresa B, mucho ms pequea, apenas tiene unas pocas reglas de filtrado en su router de conexin. Acabamos de comprometer la seguridad de una empresa (A) que, habiendo realizado grandes inversiones para garantizar la seguridad de sus Sistemas de Informacin, no ha evaluado correctamente los riesgos de la falta de informacin. (Ver Figura 1).

Figura 1. Fuga de informacin. Una vez identificado el problema, la solucin pasa por conocer de forma certera y sin errores el estado de la red, los sistemas que la componen y los caminos existentes a otras redes. Obtener este nivel de conocimiento sin ayuda de herramientas externas es un trabajo tedioso para el cual, los sistemas de descubrimiento de red suponen una eficaz ayuda a los responsables de seguridad. Incluso en el caso en que se decida realizar sin el apoyo de este tipo de herramientas, al final los responsables de seguridad debern depositar la confianza en el conocimiento, incluso en la buena fe en otros departamentos, cuya ltima misin en la compaa no es la seguridad en los sistemas de informacin. PUNTOS SENSIBLES Robo de Informacin Cmo consiguen Passwords Sniffing 6

Replay Ataques Descuido Empleados y Usuarios Robo de Archivos de Password Default Passwords Ataques librera/diccionario Cmo evitan ser detectados Fragmentacin Puertos no default Slow scans Ataques coordinados Spoofing Cambio patrones de ataque Abuso Aplicaciones Mal uso Aplicaciones Navegacin a Webs inapropiados Transmisin va e-mail de info sensible Mensajera Instantnea Aplicaciones Vulnerables Servicio de Internet Servidor Cliente Cumplimiento Poltica Seg. Comportamientos Aplicaciones Buffer Overflows Entradas inesperadas Entradas mal manejadas Desconfiguracion Acceso simultneo a datos Configuraciones Defecto Passwords comunes Relaciones de Confianza de Servidores DDoS Qu es? Trfico agregado masivamente Master, Slave, Victim Dejar por fuera un servicio Relevancia Actual Smurf ICMP Fraggle UDP Amplificadores SYN Flood TCP Vulnerable DNS Attacks Ping Flood Mail Bomb Syslog VIRUS INFORMTICOS Existe cierta controversia sobre la definicin de virus informtico. Quizs la ms aceptada pertenece a Fred B. Cohen, quien en 1984 escribi su tesis doctoral acerca de los virus, 7

definindolos como un programa de ordenador que puede infectar otros programas modificndolos para incluir una copia de s mismo. Los virus informticos tienen bsicamente la funcin de propagarse, replicndose, pero algunos contienen adems una carga daina (payload) con distintos objetivos, desde una simple broma hasta realizar daos importantes en los sistemas, o bloquear las redes informticas generando trfico intil. El funcionamiento de un virus informtico es conceptualmente simple: ejecutando un programa infectado (normalmente por desconocimiento del usuario) el cdigo del virus queda almacenado (residente) en la memoria RAM del ordenador, aun cuando el programa que lo contena haya terminado de ejecutarse. El virus toma entonces el control de los servicios bsicos del sistema operativo, infectando los posteriores ficheros ejecutables que sean abiertos o ejecutados, aadiendo su propio cdigo al del programa infectado y grabndolo en disco, con lo cual el proceso de replicado se completa. Clasificacin (encontrada en varias fuentes bibliogrficas) Segn lo infectado Segn algunos autores, fundamentalmente existen dos tipos de virus: Aquellos que infectan archivos. A su vez, estos se clasifican en: Virus de accin directa. En el momento en el que se ejecutan, infectan a otros programas. Virus residentes. Al ser ejecutados, se instalan en la memoria del ordenador. Infectan a los dems programas a medida que se accede a ellos. Por ejemplo, al ser ejecutados. Los que infectan el sector de arranque (virus de boot). Recordemos que el sector de arranque es lo primero que lee el ordenador cuando es encendido. Estos virus residen en la memoria. Existe una tercera categora llamada multipartite, pero corresponde a los virus que infectan archivos y al sector de arranque, por lo que se puede decir que es la suma de las dos categoras anteriores. Para otros autores, la clasificacin de los virus tambin se divide en dos categoras, pero el mtodo de clasificacin utilizado es diferente: Virus de archivos, que modifican archivos o entradas de las tablas que indican el lugar donde se guardan los directorios o los archivos. Virus de sistema operativo, cuyo objetivo consiste en infectar aquellos archivos que gobiernan el ordenador. Existe una tercera clasificacin, para unificar la forma de nombrar a los virus. En esta clasificacin se atiende a la plataforma en la que acta el virus y a algunas de sus caractersticas ms importantes. Segn su comportamiento En funcin de su comportamiento, todos los virus anteriores pueden a su vez clasificarse en otros subgrupos: Virus uniformes, que producen una replicacin idntica a s mismos. Virus encriptados, que cifran parte de su cdigo para que sea ms complicado su anlisis. A su vez pueden emplear: Encriptacin fija, empleando la misma clave. Encriptacin variable, haciendo que cada copia de s mismo est encriptada con una clave distinta. De esta forma reducen el tamao del cdigo fijo empleado para su deteccin. Virus oligomrficos, que poseen un conjunto reducido de funciones de encriptacin y eligen una de ellas aleatoriamente. Requieren distintos patrones para su deteccin. Virus polimrficos, que en su replicacin producen una rutina de encriptacin completamente variable, tanto en la frmula como en la forma del algoritmo. Con polimorfismos fuertes se requiere de emulacin, patrones mltiples y otras tcnicas antivirus avanzadas. Virus metamrficos, que reconstruyen todo su cuerpo en cada generacin, haciendo que vare por completo. De esta forma se llevan las tcnicas avanzadas de deteccin al lmite. Por fortuna, esta categora es muy rara y slo se encuentran en laboratorio. Sobreescritura, cuando el virus sobrescribe a los programas infectados con su propio cuerpo. Stealth o silencioso, cuando el virus oculta sntomas de la infeccin. 8

Existen ms muchas ms clasificaciones segn su comportamiento. Daos Dado que una caracterstica de los virus es el consumo de recursos, los virus ocasionan problemas tales como prdida de productividad, cortes en los sistemas de informacin o daos a nivel de datos. Otra de las caractersticas es la posibilidad que tienen de ir replicndose. Las redes en la actualidad ayudan a dicha propagacin. Otros daos que los virus producen a los sistemas informticos son la prdida de informacin, horas de parada productiva, tiempo de reinstalacin, etc. Hay que tener en cuenta que cada virus plantea una situacin diferente. Mtodos de contagio Existen dos grandes grupos de contaminaciones, los virus donde el usuario en un momento ejecuta o acepta de forma inadvertida la instalacin del virus, o los gusanos donde el programa malicioso acta replicndose a travs de las redes. En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anmalos o no previstos. Dichos comportamientos pueden dar la traza del problema y permitir la recuperacin del mismo. Dentro de las contaminaciones ms frecuentes por interaccin del usuario estn las siguientes: Mensajes que ejecutan automticamente programas (como el programa de correo que abre directamente un archivo adjunto) Ingeniera social, mensajes como ejecute este programa y gane un premio. Entrada de informacin en discos de otros usuarios infectados. Instalacin de software pirata o de baja calidad. En el sistema Windows existe el caso nico de que el computador pueda infectarse sin ningn tipo de intervencin del usuario (versiones Windows 2000, XP y Server 2003) por virus como Blaster, Sasser y sus variantes, por el simple acto de conectar el computador a la red Internet. Este tipo de virus aprovechan una vulnerabilidad de desbordamiento de bfer y puertos de red para infiltrarse y contagiar el equipo, causar inestabilidad en el sistema, muestra mensajes de error y hasta reinicios involuntarios, reenviarse a otras mquinas mediante la red local o Internet, entre otros daos. En las ltimas versiones de Windows 2000, XP y Server 2003 se corregi este problema, ms en Windows 7. El usuario debe descargar actualizaciones y parches de seguridad. Mtodos de proteccin Los mtodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos. Activos Antivirus: los llamados programas antivirus tratan de descubrir las trazas que ha dejado un software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminacin. Tratan de tener controlado el sistema mientras funciona parando las vas conocidas de infeccin y notificando al usuario de posibles incidencias de seguridad. Filtros de ficheros: consiste en generar filtros de ficheros dainos si el ordenador est conectado a una red. Estos filtros pueden usarse por ejemplo en el sistema de correos o usando tcnicas de firewall. En general este sistema proporciona una seguridad donde el usuario no requiere de intervencin, puede ser ms tajante, y permitir emplear nicamente recursos de forma ms selectiva. Pasivos Copias de seguridad: mantener una poltica de copias de seguridad garantiza la recuperacin de los datos y la respuesta cuando nada de lo anterior ha funcionado.