Beruflich Dokumente
Kultur Dokumente
Troyanos, falsos clic y anuncios de dinero fcil son algunos de los vectores utilizados por los creadores de malware para aprovecharse de los usuarios de Internet
ndice
Redactor jefe Dan sommer Colaboradores anthony Bettini Hiep Dang Benjamin edelman elodie grandjean Jeff green aditya Kapoor rahul Kashyap Markus Jacobsson Karthik raman craig schmugar Estadsticas Toralv Dirro shane Keats David Marcus Franois Paget craig schmugar Ilustrador Doug ross Diseo PaIr Design, llc Agradecimientos Muchas personas han contribuido a la creacin de este nmero de McAfee Security Journal. citaremos nicamente algunos de los colaboradores ms destacados: los directivos de Mcafee, Inc. y Mcafee avert labs que han prestado su apoyo a esta creacin; nuestro equipo de revisorescarl Banzhof, Hiep Dang, David Marcus, craig schmugar, anna stepanov y Joe Telafici; nuestros autores y sus jefes y compaeros que les han aportado sus ideas y comentarios; los especialistas en marketing cari Jaquet, Mary Karlton, Beth Martinez y Jennifer natwick; el especialista en relaciones pblicas Joris evers, su equipo internacional y red consultancy ltd.; nuestra agencia de diseo, Pair Design; nuestra imprenta, rr Donnelley, y Derrick Healy y su equipo en nuestra oficina de localizacin de cork, Irlanda, que ha coordinado la traduccin de esta publicacin a muchos idiomas. gracias a todos; esta publicacin no sera una realidad sin vuestra inestimable contribucin! Dan sommer redactor jefe
Los orgenes de la ingeniera social Desde el caballo de Troya de la odisea hasta el phishing en Internet: el eterno engao. Hiep Dang Pedid y se os dar la psicologa de la ingeniera social: Por qu funciona? Karthik Raman Ingeniera social 2.0: Y ahora qu? el fraude del clic se vislumbra como una de las amenazas ms importantes que deberemos afrontar en el futuro cercano. Markus Jakobsson Los Juegos Olmpicos de Pekn: Un objetivo perfecto para el malware de ingeniera social los Juegos olmpicos, junto con otros grandes eventos, constituyen una atraccin irresistible para los creadores de malware. Elodie Grandjean Vulnerabilidades en los mercados de valores Pueden los piratas informticos obtener ganancias del Martes de parches y otras noticias de las empresas? Anthony Bettini El futuro de los sitios de redes sociales la afluencia de usuarios y dinero convierte a los sitios sociales en un objetivo ms del malware. Craig Schmugar La nueva cara de las vulnerabilidades Trucos de ingeniera social pueden empujar a los usuarios a agujeros de software. Rahul Kashyap Typosquatting: Aventuras involuntarias de navegantes el navegante imprudente puede acabar en el lugar equivocado. Benjamin Edelman Qu ha sido del adware y el spyware? Una legislacin ms severa puede haber apaciguado el adware, pero los programas potencialmente no deseados (PUP) y troyanos siguen entre nosotros. Aditya Kapoor Estadsticas cul es el riesgo para los dominios de primer nivel? David Marcus
9 13
16
22
28
31 34
38
44
Bienvenido al primer nmero de nuestra revista de seguridad McAfee Security Journal. aunque lo llamamos "primer nmero", en realidad no es la primera vez que realizamos esta publicacin. le hemos cambiado el nombre; hasta ahora era Anlisis de amenazas globales (gTr). en McAfee Security Journal, observar la actitud crtica de siempre, junto a todo el contenido dinmico que puede esperar de los mejores investigadores y autores en el campo de la investigacin de la seguridad informtica: los especialistas de Mcafee avert labs. en este nmero, abordamos el vector de ataque ms insidioso e invasivo de todos: la ingeniera social. Tibet libre! Nuevas imgenes de la III Guerra Mundial! Secretos para evadir impuestos! Nuevas tecnologas para ahorrar electricidad! Medicinas a buen precio a travs de Internet! y la lista podra seguir, pero creo que ha quedado claro. ahora ms que nunca el envo de mensajes seductores que lleguen a las vctimas potenciales es clave para el xito de los desarrolladores de malware y los ladrones de identidad. sin embargo, el uso de la ingeniera social como mtodo de estafa no es precisamente nuevo: existe desde que los humanos se comunican. T tienes algo que yo quiero. Te convenzo para que me lo des o para que hagas lo que yo quiero. el factor humano hace de la ingeniera social una de las amenazas ms difciles de combatir. es posible que la forma ms fcil de apoderarse de la identidad de otra persona sea simplemente pedrsela. Todas las tcnicas de ingeniera social estafas Ponzi, timos, estafas piramidales, fraudes sencillos, phishing o spam siguen patrones similares. ya sean fsicas o digitales, todas tienen elementos en comn. comparten el mismo objetivo y en muchos casos incluso emplean las mismas tcnicas. Todas pretenden manipular a las vctimas aprovechando un fallo en el hardware humano. Todas crean escenarios especialmente diseados para convencer a las vctimas de que divulguen determinada informacin o realicen una accin concreta. Hemos reunido a otro destacable grupo de investigadores y autores para analizar este tema y documentarlo para nuestros lectores. Incluso hemos incorporado una novedad a nuestra revista: ser la primera vez que contamos con colaboradores invitados. empezamos con dos de los mejores: el Dr. Markus Jacobsson del centro de investigacin Palo alto research center y el profesor Benjamin edelman de la universidad de estudios empresariales Harvard Business school.
empezaremos con una mirada retrospectiva a la historia del engao. a continuacin, analizaremos el trasfondo psicolgico de este tipo de ataques. Despus examinaremos la posible evolucin de la ingeniera social en los prximos aos. los Juegos olmpicos de Pekn de 2008 han terminado, y una vez ms los autores de malware han intentado engaar a los aficionados para que visitaran sitios Web falsos. se puede ganar dinero en la bolsa programando eventos como los Martes de parches de Microsoft o falsificando noticias de empresas? en nuestra exhaustiva investigacin hallarn una respuesta. y qu ocurrir a partir de ahora con los sitios de redes sociales? se reforzar la seguridad o estn condenados a convertirse en objetivos fciles debido a un exceso de confianza de los usuarios? Vamos a ver tambin cmo atacan los creadores de malware algunas vulnerabilidades del software y cmo aprovechan los errores cometidos al escribir el nombre de los sitios Web, tcnica conocida como typosquatting. nuestro artculo final dar una respuesta a la pregunta Qu ha pasado con el adware y el spyware? Terminaremos con algunos datos estadsticos que muestran cmo vara el porcentaje de amenazas dirigidas a dominios de nivel superior en todo el mundo. esperamos que encuentre este nmero tan interesante e inquietante como nosotros. gracias por acompaarnos de nuevo en nuestro viaje a las profundidades de la seguridad informtica.
Jeff Green es Vicepresidente primero de Mcafee avert labs y del departamento de Desarrollo de productos. es responsable a nivel mundial de toda la organizacin de investigacin de Mcafee, que se extiende por los continentes americano, europeo y asitico. su tarea es supervisar los equipos de investigacin que se ocupan de los virus, ataques dirigidos y ataques de piratas, spyware, spam, phishing, vulnerabilidades y parches, as como de las tecnologas de deteccin/prevencin de intrusiones en hosts y redes. adems, green lidera la investigacin sobre seguridad a largo plazo con el fin de garantizar que Mcafee vaya siempre un paso por delante de las amenazas emergentes.
oToo 2008
sera difcil hoy en da leer un artculo de prensa o un libro sobre seguridad informtica sin que apareciera el trmino ingeniera social ms de una vez.
Popularizada por Kevin Mitnick (posiblemente el ingeniero social ms tristemente famoso de la era informtica moderna), la ingeniera social es en esencia el arte de la persuasin: convencer a las personas para que revelen datos confidenciales o realicen alguna accin. aunque el trmino ingeniera social es relativamente nuevo, las tcnicas y filosofas que la sustentan estn presentes desde los albores de la humanidad. existen historias de engao y manipulacin en muchas pginas de la historia, el folclore, la mitologa, la religin y la literatura. ms de ingeniera social contra Zeus, Prometeo rob el brillo que se ve de lejos del infatigable fuego en una hueca caaheja del monte olimpos y se lo leg a los hombres. como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada da llegaba un guila que le coma el hgado; por la noche ste le volva a crecer. como castigo para los hombres, Zeus cre a la primera mujer, Pandora, quien portaba un nfora que ella abri por curiosidad, liberando incontables plagas.
Oh miserables ciudadanos! Qu locura tan grande! Qu increble locura es sta? Pensis que se han alejado los Griegos de vuestras costas? As conocemos a Ulises? O en esa armazn de madera, hay gente aqui va oculta, o se ha fabricado en dao de nuestros muros, con objeto de explorar nuestras moradas y dominar desde su altura la ciudad, o algn otro engao esconde. No confiis en sus regalos, no creis en el caballo!
la falta de juicio de los troyanos fue su perdicin. esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del caballo mataron a los guardias y abrieron las puertas al resto del ejrcito. gracias a la ingeniosa tctica de ingeniera social ideada por Ulises, los griegos derrotaron a los troyanos.
oToo 2008
Crecimiento del malware y los programas PUP Distintas familias desde el ao 1997 al 2007 en miles
140 130 120 110 100 90 80 70 60 50 40 30 20 10 0 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007
Figura 1: La frecuencia de malware y programas potencialmente no deseados (PUP) en los archivos de firmas de McAfee ha tenido varios momentos lgidos en la ltima dcada. En 1998 entraron en escena los generadores de virus; en 2003 y 2004 se popularizaron los remitentes de correo masivo; en 2004 y 2005 aumentaron las redes de bots y en 2006 y 2007 despegaron los troyanos.
Un timo actualizado
el fraude del pago por adelantado, ms conocido como timo nigeriano (timo 419), ha circulado durante dcadas y sigue siendo uno de los tipos de spam ms prolficos. el nmero 419 hace referencia a la seccin del cdigo Penal de nigeria que prohbe esta prctica. esta tctica de ingeniera social de enriquecimiento rpido lleg en forma de carta y empez a distribuirse por correo postal en los setenta. el timo evolucion hacia faxes no solicitados en los ochenta y, en la actualidad, se enva casi exclusivamente a travs del correo electrnico. sus orgenes se remontan al siglo diecisis, cuando se conoca como el timo del prisionero espaol. el plan es bien sencillo: se informa a una vctima ingenua sobre un prisionero espaol enormemente rico que necesita ayuda para ser liberado. este por as llamarlo prisionero contaba con que el estafador recaudara la cantidad necesaria para el rescate. el estafador abordaba a la vctima contndole la historia y permita que l o ella le ayudaran con una parte de la recaudacin de fondos, bajo la promesa de enormes ganancias. Hoy conocemos numerosas variantes de la carta, pero el concepto es el mismo. el timo nigeriano atrae a sus vctimas con la tentadora promesa de un pago multimillonario a cambio de una inversin de slo unos pocos miles de dlares. aunque la mayora de los receptores comprenden que la oferta es demasiado buena para ser cierta, aproximadamente un 1% de los destinatarios acaba respondiendo. segn los servicios secretos de ee. UU., los timadores estafaron a sus vctimas una media de 100 millones de dlares anuales.
60 50 40 30 20 10 0
Nov de 2003 Mayo de 2004 Nov de 2004 Mayo de 2005 Nov de 2005 Mayo de 2006 Nov de 2006 Mayo de 2007 Nov de 2007
Figura 2: Los informes sobre phishing muestran un crecimiento sostenido y el nmero de nuevos sitios de phishing se ha incrementado espectacularmente en los dos ltimos aos. (Fuente: AntiPhishing Working Group)
Phishing
el trmino phishing fue acuado por los piratas informticos. Proviene de fishing (pesca) porque esta tcnica de ingeniera social engaa a sus vctimas para que desvelen sus nombres de usuario, contraseas, nmeros de tarjeta de crdito y otros datos personales. en los aos noventa, muchos piratas informticos se aprovecharon de las ofertas de prueba gratuita del servicio de Internet de america online (aol) utilizando nmeros falsos de tarjetas de crdito generados automticamente, que no se correspondan con cuentas reales. Despus de que aol mejorase su seguridad y las pruebas de validacin de tarjetas de crdito para garantizar que los nmeros de dichas tarjetas fueran legtimos, los malhechores se lanzaron a la bsqueda de nombres de usuario y contraseas reales para introducirse en las redes de aol. empezaron enviando correos electrnicos y mensajes instantneos falsos que parecan proceder del servicio tcnico de aol. Muchas vctimas desprevenidas facilitaron sus datos y a continuacin se les facturaron actividades y compras que los piratas informticos realizaron en sus cuentas. los cibercriminales enseguida se dieron cuenta del margen potencial de beneficios y la tasa de xito de tales ataques y dirigieron sus miradas a las empresas (bancos, eBay, amazon y otras) que realizaban transacciones comerciales electrnicas.
oToo 2008
1948
1965
1969
1971
1995 1996
2000 2002
2008
Aparece Elk Cloner (el primer virus para Apple). Se crea el correo electrnico. Se crea el primer sistema de tabln de anuncios (BBS) pblico. John Draper (alias Capn Crunch) descubre que un silbato de juguete que vena en una caja de cereales permite utilizar la red telefnica de forma ilegal.
Aparece el gusano Morris (el primer virus que se autorreplica). Aparece Brain (el primer virus para PC). Kevin Mitnick publica The Art of Deception (El arte del engao), en el que describe su dominio de la ingeniera social. Spyware y adware se convierten en trminos de uso comn.
la historia se repite
ya se llame ingeniera social, artimaas, estafas, sesgos cognitivos o timos, el concepto de aprovecharse de la ingenuidad y la confianza de una persona es tan frecuente en la actualidad como lo ha sido desde los albores del tiempo. si se pregunta a expertos en seguridad, convendrn que las personas somos el eslabn ms dbil de la cadena de seguridad. Podemos desarrollar el software ms seguro que exista para proteger nuestros equipos, implantar las directivas de seguridad ms restrictivas e intentar lograr la utpica educacin del usuario. sin embargo, mientras sigamos dejndonos arrastrar por la curiosidad y la codicia sin preocuparnos de las consecuencias, correremos el riesgo de sufrir nuestra propia versin de una tragedia troyana. El progreso no consiste en cambio, sino que depende de la capacidad de retentiva. Cuando el cambio es absoluto, no quedan restos que mejorar ni direccin que definir para la posible mejora: y cuando la experiencia no se retiene, como ocurre entre salvajes, la infancia es perpetua. Aquellos que no recuerdan el pasado, estn condenados a repetirlo.George Santayana, en La razn en el sentido comn, de La vida de la razn o fases del progreso humano.
BIBLIOGRAfA
anderson, J. P. (1972). Computer Security Technology Planning Study vol. II. (estudio Mitnick, K. (2002). The Art of Deception. (el arte del engao) Indianapolis, Indiana:
Hiep Dang es director del departamento de Mcafee avert labs encargado de la investigacin de las aplicaciones de malware. es el responsable de la coordinacin del equipo mundial de investigadores de malware de Mcafee dedicado a la investigacin, anlisis y respuesta a los brotes de malware, incluyendo virus, gusanos, troyanos, bots y spyware. Dang escribe regularmente en los blogs y libros blancos de avert labs y en la publicacin McAfee Security Journal. Ha sido entrevistado por el Wall Street Journal, MsnBc, PC Magazine y otras muchas publicaciones y medios sobre las nuevas amenazas y las tendencias del malware. adems, Dang prctica con entusiasmo el Kung Fu de la Mantis religiosa del norte Wah lum Tam Tui y el Tai chi. en la actualidad se encuentra en un parntesis de su vida como formador concentrndose en la industria de la seguridad informtica.
sobre planificacin de tecnologa para la seguridad informtica) U.s. air Force. Farquhar, M. (2005). A Treasury of Deception. (Un tesoro de mentira) new york: The Penguin group. Hesodo (1914) Teogona. (Traduccin de a. Prez Jimnez) Hesodo (1914) Trabajos y das. (Traduccin de a. Prez Jimnez) Homero. La Ilada. (Traduccin de e. crespo)
Wiley Publishing.
Myers, M. J. (2007). Phishing and Countermeasures. (el phishing y las medidas
Pedid y se os dar
Karthik Raman
en enero de 2007, un grupo de ciberdelincuentes recurri a tcticas de ingeniera social para cometer el fraude online ms importante del mundo del que se tienen datos: el robo de 877.000 euros de clientes del banco sueco nordea Bank.
los clientes recibieron un correo electrnico supuestamente procedente del nordea Bank, y 250 descargaron e instalaron el software antispam tal como se les peda en el mensaje. en realidad, el software antispam era un troyano que recababa informacin de los clientes y que los delincuentes utilizaban para conectarse al sitio Web del banco y robar dinero1. segn un principio de seguridad universal, las personas son el punto dbil de todo sistema de seguridad. si bien los ataques contra la seguridad y las medidas de proteccin desarrolladas para responder a dichos ataques siguen evolucionando, la naturaleza humana permanece inalterable. Para un agresor informtico, la ingeniera social es ms eficaz y ofrece resultados ms rpidos que efectuar un ataque de fuerza bruta en algoritmos de cifrado, realizar pruebas con datos aleatorios para detectar nuevas vulnerabilidades de software o aumentar la complejidad del malware. Para los autores del fraude del nordea Bank era ms sencillo pedir a los clientes del banco que instalaran un troyano que entrar en una cmara acorazada para robar dinero. somos crdulos, codiciosos y curiosos, lo que significa que los ingenieros sociales pueden manipular nuestros sentimientos y pensamientos. nos piden algo y muy a menudo se lo damos. Pero, por qu nos comportamos de este modo? en un estudio pionero sobre la psicologa de la seguridad, el prestigioso experto en seguridad Bruce schneier identific cuatro reas de investigacineconoma del comportamiento, psicologa de la toma de decisiones, psicologa del riesgo y neurocienciaque pueden ayudar a explicar por qu nuestra sensacin de seguridad difiere de la realidad2. esta edicin de Mcafee security Journal y este artculo en concreto se centran en un aspecto de la seguridad: la ingeniera social. en este anlisis, recurriremos a la neurociencia, la psicologa de la toma de decisiones y la psicologa social bsica para analizar por qu nos dejamos embaucar por la ingeniera social sin percatarnos del engao.
Dos cerebros
el cerebro humano es posiblemente el sistema ms complejo del universo. Parte de su complejidad radica en su complicada estructura e intrincada interaccin de subsistemas. en el cerebro, las emociones parecen emerger de las partes internas ms antiguas, como la amgdala, y el razonamiento de las partes externas ms recientes, como el neocrtex3. Pero los centros de la emocin y la razn no son mutuamente excluyentes, como observ Isaac asimov en su libro El cerebro humano4: Segn parece, las emociones no surgen de una pequea parte del cerebro en particular, sino que muchas partes, incluidos los lbulos frontal y temporal del crtex, participan en una interaccin compleja. las partes del cerebro responsables de la emocin y la razn a veces pueden actuar en convergencia o en divergencia. ese es el motivo por el que nos resulta difcil mantener separadas razn y emocin, y por el que le resulta fcil a la emocin imponerse a la razn cuando ambas se contradicen. examinemos cmo nos enfrentamos al miedo, por ejemplo. al analizar cmo reaccionamos ante un peligro inminente, el escritor cientfico steven Johnson seala que la respuesta al miedo es una combinacin orquestal de instrumentos psicolgicos que se suceden con una velocidad y precisin magistrales5: Es lo que en lenguaje llano denominamos respuesta de lucha o huida. Sentir como se activa es uno de los mejores modos de percibir el cerebro y el cuerpo como un sistema autnomo que funciona independientemente de la voluntad consciente. cuando volvemos a experimentar las condiciones que desencadenaron una respuesta de lucha o huida en el pasado, nos rendimos a la respuesta emocional aunque podamos pensar de forma objetiva que la respuesta no est fundamentada.
oToo 2008
Polticos deshonestos, espas y estafadores saben que apelar a las emociones especialmente al miedo para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. los ingenieros sociales mantienen viva esta tradicin.
Polticos deshonestos, espas y estafadores saben que apelar a las emociones especialmente al miedo para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. Los ingenieros sociales mantienen viva esta tradicin.
clasificar las cosas en funcin de algunas caractersticas clave y luego responder de forma mecnica cuando alguna de estas caractersticas de activacin se manifiesta. analicemos cmo los ingenieros sociales pueden provocar en nosotros respuestas automticas que les beneficien.
Sesgo de la eleccin comprensiva recordamos una eleccin que hemos hecho en el pasado con ms aspectos positivos que negativos12. Un internauta podra habituarse a comprar artculos con descuento en Internet a partir de recomendaciones de amigos. Un simple mensaje de spam podra parecer una recomendacin ms y llevar al comprador a proporcionar los datos de su tarjeta de crdito a un sitio Web fraudulento. Sesgo de confirmacin recabamos e interpretamos la informacin de modo que confirme nuestros puntos de vista13. Veamos un ejemplo hipottico. supongamos que acme corporation firma un contrato con Best Printers para el mantenimiento de sus impresoras y que el personal de servicio de Best Printers viste camisa gris de manga larga con placa de identificacin. con el tiempo, los empleados de acme se acostumbrarn a ver al personal de servicio de Best Printers con sus uniformes e identificarn a cualquier persona con una camisa gris de manga larga y una placa de identificacin como un tcnico. Un ingeniero social podra confeccionar o robar un uniforme de Best Printers para hacerse pasar por personal de servicio, y no ser conminado a identificarse debido al sesgo de confirmacin de los empleados de acme. Efecto de exposicin nos gustan las cosas (y otras personas) segn lo familiarizados que estemos con ellas14. las noticias sobre desastres naturales y provocados por el hombre a menudo dan pie a sitios Web de phishing que se aprovechan
10
de ese sentimiento15. las personas expuestas a estas noticias podran ser fcilmente manipuladas para que visiten sitios Web de phishing que afirman guardar algn tipo de relacin con estas noticias. Por ltimo, su exposicin a las noticias podra hacerles bajar la guardia en relacin con la naturaleza maliciosa del sitio Web que estn visitando.
Anclaje las personas nos centramos en un rasgo de identificacin inicialmente manifiesto cuando tomamos decisiones sobre algo16. Un sitio Web falso de un banco que muestre ostensiblemente el logotipo especfico de la entidad puede engaar a los usuarios, aunque haya otros indicadores de seguridad que les alerten del engao17.
los medios de tergiversar el efecto de saliencia en su favor. se pueden hacer pasar por un cliente trajeado o por un guardia uniformado, pero nunca por un malabarista con zancos. la confusin no se limita exclusivamente a la vestimenta y al aspecto: tambin puede implicar conocer la jerga, ancdotas o empleados de una empresa, e incluso imitar acentos regionales. Un ingeniero social de Madrid que pretenda infiltrarse en una empresa de sevilla, puede saber que ana ha vuelto a ser madre o que Julio va a dejar la empresa para irse a la competencia, e intercambiar unas palabras al respecto con la recepcionista utilizando acento de sevilla con tal de conseguir acceso a las instalaciones como tcnico de mantenimiento. Conformidad, cumplimiento y obediencia respondemos a las presiones de conformidad, cumplimiento y obediencia alterando nuestro comportamiento. Muchos ataques de ingeniera social pueden explicarse a partir de las respuestas predecibles de las vctimas a estas presiones. Una ingeniera social podra hacerse pasar por una ejecutiva de visita y persuadir a un joven guardia de seguridad para que la dejara entrar en las instalaciones pese a no llevar placa de identificacin. (la promesa de la agresora en forma de recompensa o amenaza de castigo puede suponer otro elemento de presin para el guardia.) el guardia podra sentirse abrumado y obedecer. no se han registrado ataques de ingeniera social en grupo, pero son perfectamente viables. Varios ingenieros sociales podran hacerse pasar por empleados legtimos e incomodar a una recepcionista hasta conseguir que les dejara entrar en la oficina espetando frases como no nos haga perder el tiempo o Djenos hacer nuestro trabajo. la recepcionista simplemente podra dejarles pasar para no ganarse la antipata de los dems. otra tcnica distinta que se sabe que utilizan los espas es relacionarse durante un tiempo con la vctima. el agresor solicita en un primer momento informacin "inocente" a la vctima y posteriormente intenta sonsacarle informacin confidencial. la vctima se siente atrapada; presionada para satisfacer la siguiente solicitud, dado su historial de condescendencia, o se arriesga a sufrir algn tipo de chantaje.
Error fundamental de atribucin las personas asumimos que los comportamientos de los dems reflejan sus caractersticas internas estables19. ste es el error de las primeras impresiones equivocadas. Un ingeniero social se emplear con diligencia para crear una primera impresin favorable. Un agresor podra mostrarse amable a la hora de hacer una solicitud, o dominante a la hora de coaccionar a sus vctimas para que hagan algo. las vctimas pueden no percatarse de que sus interlocutores son actores y de que su comportamiento es circunstancial, un medio para lograr un fin. Efecto de saliencia Dado un grupo de personas, tendemos a creer que la persona con mayor o menor influencia es la que ms sobresale20. los ingenieros sociales son expertos en mezclarse y confundirse con su entorno, y tratan por todos
oToo 2008
11
conclusin
nuestra susceptibilidad a la ingeniera social tiene su origen en la estructura del cerebro humano, en la compleja interaccin entre los centros de la emocin y la razn. la ingeniera social es la manipulacin del miedo, la curiosidad, la codicia o la compasin de la vctima. los sesgos y errores cognitivos en nuestros esquemas sociales permiten explicar el xito de la ingeniera social. entonces, por qu esta informacin es tan importante para nosotros? en la encuesta anual sobre seguridad y crimen informtico (computer crime and security survey) de 2007 realizada por el instituto para la seguridad informtica (csI), slo un 13% de los encuestados manifest haber comprobado cun eficaz era la formacin de sus empleados frente a los ataques de ingeniera social21. aunque un 13% es un cifra baja, la encuesta no inclua a los encuestados que no tenan un programa de formacin sobre ataques de ingeniera social. Un paso obvio es crear y mejorar las polticas de seguridad y los programas de formacin de los usuarios sobre ingeniera social. cualquier poltica en materia de ingeniera social resultar ms convincente si utiliza estudios cientficos que la avalen. asimismo, los materiales formativos de los usuarios tambin sern ms eficaces si incluyen los sesgos cognitivos que suelen aprovechar los ingenieros sociales, y los vdeos didcticos ms provechosos si reproducen ataques que aprovechan cada uno de nuestros sesgos cognitivos. no podemos cambiar la naturaleza humana. Hemos nacido con nuestras emociones y razn divididas, y somos propensos a cometer errores mentales. esto es normal, pero dicho comportamiento es peligroso bajo el dictado de los ingenieros sociales. si entendemos la psicologa de la ingeniera social y formamos a los usuarios para que conozcan sus efectos, podremos defendernos de estos ataques con mayor xito.
Karthik Raman, cIssP, es cientfico de investigacin en Mcafee avert labs. sus reas de investigacin incluyen el anlisis de vulnerabilidades y la seguridad de redes y software. adems de la seguridad, tambin est interesado en las ciencias cognitiva y social, y en la programacin de equipos. Para divertirse, raman juega al cricket, toca la guitarra y estudia idiomas. raman se licenci en Informtica y seguridad Informtica en la norwich University (Vermont) en 2006.
NOTAS
1 Bank loses $1.1M to online fraud (Un banco sufre prdidas de 1,1 millones de dlares a causa de un fraude online), BBc (2007). http://news.bbc.co.uk/2/hi/business/6279561.stm 2 schneier, B., The Psychology of security (la psicologa de la seguridad), essays and op eds (2007). http://www.schneier.com/essay-155.html 3 Ibid. 4 asimov, I. el cerebro humano, Barcelona: ediciones Toray, 1967. 5 Johnson, s. la mente de par en par: nuestro cerebro y la neurociencia en la vida cotidiana, Madrid: ediciones Turner, 2006. 6 svoboda, e. cultivating curiosity; how to explore the world: Developing a sense of wonder can be its own reward (cultivar la curiosidad; cmo explorar el mundo: el desarrollo del sentido del asombro puede ser su propia recompensa), Psychology Today (2006). http://psychologytoday.com/articles/index.php?term=pto-4148.html 7 leyden, J. Hackers debut malware loaded UsB ruse (los piratas estrenan la estratagema de las unidades UsB infectadas con malware), The register (2007). http://www.theregister.co.uk/2007/04/25/usb_malware/ 8 Mcafee VIl: gPcoder.i, 9 de junio de 2008. http://vil.nai.com/vil/content/v_145334.htm 9 cialdini, r. Influence: The Psychology of Persuasion (Influencia: la psicologa de la persuasin), nueva york: Harpercollins, 1998. 10 Heuer, richard J., Jr. The Psychology of Intelligence analysis (la psicologa del anlisis de la inteligencia), Center for the Study of Intelligence, cIa (2002). http://www.au.af.mil/au/awc/awcgate/psych-intel/art12.html 11 Tversky, a. y Kahneman, D. Judgment under uncertainty: Heuristics and biases (Juicio ante la incertidumbre: heurstica y sesgos), science, 185, 1124-1130 (1974). http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf 12 Mather, M., shafir, e., y Johnson, M. K. Misrememberance of options past: source monitoring and choice (Distorsin de opciones pasadas: supervisin del origen y eleccin), Psychological Science, 11, 132-138 (2000). http://www.usc.edu/projects/matherlab/pdfs/Matheretal2000.pdf 13 nickerson, r. s. confirmation Bias: a Ubiquitous Phenomenon in Many guises (sesgo de confirmacin: un fenmeno ubicuo con muchas formas), Review of General Psychology, Vol. 2, no. 2, 175-220 (1998). http://psy.ucsd.edu/~mckenzie/nickersonconfirmationBias.pdf 14 Zajonc, r. B. attitudinal effects of Mere exposure (efectos actitudinales de la mera exposicin), Journal of Personality and Social Psychology, 9, 2, 1-27 (1968). 15 Kaplan, D. Virginia Tech massacre may spawn phishing scams (la masacre de Virginia Tech puede dar pie a fraudes de tipo phishing), SC Magazine (2007). http://www.scmagazineuk.com/Virginia-Tech-massacre-may-spawn-phishing-scams/ article/105989/ 16 Tversky, a. y Kahneman, D. Judgment under uncertainty: Heuristics and biases (Juicio ante la incertidumbre: heurstica y sesgos), Science, 185, 1124-1130 (1974). Disponible en http://psiexp.ss.uci.edu/research/teaching/ Tversky_Kahneman_1974.pdf. 17 Dhamija, r., ozment, a., schecter, s. The emperors new security Indicators: an evaluation of website authentication and the effect of role playing on usability studies (los nuevos indicadores de seguridad de emperor: una evaluacin de la autenticacin de sitios Web y el efecto de los juegos de rol en los estudios de la usabilidad), (2008). http://www.usablesecurity.org/emperor/ 18 Mitnick, Kevin D., simon, William l. el arte de la intrusin, Mxico: ra-Ma, 2007. 19 gilbert, D. T., y Malone, P. s. The correspondence bias (el sesgo de correspondencia), Psychological Bulletin, 117, 2138 (1995). http://www.wjh.harvard.edu/~dtg/gilbert%20&%20Malone%20 (corresPonDence%20BIas).pdf 20 Taylor, s.e. y Fiske, s.T. Point of view and perception so causality (Punto de vista y percepcin de la causalidad), Journal of Personality and Social Psychology,, 32, 439-445 (1975). 21 computer security Institute, csI computer crime and security survey (2007). http://www.gocsi.com/forms/csi_survey.jhtml (es necesario registrarse)
12
aunque posiblemente la ingeniera social ha estado entre nosotros desde los orgenes de la civilizacin, son muchos los que muestran su preocupacin porque en la actualidad se est transformando y sembrando el caos en Internet. en este artculo, ofrecemos algunas previsiones sobre lo que cabe esperar en el futuro.
Parece obvio que la ola de crimeware que vivimos est motivada por los incentivos econmicos. la situacin actual nada tiene que ver con la que observamos en el pasado. los primeros virus eran slo una expresin de curiosidad intelectual, competitividad y quizs algo de hasto. esto es especialmente patente en el caso de los fraudes de clic y el phishing. Qu otra motivacin se puede encontrar que no sea la de conseguir algo de dinero? (o a veces, incluso mucho dinero.) Igual ocurre con el spam en sus distintos formatos. si los remitentes de spam no ganaran dinero, no habra spam. Por lo tanto, si deseamos prever cules sern las tendencias en el futuro, tiene sentido plantearse cmo pueden obtener beneficios los delincuentes mediante el uso fraudulento de las funciones actuales de Internet.
oToo 2008
13
y qu ocurrira si alguien abriera o ejecutara el archivo adjunto? Pongamos por caso que el mensaje no terminara en la carpeta de spam y que el sistema antivirus no lo detectara, entonces, tendramos una infeccin en un equipo con acceso a informacin confidencial o al sitio Web de la empresa. y qu pasara si parte de esa informacin confidencial acabara en Internet, incluso en el sitio Web de la propia empresa? el revuelo sera inevitable y el precio de las acciones se vera afectado. entonces, el delincuente hara efectivas sus opciones de venta, aprovechndose de que conoca de antemano que el precio de las acciones de la empresa iba a descender. su comportamiento no parecera sospechoso, no sera posible localizarlo, ya que todos los inversores con opciones de venta estaran en la misma situacin. Quin sera el delincuente? nadie podra decirlo.
Falsificacin de clics
el fraude del clic es otro tipo de fraude habitual en Internet. aprovecha el hecho de que cuando un particular hace clic en un anuncio, el anunciante paga una comisin al sitio Web que contiene el anuncio y al portal que proporciona el anuncio al sitio Web. otros tipos de fraude relacionados aprovechan la publicidad en la que se transfiere dinero cuando el particular ve un anuncio de banner, con independencia de lo que haga, y otras modalidades en las que se genera una venta u otra accin cuando alguien ve un anuncio. el objetivo puede ser obtener beneficios econmicos de estas transferencias (los delincuentes obtienen ganancias cuando sus sitios Web muestran los anuncios) o agotar el presupuesto para publicidad de sus competidores (cuando stos son los anunciantes desde los que se transfiere el dinero). con frecuencia, los delincuentes generan trfico de forma automtica, de forma que parezca que personas reales han visto los anuncios. la automatizacin puede incluir distintas formas de malware, como las redes de bots. otro mtodo habitual entre los delincuentes es contratar a personas para que hagan clic en determinados anuncios; esto se denomina "click farm" (literalmente, "fbrica de clics").
Reclamacin contra BBB
Figura 1: Timo del Better Business Bureau. El mensaje contiene un adjunto infectado que el agresor espera que abra el destinatario.
14
a continuacin, describiremos cmo se puede utilizar la ingeniera social en una nueva clase de fraude de clic. en primer lugar, empezaremos por explicar el caso ms habitual que no constituye un fraude de clic:
Caso 1 sitio Web estndar. Pensemos en un sitio Web legtimo que proporciona determinados servicios y que muestra anuncios relativos a dichos servicios. los portales de anuncios (por ejemplo, google y yahoo) normalmente determinan de forma automtica el contenido de los anuncios. Para ello, examinan el contenido del sitio Web y seleccionan anuncios sobre temas relacionados con dicho contenido. si, por ejemplo, el sitio Web se dedica a la cocina, los anuncios pueden referirse a bateras de cocina, sartenes o cafeteras. normalmente estos sitios colocan anuncios que atraen trfico. en este sitio cabe esperar ver anuncios que utilicen las palabras clave cuchillo, horno, tefln y otros similares. no hay nada inusual en este tipo de sitio. Caso 2 Uso de arbitraje. ahora, consideremos un segundo sitio Web que tiene contenido que selecciona anuncios correspondientes a las palabras clave buscar abogados (find a attorney). (exactamente buscar abogados y no buscar abogado. Pronto explicaremos por qu.) el sitio puede utilizar para esto mucho texto (visible o no) que repite esta frase. supongamos que, cuando se escribi este artculo, el coste de este tipo de estrategia era de 1,07 a 7,05 dlares por palabra clave (precio en estados Unidos para las palabras correspondientes en ingls). el precio exacto depende del lugar, la hora del da y, naturalmente, las dems ofertas que haya para las palabras clave en cuestin, ya que todos los precios de palabras clave se establecen en subastas. De este modo, si un usuario hace clic en un anuncio de este sitio, el propietario del anuncio tendra que pagar ese importe al portal, que a su vez transferira ese importe, descontando su comisin, al sitio Web que muestra el anuncio. ahora, imaginemos que el sitio en cuestin incluye un anuncio que utiliza la palabra clave buscar abogado. la nica diferencia es una s. el precio de esta palabra clave va de 0,87 a 3,82 dlares. supondremos que el sitio Web paga 2 dlares por cada visitante que consigue y recibe 4 por cada visitante que hace clic en un anuncio del sitio. siempre que el cincuenta por ciento de los visitantes que llegan a travs del anuncio de 2 dlares hagan clic en un anuncio de 4 dlares, el sitio Web consigue ganancias, sin proporcionar ningn servicio. esto se conoce como arbitraje de palabras clave. no es exactamente igual que el fraude de clic, pero, como podremos ver, se acerca.
ciento de los enfermos de asma tienen riesgo de contraer mesotelioma? aunque esta afirmacin no es cierta, habr muchas personas a las que les preocupa el asma y que no saben nada del mesotelioma. estas personas harn justo lo que pretende el delincuente: hacer clic. sern la mitad de los visitantes? si hay mil visitantes al da, esto significa que las ganancias diarias superarn los 30.000 dlares. e incluso si utilizara palabras clave menos llamativas, el delincuente conseguira unas ganancias nada desdeables. lo que distingue estos tres casos es la intencin y el uso que se hace de la ingeniera social. Desde la perspectiva de los proveedores de anuncios, estos tres casos son muy similares en cuanto a estructura. Un visitante entra, lee el contenido y hace clic en un anuncio. aunque es posible comparar las palabras clave que entran y las que salen para localizar anomalas, los delincuentes tambin pueden utilizar un proveedor de servicios para generar respectivamente el trfico entrante y el trfico saliente. esta estrategia dificulta la deteccin y la neutralizacin de estos tipos de ataques, especialmente si se llevan a cabo a pequea escala con un nmero reducido de sitios.
conclusin
la ingeniera social ha llegado a Internet para quedarse. sus efectos ya son patentes a travs de timos de phishing y ahora empezamos a observar cmo los delincuentes utilizan la ingeniera social para mejorar la eficacia del spam y el crimeware. adems, mucho nos tememos que nos aguardan aplicaciones an ms sofisticadas a la vuelta de la esquina, resultado de la cada vez mayor complejidad del uso de la ingeniera social en otros tipos de fraude, como el fraude de clic. conscientes de esto, podemos disear medidas tcnicas y gracias al conocimiento de los posibles modos de ataque en el futuro, podremos mejorar las defensas. Pero debemos entender tambin que nuestra estrategia requiere mejores interfaces de usuario, mejores procedimientos, una legislacin ms restrictiva y mejores campaas educativas. Todava queda mucho por hacer.
Caso 3 Un ataque utilizando ingeniera social. ahora veremos cmo podra utilizar un delincuente la ingeniera social y explotar la tcnica del arbitraje con el fin de conseguir ganancias espectaculares. supongamos que el delincuente crea un sitio Web que genera la palabra clave mesotelioma (un tipo de cncer poco frecuente provocado por la exposicin al amianto). en el momento de redaccin de este documento, esta palabra clave de google cuesta 63,42 dlares (precio en estados Unidos de la palabra en ingls). el delincuente compra trfico para la palabra clave asma (0,10 dlares) para atraer visitantes al sitio. si de 634 personas que entren al sitio una hace clic en el anuncio del mesotelioma, el delincuente gana dinero. Pero, por qu hara alguien algo as? supongamos que el contenido del sitio Web es un artculo, supuestamente escrito por un mdico, que pregunta: saba que el diez por
Dr. Markus Jakobsson es cientfico jefe en el centro de investigacin Palo alto research center. se encarga de la investigacin del phishing y de las medidas para combatirlo, los fraudes de clic, el factor humano en la seguridad, la criptografa, la proteccin de las redes y el diseo de protocolos. es editor de Phishing and Countermeasures (el phishing y las medidas para combatirlo; Wiley, 2006) y coautor de Crimeware: Understanding New Attacks and Defenses (crimeware: los nuevos ataques y las defensas; symantec Press, 2008).
Imagen cortesa de Parc, fotgrafo: Brian Tramontana.
oToo 2008
15
los creadores de malware suelen emplear mtodos de ingeniera social para infectar directamente un sistema o un host o para iniciar una cascada de descargas y ejecutar malware.
la mayora de nosotros hemos recibido algn mensaje de correo electrnico que contena adjuntos o Url maliciosos con informacin sobre una importante actualizacin de seguridad o sobre un viejo amigo deseoso de restablecer el contacto perdido. Pero no vaya a creerse que el correo electrnico es el nico vector de ataque utilizado para propagar malware con trucos de ingeniera social. Hay muchas otras trampas, incluido el uso de conocidos servicios de mensajera instantnea. el sistema infectado de un amigo puede enviarle un mensaje solicitndole que vea unas imgenes con una Url que seala a un archivo. el problema est en que confa en el contacto y no sabe que el otro sistema est afectado. en muchos casos, la Url le lleva al malware. otras aplicaciones de malware recurren a la ingeniera social para robar informacin confidencial, como credenciales de inicio de sesin, nmeros de tarjetas de crdito, etc. estas tcnicas suelen utilizarse en ataques de phishing o intrusiones en servidores. los trucos ms frecuentes de ingeniera social que emplean los creadores de malware son los de servicios para adultos, pero hay otros. He aqu una lista, aunque es claramente incompleta:
Mensajes de correo electrnico amenazadores sobre penas de crcel o procedimientos de actuacin como miembro de un jurado salvapantallas y juegos gratuitos que contienen un troyano, o herramientas antispyware gratuitas que con frecuencia son programas no autorizados grandes acontecimientos, como encuentros deportivos, desastres climticos o noticias urgentes nombres de famosos y noticias sobre sus aventuras y escndalos relaciones que pueden ser de confianza o secretas, como afiliaciones a sitios Web de redes sociales, listas de amigos, compaeros de clase, familiares y amantes secretos
Vnculos e imgenes pornogrficos Uso de nombres de mujer en el campo del remitente Programas polticos que solicitan contribuciones en nombre de un candidato clebre Mensajes falsos de correo electrnico procedentes de bancos, servicios de pago electrnico y otros servicios financieros que solicitan la confirmacin o actualizacin de las credenciales de inicio de sesin o informacin sobre la tarjeta de crdito
el catlogo de temas es prcticamente ilimitado, lo que significa que es posible acercarse a grandes grupos de usuarios de todo el mundo y que la ingeniera social puede dirigirse con frecuencia a grupos de usuarios nacionales e incluso locales. Por ejemplo, con un ataque global que tenga como marco un sitio Web de red social muy visitado, el creador de malware puede obtener respuestas de todo el mundo; por su parte, es probable que un ataque similar en las elecciones presidenciales estadounidenses slo capte vctimas norteamericanas.
16
El uso de los Juegos Olmpicos como eje de ingeniera social permiti a los creadores de malware dirigirse a muchos entusiastas del deporte, adems de a todas las personas previamente identificadas por su inters en el conflicto entre el Tbet y China.
llegado este punto, la base de vctimas, que hasta entonces inclua a las organizaciones elegidas al principio y a sus simpatizantes, pas a englobar a cualquiera que sintiera curiosidad sobre la situacin en el Tbet. Una vez ms, la atencin de los medios favoreci este incremento entre la poblacin vulnerable. a continuacin, los creadores de malware se aprovecharon de los propios Juegos olmpicos para propagar ataques de ingeniera social con la aparicin del rootkit pro-Tbet2. este conjunto de archivos malintencionados funcionaba oculto bajo un archivo de pelcula de animacin que ridiculizaba el esfuerzo de un gimnasta chino; durante su reproduccin, varios archivos maliciosos se introducan inadvertidamente en el sistema de la vctima e instalaban un rootkit para esconderse. el uso de los Juegos olmpicos como eje de ingeniera social permiti a los creadores de malware dirigirse a muchos entusiastas del deporte, adems de a todas las personas previamente identificadas por su inters en el conflicto entre el Tbet y china.
Muestreo de vctimas
normalmente, los ataques de ingeniera social necesitan muestrear antes a sus vctimas para tener xito. Veamos quines podan ser las vctimas potenciales de un ataque que tuviera como cebo el conflicto china-Tbet o los Juegos olmpicos. ya hemos visto que, en los grupos a favor del Tbet, algunas personas reciban mensajes de correo electrnico sobre la situacin tibetana, china en general o las olimpiadas, con datos adjuntos cHM (archivos de ayuda compilados), PDF, PPT, Xls o Doc. Todos estos mensajes parecan proceder de una organizacin o persona de confianza. Probablemente estos usuarios estaban acostumbrados a recibir este tipo de documentos de sus simpatizantes y haban bajado la guardia. estos datos adjuntos en concreto eran malintencionados: utilizaban varias vulnerabilidades de la ayuda de HTMl compilado de Microsoft, adobe acrobat, Microsoft excel, Microsoft PowerPoint o Microsoft Word para introducir y ejecutar sigilosamente archivos ejecutables incrustados. en ese momento el rea de ataque elegida era relativamente pequea, pero la difusin meditica de las protestas en el Tbet contribuy a avivar la llama. Ms adelante se piratearon algunos sitios Web legtimos dedicados a apoyar al Tbet para incrustar el troyano Fribet1, que se descarga por s solo en los equipos de los visitantes aprovechando vulnerabilidades de los navegadores Web.
oToo 2008
17
este ejecutable introduce el archivo PDF legtimo, book.pdf, que se muestra al ejecutar el primer archivo. el archivo dropper busca el proceso AcroRd32.exe en la lista de procesos activos, encuentra el directorio donde est instalado acrobat y abre book.pdf. la Figura 4 muestra en la pgina siguiente el cdigo del archivo responsable de esta accin. el malware tambin introduce otro archivo ejecutable, book.exe, que se copia en %PERFILTODOSUSUARIOS%\Application Data\ msmsgs.exe y crea un nuevo servicio de Windows4. este nuevo servicio se muestra con el nombre servicio administrador de discos lgicos y se encarga de que, al iniciarse, Windows ejecute el troyano automticamente. el malware tiene incluso un plan B para interceptar el proceso de inicio: si no consigue crear el servicio, aade una nueva entrada de registro, Windows Media Player, que seala a msmsgs.exe. Windows Media Player se aade a la siguiente clave de inicio del registro de Windows5: HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run. el troyano tambin crea dos archivos que contienen datos cifrados:
C:\WINDOWS\jwiev.log.bak C:\WINDOWS\clocks.avi.bak
Figura 1: Hace poco los partidarios del Tbet recibieron este archivo aparentemente legtimo adjunto a un mensaje de correo electrnico.
Name/Title Date
18
Finalmente, book.exe desaparece creando un archivo por lotes que se autoelimina y autofinaliza. a partir de ese momento, msmsgs.exe toma el relevo. Msmsgs.exe introduce temporalmente otro archivo en la siguiente ubicacin: C:\Archivos de programa\WindowsUpdate\ Windows Installer.exe. Justo antes de borrarse, Windows Installer.exe introduce dos copias de un archivo Dll en:
el cdigo malicioso inyectado en svchost.exe llama a la funcin workFunc() de avp01.lic, que se conecta a un servidor remoto y enva tres solicitudes:
el malware se inyecta en svchost.exe para ocultar su actividad. lanza una nueva instancia de svchost.exe (proceso legtimo del sistema6), asigna un bloque de memoria en el espacio de direcciones de este nuevo proceso, guarda una copia de s mismo en el espacio de direcciones virtual de svchost.exe (en la direccin 0x400000) y ejecuta el cdigo malicioso creando un subproceso remoto.
los parmetros x e y pueden diferir. el valor de x se forma al concatenar 07 con la fecha (10/05/2008) y la hora (15:03:23) exactas en que se cre el archivo clocks.avi.bak y, para finalizar, con el cdigo no modificable 662070000000. el valor de y es la direccin IP del equipo de la vctima.
Figura 2: Este PDF malicioso transportaba una copia cifrada del malware BackDoor-DOW. Figura 4: El malware busca Acrobat Reader (AcroRd32.exe) y abre el archivo inocente book.pdf..
oToo 2008
19
las tres secuencias de comandos del lado servidor, loginv2.asp, votev2.asp, y logoutv2.asp, informan al agresor de que dispone de una nueva mquina infectada, comprueban si el agresor ha enviado un comando y cierran la puerta trasera, respectivamente. Para leer la respuesta enviada tras conectarse a una de las secuencias de comandos del lado servidor, el troyano crea una copia de la pgina Web devuelta en la siguiente carpeta: C:\Archivos de programa\InstallShield Installation Information\ el nombre de archivo consta de un valor aleatorio de seis dgitos; una vez ledo, el archivo se borra. loginv2.asp y logoutv2.asp slo devuelven pginas Web vacas (con etiquetas <html><head> </head></html>), pero votev2.asp devuelve cdigo que ms o menos significa la puerta trasera est lista pero de momento no hace falta ninguna accin (@n4@300@) o un comando como el siguiente:
Esta tendencia del malware puede extenderse en los prximos meses, lo cual es motivo de seria preocupacin, porque la mayora de la gente confa en los proveedores de seguridad. Si se pierde esta confianza, probablemente sufrirn todava muchos usuarios ms.
aproximadamente, estos comandos quieren decir Descargar el archivo de extensin .JPg mencionado e introducirlo en la carpeta %SysDir% del sistema de la vctima utilizando el nombre indicado del archivo ejecutable. la ltima parte de la respuesta es el hash md5 del archivo que va a descargarse (y que servir para comprobar su integridad). Durante todo este proceso, las vctimas no tienen ni idea de lo que est ocurriendo en segundo plano. Mientras leen y rellenan la declaracin que ha presentado el archivo PDF malicioso, en su sistema se instala silenciosamente una puerta trasera a la espera de los comandos del atacante. en ese momento, en el equipo tambin pueden descargarse otros archivos maliciosos, ya que su seguridad se ha quebrantado por completo.
20
conclusin
los acontecimientos deportivos se utilizan con frecuencia como cebo en ataques de ingeniera social. era fcil suponer que los desarrolladores de malware dirigiran su atencin a los Juegos olmpicos de Pekn. el acto contena todos los ingredientes para una receta perfecta: pequeos ataques escogidos que crecan en alcance a medida que se elevaba el nmero de vctimas interesadas en el tema. este crecimiento fue posible gracias a la estrecha relacin de varios temas entre s: la preocupacin por el Tbet dio paso al relevo de la antorcha, que a su vez desemboc en los propios Juegos olmpicos. a menudo los medios de comunicacin desempean un papel importante en la popularidad de un acontecimiento. su trabajo induce a algunas vctimas a buscar ms informacin, pero stas tropiezan muchas veces con sitios Web relacionados pero maliciosos o, ms habitualmente, con sitios Web legtimos que ya no son seguros y que infectan con sigilo a sus confiados visitantes. estos ataques son tan elaborados que lo ms probable es que las vctimas no sospechen nada. como hemos visto en este estudio, no slo nos enfrentamos a amenazas de remitentes desconocidos y datos con extensin .exe adjuntos al correo electrnico. Tambin los documentos legtimos (Microsoft Word, Microsoft excel, Microsoft PowerPoint y otros) pueden ser malintencionados. en parte, estos ataques tienen tanto xito por la ingenua creencia de que los archivos de datos no pueden contener malware. al final, la gente acaba por conocer los trucos habituales, lo que a su vez obliga a los agresores a ser ms creativos y malvados en sus tcnicas para, as, seguir venciendo a sus vctimas.
Elodie Grandjean trabaja como investigadora de virus para Mcafee avert labs en Francia desde enero de 2005. Posee ms de cinco aos de experiencia en ingeniera inversa con plataformas Windows. elodie se ha especializado en tcnicas de anti-ingeniera inversa, desempaquetado y descifrado, y ha escrito para la revista de seguridad francesa MISC: MultiSystem & Internet Security Cookbook. si no est analizando malware o programando, seguramente elodie est navegando por Internet, a menos que asista a un concierto o disfrute de una cerveza belga en un bar con sus amigos.
NOTAS
1 Fribet, Mcafee VIl. http://vil.nai.com/vil/content/v_144356.htm 2 Is Malware Writing the next olympic event? (est el malware escribiendo el prximo acontecimiento olmpico) Mcafee avert labs Blog. http://www.avertlabs.com/research/blog/index.php/2008/04/14/ is-malware-writing-the-next-olympic-event/ 3 BackDoor-DoW, Mcafee VIl. http://vil.nai.com/vil/content/v_144476.htm 4 services, Microsoft Developer network. http://msdn.microsoft.com/en-us/library/ms685141(Vs.85).aspx 5 registry, Microsoft Developer network. http://msdn.microsoft.com/en-us/library/ms724871(Vs.85).aspx 6 Descripcin de svchost.exe en Windows XP Professional edition, Microsoft ayuda y soporte. http://support.microsoft.com/kb/314056/es 7 Fakealert-B, Mcafee VIl. http://vil.nai.com/vil/content/v_139058.htm Fakealert-c. http://vil.nai.com/vil/content/v_139219.htm Fakealert-D. http://vil.nai.com/vil/content/v_140346.htm Fakealert-D!56c05f7f. http://vil.nai.com/vil/content/v_142850.htm Fakealert-H. http://vil.nai.com/vil/content/v_141377.htm Fakealert-I. http://vil.nai.com/vil/content/v_141466.htm Fakealert-g. http://vil.nai.com/vil/content/v_141163.htm Fakealert-M. http://vil.nai.com/vil/content/v_142807.htm Fakealert-Q. http://vil.nai.com/vil/content/v_143088.htm Fakealert-r. http://vil.nai.com/vil/content/v_143102.htm Fakealert-s.dll. http://vil.nai.com/vil/content/v_143110.htm Fakealert-T. http://vil.nai.com/vil/content/v_143406.htm generic Fakealert.a. http://vil.nai.com/vil/content/v_143470.htm
oToo 2008
21
la reciente confusin crediticia en los mercados de valores y derivados ha puesto de relieve numerosas facetas de la industria financiera que no se limitan a las estructuras de control reglamentarias, agencias de calificacin crediticia, fondos de inversin libre, inversiones en capital riesgo, fondos de pensiones y otros creadores de mercado.
esta atencin continua por parte de los medios de comunicacin ha hecho crecer el inters por la ingeniera financiera de las personas que trabajan en ciencias relacionadas (como bioinformtica, informtica, etc.). con nuestro historial en investigacin de vulnerabilidades y dado el contexto de repercusin en los medios de comunicacin de la crisis crediticia, es natural buscar vulnerabilidades en el mercado de valores y derivados. en la conferencia sobre seguridad Black Hat 2007 que se celebra en estados Unidos, la firma de investigacin y desarrollo de seguridad Matasano security examinaba el protocolo de intercambio de informacin financiera (Financial Information eXchange, FIX), que es el pilar para la transmisin de mensajes entre los directores de inversin encargados de numerosas operaciones en nombre de clientes e intermediarios financieros y agentes de bolsa1,2. en la investigacin de Matasano se planteaban cuestiones como Qu vulnerabilidades pueden encontrarse en el protocolo FIX?. sin duda fue un interesante anlisis de los protocolos financieros desde la perspectiva de los puntos dbiles de la seguridad. sin embargo, nuestro artculo ofrecer otro enfoque: a nosotros ms que el aspecto de las vulnerabilidades nos preocupa la ingeniera financiera y social. nuestra investigacin comienza con las siguientes preguntas:
Qu pasa con las amenazas de tipo zero-day? Tienen siquiera constancia de estos eventos los inversores? se producen en la actualidad eventos de ingeniera social relacionados con las vulnerabilidades y las acciones? Podramos asistir un aumento de este tipo de eventos en el futuro?
este es un tema de estudio muy amplio, as que comenzaremos por analizar solamente las vulnerabilidades de los productos de Microsoft. en el futuro cercano, esperamos aportar datos complementarios sobre otros desarrolladores de software, as como una comparativa del aspecto financiero de los mtodos de distribucin de parches (por ejemplo, la distribucin mensual de Microsoft o la trimestral de oracle, comparadas con la distribucin no planificada de otros proveedores, que se ajusta segn las necesidades de cada momento).
la hiptesis
el Martes de parches es el segundo martes de cada mes. es el nico da del mes que Microsoft distribuye sobre todo actualizaciones de seguridad y funcionales para Windows y el resto de sus aplicaciones. nuestra hiptesis es que los Martes de parches hay una tendencia a la baja del precio de las acciones de Microsoft (smbolo de cotizacin: MsFT). esta presin se debe probablemente a las reacciones ante los artculos que aparecen sobre las implicaciones negativas de las vulnerabilidades de seguridad en el software de Microsoft. De manera anloga, al da siguiente, mircoles, es de esperar que se produzca una recuperacin, una vez que los inversores se percaten de que los valores de Microsoft se sobrevendieron el da anterior.
Qu efectos tiene en las cotizaciones burstiles el Martes de parches de Microsoft? y el da anterior al Martes de parches? y el da despus (denominado en ocasiones "Mircoles de ataques")? y los Jueves de notificaciones avanzadas?
22
o los creadores de mercado consideran que el da anterior la venta de acciones de Microsoft como consecuencia de las malas noticias fue excesiva y que, en realidad, el valor real de Microsoft como inversin slo se vio afectado mnimamente. es de destacar que esta tendencia ha sido constante durante los ltimos tres aos y contina en la actualidad. aunque posiblemente sea ms fcil entender la variacin del precio de la apertura al cierre, tambin pueden apreciarse las tendencias en la diferencia media entre el precio inicial y el precio mximo (cotizacin del da) y en la diferencia media entre el precio inicial y el precio mnimo, aunque, en algunos casos, este efecto no es tan acusado. en la Figura 2 observamos que generalmente el valor mximo intrada medio en un da de notificacin avanzada y un Martes de parches es inferior al valor mximo intrada medio del ao. Tambin observamos que el valor mximo intrada medio del da siguiente al Martes de parches suele ser superior, lo que indica mayores presiones al alza.
2008
2007
2006
Media anual Das sin eventos Notificacin avanzada Martes de parches Todos los martes Martes, excepto los de parches Da despus del Martes de parches Todos los mircoles Mircoles, excepto el da despus del Martes de parches
Media anual Das sin eventos Notificacin avanzada Martes de parches Todos los martes Martes, excepto los de parches Da despus del Martes de parches Todos los mircoles Mircoles, excepto el da despus del Martes de parches
Figura 1: Si se analiza el cambio de las cotizaciones de Microsoft en das clave, se observar una tendencia constante durante tres aos. Valor mximo intrada de Microsoft a la apertura
VARIACIN DE MSFT DE APERTURA A MX
Figura 3: El Martes de parches conserva su posicin "baja" cuando se compara con el mnimo medio intrada del ao.
2008
2007
2006
Media anual Das sin eventos Notificacin avanzada Martes de parches Todos los martes Martes, excepto los de parches Da despus del Martes de parches Todos los mircoles Mircoles, excepto el da despus del Martes de parches
Figura 2: En la contratacin intrada en los das de Notificacin avanzada y los Martes de parches la cotizacin es siempre inferior a la de los dems das del ao. oToo 2008 23
en la Figura 3 observamos que generalmente el valor mnimo intrada medio de un Martes de parches es inferior al valor mnimo intrada medio del ao. sin embargo, los das de notificacin avanzada, los resultados no estn tan claros. es tambin relevante que el valor mnimo intrada medio del da siguiente a un Martes de parches suele ser superior a la media del ao, lo que indica mayores presiones al alza. como advertencia para el inversor ocasional o para el inversor privado: estas fluctuaciones de precio son relativamente pequeas y con estrechas limitaciones de tiempo. Para obtener beneficios a nivel privado en este tipo de operaciones sera necesario arriesgar mucho capital. otra advertencia: los datos representados son reducidos y, por lo tanto, su calidad es relativamente limitada. Por ejemplo, slo hay 260 das de mercado al ao, de lo cuales slo 12 caen en Martes de parches. aunque los grupos de datos y las fluctuaciones son pequeas, es posible que este nivel de correlacin slo sea interesante para los inversores institucionales y debe adaptarse convenientemente. ahora vamos a examinar una comparativa de los mrgenes de ganancias potenciales (Figura 4). segn muestra la Figura 4, si se compra cerca del mnimo intrada medio en un Martes de parches y se vende cerca del mximo intrada medio del da siguiente, se pueden conseguir pequeas ganancias (hasta que esta operacin se generaliza, lo que produce un amortiguamiento del efecto). el margen de ganancias que se muestra se centra en la divulgacin de vulnerabilidades reales que se producen basndose en la presuncin de que otras personas actuarn de una forma previsible. sin embargo, al igual que los rumores de oPa hostil afectan al precio de las acciones, tambin podran
hacerlo los rumores de que existen algunos defectos crticos que ponen en riesgo a los consumidores. no perdamos de vista que la divulgacin de vulnerabilidades falsas y los rumores ya son habituales en las listas de correo actuales, como Full Disclosure o en salas de chat Irc. es posible que mediante la ingeniera social los eventos se pudieran orquestar con el fin de manipular el mercado y a sus participantes. esto sin duda sera ilegal; pero cuando se trata de obtener ganancias, siempre hay alguien dispuesto a saltarse la ley. adems, como veremos ms adelante, no todos los ataques emplean la ingeniera social. algunos pueden incluso ser legales. este tipo de situaciones, es decir, la posibilidad de predecir la tendencia del mercado a corto plazo para obtener ganancias, al menos segn la hiptesis de los mercados eficientes (eMH, efficient Market Hypothesis) y la hiptesis del paseo aleatorio (random Walk Hypothesis), son poco probables y desde luego, si se producen, es poco probable que perduren en el tiempo3,4. Por lo tanto, avisamos a los lectores, como pensamos que deberan hacer todas las entidades financieras: rentabilidades pasadas no necesariamente garantizan rentabilidades futuras5.
MRGENES
2008
2007
2006
Mnimo intrada Ao completo (mnimo intrada) respecto a ao completo (mximo intrada) Martes de parches (mnimo intrada) respecto a Martes de parches (mximo intrada) Martes de parches (mnimo intrada) respecto al da despus del Martes de parches (mximo intrada) -1,35% -1,58% -1,58%
Figura 4: Puede parecer que con la adquisicin de acciones un Martes de parches y la posterior venta al da siguiente se pueden obtener ganancias legtimas, pero esto slo es cierto cuando se negocian grandes volmenes y el nivel de riesgo es considerable.
24
Volumen medio, ao completo (en acciones negociadas al da) Volumen medio, ao completo (sin eventos) Volumen medio, da de boletines no planificados Diferencia media en volumen Diferencia media en volumen respecto a das sin eventos
Figura 5: Volumen de contratacin de las acciones de Microsoft antes de pasar de los boletines no planificados a los Martes de parches.
2008
2007
2006
2005
2004
Volumen medio, ao completo Volumen medio, ao completo (sin eventos) Volumen medio, Martes de parches Volumen medio de los martes, excepto los de parches Diferencia media de volumen de MSFT (Martes de parches comparado con ao completo) Diferencia media de volumen de MSFT (Martes de parches comparado con das sin eventos) Volumen de ^IXIC medio, ao completo Volumen de ^IXIC medio, ao completo (sin eventos)
2.249.267.340 2.089.534.502 1.926.859.522 1.731.835.794 1.769.480.040 2.271.900.270 2.094.466.552 1.935.854.692 1.732.949.769 1.768.463.981
Volumen de ^IXIC medio en Martes de parches 2.161.318.000 2.054.922.500 2.009.946.667 1.745.967.500 1.759.816.667 Volumen de ^IXIC medio de los martes, excepto los de parches Diferencia media de volumen de ^IXIC (Martes de parches comparado con ao completo) Diferencia media de volumen de ^IXIC (Martes de parches comparado con das sin eventos) Diferencia en MSFT entre Martes de parches y martes sin parches Diferencia en ^IXIC entre Martes de parches y martes sin parches 2.249.947.143 2.107.280.909 1.813.831.818 1.658.301.818 1.752.408.182 -3,91% -4,87% -5,30% -3,94% -1,66% -1,89% -2,47% -2,48% 4,31% 3,83% -1,82% 10,81% 0,82% 0,75% -6,08% 5,29% -0,55% -0,49% -1,55% 0,42%
Figura 6: La institucin del Martes de parches parece haber convencido a los operadores burstiles de que no se pueden obtener ventajas exclusivamente de los eventos ocurridos en dicho da.
oToo 2008
25
en la Figura 5 (pgina 25) observamos que el da de la publicacin no planificada de un boletn en 2003 y 2002, el volumen medio de negociacin super el volumen medio del ao, un 7,6 por ciento y un 2,46 por ciento de media, respectivamente. si comparamos solamente los das en los que no hay ningn evento especial para obtener el volumen medio del ao completo, esta cifra se eleva hasta el 8,53 por ciento y el 3 por ciento, respectivamente. esto contrasta bastante con los diferenciales de volumen de los Martes de parches, que se muestran en la Figura 6 (pgina 25). Hemos incluido tambin una comparativa entre Microsoft (MsFT) y el ndice compuesto nasDaQ (^IXIc). esto implicara que el efecto de cambiar de boletines no planificados (paseo aleatorio) a planificados (Martes de parches) entre los operadores ha sido una disminucin del inters por los eventos asociados al Martes de parches. a continuacin, examinaremos los datos comparativos en el caso de las notificaciones avanzadas (vase la Figura 7, a continuacin). Por qu es el volumen medio inferior el Martes de parches y el da de notificacin avanzada? nuestra hiptesis es que el volumen medio anual comparado con el volumen medio del Martes de parches puede explicarse debido a eventos significativos que afectan al ao completo (de la martingala en la teora de la probabilidad) que estadsticamente tienen menos probabilidades de producirse un Martes de parches debido a que son menos frecuentes (slo 12 veces al ao)6.
Es posible que ya haya quien utiliza las amenazas de tipo zero-day (da cero) para un beneficio econmico, no slo para incluir troyanos que roben contraseas, sino para adoptar posiciones cortas o de opciones sobre acciones y derivados.
Notificacin avanzada
2008
2007
2006
Volumen medio, ao completo Volumen medio, ao completo (sin eventos) Volumen medio, da de Notificacin avanzada Diferencia media en volumen Diferencia media en volumen respecto a das sin eventos Volumen de ^IXIC medio, ao completo Volumen de ^IXIC medio, ao completo (sin eventos) Volumen de ^IXIC medio, Notificacin avanzada
Figura 7: Como media, el volumen de negociacin de los valores de Microsoft es menor en los Martes de parches y los das de Notificacin avanzada.
26
sin embargo, si las fluctuaciones del precio de las acciones se deben a los anuncios de vulnerabilidades y parches, qu ocurrira si una persona adoptara una posicin corta (descubierto) en una empresa de software importante y publicara unas cuantas vulnerabilidades con ataques en la lista de correo de Full Disclosure? Quizs, algo similar a lo conocido como el "Mes de los errores de navegador", pero dirigido a un proveedor, en un solo da? si esto ocurriera en horario de contratacin y durante uno de los das con menor probabilidad de que otras noticias distrajeran a los inversores (como los martes o jueves), las presiones a la baja en el mercado de valores seran significativas a nivel de particulares. adems sera manifiestamente ilegal si las vulnerabilidades no fueran ciertas (libelo o fraude). sin embargo, sera ilegal si fueran ciertas? no est tan claro que decir la verdad, aunque sea de forma potencialmente manipuladora, pueda considerarse ingeniera social, ni siquiera que sea ilegal. es posible que pudieran defenderse ambas posturas, pero consideremos la controversia entre Firestone y Ford por reventones de neumticos8. si en ese momento hubiera tenido un coche Ford, hubiera sufrido problemas de neumticos y hubiera adoptado una posicin corta con respecto al valor, podra haberse considerado un acto ilegal? sin duda. si hubiera vendido al descubierto y se lo hubiera comunicado a Firestone, Ford u otros, sera eso legal? como ocurre con cualquier otro vector de ataque o vulnerabilidad, estar al tanto y divulgar la informacin con frecuencia mejoran la situacin de seguridad de los que pueden resolver el problema. si hablamos con franqueza de los puntos dbiles, quizs podamos mejorar y supervisar el sistema de forma adecuada. es posible que ya haya quien utiliza las amenazas de tipo zero-day (da cero) para obtener un beneficio econmico, no slo para incluir troyanos que roben contraseas, sino para adoptar posiciones cortas o de opciones sobre acciones y derivados. es evidente que los remitentes de spam han encontrado formas de aprovecharse de los mercados de valores: hemos recibido muchos mensajes de spam que ofrecen acciones de muy poco valor.
NOTAS
1 goldsmith, Dave y Jeremy rauch; Matasano security. Hacking capitalism (los piratas informticos se aprovechan del capitalismo), Black Hat Usa 2007. 2 de agosto de 2007. 2 Financial Information eXchange (Intercambio de informacin financiera), Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/Financial_Information_eXchange 3 random walk hypothesis (Teora del paseo aleatorio), Wikipedia. 15 de mayo de 2008. http://en.wikipedia.org/wiki/random_walk_hypothesis 4 efficient Market Hyp (Hiptesis de la eficiencia de los mercados), Wikipedia. 15 de mayo de 2008. http://en.wikipedia.org/wiki/efficient_market_hypothesis 5 Past performance not indicative of future results(rentabilidades pasadas no garantizan rentabilidades futuras), cBoe. 22.05.08. http://www.cboe.com/micro/vix/faq.aspx 6 Martingale (probability theory) (Martingala (teora de la probabilidad)), Wikipedia. 22 de mayo de 2008. http://en.wikipedia.org/wiki/Martingale_%28probability_theory%29 7 emulex Hoax (el bulo de emulex), Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/emulex_hoax 8 Firestone and Ford tire controversy (controversia por reventones de neumticos) Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/Firestone_and_Ford_tire_controversy
conclusin
Todava queda mucho por hacer en el rea de las implicaciones de las vulnerabilidades y amenazas en los mercados de valores y derivados. nos hemos centrado principalmente en los mercados de valores. los mercados de derivados suelen moverse en la misma direccin, pero la volatilidad es mayor. siempre que exista un cierto nivel de confianza en la direccin de un movimiento, parece lgico que los operadores que publican las vulnerabilidades traten de ajustar el momento de publicacin a las fechas de expiracin de las opciones. Quiero dar las gracias a mis compaeros Craig Schmugar y Eugene Tsyrklevich por revisar este documento y los datos que incluye, as como por ofrecer sus puntos de vista. - A.B.
Anthony Bettini es miembro del equipo directivo de Mcafee avert labs. su especialidad es la deteccin de vulnerabilidades y la seguridad de Windows. Bettini ha sido ponente en la conferencia nacional sobre seguridad de sistemas Informticos del Instituto nacional de normas y Tecnologa (nIsT, en sus siglas en ingls) en el rea de Washington, D.c, sobre las tcnicas antiseguimiento, as como para numerosas empresas global 2000. Mientras trabaj en Foundstone, public nuevas vulnerabilidades descubiertas en Microsoft Windows, Iss scanner, PgP, symantec esM y otras aplicaciones de uso generalizado. Bettini fue editor tcnico de la edicin Hacking Exposed, 5th (Los piratas informticos se aprovechan) (Mcgraw-Hill).
OTRAS REfERENCIAS
cBoes archive of historic VIX data, using newer algorithm for the pre-
september 22, 2003 algorithm switch (archivo de datos histricos del ndice VIX, utilizando un algoritmo nuevo para el algoritmo previo del 22 de septiembre de 2003) 20 de abril de 2008. http://www.cboe.com/micro/vix/historical.aspx lo, andrew W. The adaptive Markets Hypothesis: Market efficiency from an evolutionary Perspective (la hiptesis de los mercados adaptables: eficacia de los mercados desde una perspectiva de evolucin). Journal of Portfolio Management. Indicadores financieros cortesa principalmente de yahoo Finance. 15 de mayo de 2008. http://finance.yahoo.com otros indicadores financieros cortesa de google Finance. 20 de abril de 2008. http://finance.google.com
oToo 2008
27
en los ltimos aos, los nombres de los sitios de redes sociales Myspace, Facebook y otros han entrado a formar parte de la lengua de uso comn. aunque muchos creen que las redes sociales en Internet es un fenmeno relativamente nuevo,
en realidad, sitios como classmates.com y sixDegrees.com llevan funcionando ms de una dcada. sin embargo, lo cierto es que la explosin de crecimiento se ha producido en los ltimos aos. as que, qu es exactamente lo que convierte a un sitio en una red social? Bsicamente, los sitios de redes sociales son aquellos que estn formados por una comunidad online que permite a los usuarios compartir informacin, y hacer nuevos contactos o retomar las relaciones con los del pasado. la importancia de los sitios de redes sociales se basa en dos razones. en primer lugar, son el eptome de la Web 2.0, donde la red de usuarios es la plataforma y la comunidad es responsable del contenido. la plataforma crece gracias a las contribuciones de los usuarios, a travs de aplicaciones que estn a disposicin de la comunidad. en segundo lugar, los sitios de redes sociales combinan elementos de canales de comunicacin, como el correo electrnico, los paneles de mensajes, la mensajera instantnea y el chat, con vehculos de comunicacin, como el audio, el vdeo y las publicaciones. en estas comunidades, los individuos con ideas afines pueden compartir informacin e intereses comunes, as como aportar sus opiniones y puntos de vista. estos sitios pueden servir de plataformas de colaboracin y, a medida que crece la base de usuarios, aumenta el valor de toda la red. adems, estas plataformas permiten seleccionar la audiencia de la publicidad para ser ms directos y especializados que nunca; las empresas pueden centrar sus iniciativas de marketing en las personas que estn verdaderamente interesadas. los sitios de redes sociales contienen un almacn de informacin que se puede explorar y analizar con el fin de ampliar los perfiles de los usuarios y generar complejos diagramas y mapas de relaciones entre los usuarios, y entre los usuarios y sus intereses. la clave del xito de todo sitio de red social es contar con una base de usuarios slida y fiel. Friendster.com sabe bien de lo que estamos hablando. Friendster fue el precursor de Myspace y, en sus mejores momentos, el sitio de red social nmero uno indiscutible. entonces, qu fue lo que le ocurri? Friendster fue una especie de xito catastrfico. cuando la base de usuarios comenz a crecer de forma masiva y el contenido evolucion (incluyendo hasta juegos), el servidor central no pudo mantener el ritmo. los administradores del sitio se vieron obligados limitar el contenido que requera un gran ancho de banda, pero ni siquiera as consiguieron mejorar el rendimiento hasta niveles satisfactorios y la base de usuarios desert. adems, Friendster intent encajar la base de usuarios en su modelo predefinido de cmo deba utilizarse la red y quin deba participar. Myspace ofreca una plataforma ms robusta, no slo por su mayor ancho de banda, sino adems por el nivel de libertad del que disfrutaban los usuarios a la hora de crear, modificar y visualizar una variedad de contenidos ms amplia. en cuanto corri la voz entre los internautas de que Myspace era el nuevo Friendster, no pas mucho tiempo antes de que la mayora se cambiara de red. esta primera batalla entre redes sociales permite extraer algunas conclusiones, entre ellas, que la plataforma ha de ser flexible, ampliable y con capacidad de evolucin, y que la fidelizacin de sus usuarios es esencial. estos principios estn allanando el camino para los sitios de redes sociales del futuro.
Inseguridad social
Una parte del triunfo de Myspace sobre Friendster se debe al hecho de que permita a los usuarios un elevado nivel de personalizacin de sus perfiles. sin embargo, esto abri el camino para que los agresores insertaran cdigo maligno y lanzaran convincentes ataques de phising directamente desde sus perfiles de Myspace. Por desgracia, semejante nivel de flexibilidad se presta al aprovechamiento de vulnerabilidades, que los menos escrupulosos no dudan en utilizar. en la pugna por la cuota de mercado y siempre intentando evitar ser el siguiente Friendster, muchos sitios de redes sociales no han prestado a la seguridad toda la atencin que merece. como consecuencia, los sitios de redes sociales han sido blanco de
28
ataques de phising, gusanos, vulnerabilidades, recopilacin de datos, distribucin de publicidad no autorizada, difamacin y, por ltimo, aunque por eso no menos importante, de spam.
Cada vez que hace clic en un vnculo, valora un blog o chatea sobre un tema especfico, el sitio adquiere sobre usted datos para mejorar su red social.
aproximadamente nueve meses despus de que Facebook lanzara su plataforma, Myspace hizo lo propio. google ha lanzado tambin recientemente una interfaz de programacin de aplicaciones (aPI) para orkut, su sitio de red social. aunque estas plataformas han creado el marco para la prxima generacin de sitios de redes sociales, tambin son responsables de la creacin de otro vector que pueden aprovechar los agresores.
Grey Goo JS/QSpace JS/SpaceFlash JS/SpaceTalk Gusano Kut Prdida masiva de fotos privadas PWS-Banker! 1d23 Samy Scrapkut Secret Crush Gusano Xanga
gusano gusano gusano ladrn de informacin gusano fuga de datos ladrn de contraseas gusano gusano programa no deseado gusano
Second Life MySpace MySpace MySpace orkut MySpace orkut MySpace orkut FaceBook Xanga
Figura 1: Los gusanos y otras amenazas inundan los sitios de redes sociales. Con frecuencia los usuarios confan demasiado en los sitios de su comunidad.
en la actualidad. el resultado ser una experiencia Web enormemente personalizada que requiere una mnima intervencin directa del usuario. si consideramos que la Web 1.0 estaba controlada por los administradores de los sitios y la Web 2.0 por el contenido generado por los usuarios, el futuro de las redes sociales est en la mejora de las relaciones entre el usuario y el contenido, basada en que el comportamiento del usuario permite adaptar el contenido. en las primeras encarnaciones de los sitios de la prxima generacin, llamadas redes sociales 3.0, puede llegar incluso a sobrecoger el nivel de exactitud de la inteligencia artificial. la generacin de perfiles adquiere un significado distinto en este reino, donde el sitio puede realmente reunir a usuarios de intereses similares. en algunos aspectos, la generacin de perfiles de compatibilidad que utilizan las agencias de contactos online se podra considerar una encarnacin anticipada de la creacin de conexiones sociales a travs de la generacin de perfiles online para unir a personas compatibles; sin embargo, en las redes sociales 3.0, este concepto se ampla de manera importante sin necesidad de rellenar un extenso cuestionario. cada vez que hace clic en un vnculo, valora un blog o chatea sobre un tema especfico, el sitio adquiere sobre usted datos para mejorar su red social. Quin se beneficia de esta explosin de correlacin de informacin? Qu duda cabe que la base de usuarios es un factor desencadenante, pero hay tambin otros que intentan beneficiarse de esta circunstancia. a los anunciantes se les hace la boca agua cuando piensan en tasas de conversin ms elevadas cuando el marketing se desarrolla a nivel de usuarios, en funcin de sus intereses especficos. Prestarn atencin a la publicidad ms usuarios y, por lo tanto, se interesarn en su contenido.
el uso cada vez mayor de perfiles abiertos y porttiles, aplicaciones Web hbridas (aplicaciones que combinan contenido de varias fuentes en una sola herramienta) e interfaces aPI abiertas facilitarn enormemente el uso entre sitios, pero al mismo tiempo aumentar la complejidad a la hora defenderse frente a las amenazas que tienen como objetivo estos vectores. en la actualidad los ataques que emplean varias capas son difciles de localizar y lo sern ms an en el futuro. los ataques pueden generarse en un solo sitio nicamente para propagarse a travs de otro antes de aparecer en una red social infectada. las defensas basadas en host tendrn que negociar las relaciones que mantienen los sitios entre s para reconstruir las interacciones vlidas y no vlidas entre sitios, y poder separar el grano de la paja. es muy probable que muchos usuarios consideren las preocupaciones sobre la privacidad que incluye este artculo, recopilacin y correlacin de informacin, y seguimiento de ubicaciones, demasiado importantes para ser ignoradas. De hecho, mucha gente decidir no participar en estos servicios. sin embargo, cuando los usuarios vean que se pueden beneficiar proporcionando un poco de informacin y que han establecido relaciones de confianza, muchos de ellos no dudarn en ofrecer ms detalles. los proveedores estn plenamente al corriente de este hecho y animan a los usuarios a ir paso a paso, por ejemplo, permitir que se comuniquen las ubicaciones de forma especfica, nicamente por provincia o ciudad. Desafortunadamente, los predadores online estarn al acecho y las vulnerabilidades de seguridad pueden tener funestas consecuencias cuando esta informacin cae en manos de los ciberdelincuentes. este es un momento apasionante para los sitios de redes sociales, que se amplan con rapidez, aaden funcionalidades y aumentan sus bases de usuarios. estos sitios estn tasados en miles de millones de dlares. se vislumbran grandes cambios, a la vez emocionantes e intimidatorios; desde muchos puntos de vista, el futuro de los sitios de redes sociales define el futuro de la propia Internet.
Mayores riesgos
as como aumentan las ventajas para el usuario, tambin se incrementan las oportunidades para los agresores. los creadores de spam y los falsificadores buscarn la manera de aprovechar esta mina de informacin y la utilizarn para generar ms fcilmente ataques de ingeniera social convincentes. el nivel de detalle y personalizacin de los mensajes del ataque coger a los usuarios por sorpresa. las redes de bots sociales tambin dispondrn del potencial para perturbar seriamente el ecosistema, envenenando la red con molestas peticiones y falsos testimonios. los administradores de sitios se vern obligados a corregir muchos errores para mantener un nivel de calidad elevado, conseguir detener a los ciberdelincuentes al tiempo que permitir al resto realizar un uso adecuado el sitio. la proteccin de las redes sociales futuras depender principalmente de las defensas del lado del servidor. los sistemas servidor debern analizar grandes cantidades de datos entrantes y salientes en bsqueda de rastros de cdigo daino o maligno. los servicios de clasificacin de la reputacin de los sitios y el contenido pueden ayudar a encontrar un equilibrio entre usabilidad y seguridad. la relacin de confianza entre sitios y usuarios es clave para el xito de las redes del maana. romper esa confianza puede tener consecuencias nefastas para toda la comunidad.
el investigador en materia de amenazas informticas Craig Schmugar lleva desde el ao 2000 investigando y luchando contra amenazas para Mcafee avert labs. Durante todo este tiempo ha descubierto y clasificado miles de amenazas nuevas, entre ellas, los gusanos Blaster, Mydoom, Mywife y sasser. admite que durante este tiempo ha empezado a sentirse un poco ms "insociable".
NOTAS
1 http://cwe.mitre.org/documents/vuln-trends/index.html 2 http://www.facebook.com/press/info.php?statistics 3 http://www.zdnet.com.au/news/security/soa/spyware-claims-kill-off-Facebooks-secret-crush/0,130061744,339284896,00.htm?omnref=http://www.google. com/search?num=100
30
si bien es cierto que la ingeniera social no interviene en todas las formas de amenazas de seguridad, ltimamente Mcafee avert labs ha observado una tendencia creciente: los creadores de malware hacen uso de la ingeniera social para aprovechar las vulnerabilidades del software.
la mayor parte de los tristemente clebres gusanos de Internet aparecidos en la primera mitad de la dcada aprovechaban en su mayora una o varias vulnerabilidades de las aplicaciones de Microsoft. los conocidos sasser, Blaster, code red y sQl slammer tenan un factor en comn. (Por cierto, avert labs descubri sasser y Blaster, as como otro malware importante.) Todos ellos aprovechaban vulnerabilidades de servidores. estaban concebidos para, tras aprovechar los fallos de los servidores, servirse de su rpida autopropagacin para destruirlos. a pesar de que otras aplicaciones pertenecientes a un gran nmero de proveedores han sido vctimas de brechas de seguridad similares, en este artculo nos centraremos en las vulnerabilidades y tendencias en aplicaciones de Microsoft. con ello no pretendemos decir que Microsoft sea particularmente vulnerable, sino que reconocemos que la popularidad de sus aplicaciones entre particulares y empresas ha convertido a esta empresa en el objetivo principal de los creadores de malware y los ladrones de datos. avert labs ha constatado que, gracias a las medidas de seguridad adoptadas para proteger las llamadas de procedimientos remotos, las vulnerabilidades de los servidores que pueden ser aprovechadas por gusanos han experimentado un descenso en los ltimos aos. Para ilustrar estos datos, en la Figura 1 se muestran las vulnerabilidades susceptibles de ser aprovechadas de forma remota a travs de llamadas de procedimientos remotos de Microsoft Windows durante un perodo de 10 aos y hasta el primer trimestre de 2008. se puede observar como la tendencia ha descendido de manera importante en los ltimos dos aos. observamos una tendencia similar si nos fijamos en las vulnerabilidades susceptibles de ser explotadas en otras populares plataformas de servidor de Microsoft, como IIs Web server, sQl server y otras. Microsoft fortaleci an ms sus defensas con la publicacin del service Pack 2 para Windows XP. Junto con otros mecanismos de proteccin, el sP2 inclua la prevencin de ejecucin de datos2, que, si bien no era infalible3, sin duda ayud a frenar la propagacin de gusanos de red que hasta ese momento acosaba a Windows. los efectos del sP2 de XP se hicieron mucho ms patentes un par de aos despus, cuando un gran nmero de usuarios realizaron la migracin al sistema operativo actualizado. sin embargo, los creadores de malware no se iban a dejar vencer. no tardaron mucho en cambiar de objetivo, pasando de servidores a clientes, y destapando vulnerabilidades en Microsoft office, Microsoft Internet explorer y varios formatos de archivo de marca registrada. el asalto a los clientes dio lugar a una gran cantidad de los denominados "fuzzers"4 (cuyo objetivo es buscar brechas de seguridad mediante el lanzamiento de datos aleatorios a una aplicacin), errores de anlisis de lenguaje de secuencias de comandos y vulnerabilidades relacionadas con controles activeX. Proyectos como el llamado Mes de los errores de navegador5 (y otros), axfuzz6, coMraider y hamachi7 hicieron crecer el inters en esta rea y ayudaron a poner de manifiesto los innumerables problemas que acosan al software
Parches de vulnerabilidades remotas de Microsoft
14 12 10 8 6 4 2 0 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
Figura 1: Desde 2006, Microsoft ha reforzado considerablemente la seguridad de sus llamadas de procedimientos remotos. (Fuente: Microsoft1).
oToo 2008
31
45 40 35 30 25 20 15 10 5 0
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
Figura 2: Las vulnerabilidades de Microsoft Office aumentaron en 2006 y han seguido ese ritmo en los dos aos posteriores. (Fuente: Microsoft).
cliente. Durante este perodo, el descubrimiento de errores y el aprovechamiento de vulnerabilidades en aplicaciones cliente han vivido su momento lgido; esta tendencia contina incluso mientras preparamos esta revista. no resulta fcil determinar el nmero de aplicaciones cliente que sufren ataques, pero algunas fuentes aseguran que se trata de cientos de millones8. en la Figura 2 se ofrece una clara muestra del acusado incremento de las vulnerabilidades relacionadas con Microsoft office. aunque el peor momento se vivi en 2006, todava hoy es un problema que mantiene la atencin de Microsoft. la mayora de estas vulnerabilidades han afectado a office 2000. esta versin es la ms utilizada, y por lo tanto la que sufre un mayor nmero de ataques. Desde el punto de vista econmico, las vulnerabilidades en office 2000 son las ms rentables para los creadores de malware. el motivo principal es que esta suite ha tenido durante mucho tiempo un gran inconveniente para la seguridad: los usuarios de office 2000 deben visitar la pgina de actualizaciones office update de Microsoft para descargar parches9 y las actualizaciones online automticas no se ocupan de office 2000 ni de office 97. este descuido ofrece a los creadores de malware una oportunidad excepcional para aprovecharse de que muchos usuarios rara vez actualizan sus suites office10. el nmero de equipos zombi invadidos a causa de este tipo de brecha de seguridad podra alcanzar las decenas de miles. aunque, como ya hemos sealado, en este artculo nos ocupamos principalmente de las vulnerabilidades de las aplicaciones de Microsoft, la tendencia afecta a otros conocidos proveedores de software cliente, como adobe, Mozilla o apple, entre muchos otros. el llamado Mes de errores en apple puso de relieve muchos problemas de los clientes y se ha producido un fuerte repunte en las vulnerabilidades encontradas en aplicaciones de software de uso generalizado, como apple QuickTime, adobe Flash Player y reader, por nombrar slo algunas. el reciente aprovechamiento de la vulnerabilidad relacionada con la funcionalidad mailto: y los archivos PDF (cVe-2007-5020)11, y de Flash mediante el uso de actionscript (cVe-2007-0071) fueron algunos los problemas crticos que afectaron a miles de usuarios.
Parte de esa complejidad reside en los ataques de ingeniera social dirigidos a un objetivo, que son la tendencia emergente en el panorama de amenazas. estos ataques son especialmente populares en instalaciones militares y de defensa12. Desde la plaga de vulnerabilidades de Microsoft office en 2006, han salido a la luz varios informes sobre algunas agencias gubernamentales que han recibido mensajes de correo electrnico con archivos malignos de Word, PowerPoint o access. Parece que la combinacin de la ingeniera social y las vulnerabilidades ha encontrado otro objetivo: el espionaje. est claro que espiar es una prctica ms furtiva y difcil de descubrir que los ataques con un mero objetivo econmico. en muchas ocasiones, las vulnerabilidades descubiertas en estos documentos incrustados maliciosos han sido ataques de tipo zeroday (da cero), lo que hace que estos documentos sean todava ms difcil de detectar: con frecuencia, slo se detectan cuando el dao ya est hecho. el hecho de que estas vulnerabilidades de tipo zero-day hayan estado dirigidas a instalaciones gubernamentales o militares especficas hace pensar que estos ataques estn financiados por agentes o gobiernos extranjeros. Ingeniera social especialmente diseada, vulnerabilidades de tipo zero-day, dinero y poder son elementos que nos transportan a una novela de John le carr. Pero algunos analistas de seguridad piensan que esto no es ficcin. las predicciones de muchos tericos apuntan en la direccin de que las guerras de la prxima generacin se librarn en el ciberespacio sern estos acontecimientos sencillamente experimentos para preparar una ciberguerra?
32
como ejemplo destacado de esta tcnica merece la pena mencionar el ataque realizado en febrero de 2007 a la super Bowl (final de ftbol americano). en este caso, los piratas insertaron cdigo Javascript maligno en la pgina de inicio del sitio oficial13. la secuencia de comandos aprovechaba dos fallos en Internet explorer e infectaba a los usuarios que no tenan instalado el parche con un troyano que se conectaba a un servidor chino, proporcionando acceso total al equipo infectado. se ha tenido conocimiento de ataques similares a muchos sitios Web muy visitados, incluidos los de embajadas, grupos de noticias y grandes empresas. otra nueva amenaza que ha puesto en riesgo a millones de hogares consiste en aprovechar los enrutadores domsticos a travs de Universal Plug and Play, lo que permite a un archivo Flash maligno incrustado en una pgina Web reconfigurar el enrutador de la vctima14. (el hecho de que la inmensa mayora de los usuarios utilicen las contraseas predeterminadas en los enrutadores de sus hogares explica el xito de este ataque.) en esta situacin, para atraer a la vctima se podra utilizar cualquier vnculo aparentemente inofensivo para pagar facturas online o leer ms sobre un tema determinado. lo ms probable es que el usuario no tenga ni idea de que el enrutador ha sido atacado, haciendo que todo el trfico, incluidas las contraseas ms confidenciales, se enve a un tercero.
as como el desarrollo de tcnicas de ataque fiables, como la denominada "heap spray"17, ganan en popularidad. Muchos de estos errores han estado ah desde hace mucho tiempo y siempre se consideraron como imposibles de aprovechar. Podra ser el momento perfecto para que estas tcnicas aprovechen los trucos de ingeniera social como uno de los vectores de ataque por las siguiente razones:
en la actualidad no existen mtodos automticos y fiables conocidos, para aprovechar estas nuevas tcnicas (principalmente para la propagacin masiva). Pueden probarse fcilmente en individuos o grupos elegidos, a travs de la ingeniera social como parte del proceso de desarrollo. la rentabilidad de estas tcnicas es mayor si se utiliza la ingeniera social que si se dedican los esfuerzos a aumentar la investigacin para conseguir la propagacin masiva.
conclusin
las tendencias recientes en vulnerabilidades convierten a la ingeniera social en una fuerza difcil de combatir. no importa cuntos mecanismos de proteccin implementen los proveedores en su software y en sus sistemas operativos, mientras los usuarios sigan haciendo clic en cualquier vnculo que les salga al paso, la ingeniera social los desarticular todos. al menos a corto plazo, no parece que podamos esperar la aparicin de "ciberleyes" que pongan freno a la ingeniera social (excepcin hecha de los casos de fraude); sin embargo, una mejor educacin puede sin duda ayudar a minimizar las prdidas y el impacto sobre las vctimas desprevenidas. Mientras tanto, pinseselo dos veces si le piden que haga clic para aceptar el premio que acaba de ganar.
Rahul Kashyap es director de investigacin sobre vulnerabilidades y seguridad de sistemas de prevencin de intrusiones (IPs) para Mcafee avert labs. es responsable de la investigacin de vulnerabilidades, anlisis de vulnerabilidades de tipo zero-day, contenido de sistemas de prevencin de intrusiones y respuesta de emergencia. Kashyap es un gran seguidor de Dilbert y espera poder comenzar algn da su propio cmic satrico acerca de la seguridad.
10 Ms office Flaws Ideal Tools for Targeted attacks. (los fallos en Ms office herramientas ideales para ataques dirigidos a un objetivo) http://blog.washingtonpost.com/securityfix/2006/04/ ms_office_flaws_ideal_tools_fo_1.html 11 http://www.gnucitizen.org/blog/0day-pdf-pwns-windows/ 12 The new e-spionage Threat. (la nueva amenaza del espionaje electrnico) http://www.businessweek.com/print/magazine/content/08_16/b4080032218430.htm 13 Dolphins Web sites hacked in advance of super Bowl. (los sitios Web del Dolphin stadium y de los Miami Dophins pirateados como adelanto de la super Bowl) http://www.networkworld.com/news/2007/020207-dolphins-web-sites-hacked-in.html 14 Hacking the interwebs, (Pirateando la InterWeb) 12 de enero de 2008. http://www.gnucitizen.org/blog/hacking-the-interwebs/ 15 application-specific attacks: leveraging the actionscript Virtual Machine. (ataques especficos a aplicaciones: aprovechando la mquina virtual actionscript) http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf 16 Unusual Bugs, (errores inusuales) Ilja van sprundel. http://www.ruxcon.org.au/files/2006/unusual_bugs.pdf 17 Heap Feng shui in Javascript. (Heap Feng shui en Java script) http://www.determina.com/security.research/presentations/bh-eu07/ bh-eu07-sotirov-paper.html (es necesario registrarse)
NOTAS
1 http://www.microsoft.com/technet/security/current.aspx 2 cmo configurar la proteccin de la memoria en Windows XP sP2. http://www.microsoft.com/spain/technet/recursos/articulos/depcnfxp.mspx 3 analysis of gs protections in Microsoft Windows Vista. (anlisis de las protecciones gs en Microsoft Windows Vista) http://www.symantec.com/avcenter/reference/gs_Protections_in_Vista.pdf 4 Browser Fuzzing for fun and profit.(Incordiar al navegador por diversin y dinero), http://blog.metasploit.com/2006/03/browser-fuzzing-for-fun-and-profit.html 5 Month of Browser Bugs, (Mes de los errores de navegador) http://blog.metasploit.com/2006/07/month-of-browser-bugs.html 6 aXFUZZ: an activeX/coM enumerator and fuzzer. (aXFUZZ: un enumerador y fuzzer de activeX/coM) http://sourceforge.net/projects/axfuzz/ 7 Hamachi, de H D Moore y aviv raff. http://metasploit.com/users/hdm/tools/ hamachi/hamachi.html 8 637 million Users Vulnerable to attack, (673 millones de usuarios vulnerables a ataques) Frequency X. http://blogs.iss.net/archive/TheWebBrowserThreat.html 9 Mantener actualizado el sistema operativo: preguntas ms frecuentes." http://www.microsoft.com/spain/protect/computer/updates/faq.mspx
oToo 2008
33
Mientras navega por la Web puede verse expuesto a una gran variedad de ataques que se encuentran bien descritos en la publicacin McAfee Security Journal.
Desde banners malintencionados hasta programas de adware, los sitios que pretende visitar pueden causar daos importantes. no obstante, los usuarios tambin deberan ser conscientes de los sitios que no tienen intencin visitar: los sitios a los que llegan por accidente. los navegadores Web aadirn automticamente un .com a un dominio sin dominio de nivel superior, de forma que tambin registran dominios como www.mcafeecom.com. Incluso, algunos se especializan en aadir prefijos http o en registrar el correspondiente .com para dominios que realmente residen en otros dominios de nivel superior. cmo terminan los usuarios en estos sitios de ocupacin tipogrfica? algunos usuarios sencillamente olvidan el nombre exacto del sitio. otros pueden teclear errores. (Pensemos en los que hablan ingls pero no son nativos, en usuarios con visin reducida y en aquellos que todava no estn muy duchos en el uso de un teclado.) Puede que usuarios con poca experiencia no conozcan la puntuacin correcta de la direccin completa de un sitio o que usuarios con prisa introduzcan errneamente una parte de la Url. Incluso los usuarios ms sofisticados pueden cometer errores en un dispositivo mvil con un teclado pequeo, en un tablet Pc con reconocimiento de escritura manual, o durante un recorrido lleno de baches en un automvil. Por tanto, no estara bien culpar a los usuarios de solicitar sitios de typosquatting. al contrario, aunque es verdad que los usuarios terminan en estos sitios, generalmente lo hacen por error.
estrategia bsica
Para los que nos equivocamos de vez en cuando al teclear una direccin Url, existe una clase especial de amenaza de seguridad que hay que vigilar. esta plaga del mecangrafo imperfecto se conoce como typosquatting (ciberocupacin basada en errores tipogrficos). la estrategia del typosquatter es anticiparse a los nombres de dominio que los usuarios podran solicitar de forma accidental. Por ejemplo, un usuario comete un error al teclear bankofamerica.com: teclea dos veces la k y omite la e; el resultado es bankkofamrica.com. normalmente, ese usuario recibira un mensaje de error del navegador, que lo dirigira al sitio correcto de Bank of america. Pero imaginemos que alguien ha previsto el error del usuario. el typosquatter podra tener registrado el dominio mal escrito (y otras variaciones del error tipogrfico) con la esperanza de que los usuarios acaben cometiendo el error y accedan a l. Histricamente, los typosquatters se centraron fundamentalmente en los errores ortogrficos: insertar una letra equivocada, omitir una letra o intercambiar dos letras. Pero, ltimamente, los typosquatters han encontrado otras formas ingeniosas de atraer el trfico involuntario. supongamos que un usuario omite el punto que separa www del nombre de dominio del sitio, por ejemplo, wwwmcafee.com en lugar de www.mcafee.com. los typosquatters pueden registrar ese dominio. (De hecho, alguien lo hizo. Mcafee est intentando recuperarlo.) en el caso de los puntos finales, los typosquatters prevn correctamente que
34
los dominios frecuentados por nios son objetivos particularmente interesantes para los typosquatters. Por ejemplo, un anlisis reciente identific 327 registros diferentes que eran todos variantes cercanas a cartoonnetwork.com. la lista, recopilada con tecnologa siteadvisor, la encabezaba Feecreditreport.com; youTube, craigslist, Wikipedia y Bank of america tambin ocupaban un lugar destacado. (Para conocer las cifras exactas, consulte la Figura 1. y para ver algunos ejemplos de errores ortogrficos creativos, consulte el apndice.)
reaccin legal
en general, la prctica del typosquatting es ilegal en estados Unidos. la ley para la proteccin de los consumidores frente a la ciberocupacin de 1999 (acPa, anti-cybersquatting consumer Protection act), ttulo 15 del cdigo Usc, 1125(d), prohbe el registro, trfico de entrada o utilizacin de nombres de dominio que sean idnticos o puedan confundirse con una marca o nombre famoso. la acPa reconoce daos por los beneficios fraudulentos del typosquatter (ttulo 15 de Usc, 1117(a)(1)), o indemnizaciones entre 1.000 y 100.000 dlares por dominio ocupado (a criterio del tribunal) ( 1117(d)).
las leyes de otros pases tratan el typosquatting de un modo algo distinto, pero la mayora de las naciones ven esta prctica como una infraccin de marca comercial, y por tanto la prohben. adems, la directiva para la resolucin uniforme de disputas (UDrP, Uniform Dispute resolution Policy) establece un arbitraje para las reclamaciones sobre dominios ilegales. Para registrar un sitio en un dominio principal de nivel superior, el registrante debe someterse a la jurisdiccin de la UDrP, por lo que esta directiva se aplica independientemente de la ubicacin del sitio de typosquatting. Dicho esto, las reparaciones de la directiva UDrP se limitan a la confiscacin de un dominio ilegal y no contemplan sanciones econmicas. a pesar de la elevada cuanta de las multas que impone la acPa, los typosquatters parecen ampararse en la escasa probabilidad de ser perseguidos por sus actividades, y la realidad es que continan campando a sus anchas.
DOMINIO
freecreditreport.com cartoonnetwork.com youtube.com craigslist.org blogspot.com clubpenguin.com wikipedia.com runescape.com miniclip.com bankofamerica.com dailymotion.com metroflog.com addictinggames.com friendster.com myspace.com verizonwireless.com facebook.com
742 327 320 318 276 271 266 264 263 251 250 249 248 246 239 238 235
El servicio McAfee SiteAdvisor realiza continuas bsquedas de typosquatters: en la inspeccin de mayo de 2008 del McAfee Avert Labs encontramos ms de 80.000 dominios ocupados asociados a slo los 2.000 sitios Web ms importantes.
Figura 1: La lista ms popular de typosquatting. En esta tabla aparece una seleccin de las marcas comerciales ms deseadas por los typosquatters. Los datos proceden de la inspeccin de mayo de 2008 del servicio SiteAdvisor.
oToo 2008
35
Figura 2: Un typosquatter registra un nombre de dominio similar al de un banco importante y luego, indirectamente, vende enlaces publicitarios para ese y otros bancos.
cuando los sitios de typosquatting muestran anuncios, normalmente intentan seleccionar los relacionados con el sitio al que el usuario (con toda probabilidad) trataba de acceder. as, en el ejemplo de bankkofamrica.com mencionado anteriormente, los anuncios resultantes promocionan, como era de esperar, bancos. Qu bancos? el primero de la lista es el propio Bank of america. (Vase la Figura 2). sorprendido? Por una parte, la colocacin de ese anuncio es til para el Bank of america: al menos consiguen llegar hasta el cliente, a pesar de su error al escribir el nombre. Pero, por otra parte, es extraordinario que este typosquatter le pida al banco que pague para llegar a un cliente que ya haba solicitado Bank of america por su nombre. Despus de todo, el typosquatter est infringiendo la marca comercial de Bank of america, contraviniendo exactamente la acPa, que estipula que dicho typosquatter no puede registrar tales dominios y que incluso se le podra obligar a pagar una cuantiosa indemnizacin a Bank of america si el banco presentara una demanda. Pero
en lugar de eso, el typosquatter acaba vendiendo espacios de publicidad a Bank of america, sin que ste, al menos inicialmente, se percate. cmo es esto posible? los typosquatters no venden directamente el espacio a los anunciantes. (Imagnese la conversacin: nos gustara mostrar sus anuncios en nuestro sitio de typosquatting. Que quiere poner nuestros anuncios dnde?) en su lugar, los typosquatters venden sus espacios a redes publicitarias, que a su vez buscan anunciantes. la mayor red en este espacio es google, cuyo producto adsense for domains y otros productos de afiliacin de dominios sirven anuncios en ms del 80 por ciento de los sitios de typosquatting recientemente descubiertos por la tecnologa siteadvisor.
36
de anunciantes y propietarios de marcas comerciales. si google dejara de financiar el typosquatting, los typosquatters tendran muchos menos incentivos para registrar dominios ilegales; es probable que ninguna otra red publicitaria les pague tanto como lo hace google. (Una revelacin: soy colaborador de la defensa en la demanda colectiva de propietarios de marcas comerciales de Vulcan golf y otros contra google y otros, en relacin a la responsabilidad de google por los sitios de typosquatting en los que google paga por colocar anuncios.)
Defensas
aunque las batallas de typosquatting continan, los usuarios preocupados pueden hacer mucho para protegerse. en primer lugar, tenga cuidado cuando teclee. est atento al typosquatting, especialmente cuando solicite un sitio difcil de deletrear. Tratar de adivinar un nombre de dominio puede que no sea la mejor opcin; considere en su lugar la utilizacin de un motor de bsqueda. en segundo lugar, tras llegar a un sitio, mire dos veces antes de continuar. es ste de verdad el sitio al que quera llegar? se trata de un enlace normal o un anuncio pagado? Debera este sitio del gobierno tener realmente un .com, o tal vez el correspondiente .gov? Un poco de sentido crtico puede servirle como defensa contra el typosquatting u otros ataques. el software adecuado tambin puede ayudar a proteger a los usuarios contra los typosquatters. la tecnologa siteadvisor identifica muchos sitios de typosquatting. Un servicio de proteccin tipogrfica, como openDns, proporciona una proteccin adicional. los motores de bsqueda normalmente ofrecen ayuda del tipo: Quizs quiso decir ... con la correccin hecha, de modo que los usuarios pueden evitar muchos sitios de typosquatting realizando bsquedas en lugar de escribir nombres de dominios directamente en la barra de direcciones del navegador.
Benjamin Edelman es profesor adjunto en Harvard Business school, donde estudia mercados electrnicos y fraude en lnea. Tambin es consejero especial del servicio siteadvisor de Mcafee, donde ofrece una perspectiva independiente para complementar las puntuaciones del sitio siteadvisor. aunque es un mecangrafo rpido y preciso, el profesor edelman se ha embarcado ocasionalmente en aventuras involuntarias de navegacin.
NOTAS
1 large-scale registration of Domains with Typographical errors, (registro de dominios a gran escala con errores tipogrficos) enero de 2003. Harvard law school. (http://cyber.law.harvard.edu/archived_content/people/edelman/typo-domains/)
APNDICE
Ejemplos de sitios de typosquatting: Cartoonnetwork.com entre los ms de 80.000 dominios encontrados en la inspeccin de mayo de 2008 de siteadvisor, aparecen estas variantes de typosquatting para cartoonnetwork.com: ccartoonnetwork.com dcartoonnetwork.com ncartoonnetwork.com cfartoonnetwork.com ceartoonnetwork.com ckartoonnetwork.com jcartoonnetwork.com vcartoonnetwork.com caertoonnetwork.com caortoonnetwork.com cairtoonnetwork.com cuartoonnetwork.com acartoonnetwork.com bcartoonnetwork.com canrtoonnetwork.com
oToo 2008
37
el adware y el spyware son dos de las principales herramientas que se utilizan en Internet para marketing y distribucin de distribuir publicidad.
estas aplicaciones suelen aprovecharse de metodologas de ingeniera social y a menudo se adhieren a aplicaciones de freeware o shareware que el usuario desea descargar y que por lo dems s son tiles. lo habitual es que las aplicaciones no deseadas incluyan acuerdos de licencia de usuario final (eUla) que supuestamente definen su comportamiento, pero en general la descripcin no es explcita y no hace sino confundir al usuario y abrir la puerta a otras trampas de ingeniera social. en la primera mitad de esta dcada, se produjo un crecimiento exponencial del adware y el spyware denominados con frecuencia programas no deseados o PUP. sin embargo, a partir de 2005 su nmero ha decrecido de forma constante. en este artculo analizaremos los principales cambios en los modelos de compensacin online que estn provocando este descenso. en su mayora, el adware y el spyware actan de formas diferentes: el primero funciona con aplicaciones ms limpias y un mejor modelo de consentimiento del usuario desarrollados por las principales firmas de adware; el segundo es a veces malintencionado y con frecuencia se considera malware de tipo troyano. esta divisin relativamente clara ha ayudado a mantener reducido el nmero de aplicaciones de adware y spyware. Por lo tanto, si estos PUP ya no constituyen ninguna amenaza, desaparecern pronto para siempre? Para responder a esta pregunta, examinaremos el cambiante panorama de amenazas y el papel que desempea la ingeniera social.
Adware Tipo de software publicitario con capacidad para distribuir contenido publicitario de un modo o en un contexto que puede resultar inesperado e inoportuno para el usuario. el documento risk Model (Modelo de riesgos) de la asc detalla muchos de los comportamientos susceptibles de ser considerados inesperados o inoportunos. adems, numerosas aplicaciones de adware realizan funciones de rastreo y, por lo tanto, tambin pueden clasificarse como tecnologas de seguimiento. si hay consumidores que se oponen a este seguimiento, no les interesa la publicidad que genera el programa o les molesta su efecto sobre el rendimiento del sistema, lo ms probable es que deseen eliminar el adware. Por su parte, puede que otros usuarios prefieran conservar determinados programas de adware si su presencia sufraga el coste del producto o servicio que desean o si los anuncios les resultan tiles, como cuando suponen una alternativa o complemento a lo estn estudiando o buscando. Spyware en sentido estricto, el trmino spyware se utiliza para referirse al software de seguimiento que se instala sin el correspondiente aviso, consentimiento o control del usuario. en un sentido ms amplio, se utiliza con el significado que la asc otorga a spyware (y otras tecnologas potencialmente no deseadas): tecnologas que se instalan sin el correspondiente consentimiento del usuario o de formas que merman su control sobre: cambios fundamentales que afectan a su experiencia, a su privacidad o a la seguridad del sistema el uso de los recursos del sistema, incluso qu programas se instalan en el equipo la recopilacin, utilizacin y distribucin de informacin personal o confidencial
Definiciones
los trminos adware y spyware se emplean a menudo de manera imprecisa e indistinta, lo cual suele generar confusin. aqu nos ceiremos a las definiciones que propone la coalicin antispyware (asc, anti-spyware coalition)1.
38
al advertir que el trmino spyware ha perdido en gran medida su significado exacto, los miembros de la asc han decidido limitar el uso de spyware (en su sentido estricto) a los documentos tcnicos. Igualmente, en vista de la imposibilidad de evitar las connotaciones ms amplias derivadas del uso popular, la asc tambin admite la existencia de una interpretacin general que incluye todos los PUP. en este artculo, el trmino spyware no se emplea nunca en su sentido amplio, sino siempre en sentido estricto, es decir, como software relacionado con marketing. Para designar programas espa puros, como los registradores de pulsaciones, utilizamos el trmino software de supervisin.
la aplicacin de adware sin el conocimiento de los usuarios. antes de instalarse, muchas de estas aplicaciones muestran un eUla, sin embargo, para evitar la preocupacin de los visitantes, seguramente Fernando resuelva retocar la aplicacin para suprimir el eUla y elevar el nmero de instalaciones. en este momento, si Fernando es un hacker experimentado, podra replicar este modelo en miles de sitios no seguros para multiplicar sus instalaciones y beneficios de forma exponencial. Benjamin edelman, redactor de McAfee Security Journal, describe una situacin real de este tipo en su sitio Web5. el modelo de compensacin PPI demostr ser muy lucrativo para programadores e individuos malintencionados, algo que sin duda contribuy al enorme crecimiento del adware y el spyware. este modelo puede utilizarse con numerosos vectores de instalacin, que se dividen en dos categoras generales:
Un rpido despegue
el adware y el spyware captaron nuestra atencin en el ao 2000 con la aparicin de adware-aureate, que utilizaba el historial de navegacin del usuario para mostrar anuncios. este programa motiv la creacin de una de las primeras aplicaciones antispyware, optout de gibson research corp2. el crecimiento del adware y el spyware comenz a ser notable hacia finales de 2004 y alcanz su apogeo en 2005 (vanse las Figuras 1 y 2). su principal objetivo era generar ingresos instalndose en el escritorio de millones de usuarios (mediante el modelo de pago por instalacin) y mostrar anuncios (con el modelo de pago por clic). Durante estos aos la industria del adware y el spyware floreci por la gran cantidad de ingresos que generaba la publicidad. cada vez que un usuario haca clic en un determinado anuncio, el anunciante reciba una comisin.
Ingeniera social Precisa la interaccin del usuario y cuenta con que ste instale y, en algunos casos, incluso propague el software. el nmero de mtodos de ingeniera social tiene como nico lmite la imaginacin de los agresores, capaces de atraer incluso a los usuarios ms desconfiados. en el ejemplo de Fernando Fernndez, ofrecer juegos gratuitos o tonos de llamada es un cebo que mucha gente no puede resistir. lo que el usuario decide en ltima instancia es asumir el riesgo o quedarse sin el regalo.
Adware 5.000
4.000 3.000 2.000 1.000 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 previsin
Figura 1: El crecimiento del adware alcanz su apogeo en 2005. (Fuente: McAfee Avert Labs)
Figura 2: El spyware y los programas de supervisin tambin han experimentado un descenso general desde 2005, pero prevemos un repunte para finales de 2008. (Fuente: McAfee Avert Labs)
oToo 2008
39
Ataques que aprovechan vulnerabilidades lo habitual es que con estos ataques la instalacin de adware no requiera ninguna interaccin humana, pero en muchos casos se atrae al usuario con tcnicas de ingeniera social para que visite sitios Web malintencionados que albergan este tipo de ataques.
Anuncios de banner los anuncios se muestran en un banner o en un espacio predefinido. este contenido puede variar. Anuncios emergentes en primer o segundo plano los anuncios se presentan en ventana distintas, lo que resulta molesto para el usuario. Anuncios en flash son similares a los anuncios de banner, pero utilizan animaciones Flash para diversificar el contenido.
el modelo PPc es capaz de funcionar en un entorno mucho ms controlado que permite al sitio Web que incluye los anuncios elegir el mecanismo de distribucin. aunque el modelo PPc est basado en servidor y puede parecer ms seguro, no es del todo infalible. los timadores disponen de tcnicas engaosas para estafar a los usuarios7. si tenemos en cuenta que gran parte del contenido del anuncio est almacenado en servidores y que utiliza Javascript, Flash y otras tecnologas con contenido multimedia, no resulta difcil insertar publicidad malintencionada en su secuencia8, 9. en un caso de este tipo, una red publicitaria propiedad de yahoo distribua sin saberlo anuncios de banner malintencionados que acaban descargando troyanos en el equipo del usuario. en este caso concreto, los anuncios de banner se mostraban en sitios Web como Myspace y PhotoBucket. estos anuncios malintencionados se introducan inadvertidamente en la red publicitaria de yahoo. Tambin hemos observado que los clics del usuario se secuestran mediante envenenamiento de cach Dns10. sin embargo, en estos casos los usuarios no se ven directamente afectados; el ms vulnerable a estas amenazas es el IsP o el servidor que contiene los anuncios. Para restarle fuerza a los vectores de ataque que aprovechan estos modelos de compensacin, vamos a analizar brevemente el importante papel que desempea la ingeniera social en este mercado electrnico que promete infinitas posibilidades de generar ingresos.
Si tenemos en cuenta que gran parte del contenido del anuncio est almacenado en servidores y que utiliza JavaScript, Flash y otras tecnologas con contenido multimedia, no resulta difcil insertar publicidad malintencionada en su secuencia.
40
Sitio Web de red social nivel de confianza alto Motor de bsqueda nivel de confianza bajo Usuario Vnculo recibido a travs de MI, correo electrnico, spam nivel de confianza muy bajo Vnculo recibido a travs del perfil de un amigo en sitio de red social, bloc de notas de Google, dominio de confianza, etc. nivel de confianza alto
Sitio Web de ingeniera social (p. ej., ofrece vnculos a archivos MP3, vdeos para adultos, etc.)
Cuestin de confianza
la Figura 3 muestra cuatro situaciones en las que el usuario se expone a un sitio de ingeniera social. aunque la ilustracin es simple, puede ayudarnos a comprender los siguientes casos reales. la clave est en que cuanto mayor sea el nivel de confianza, ms probabilidades de xito tendr una determinada tcnica de ingeniera social. Vemoslo en detalle utilizando tres casos reales.
en 2006, The Washington Post denunci un anuncio de banner malintencionado en Myspace que distribua adware y troyanos a millones de usuarios aprovechando las vulnerabilidades de los metarchivos de Microsoft Windows, para lo cual no haca falta la intervencin del usuario17. en 2008, los anuncios de banner malintencionados han experimentado un aumento. el ms reciente mientras se escriba este artculo fue un anuncio en Flash publicado en usatoday.com18. slo por visitar la pgina, los usuarios eran bombardeados con mltiples alertas falsas y de malware (una tctica de ingeniera social muy frecuente) para que descargaran una aplicacin antispyware no autorizada denominada Malware alert. (los programas no autorizados pueden incluir PUP y tambin troyanos).
Visualizador de contenido para adultos de Myspace (nivel de confianza: medio). este problema se produca cuando un usuario haca clic en un anuncio emergente que mostraba imgenes de jvenes con ttulos como Quiero que me quieran14. al hacer clic en estos anuncios se bajaba el software Myspace adult content que, segn se ha sabido, descargaba adware. Vdeo fraudulento de youTube en Myspace (nivel de confianza: alto). a finales de 2006 Websense denunci la publicacin de un vdeo fraudulento de youTube en mltiples perfiles falsos de Myspace15. Para ver el vdeo, haca falta instalar Zangocash. aplicacin secret crush para Facebook (nivel de confianza: muy alto). en enero de 2008, Fortinet public una advertencia de seguridad sobre un widget malicioso denominado secret crush (amor secreto) que intentaba instalar adware16. esta tctica de ingeniera social funcionaba enviando primero una solicitud de Facebook titulada Invitacin de un amor secreto. al abrir la solicitud, el usuario tena que instalar un widget para averiguar quin le enviaba la invitacin. a continuacin, antes de desvelar quin era el amor secreto, la solicitud peda al usuario que reenviara la invitacin a cinco amigos. los ms ingenuos reenviaban el mensaje a sus amigos y as creaban un gusano social. Despus de todos estos pasos, lo nico que vean las vctimas era un mensaje para descargar el adware Zango. se dejaban llevar fcilmente por la situacin porque su nivel de confianza era muy elevado.
Mensajes de correo electrnico falsificados (nivel de confianza: bajo). Hubo un caso en que se enviaron masivamente mensajes falsificados de eBay con vnculos para descargar adware19. el factor de ingeniera social se encontraba en el contenido del mensaje, que adverta a los confiados usuarios de que haba un problema con sus datos de facturacin y de que tenan que actualizarlos descargando un determinado software. Pginas de error falsas (nivel de confianza: medio). algunos sitios Web mostraban mensajes de error falsos tipo pgina no encontrada y se ofrecan a resolver la situacin descargando un componente activeX que instalaba WinFixer20. spam en el bloc de notas de google (nivel de confianza: alto). Hace poco los timadores utilizaron otra tcnica ms de ingeniera social enviando vnculos de spam a pginas del bloc de notas de google21. el hipervnculo tena el formato www.google.com/ notebook/public/[IDusuario]/[bloqueado]. la gente es menos suspicaz si se trata del dominio google.com, por lo que se atreven a hacer clic en las pginas Web malintencionadas, que contienen numerosos vnculos a sitios para adultos o vdeos falsos. Finalmente stos descargan varias aplicaciones antispyware no autorizadas.
oToo 2008
41
retirada silenciosa
la falta inicial de normativas que regularan las aplicaciones de adware y spyware dio mucha libertad a los desarrolladores, tanto si su motivacin era puramente econmica como si era verdaderamente malintencionada. al principio, los usuarios parecan protegidos porque el eUla les adverta de todos los efectos no deseados de estas aplicaciones. Pero muchas veces los eUla eran confusos, estaban incompletos o haba que buscarlos. al encontrarlos, eran difciles de leer, a menudo por estar encerrados en ventanas diminutas en las que slo caban unas pocas palabras. con una cortina de humo tan eficaz, por qu han disminuido el adware y el spyware? los factores que han contribuido son varios.
Dado que ahora los anunciantes conocen los riesgos asociados al modelo PPI (invasin de la intimidad, consentimiento impropio y otros), han comenzado a adoptar el modelo PPc, que no exige que haya ninguna aplicacin en el sistema del usuario.
aplicaciones no autorizadas
como los creadores de malware hacen dinero fcil con tcticas intimidatorias, tienden cada vez ms a distribuir aplicaciones no autorizadas y troyanos de alertas falsas, que muestran errores o mensajes de infeccin falsos. en la mayora de los casos, los troyanos de alertas falsas son los que descargan las aplicaciones no autorizadas que detectan claves de registro y archivos falsos como malware. a veces, son las propias aplicaciones no autorizadas las que introducen los archivos para detectarlos despus; en estos casos, la aplicacin no autorizada garantiza la clasificacin como troyano (estos troyanos estn incluidos en la Figura 4). Tambin hemos observado muchos casos de adware instalado por troyanos. la categora de troyano Downloader-Ua es una familia que utiliza tcticas de ingeniera social para descargar programas falsos. Descubierta a finales de 2004, esta familia emplea vulnerabilidades del modo en que el reproductor de Microsoft Windows Media utiliza la tecnologa de gestin de derechos digitales embaucando a los usuarios para descargar archivos multimedia de diseo especial31,32. esta misma familia de troyanos atac de nuevo en 2008 persuadiendo a los usuarios de que se bajaran un reproductor de MP3 falso para or una seleccin de temas, pero a la vez descargaba montones de adware en el sistema33. en comparacin con aos anteriores, el crecimiento de las aplicaciones no autorizadas (PUP y troyanos) ha sido exponencial en 2008 (Vase la Figura 4). Para medir la frecuencia de los productos antispyware no autorizados que distribuyen los troyanos Downloader, analizamos una serie de direcciones IP desde las que se iniciaban estas descargas. la consulta realizada en el dominio hosts-files.net devolvi 158 dominios asociados a una misma direccin IP34 (vase la Figura 5).
Aplicaciones no autorizadas
1.000 500 0
Pleitos Debido al incremento de abusos de las aplicaciones de adware y spyware, los consumidores y otros demandantes han entablado diversos pleitos contra algunos distribuidores de envergadura.22,23,24,25,26,27. Varias sentencias judiciales han contribuido a limitar la cantidad de adware y spyware. Por ejemplo, en la resolucin contra Zango12, el tribunal exige que Zango controle a sus distribuidores terceros para asegurarse de que afiliados y subafiliados cumplen la decisin de la comisin de comercio Federal (FTc, Federal Trade commission). el fallo tambin prohbe a Zango, directamente o a travs de otros, aprovechar vulnerabilidades de seguridad para descargar software y le obliga a mostrar explicaciones claras y visibles, as como a obtener el consentimiento expreso de los consumidores antes de descargar el software en su equipo. estos fallos judiciales han servido para debilitar el mtodo PPI y han supuesto un incentivo para que los distribuidores mejoren su comportamiento.
Concienciacin pblica y organismos del sector la FTc posee un sitio Web informativo28 que aconseja sobre cmo protegerse del spyware y denunciar sus abusos. la asc tambin ofrece gran cantidad de informacin y detalles sobre esta amenaza29. gracias al esfuerzo de estos grupos, los consumidores y legisladores comprenden mucho mejor las reglas y los problemas relacionados con la publicidad en Internet. este conocimiento ha ayudado a reducir el nmero de aplicaciones no deseadas. Mala prensa y pleitos potenciales contra anunciantes relacionados con empresas de adware el dinero que haca funcionar el mercado del adware y el spyware provena inicialmente de anunciantes que recurran a empresas de adware para mostrar los anuncios. al principio, estas empresas de productos y servicios no investigaban a fondo la manera en que las empresas de adware distribuan su publicidad. en una resolucin histrica dictada el 29 de enero de 200730 se estableca que antes de contratar a una firma para la distribucin de su publicidad, y de forma trimestral a partir de entonces, las empresas deben investigar cmo se distribuyen sus anuncios en Internet. las empresas deben interrumpir inmediatamente el uso de los programas de adware que infrinjan las resoluciones alcanzadas o sus propias directivas de adware.
2005
2006
2007
2008 previsin
PUP Troyano
Figura 4: A diferencia del adware y el spyware, las aplicaciones no autorizadas (PUP y troyanos) han aumentado drsticamente en 2008. (Fuente: McAfee Avert Labs)
42
conclusin
slo desde el punto de vista estadstico, parece claro que el adware y el spyware estn disminuyendo. sin embargo, las sugerentes tcticas de ingeniera social que se utilizan para distribuir estos PUP siguen entre nosotros, distribuyendo troyanos y aplicaciones no autorizadas. con el ascenso del modelo del lado servidor (PPc) en la distribucin publicitaria, sin duda aparecern tcticas mejoradas de ingeniera social que incitarn a los usuarios a hacer clic en estos anuncios y generar ingresos para los afiliados. la distribucin de adware y troyanos seguir ganando terreno en los sitios de redes sociales. aunque el nmero total de programas de adware y spyware ha descendido, no prevemos que en un futuro prximo surjan soluciones fciles para el problema de los programas no deseados. siendo las empresas de adware quienes pagan estas instalaciones, su deber moral sera llevar un seguimiento de cada instalacin y detener rpidamente cualquier mala distribucin posible de su software. Pero lo harn de verdad? el cambiante panorama de amenazas y el aumento de los troyanos con fines lucrativos nos obliga a permanecer atentos y ensear a trabajadores y usuarios particulares a entender mejor lo que supone la amenaza de la ingeniera social.
Figura 5: Varios nombres de host estn asignados a una sola direccin IP que distribuye aplicaciones localizadas no autorizadas.
cada uno de los dominios que contiene la Figura 5 muestra un antispyware personalizado o un limpiador del sistema no autorizados. las pginas tambin aparecen en varios idiomas. al analizar 620 pginas, descubrimos que se haban creado pginas y aplicaciones en 24 idiomas, lo que indica que las amenazas se han extendido mucho ms all de los pases angloparlantes. en ms de una ocasin la misma IP estaba asociada a mltiples dominios, en algunos casos hasta 200 dominios diferentes. Una consulta de la palabra clave Fsa (que hosts-files.net describe como una clase de dominios que albergan aplicaciones no autorizadas) devolvi cerca de 3.600 dominios que distribuyen aplicaciones no autorizadas35.
Aditya Kapoor es investigador snior en Mcafee avert labs. conoci la ingeniera inversa hace seis aos cuando investigaba en la Universidad de luisiana en lafayette para su tesis de doctoral, que vers sobre un algoritmo de desensamblaje para resolver la ocultacin de cdigo. en Mcafee, Kapoor se ha especializado en anlisis de rootkits, comparacin de cdigos de bytes y anlisis de comportamiento. le gusta viajar y estudiar diferentes culturas y arquitecturas.
NOTAS
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 http://www.antispywarecoalition.org/documents/2007glossary.htm optout (no participar), gibson research corp. http://www.grc.com/optout.htm http://en.wikipedia.org/wiki/compensation_methods (Fuente: sitio Web de Zango. http://www.cdt.org/headlines/headlines.php?iid=51 http://www.benedelman.org/news/062907-1.html http://en.wikipedia.org/wiki/compensation_methods#Pay-per-click_.28PPc.29 http://www.benedelman.org/ppc-scams/ http://msmvps.com/blogs/spywaresucks/archive/2007/08/22/1128996.aspx http://www.theregister.co.uk/2007/09/11/yahoo_serves_12million_malware_ads/ http://www.secureworks.com/research/threats/ppc-hijack/ http://www.csc.com/cscworld/012007/dep/fh001.shtml http://www.usgs.gov/conferences/presentations/5socialengineeringInternal externalThreat%20Dudeck.ppt http://download.microsoft.com/download/c/e/c/ cecd00b7-fe5e-4328-8400-2550c479f95d/social_engineering_Modeling.pdf http://mashable.com/2006/10/11/myspace-adult-content-viewer-more-adware/ http://securitylabs.websense.com/content/alerts/1300.aspx http://www.fortiguardcenter.com/advisory/Fga-2007-16.html http://blog.washingtonpost.com/securityfix/2006/07/ myspace_ad_served_adware_to_mo.html http://securitylabs.websense.com/content/alerts/3061.aspx 19 http://securitylabs.websense.com/content/alerts/738.aspx 20 http://www.avertlabs.com/research/blog/index.php/2006/12/04/404-not-just-filenot-found/ 21 http://www.cantoni.org/2008/06/04/google-notebook-spam 22 http://www.benedelman.org/spyware/nyag-dr/ 23 http://www.oag.state.ny.us/media_center/2005/apr/apr28a_05.html 24 http://www.internetlibrary.com/cases/lib_case358.cfm 25 http://blogs.zdnet.com/spyware/?p=655 26 http://www.ftc.gov/opa/2006/11/zango.shtm 27 http://www.ftc.gov/bcp/edu/microsites/spyware/law_enfor.htm 28 http://onguardonline.gov/spyware.html 29 http://www.antispywarecoalition.org/ 30 http://www.oag.state.ny.us/media_center/2007/jan/jan29b_07.html 31 http://www.pcworld.com/article/119016/risk_your_pcs_health_for_a_song.html 32 http://vil.nai.com/vil/content/v_130856.htm 33 http://www.avertlabs.com/research/blog/index.php/2008/05/06/fake-mp3srunning-rampant/ 34 http://hosts-file.net/?s=67.55.81.200&sDM=1#matches 35 http://hosts-file.net/?s=Browse&f=Fsa
oToo 2008
43
los datos de Mcafee siteadvisor revelan la variacin del riesgo en funcin del rea geogrfica.
en su excelente informe Mapping the Mal Web, revisited (el mapa de los sitios Web peligrosos, revisin), publicado en el nmero de junio de 2008 de la revista Mcafee security Insights1, nuestro compaero shane Keats examinaba con detenimiento la distribucin en Internet de los sitios Web malintencionados. Para ello, utilizaba datos obtenidos mediante la tecnologa Mcafee siteadvisor. en el momento que vivimos, todos necesitamos saber por dnde se puede navegar y buscar informacin sin correr riesgos. Pero si Internet es realmente un enorme barrio digital, reflejo de cualquier gran ciudad del mundo, cules son las calles por las que se puede transitar sin peligro? Qu dominios presentan ms riesgos? cules son los dominios de nivel superior (TlD) que incorporan ms mejoras en cuanto a seguridad? y cules menos? Qu palabras de bsqueda son ms peligrosas? estas son las preguntas, entre muchas otras, que se hacen los usuarios de Internet. el objetivo de la revista McAfee Security Journal es ayudarle a obtener respuestas mediante datos y anlisis que le permitan tomar las decisiones ms adecuadas. en este nmero, resumimos datos de amenazas recientes que afectan a dominios de nivel superior: tanto genricos: .com, .info, .biz , entre otros, como de pases: .cn, .ru, .br, etc. examinamos en detalle no slo los niveles de riesgo actuales de estos dominios en amrica, europa y asia, sino tambin su evolucin en el ltimo ao. Hemos clasificado cada dominio TlD segn su riesgo general y, a continuacin, hemos realizado anlisis adicionales de correo electrnico, seguridad en las descargas y la prevalencia de ataques basados en la Web. Finalmente, hemos aislado los veinte principales dominios de nivel superior para cada tipo de riesgo. los resultados son asombrosos. el riesgo no se reparte equitativamente en toda la red, como muestran los datos con claridad. los dominios genricos y de pases muestran distintos tipos y grados de riesgo y peligros. algunos pases tienen buenos hbitos en el correo electrnico pero demuestran malas prcticas en la gestin de las descargas. otros han albergado ataques a vulnerabilidades o cdigo malintencionado. esperamos que estos resultados le sirvan de ayuda al navegar y no lo olvide: mire bien a izquierda y derecha antes de cruzar la autopista de Internet! Los grficos en el grfico Dominios TlD en europa, oriente Medio y frica clasificados por riesgo general, observar que el dominio de rumana (.ro) ha registrado casi el siete por ciento. esto significa que, segn el software siteadvisor, Mcafee ha descubierto que casi el siete por ciento de todos los sitios en ese dominio de nivel superior han sufrido una o varias de las amenazas que hemos incluido en el anlisis: ataques a vulnerabilidades de navegadores, adware/spyware/troyanos/ virus, gran volumen de correo electrnico comercial, afiliacin a otros sitios peligrosos, marketing agresivo a travs de ventanas emergentes o revisiones y comentarios de la comunidad de siteadvisor. cuanto ms alta es la cifra, mayor es el riesgo para los usuarios. adems de una cifra general, proporcionamos la variacin experimentada en cuanto al riesgo del ao anterior. el grfico de lneas muestra que en rumana el riesgo ha aumentado aproximadamente un 1 por ciento, mientras que en eslovaquia, por ejemplo, ha disminuido un 3 por ciento aproximadamente. los nmeros positivos indican un aumento del riesgo en comparacin con el ao anterior; los porcentajes negativos indican una disminucin del riesgo.
David Marcus es director de investigacin de seguridad y comunicaciones de Mcafee avert labs. contribuye a dar a conocer a los clientes de Mcafee y a la gran comunidad de expertos las numerosas novedades fruto de las investigaciones de seguridad de avert labs. en la actualidad, Marcus es responsable de relaciones pblicas, se encarga del contacto con los medios de comunicacin, mantiene su liderazgo intelectual, actuando como administrador del blog McAfee Avert Labs Security Blog. adems es presentador de AudioParasiticsEl podcast oficial de McAfee Avert Labs. Tambin dirige todas las publicaciones de avert labs, incluida la revista McAfee Security Journal.
NOTA
1 http://www.mcafee.com/us/security_insights/archived/june_2008/si_jun1_08.html
44
TLD clasificados de Europa, Oriente Medio y frica clasificados por riesgo general
8,0% 6,0% 4,0% 2,0% 0,0% -2,0% -4,0% Rumana .ro Portugal .pt Reino Unido .uk Irlanda .ie Dinamarca .dk Holanda .nl Yugoslavia .yu Noruega .no Austria .at Croacia .hr Grecia .gr Estonia .ee Surfrica .za Islandia .is Eslovenia .si Bulgaria .bg Unin Europea Alemania .de Hungra .hu Repblica Checa .cz Eslovaquia .sk Finlandia .fi Ucrania .ua Polonia .pl Turqua .tr Letonia .lv Blgica .be Lituania .lt Espaa .es Francia .fr Suecia .se Irn .ir Rusia .ru Suiza .ch Italia .it Israel .il
Variacin del riesgo entre 2007 y 2008 (en puntos) Riesgo general en 2008
Adware/spyware/ troyanos/virus
oToo 2008
45
10,0%
15,0%
20,0%
25,0%
-0,4% -5,0% 0,0% 0,0% 5,0% 0,2% 0,4% 0,6% 0,8% 1,0% 1,2%
-0,2%
-20,0%
-10,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
70,0%
0,0%
46
Informacin .info R.P de China .cn Hong Kong .hk Redes .net Rusia .ru Corea del Sur .kr Empresas .biz R. de China (Taiwn) .tw Comercial .com Samoa .ws Yugoslavia .yu Ucrania .ua Tailandia .th Islas Cocos (Keeling) .cc Eslovaquia .sk Croacia .hr Unin Europea .eu Bulgaria .bg India .in Letonia .lv R.P de China .cn Italia .it Familias/Particulares .name Bulgaria .bg Blgica .be Islas Cocos (Keeling) .cc Tonga .to Tuvalu .tv Redes .net Comercial .com Estados Unidos .us Tokelau .tk Islas Navidad .cx Letonia .lv Israel .il Vietnam .vn Empresas .biz Samoa .ws Romania .ro Informacin .info
Riesgo general en 2008 Riesgo general en 2008 Riesgo general en 2008 Variacin del riesgo entre 2007 y 2008 (en puntos) Variacin del riesgo entre 2007 y 2008 (en puntos) Variacin del riesgo entre 2007 y 2008 (en puntos)
Rumana .ro
Informacin .info
Niue .nu
Rusia .ru
Empresas .biz
Familias/Particulares .name
Croacia .hr
Tonga .to
Ucrania .ua
Vietnam .vn
India .in
Redes .net
Portugal .pt
Samoa .ws
Polonia .pl
Comercial .com
oToo 2008
47
Mcafee, Inc. avenida de Bruselas n 22 edificio sauce 28108 alcobendas Madrid www.mcafee.com/es
Mcafee y/u otras marcas mencionadas en este documento son marcas comerciales registradas o marcas comerciales de Mcafee, Inc. y/o sus empresas filiales en ee. UU. y/u otros pases. el color rojo asociado a la seguridad es el distintivo de los productos de la marca Mcafee. Todas las dems marcas comerciales, tanto registradas como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos. 2008 Mcafee, Inc. reservados todos los derechos.
48 McaFee 5001_sec-jrnl_fall08
secUrITy JoUrnal