La calma que precede a la tormenta: informe trimestral sobre amenazas informáticas

Kaspersky Lab, el líder en el desarrollo de sistemas de defensa contra virus, hackers y spam, anuncia la publicación de su informe sobre las amenazas informáticas modernas correspondiente al tercer trimestre de 2006. "La calma que precede a la tormenta" es la calificación que Alexander Gostiev, principal analista de Kaspersky Lab le da al periodo analizado.

Después de una intensa lucha de las ideas generadas por ambos bandos de la "guerra de los virus", estamos en un periodo de calma: tanto la industria antivirus como los delincuentes cibernéticos están tratando de analizar los resultados del primer semestre de 2006. En el tercer trimestre no hubo ninguna epidemia notable, ni aparecieron nuevos virus de concepto: fue un periodo de guerra de posiciones rutinaria por el dominio de Internet. Pero los delincuentes nos dieron algunas sorpresas.

Uno de los principales problemas en el campo de la seguridad informática del presente es el problemas de las vulnerabilidades de Microsoft Office. En el segundo trimestre de 2006 los hackers atacaron a Word, Excel y Power Point. En tres meses la cantidad de vulnerabilidades casi llegó a la decena. En el tercer semestre Microsoft publicó 6 parches, pero detrás de cada una de las vulnerabilidade se escondían decenas de programas troyanos, que fueron descubiertos en el tráfico de correoo en los ordenadores de los usuarios.

El problema de las vulnerabilidades de Office se agrava porque los autores de virus se han adaptado al calendario de publicaciones de las actualizaciones de Microsoft, y sus "creaciones" se publican pocos días después de la publicación de los parches. Como resultado, las vulnerabilidades pueden ser explotadas por los piratas durante casi un mes, y los usuarios están desprotegidos durante este tiempo. Semejante sincronía en las acciones de los diferentes grupos de hackers, según Alexander Gostiev, "se parece más a un intento de desacreditación de Microsoft como compañía especializada en la seguridad informática en general y de su sistema de publicación de actualizaciones según un calendario, en particular".

La situación sigue siendo muy complicada. Es de esperar que los ataques contra Microsoft Office sean cada vez más refinados, entre otras cosas porque los hackers tienen un nuevo blanco para sus ataques: Microsoft ha puesto a disposición del público la versión beta de Office 2007.

Además de las vulnerabilidad de Microsoft Offcie, en el tercer trimestre de 2006 dos "brechas" más de los productos de Microsoft han representado un gran peligro para los usuarios: : MS06-040 y MS06-055.

MS06-040 es una de las más peligrosas: es la posibildad de ejecutar un código arbitrario en las plataformas Windows a través de una red. Unos días después de la publicación del parche de Microsoft, los delincuentes difundieron en Internet varios programas maliciosos que usaban MS06-040, y muchos de los viejos programas, como Rbot y SdBot complementaron su arsenal de exploits. Por suerte, el fundamento tecnológico de la vulnerabilidad y el contenido del exploit no eran muy diferentes de los ya conocidos, y eran muy parecidos a MS04-011 y MS05-039, lo que permitió a muchos fabricantes de antivirus y cortafuegos bloquear estos ataques virales sin necesidad de actualizar sus productos, con lo que se logró evitar epidemias. La vulnerabilidad MS06-055, descubierta en el navegador Internet Explorer, está relacionada con el procesamiento de VMl y permite al delincuente escribir una secuencia de instrucciones que ejecuta un código arbitrario en el sistema al visitar el sitio infectado. En este caso Microsoft publicó el parche en un plazo record, apartádose de su calendario tradicional, lo que redujo considerablemente la cantidad de infecciones.

En el tercer trimestre se descubrieron tres virus para dispositivos móviles, que se diferencian de la masa de troyanos primitivos parecidos a Skuller: Comwar 3.0, Mobler.a y Acallno. En Comwar 3.0 el autor utilizó un nuevo método de contagio de archivos: este gusano busca en el teléfon otros ficheros sis y se incrusta en ellos, recibiendo un modo más de propagación, además de los tradicionales MMS y Bluetooth. El gusano Mobler.a es un virus de concepto escrito por un autor desconocido. Es el primer programa malicioso multiplataforma que puede funcionar en los sistemas operativos Symbian y Windows, propagándose desde el teléfono al ordenado y viceversa. "Hay que considerar a Mobler.a no como un nuevo método de penetrar al teléfono, sino como un vector más de ataque contra los ordenadores personales", opina Alexander Gostiev. El troyano Acallno es un programa comercial destinado a espíar al usuario de un teléfono en particular: Acallno, sin que el dueño se dé cuenta, envía todos los mensajes de texto entrantes y salientes a un número predeterminado. Una novedad más es el troyano J2ME Wesber, que se convirtió en el segundo programa troyano capaz de funcionar no sólo en los teléfonos inteligentes, sino en cualquier teléfon moderno.

En los sistemas de mensajería instantánea, los usuarios rusos fueron importunados por numerosos programas troyanos, sobre todo por el troyano-espía LdPinch. Ciertas variantes de este troyano, al penetrar al ordenador y robar los datos codiciados por su autor, empiezan a enviar el enlace al sitio infectado a los usuarios listados en la libreta de direcciones. En el tercer trimestre de 2006 tuvieron lugar varias epidemias de este tipo en el sector ruso de Internet, cuando en el término de un día cientos y miles de usuarios de ICQ recibieron de sus amigos enlaces a los ficheros infectados con el pretexto de ser "divertidas figuras" o "fotos de verano". El principal problema de este tipo de propagación de virus es el factor humano: los usuarios no piensan antes de abrir los enlaces que reciben de direcciones conocidas. "Nosotros recomendamos a los administradores de sistemas y especialistas en la esfera de seguridad informática prestar máxima atención al peligro que representan los clientes IM en el presente, e incluir en las politicas de seguridad corporativa reglas que impidan el uso de tales programas", escribe Alexander Gostiev.

En la parte final del informe, Alexander Gostiev sostiene que en el presente ha concluido la segunda etapa del desarrollo de los virus y antivirus. Los autores modernos de virus se han adaptado a los logros de los antivirus y no muestran prisa por lanzarse al ataque. Los delincuentes cibernéticos están contentos con la velocidad de reacción de las compañías antivirus, de contadas horas o minutos, que les permite lograr los objetivos planeados. Sin embargo este equilibrio es inestable. "Si la situación es en realidad tal como me la imagino, pronto todo deberá cambiar. O bien las compañías antivirus se lanzarán al ataque y eliminarán las tropas de virus, o los autores de virus crearán algo totalmente nuevo, que elevará los standares de protección antivirus", supone Alexander Gostiev.