sábado, 3 de noviembre de 2007

Diferenciando códigos maliciosos

Los códigos maliciosos constituyen, en la actualidad, una de las amenazas informáticas más propagadas y una de las que mayor pérdida económica y de tiempo proyecta en ambientes hogareños y corporativos, sin mencionar otros factores característicos de este tipo de programas.

Mitigar de manera adecuada el impacto que provoca el accionar de estos códigos maliciosos implica conocer una serie de cuestiones en torno a ellos, como por ejemplo cuáles son los canales que mayormente se utilizan para propagar las infecciones o, de acuerdo a las actividades que realice, de qué tipo de malware se trata.

Este último punto es uno de los factores que más confusión provoca a los usuarios debido a los preconceptos que existen cuando se habla de programas que provocan algún daño intencional en los sistemas informáticos.

Al respecto, un ejemplo práctico, se da al mencionar genéricamente como “virus” a cualquier programa dañino cuando técnicamente no lo es y en realidad, la palabra adecuada para llamarlos es malware, o según su traducción, código malicioso.

Este preconcepto fue heredado por la evolución natural que los virus informáticos fueron sufriendo a medida que nuevas tecnologías iban, y van, apareciendo. Actualmente, el malware engloba una vasta cantidad de códigos maliciosos que provocan algún tipo de perjuicio en los equipos que comprometen.

Si bien la clasificación es bastante extensa, la mayoría de estas amenazas informáticas se encuentran representadas por troyanos, spyware/Adware y gusanos.

La siguiente imagen muestra cuáles son los tipos de códigos maliciosos con mayor actividad en durante el último mes según ThreatSense.Net, el sistema estadístico de ESET.


Pero más allá de esto ¿sabemos de qué se trata cada malware? En otras palabras, dependiendo de las acciones que realiza en la computadora infectada ¿somos capaces de identificarlos?, o dependiendo de la vía por la cual se intenta propagar ¿sabemos si se trata de un troyano, de un gusano o de un virus?

Conceptualmente, podríamos decir que los virus informáticos se caracterizan por su capacidad de infectar a otros programas, por lo general inyectando su propio código malicioso dentro del código original del programa huésped.

Como se puede apreciar en la imagen, en la actualidad los virus informáticos casi no se extienden y representan aproximadamente el 5% de todo el malware que actualmente circula por Internet.

A diferencia de los virus, los spyware/adware son programas cuyo objetivo radica principalmente en el intento de recolectar información de los usuarios acerca de sus hábitos de navegación, generalmente sin el consentimiento de los usuarios.

Los síntomas de un equipo comprometido con algún spyware/adware son fácilmente identificables porque sus componentes casi siempre interactúan con el navegador de Internet, como por ejemplo: cambio de la página de inicio del navegador, adhesión de barras de tarea, ventanas emergentes (pop-ups) incluso sin conexión, etc.

Por otro lado, los gusanos informáticos, los spyware/adware y los troyanos son mucho más difundidos que el virus propiamente dicho.

Los troyanos fundan sus características principalmente en el engaño: aparentando ser un programa benigno, útil e inofensivo cuando en realidad no lo son, u ocultándose en otros programas útiles.

Contrariamente a los virus y gusanos, los troyanos no cuentan con la capacidad de reproducirse pero sí suelen ser incluidos (o estar asociados) a otro tipo de malware como los gusanos (para lograr su propagación).

A través de la imagen, se deduce que son los troyanos quienes abarcan más de la mitad de los problemas de infección. En relación con ello, esto se debe, principalmente, a que en la estadística están contemplados todos los tipos de troyanos, como por ejemplo:

* Troyanos downloader: al comprometer una computadora se encargan de descargar otros códigos maliciosos.
* Troyanos bancarios: utilizados para realizar fraudes a través de la obtención de datos confidenciales de los usuarios.
* Troyanos Clicker: aquellos que realizan fraudes a través de clic en sitios con publicidad.
* Troyanos Backdoors: permite el acceso a un sistema de una manera no convencional.
* Troyanos Bot: convierte las computadoras en equipos zombies que luego forman parte de botnets.

En otro punto, los gusanos y los troyanos comparten con los virus algunas similitudes como la posibilidad de explotar las vulnerabilidades que encuentran en cada sistema. Además, salvo pocas excepciones, todos ellos necesitan una acción del usuario o de un proceso del sistema para ejecutarse.

Bajo este contexto y corriendo acorde a la evolución tecnológica, el malware actual suele contener componentes que muchas veces dificultan su identificación en cuanto a la categoría que representan, ya que un solo código malicioso suele tener las características propias de varios de ellos.

Por ejemplo, un troyano puede diseminarse adherido a un gusano y una vez activado, desplegar funcionalidades maliciosas como backdoors o rootkits (programas utilizados para ocultar procesos y conexiones en un sistema).

Sin embargo, y más allá de lo expresado, es importante tener en cuenta que conocer cuáles son los objetivos que ostentan los diferentes códigos maliciosos actuales ayudará a minimizar en gran medida su propagación, y por ende, su potencial infección.

Por esto mismo, el conocimiento del usuario sobre cómo protegerse con sus acciones el equipo y también sobre los distintos ataques existentes, resulta de vital importancia para garantizar una completa protección cuando se complementa con un antivirus de detección proactiva, como ESET NOD32, ante amenazas desconocidas al momento de su aparición.