Hablando de TI

No suelo montar posts sobre notas de prensa, pero está nota me ha parecido muy interesante ya que puede ayudar a los lectores de este blog a darse cuenta si su PC ha sido secuestrada por cibercriminales y se encuentra enganchada en alguna botnet.

Las botnet, como probablemente ya sepan, son redes de computadoras que los cibercriminales dominan mediante programas troyanos, y que las usan después para delinquir, atacando otras botnets, enviando spam, realizando phishing y realizando ataques a sitios web. Las PCs infectadas –conocidas como zombies—son a veces difíciles de detectar, dependiendo del uso que les de el cibercriminal.

Pero la gente de ESET ha realizado un compendio de 10 síntomas que deben levantar las sospechas de los usuarios, y ante su presencia, proceder a revisar con más atención el computador.

Aquí los 10 síntomas, tal cómo los expone ESET en su comunicado:

1. El ventilador arranca a toda marcha cuando el equipo está inactivo: Esto puede indicar que un programa se está ejecutando sin el conocimiento del usuario y que se están utilizando una cantidad considerable de recursos. Por supuesto, esto también podría ser producto de la instalación de actualizaciones de Microsoft, por ejemplo. Otro problema que puede hacer que el ventilador trabaje es el exceso de suciedad en el equipo o un ventilador de la CPU fallando.

2. Su equipo tarda mucho tiempo para apagarse, o no lo hace correctamente: Con frecuencia el malware posee errores que pueden causar una variedad de síntomas, incluyendo que el apagado del sistema sea muy largo o directamente falle. Desafortunadamente, los errores del sistema operativo o conflictos con programas legítimos también pueden causar el mismo síntoma.

3. Observar contenidos en su muro de Facebook que no ha enviado: Existen algunas otras razones distintas al malware o el acceso no autorizado a la cuenta para que aparezca este problema. Si ve que ocurre, definitivamente deberá cambiar su contraseña y asegurarse que el sistema no está infectado. Lo ideal es asegurarse que la computadora no tiene malware antes de cambiar la contraseña y no usar la clave de Facebook en varios sitios distintos.

4. Las aplicaciones andan muy lento: Esto puede ocurrir porque programas ocultos estén utilizando una gran cantidad de recursos del equipo. Pero también podría ser causado por otros problemas.

5. No se pueden descargar las actualizaciones del sistema operativo: Este es un síntoma que no se puede ignorar. Incluso si no está siendo causado por un bot u otro malware, si no mantiene los parches de seguridad actualizados el sistema se va a infectar.

6. No se pueden descargar actualizaciones del antivirus o visitar sitios web de los proveedores: El malware a menudo trata de evitar que soluciones antivirus o de seguridad sean instaladas o ejecutadas. La imposibilidad de actualizar el antivirus o de visitar el sitio web del fabricante es un muy fuerte indicador de la presencia de código malicioso.

7. El acceso a Internet es muy lento: Si un bot está en ejecución en el sistema para, por ejemplo, enviar grandes cantidades de spam, realizar un ataque contra otros equipos o subir/bajar gran cantidad de datos, puede causar que el acceso a Internet sea muy lento.

8. Sus amigos y familiares han recibido mensajes de correo electrónico que usted no envió: Esto puede ser señal de un bot u otro tipo de malware, o bien que su cuenta de correo web haya sido comprometida por un atacante.

9. Se abren ventanas emergentes y anuncios, incluso cuando no se está usando un navegador web: Si bien este es un clásico signo de adware, los bots pueden instalar este programa malicioso en el equipo. Definitivamente debe atender este problema.

10. El Administrador de tareas de Windows muestra programas con nombres o descripciones extrañas: El uso del Administrador de Tareas requiere cierta habilidad e investigación. A veces software legítimo puede utilizar nombres extraños. Una entrada en el Administrador de Tareas no es suficiente para identificar un programa como dañino. Si bien puede ayudar a encontrar software malicioso, deben realizarse otros pasos adicionales para validar los resultados. Eliminar procesos, archivos o entradas del registro sólo porque se sospecha que es un bot u otro malware, puede resultar en que el equipo ni siquiera inicie. Tenga mucho cuidado al hacer suposiciones y tomar acciones sobre ellas.

Ahora bien estos síntomas pueden ser originados por muchas otras causas, incluyendo la existencia de programas de descarga de archivos P2P como Ares –que desaconsejo profundamente, basándome en años de práctica como administrador de equipos. Sin embargo si nota más de uno de estos síntomas es bueno que le preste mayor atención a su PC, descarge un antivirus actualizado –ESET pone a disposición unos en su sitio web y también puedo recomendarles los de Panda o Kaspersky—o realice un diagnóstico en línea con algún antivirus confiable .

ESO SI, DESCONFIE DE LOS SUPUESTOS ANTIVIRUS QUE SE OFRECEN SOLOS AL ENTRAR A ALGUN SITIO DE INTERNET, YA QUE SON FALSOS Y MAS BIEN CONTAMINAN SU PC.

Una vez que esté seguro que su PC está limpia, pues abra su browser y diríjase a www.hablandodeti.com para seguir en contacto.

1 comentario

Mi buen amigo Dmitry Bestuzhev (@dimitribest), investigador de seguridad de Kaspersky, llamó mi atención con un post en LinkedIn sobre abusos infantiles en la Internet. El hacía referencia a un artículo que dice que hay 15 millones de niños en situación de vulnerabilidad en la Internet, tan sólo en el país de México.

La verdad es que las cifras son alarmantes, y más allá de las cifras millonarias, hay una realidad más impactante: nuestros hijos están en riesgo.

Como quitarle el acceso a la Internet a nuestros hijos, no es una opción válida, so pena de convertirlos en modernos ermitaños digitales, la mayoría de los padres que conozco, optan por una de dos posiciones: dejar libre acceso o restringir el acceso con horarios impuestos y uso de software de seguridad. Si bien yo creo que esté último acercamiento es de implementación obligatoria, hay un recurso en el que confío más aún: mi propia hija.

Cómo padre he averiguado las formas más comunes de extorsión. Empiezan por lograr una foto de los niños, y después que logran alguna imagen ligeramente comprometedora, y empiezan a amenazarlos con mostrar las fotos a los padres. Los niños ceden ante el chantaje y se inicia una espiral viciosa, hasta que logran un control casi total de los niños. La clave aquí es quebrar el ciclo desde el inicio, dejándole saber al niño los peligros que hay, explicándoles que no deben ceder a la presión y que deben denunciar con sus padres cualquier intento de extorsión. Algunos de los peores pedófilos usan incluso programas troyanos que les permiten tomar control de las cámaras de las PC, por lo que es una buena idea mantenerlas cubiertas, y explicarle a los chicos la importancia de no abrir archivos enviados por esos desconocidos.

Es un peligro, que no podemos evitar por completo, pero si advertimos a los muchachos a tiempo, podemos evitar que el daño sea grave. Por eso al hablar con nuestros hijos sobre los peligros en la red, también estamos hablandodeti.

Sin comentarios

Los ataques han sido bien planificados. La motivación es claramente política. Los organizadores del ataque lo deben haber estado planeando por mucho tiempo.

La técnica del ataque, sin embargo, es común: se usan botnets que cualquier persona podría accesar desde el mercado negro

Quizás este último punto es el que haga pensar más en simpatizantes del gobierno de Corea del Norte que en el propio gobierno. Sin embargo no se descarta que el gobierno estuviera al tanto o hasta financiara –total o parcialmente—el ataque.

Todo estó salió de las conversaciones con varios expertos en seguridad con los que hable en estos últimos días. No se le quiere dar demasiada publicidad al asunto, pero lo cierto es que estamos presenciando una guerra. Podemos estar incluso, arriesgando la Internet misma.

Hace apenas días conversé con Eugene Kaspersky (vean las entradas anteriores del blog) y se sintió muy incómodo con este tema. Me dijo que recientemente habíamos visto cierta actividad sospechosa en relación al tema de Irán y había tres o cuatro intentos más que estaban descubiertos. La verdad es que esos intentos parecían ser más lo que los analistas llaman una “prueba de concepto” intentos que sólo sirven para comprobar si un mecanismo dado funciona.

Pero pareciera que estamos por pasar la frontera. Los ataques a USA y Corea del Sur fueron efectuados desde 16 países –incluyendo a nuestra cercana Guatemala—y se uso la tecnología existente, no desarrollada a propósito. Quizás esta fue la última prueba de concepto con la que se quería calcular el posible daño. Esto sería el equivalente al Trinity, la primera bomba de USA, detonada en el desierto Alamo Gordo, poco tiempo antes de los ataques de Hiroshima y Nagasaki.

Es una situación realmente preocupante, que puede hacer que en un futuro próximo tengamos que estar hablandodeti personalmente, ya que Internet podría estar colapsada.

2 comentarios

“Los cibercriminales están felices programando en Windows.” Que me perdonen mis amigos de Microsoft, pero esta frase se la escuche directamente a Eugene Kaspersky mientras lo entrevistaba hace apenas unos días. Aunque también he de decir que el mismo Eugene y el resto de los voceros de su compañía, reconocen que Microsoft ha logrado un gran avance en lo que a seguridad se refiere, y que han obligado a los hackers a orientarse más hacia el browser y otras aplicaciones –como Quicktime o Acrobat.
Pero por muy fuerte que parezca, es así. A pesar del auge de Linux y Mac OS, la economía de escala se impone. La mayoría de los que programan virus y otras amenazas, empezaron con un PC y por eso allí siguen. Al contrario de lo que ocurre con los smartphones, donde la existencia de tantos sistemas operativos importantes –Symbian, Windos Mobile 5 y 6, Android, PalmOS, Blackberry OS, OS X, etc– ha dificultado el surgimiento de virus, salvo unas pocas excepciones en Java, el monopolio de facto de MS en el área de sistemas es lo que los hace tan apetecibles para los criminales.
Eugene también conversó conmigo sobre el uso de software malicioso para realizar ciber guerras. Ante la pregunta de qué tan probable es que pueda ocurrir él dijo que el riesgo está muy lejos de no existir. Le insistí sobre si algún Estado usaba esta tecnología y conteto que era imposible de saber aún.
Los pocos ejemplos de ciber guerras que se han visto permiten predecir un escenario de terror. De hecho, el mismo prefirió autocensurarse y no hablar más de ello, ya que le resulta preocupante –e incómodo—tocar estos temas frente a la prensa. Por más que insistí no logre que dijera más, el silencio fue absoluto y puso tensión en la entrevista.
Y es que a veces, al tocar temas que pueden tener consecuencias tan graves para todos, hasta a mí se me hace difícil estar hablandodeti.

2 comentarios

He de confesar que esperaba que los expertos de seguridad de Kaspersky me ofrecieran un panorama menos aterrador que el que yo mismo me imaginaba, pero sin embargo ha sido aún peor. El cibercrimen está tan bien organizado que cada día dificulta más las cosas a las compañías de seguridad. Y es que los cibercriminales han dejado de actuar convencionalmente y han establecido una economía completa, donde las normas de la oferta y la demanda regulan los precios y donde cada uno de ellos ofrecen servicios, que un comprador –no necesariamente diestro en tecnología—puede contratar para dirigir un ataque y además muy pocos de los involucrados sarán realmente cuál es el crimen cometido. Peor aún, en muchos países estarán incluso exentos de responsabilidades legales. Aunque parezca loco, es así.
Digamos que usted quiere robar un banco en la vida real y compra armas, contrata ladrones, se hace de un vehículo y monta un plan. De agarrarlo la policía, iría preso, usted y toda su plantilla.
Pero si quiere robar un banco de manera digital, busca una debilidad que pueda explotar –se la compra a un hacker que la haya descubierto o que haya desarollado herramientas para aprovecharse—y sale en busca de las otras cosas que le hacen falta: una lista de posibles usuarios del banco, una sitio web desde donde mandar el ataque, un spammer que envíe los correos con algode ingeniería social que los haga atractivos para abrirlos y digamos, una cuenta en donde recibir el dinero. Si la polici lo descubre, es poco lo que se puede hacer contra los involucrados, quizás solamente contra el cabecilla, que puede estar en otro país, y el que envió el spam, ya que todos los demás lo que hicieron fue dar herramientas, pero no las aplicaron. (En realidad esta es una burda simplificación d elo que ocurre, pero da la idea general)
Para colmo de males, el ciberdelincuente ni si quiera se arriesga a ser herido, como le pasa a un ladrón convencional. Las soluciones a esto existen, pero involucran más que a las compañías de seguridad. Pronto estaremos hablandodeti sobre esas soluciones y las grandes implicaciones que tienen.

2 comentarios

Hoy mientras escuchaba a alguien hablando del virus del Cornflakes(¡!), con dificultad contenía la risa pensado en todo lo que se había construido acerca de la temible epidemia del Conflicker. Como pocas veces se levantó una expectativa de una crisis de fin de mundo (la última que recuerdo fue la del famoso año 2000 o Y2K). Pero realmente con un poco de sentido común se hubiera podido vaticinar que no debería pasar gran cosa con este ataque. Y es que la época de las grandes epidemias de virus parece haber quedado en el pasado –y sólo revivirá en caso de un ataque terrorista o algo similar.

Los fabricantes de virus tienen en sus manos una industria con más fondos para el ataque, que los que cuenta su contraparte de seguridad para contrarrestarlos. Los ataques han cambiado y ya no ocurren sólo por el “orgullo” de poder ejecutarlos. Cada PC infectada –y que permanezca así—es una fuente de ingresos para el hacker, que más tarde la usará para robar datos secretos o para enrolarla en un ejercito virtual que ataque algún sitio Web o busque infectar otras PCs.

Desde que se hizo publico el posible ataque de Conflicker en el 1ro de Abril, la contrainteligencia ganó la guerra. El creador de Conflicker habrá hecho lo posible por cambiar la fecha del ataque y la forma, ya que al atacar el día que todos están esperando, lo único que haría es dejar expuesto su ejército. Es más, gracias a la publicidad recibida por el virus, miles de máquinas habrán sido dadas de baja del ejercito maligno, gracias a los dueños que preocupados por el holocausto del 1ro de Abril habrán revisado sus PCs y al encontrarlos infectados se habrán apurado a desinfectarlos.

Pero un día estoy seguro que habrá una excepción a la regla. Ese día lo marcará el primer ataque terrorista a la Internet (léase bien, “a la Internet”, no “desde la Internet.”) Las razones podrán ser muchas, pero todas se resumirán en demostrar que la Web no es el lugar seguro que muchos creen. Ese día está hasta en las pesadillas de algunos de los genios de la seguridad, como pude comprobar al hablar con Eugene Kaspersky, allá en sus oficinas durante el año pasado (ver http://www.hablandodeti.com/blog/2008/06/backup-2008-i-hablando-de-ti-en-rusia-seguridad/).

Ese día, todo el mundo estará hablandodeti.

Sin comentarios