Malware y phishing, ¿ponemos más puertas al campo?


Los sistemas de seguridad reactivos, basados en firmas tradicionales para el malware y listas negras para el phishing, están obsoletos y se muestran insuficientes para abordar una realidad cuyos números y efectos se desconocen.





La Real Academia Española describe "poner puertas al campo" como frase
coloquial usada para dar a entender la imposibilidad de poner límites
a lo que no los admite.

Por definición, tanto el malware como el phishing son conjuntos
finitos, si bien están en continuo crecimiento. La producción actual
es tan prolífica que a efectos prácticos es imposible luchar de forma
efectiva intentando poner una nueva "puerta" para cerrar la vía de
entrada de cada nuevo caso de malware o phishing.

¿Se desconoce la magnitud del problema?

Cuando uno trabaja dentro del sector tiene acceso a material de
primera mano y tendencia a perder la perspectiva que se distingue
del problema desde el exterior. Es normal que difiera la percepción
de un usuario respecto a un profesional de la seguridad.

Tener puntos de vistas diferentes suele ser complementario y
enriquecedor. Además, tradicionalmente las casas de seguridad han
realizado, en ocasiones o de forma puntual, un mal uso de las
estadísticas y las alertas, utilizándolas como herramienta de
marketing para provocar la necesidad de adquirir unos determinados
productos. No es de extrañar que el usuario de hoy mantenga cierta
actitud crítica, por otro lado recomendable, cuando se le habla de
los peligros que acechan en Internet.

Ahora bien, cuando uno lee en prensa que aparecen 2.000 nuevos virus
cada mes de boca de un reputado experto en seguridad, ya no es un
simple problema de percepción entre usuarios finales y profesionales
del sector. La brecha es mayor.

Algunos números

Un laboratorio antivirus puede recibir cada día una media de mil
nuevas muestras de malware para las que su solución no disponía de
firma de detección específica. No hay ninguna errata en los números,
hablamos de 1.000 en 24 horas, Y hay casos donde el volumen es mayor.

El phishing y el robo de credenciales de acceso a banca, al contrario
del malware, tal vez sea una actividad más visible. No en vano la
estrategia más común por parte de los atacantes es realizar un spam
masivo para hacer llegar la dirección falsa al mayor número de
víctimas potenciales. Todos hemos recibido varios mensajes de ese
tipo, y más o menos podemos hacernos una idea del volumen.

Ahora bien, cuando hablamos de troyanos bancarios o de phishing
segmentado entramos en un terreno mucho más oscuro. Como dato,
en el laboratorio de Hispasec analizamos más de 100 troyanos
bancarios cada día.

¿En qué se traducen estos números?

La situación es algo contradictoria. Vivimos la época con mayor número
de amenazas e incidentes en Internet, si bien la percepción general
sobre la inseguridad se ha relajado respecto a años anteriores.

Algunos culpables

El malware ha dejado de ser noticia. Antes solía aparecer regularmente
un gusano de propagación masiva que obtenía la atención de los medios
tradicionales y protagonizaba titulares.

Ahora la estrategia de los atacantes ha cambiado. En vez de un gusano
de propagación masiva que infecta miles de usuarios en poco tiempo,
pero que también provoca que los antivirus reaccionen en tiempo récord,
prefieren distribuir miles de variantes que infectan a más usuarios,
pasan más desapercibidas, y dificultan la labor de detección de los
antivirus.

Además el malware actual es menos perceptible por los usuarios
infectados. Atrás quedaron los virus que mostraban efectos en las
pantallas de los usuarios, eliminaban archivos, o los gusanos que
provocaban un aumento en el tráfico de red. Los troyanos y el
spyware, reyes indiscutibles de la escena actual, es software
diseñado para permanecer oculto en los sistemas y no dar señales
de su actividad.

La situación actual

A efectos prácticos, el disponer de un antivirus o no hacer caso a
los mensajes de phishing no garantiza a un usuario que su sistema
no esté infectado o sea víctima de una estafa.

De hecho, es muy común encontrarse sistemas con antivirus instalados
donde conviven varios troyanos y/o spyware. Con frecuencia los
usuarios nunca llegan a ser conscientes de las infecciones, más de
una vez habremos escuchado la frase: "parece que este Windows tiene
demasiado tiempo, va muy lento y con errores, toca formatearlo de
nuevo". Sí, en muchas ocasiones la responsabilidad no es del sistema
de Microsoft (comodín para todos los males), o al menos no en
exclusividad.

Tampoco faltan casos de usuarios que han sido víctimas de fraude a
través de la banca electrónica por Internet que además de disponer
de antivirus actualizado nunca han visitado una página de phishing.

Lo que hay que exigir

Los sistemas de seguridad totalmente reactivos no son suficientes,
tenemos que exigir prevención y proactividad.

Por ejemplo, las firmas tradicionales siguen siendo imprescindibles
para los antivirus en la actualidad, si bien debemos de adquirir
soluciones que complementen esa capa de detección con buena tecnología
heurística o basada en el comportamiento, capaces de detectar malware
nuevo y desconocido.

No existe antivirus infalible, pero a buen seguro conseguiremos un
mayor grado de protección.

En el caso del phishing debemos exigir a nuestras entidades sistemas
de autenticación más robustos, utilizar el típico usuario y contraseña
o PIN estático para el acceso y autorización de transacciones es a
todas luces insuficiente.

Aunque son muchos los factores en contra a los que se debe enfrentar
una entidad para implantar un sistema de autenticación multifactor
y/o multicanal, la mayoría ajenos a la tecnología, la experiencia
demuestra que cualquier avance, por pequeño que sea, es significativo
en la lucha contra el phishing.

Un ejemplo, las tarjetas de coordenadas no dejan de ser un pseudo
intento de OTP (One-Time Password) primitivo. A algunos le resultará
contradictorio que en pleno siglo XXI tengamos que mirar una tarjeta
de plástico y jugar a los barquitos para introducir una contraseña.
Pero las entidades que las han implantado han visto reducir
drásticamente su nivel de fraude por Internet.

Tampoco es, ni mucho menos, la solución definitiva. Sistemas más
robustos que las tarjetas de coordenadas (certificados, tokens,
canales alternativos vía móviles, etc.) pueden ser, y serán atacados,
con efectividad. De hecho algunos de ellos ya son objetivos puntuales
en la actualidad. Pero mientras existan entidades con sistemas más
débiles, basados en el usuario y contraseña tradicional, los atacantes
y el phishing se cebarán en ellos.

Resumiendo

Es una frase manida, pero no por ello le quita razón: la seguridad es
un proceso continuo. No vamos a encontrar la solución mágica contra
los ataques y el fraude, desconfié de quién le ofrezca el producto
definitivo y 100% seguro.

Tampoco es menos cierto que la seguridad es una responsabilidad
compartida. Aunque cada vez se tiende a hacer los sistemas de
seguridad más transparentes para el usuario, pocos pueden resistir
cuando no se hace un uso responsable de la tecnología.

Debemos de aprender a evolucionar en el tiempo. Como usuarios
tendremos que in/formarnos continuamente sobre las nuevas amenazas
que van surgiendo, no en vano la educación en materia de seguridad
es una las principales y más útiles barreras contra los ataques.
Nos tocará también adquirir nuevos hábitos y adaptarnos a nuevas
tecnologías.

Pero, sobre todo, debemos exigir a los proveedores unos niveles
mínimos de seguridad en todos los sistemas que nos rodean, desde la
solución antivirus de nuestro PC pasando por la banca electrónica de
nuestra entidad. A día de hoy muchos están por debajo de lo que exige
la situación actual.

Tú eres el usuario, tú mandas, ¿hora de cambiar?.

Más información:

Barras antiphishing para navegadores
http://blog.hispasec.com/laboratorio/37

Antiphishing en Internet Explorer 7
http://blog.hispasec.com/laboratorio/167

(Sobre la robustez de las firmas antivirus tradicionales)
http://blog.hispasec.com/laboratorio/166

Troyano bancario contra entidades españolas y latinoamericanas
http://blog.hispasec.com/laboratorio/159

Fuente:
Bernardo Quintero
hispasec.com



Otras noticias de interés:

Listas Negras de URL's
urlblacklist.com brinda un jugoso catálogo de URL realmente interesante....
Adobe parchea una vulnerabilidad crítica
El problema, descubierto por la compañía de seguridad FireEye, afecta a los usuarios de Adobe Acrobat y Reader en las plataformas Windows, Mac y Linux, por lo que su alcance es muy elevado. Los usuarios afectados reciben un documento PDF en un e-ma...
El bug de Acrobat PDF
Varios lectores han acertado al extraer la principal consecuencia que puede derivarse de la prueba de concepto publicada ayer en Kriptópolis: un mecanismo de protección de documentos (DRM) que depende de cómo se implemente en cada lector es un mec...
El ranking de Virus en el mes de julio de 2002
El Kletz sigue siendo el Virus más reportado. Aún cuando hay otros que le pisan los talones. Entra y lee la estadistica de Ranking....
La seguridad de MS-Windows Vista, inútil
Dos expertos en seguridad de distintas organizaciones desvelaron en las conferencias Black Hat un nuevo método para superar las barreras impuestas por Microsoft en su último sistema operativo. El tipo de ataque hace difícil cualquier tipo de reacc...
Ejecución de código en Macromedia Flash Player
eEye Digital Security ha reportado una vulnerabilidad crítica en Macromedia Flash Player, la cuál puede ser explotada por usuarios maliciosos para comprometer el equipo del usuario....
Falta de protección de datos atenta a nuestra intimidad
En plena era de la información, la seguridad se ha convertido en un asunto vital no sólo para las empresas sino también para el ciudadano de a pie. El hecho de estar conectados en cualquier momento y lugar hace visible todos nuestros movimientos y...
Los bugs increíbles de las máquinas de votar: no arrastre el dedo que se cuelga
Vía Joel on software el artículo Can You Count on Voting Machines?. En él relatan un bug descubierto en las Diebold AccuVote-TSX después que el estado de California se quejase en 2005 de que las máquinas se colgaban cada pocos cientos de votos....
Que raro! Facebook filtra información de millones de usuarios
Como ya es común en la famosa red social, debido a su falta de seguridad de programación desde sus inicios, Facebook una vez más muestra las consecuencias de no aplicar las medidas mínimas de seguridad en desarrollo. ...
Parche para el parche de Internet Explorer
Una vez más Microsoft se ve obligada a publicar un parche que corrija los problemas colaterales nuevos ocasionados tras la instalación de una actualización de Seguridad. En este caso el producto afectado es Internet Explorer. El pas...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • campo
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • phishing
  • php
  • ponemos
  • puertas
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra