Download Capítulo 2 Capítulo 2: Amenazas contra la seguridad de la empresa

Document related concepts
no text concepts found
Transcript
Capítulo 2
Capítulo 2: Amenazas contra la seguridad de la empresa....................................................................27
Amenazas en desarrollo contra la seguridad informática ....................................................................27
Principios incorporados a partir de experiencias anteriores ....................................................30
Amenazas continuas contra activos y recursos....................................................................................30
Amenaza de robo de información ............................................................................................31
Ataques a sistemas .......................................................................................................31
Ataques al encriptado...................................................................................................33
Amenaza de alteración y destrucción ......................................................................................36
Ataques DoS ................................................................................................................36
Abuso interno y puertas traseras ..................................................................................39
Negación de servicios por Domain spoofing ...............................................................40
Virus.............................................................................................................................42
Otras formas de malware .............................................................................................45
Spam ............................................................................................................................46
El estado del malware y su repercusión en la administración de seguridad ............................46
El nuevo escenario del malware ..........................................................................................................46
Características de las amenazas combinadas ...........................................................................47
Ejemplo detallado de una amenaza combinada .......................................................................47
Técnica phishing y amenazas a la integridad de marcas......................................................................48
Control de amenazas ............................................................................................................................50
Antivirus y sistemas de detección de intrusos .........................................................................50
Filtrado de contenidos..............................................................................................................51
Control de medidas de seguridad contra amenazas .............................................................................51
Procesos para controlar el impacto de una amenaza................................................................51
Actualización de software de antivirus ........................................................................52
Filtrado de contenidos no apropiados ..........................................................................52
Configuración de servidores de seguridad...................................................................52
Uso de la prevención de intrusos .................................................................................52
Desarrollo, mantenimiento e implementación de políticas de seguridad ....................53
Respuesta integrada .............................................................................................................................53
Resumen...............................................................................................................................................54
i
Capítulo 2
Declaración de derechos de autor
© 2006 Realtimepublishers.com, Inc. Todos los derechos reservados. Este sitio contiene
material que ha sido creado, desarrollado, o autorizado por, y publicado con el permiso
de Realtimepublishers.com, Inc. (los “Materiales”). Además, este sitio y todos los
Materiales están protegidos por leyes internacionales de derechos de autor y de marcas
comerciales.
LOS MATERIALES SE PRESENTAN “EN EL ESTADO EN QUE SE ENCUENTRAN” Y
ESTÁN DISPONIBLES SIN GARANTÍA DE NINGÚN TIPO, YA SEA EXPRESA O
TÁCITA, INCLUYENDO SIN LIMITACIÓN, CUALQUIER GARANTÍA IMPLÍCITA DE
COMERCIABILIDAD, IDONEIDAD PARA UN FIN ESPECÍFICO, TÍTULO O DE NO
VIOLACIÓN. Los Materiales se encuentran sujetos a cambios sin previo aviso y no
representan un compromiso por parte de Realtimepublishers.com, Inc. o los
patrocinadores de su sitio Web. En ningún caso, Realtimepublishers.com, Inc. o los
patrocinadores de su sitio Web serán responsables por errores u omisiones técnicas o
editoriales de los Materiales, incluyendo sin limitación, cualquier daño directo, indirecto,
accidental, especial, ejemplar o consiguiente que resulte del uso de cualquier
información incluida en los Materiales.
Los Materiales (incluyendo sin limitación, textos, imágenes, audio y/o videos) no pueden
copiarse, reproducirse, reeditarse, cargarse, publicarse, transmitirse o distribuirse de
ningún modo, de manera total o parcial; excepto que una copia se descargue para uso
personal y no comercial en la computadora de un solo usuario.
En relación con tal uso, no puede modificar ni ocultar ningún derecho de autor u otra
notificación de propiedad.
Los Materiales pueden incluir marcas comerciales, marcas de servicios y logos que son
propiedad de terceros. Usted no está autorizado para utilizar estas marcas comerciales,
marcas de servicios o logos sin el previo consentimiento por escrito de dichos terceros.
Realtimepublishers.com y el logo de Realtimepublishers están registrados en la Oficina
de Patentes y Marcas Comerciales de EE. UU. (US Patent & Trademark Office). Todos
los nombres de servicios o productos son propiedad de sus respectivos propietarios.
Si tiene alguna pregunta sobre estos términos o si desea más información sobre
materiales de licencias de Realtimepublishers.com, comuníquese con nosotros por
correo electrónico a info@realtimepublishers.com.
ii
Capítulo 2
Capítulo 2: Amenazas contra la seguridad de la empresa
Las amenazas surgidas con los años han seguido un patrón similar: Los atacantes encuentran
algún modo de violar el sistema para acceder a los activos de información valiosos; ante esto, los
administradores de sistemas y los profesionales de la seguridad desarrollan métodos de detección
y prevención. Los atacantes encuentran nuevas formas de violar los sistemas y evadir la
detección, y los administradores de sistemas y profesionales de la seguridad vuelven a desarrollar
nuevos métodos de detección y prevención; y así sucesivamente.
Debido a que los ataques se multiplican y son cada vez más agresivos y más rápidos, existe un
creciente énfasis en la implementación de análisis consistentes, medidas preventivas y una
administración de seguridad de la información. Los ataques ya no consisten simplemente en un
virus, generalmente son bien planificados. Al mismo tiempo, las organizaciones están
presentando más sistemas que logran disolver eficientemente los límites existentes entre lo que
se ha considerado como amenazas internas y externas. Asimismo, la necesidad de que los grupos
de TI encuentren nuevas formas de hacer más con menos, lleva a descubrir formas de volver a
utilizar la infraestructura heredada de grandes sistemas (mainframe). Por su parte, este reciclaje
ha expuesto más recursos informáticos (tales como sistemas mainframe que hasta hace poco se
consideraban muy seguros) a los mismos desafíos que enfrentan los sistemas distribuidos.
Para poder comprender realmente el entorno de seguridad actual, debemos analizar las
experiencias del pasado que nos condujeron hasta aquí. Las tomaremos como base para analizar
las continuas amenazas contra recursos y activos, lo que permitirá sentar las bases para debatir
sobre amenazas emergentes.
Amenazas en desarrollo contra la seguridad informática
Consideremos como ejemplo las primeras amenazas contra la seguridad. Cuando los atacantes
violan los sistemas informáticos, inevitablemente dejan rastros de sus actividades. Los
administradores de sistemas podían utilizar las utilidades del sistema operativo (OS) para
detectar la violación, de esta menaera los hackers o piratas informáticos crearon versiones troyanas
de dichas utilidades para ocultar el comportamiento de los atacantes. En consecuencia, los
administradores de sistemas recurrieron a técnicas más sofisticadas, tales como buscar archivos
binarios para obtener series indicadoras de intrusión. El Gráfico 2.1 muestra la evolución de las
primeras violaciones en sistemas UNIX.
27
Capítulo 2
Los atacantes
violan el
sistema
operativo
Los atacantes
desarrollan troyanos
para reemplazar las
utilidades del
sistema operativo
Los administradores
usan las utilidades
del sistema operativo
para detectar la
violación
Los administradores
utilizan otras utilidades del
sistema operativo para
detectar la violación y
buscar troyanos y archivos
de configuración
Gráfico 2.1: Las amenazas y medidas de seguridad evolucionan como respuesta recíproca.
Los administradores de sistemas, en teoría, pueden controlar el estado de sus sistemas con
utilidades que registran y muestran información sobre procesos, configuración de redes y
utilización de recursos. Estos programas fueron algunos de los primeros blancos de atacantes que
deseaban evitar la detección. A medida que se desarrollaban métodos para violar sistemas y
borrar huellas, los atacantes armaban paquetes de programas denominados rootkit y los ofrecían
gratuitamente a otros atacantes. Lamentablemente, el resultado de esta colaboración es que un
atacante con conocimientos y experiencia limitada constituye una verdadera amenaza contra la
seguridad de redes y sistemas.
 Para obtener más información sobre la historia de las violaciones a UNIX y la evolución de los rootkit,
consulte "Root Kits and Hiding Files/Directories/Processes After a Break-in” de Dave Dittrich en
http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq.
Tomemos como ejemplo los virus de correo electrónico. Originalmente, los virus de correo
electrónico se detectaban al encontrar un patrón o firma específica en un mensaje de correo
electrónico. Los creadores de virus respondieron con el cifrado de virus y la codificación de
rutinas de descifrado junto con la carga del virus. Los motores de descifrado pueden ser
detectados, de modo que los creadores de virus desarrollaron motores metamórficos para
modificar las propiedades sintácticas de las rutinas de descifrado. Esto cambió significativamente
el panorama de detección de virus. En lugar de detectar un patrón de códigos específico, el
software de antivirus debía detectar los virus en base a la conducta de ejecución o algún otro
método no comparativo (consulte el Gráfico 2.2).
28
Capítulo 2
Los creadores de
virus sueltan virus
de correo
electrónico
Los creadores de virus
cifran la carga útil del
virus y adjuntan rutinas
de decodificación
Los creadores de virus
desarrollan motores
metamórficos para
diversificar las propiedades
superficiales de los virus
El software antivirus
detecta patrones de
código específico
El software antivirus
detecta las rutinas
de decodificación
Los desarrolladores
de antivirus crean
técnicas nuevas
(como control de
comportamientos)
Gráfico 2.2: El patrón dinámico de ataque/respuesta de los primeros tipos de ataques aún tiene vigencia.
Por lo tanto, los virus de correo electrónico se han convertido en métodos de ataque más
sofisticados. Algunos virus, conocidos como amenazas combinadas, utilizan diversos métodos
para violar un sistema y, una vez que se introdujeron en el sistema, implementan diversos tipos
de ataques. Un ejemplo es el famoso virus de correo electrónico Mydoom, que utiliza varios
componentes de malware:
 Una puerta trasera instalada con el Explorador de Windows para emitir un DDL (lenguaje de
definición de datos) que se puede escuchar desde un puerto disponible, probablemente para
obtener instrucciones del autor del virus
 Un ataque de denegación de servicio distribuido (DDoS) contra http://www.sco.com
(Mydoom.B incluye un ataque DDoS en http://www.microsoft.com)
 Una rutina para obtener direcciones de correo electrónico
 Un archivo host de reemplazo para evitar que la computadora infectada alcance la empresa
de antivirus y otros sitios Web proveedores.
29
Capítulo 2
Principios incorporados a partir de experiencias anteriores
Con estos ejemplos básicos de violaciones a la seguridad de los sistemas operativos y virus de
correo electrónico ocurridos en el pasado, se puede dar un panorama sobre la naturaleza de las
amenazas y su relación con la administración de seguridad. En primer lugar, el objetivo de la
administración de seguridad es proteger los recursos y los activos. Éstos incluyen los más visibles,
tales como las aplicaciones, los servidores y la información confidencial, y los más intangibles,
como las marcas comerciales, la buena relación con los clientes y las obligaciones
contractuales.
En segundo lugar, la administración de seguridad no es un proceso estático. Los sistemas de
información cambian permanentemente a medida que surgen aplicaciones nuevas, cambian las
configuraciones y se introducen nuevas tecnologías (tales como conexiones inalámbricas). El
malware (como los virus, los gusanos, el spam y los códigos móviles maliciosos) amenazan con
afectar y dañar los sistemas informáticos. Dichas amenazas explotan diversos aspectos
vulnerables, aprovechando los puntos débiles del correo electrónico, los lenguajes de guiones, las
características del explorador, la configuración de los servidores y otras características de los
sistemas distribuidos. Los días de dependencia en la defensa de perímetros para evitar la
introducción de malware quedaron atrás. Los límites entre “interno” y “externo” se han ido
borrando a medida que las empresas integran los procesos de todas las líneas organizacionales.
En tercer lugar, el daño producido por una infracción puede aumentar rápidamente a partir de la
intrusión inicial. Se pueden cambiar archivos del sistema operativo, modificar archivos de
configuración e implementar programas de puerta trasera. Al mismo tiempo, éstos pueden
convertirse en la base de una segunda serie de ataques, tales como la ejecución de ataques DDoS
contra otros sistemas.
Por último, la administración de seguridad requiere que los administradores de sistemas eviten
que sus sistemas se conviertan en componentes o zombies de ataques distribuidos en otros
sistemas. Éstos incluyen tanto los ataques DDoS como la proliferación de virus de correo
electrónico. La falta de seguridad en un sistema puede producir ataques en muchos otros
sistemas.
El entorno de seguridad de hoy es producto de las experiencias del pasado y de la tecnología
actual. La siguiente sección analiza las amenazas ya conocidas; además, sienta las bases para el
debate de amenazas emergentes.
Amenazas continuas contra activos y recursos
Las amenazas se presentan en diversas formas y generalmente implican el robo, la alteración o la
destrucción de los activos de información. Consisten en amenazas físicas, tales como la
destrucción de un centro informático por medio de un incendio, hasta amenazas intangibles,
como el robo encubierto de información privada. Al analizar las amenazas, es útil tener en cuenta
las siguientes preguntas:
 ¿Qué tipo de amenaza enfrenta?
 ¿Qué activos desea proteger?
 ¿Cuál es el impacto de la amenaza en la organización?
 ¿Quién es el autor o, más técnicamente, el agente de la amenaza?
 ¿Qué vulnerabilidad se explota para ejecutar la amenaza?
 ¿Cuáles son las consecuencias si la amenaza se concreta?
Las siguientes secciones examinan los diversos tipos de amenazas en base a estas preguntas.
30
Capítulo 2
Amenaza de robo de información
El robo de información es la amenaza de mayor costo para las organizaciones y el robo de
identidades es apenas una de las consecuencias costosas del robo de información. Para los
bancos, el robo de identidades tiene un costo de U$S 1.000 millones por año. La Comisión Federal
de Comercio (FTC) de Estados Unidos denunció más de 686.000.000 casos de robo de
identidades en 2005. El Centro de Recursos contra el Robo de Identidad (Identity Theft Resource
Center, http://www.idtheftcenter.org) calcula que la víctima promedio de un robo de identidad
invierte 600 horas en recuperarse del delito. El mismo estudio descubrió que las empresas
pierden entre U$S 40.000 y U$S 92.000 por nombre en cargos fraudulentos.
Las razones económicas son motivadores cada vez más importantes para el robo de información;
y los ladrones no sólo buscan información personal. Para algunas personas, la propiedad
intelectual, en forma de secretos comerciales, listas de clientes y procesos privados, es tan
valiosa como los activos tangibles. Con estas razones económicas se produce un cambio que va
de implementar ataques generales, tales como soltar malware por todas partes, a realizar ataques
más específicos dirigidos a instituciones o tipos de industrias particulares. Si una empresa no
responde a las demandas de extorsión, puede ser el blanco de un ataque de denegación de
servicio (DoS). Recientemente, se ha introducido el “ransomware”, una forma de malware que
codifica archivos y permite que los atacantes extorsionen a las empresas exigiendo un pago a
cambio de una clave de encriptado.
Ataques a sistemas
La división de crimen cibernético del Departamento de Justicia de Estados Unidos posee una
lista interminable de sentencias por robo, que incluyen:
 Un administrador de sistemas condenado por distribuir software, juegos de computadora,
películas y música con derechos de autor por un valor de U$S 2,2 millones.
 Un atacante de 25 años de edad condenado por hackear Axicom, una empresa que administra
información de clientes para empresas de tarjeta de crédito, bancos, vendedores minoristas y
otras empresas. Se calcula que el costo de la intrusión y el robo es de U$S 5,8 millones.
 La sentencia de Alexey Ivanov por conspiración, intrusión en computadoras, fraude de
computadoras, fraude de tarjetas de crédito, fraude de conexión y cargos por extorsión,
relacionados con atacar decenas de servidores para robar nombres de usuario, contraseñas,
información de tarjetas de crédito y otra información financiera. El monto total de las
pérdidas asciende a la suma aproximada de U$S 25 millones.
 Encuentre información de la sección de delitos informáticos y propiedad intelectual (Computer Crime
and Intellectual Property Section, CCIPS) del Departamento de Justicia de Estados Unidos (DoJ) en
http://www.usdoj.gov/criminal/cybercrime/.
Los delincuentes roban información de diversos modos. Como muestran algunos de los ejemplos
anteriores, reproducir software con derechos de autor, hackear sistemas para robar información
general y financiera, y robar información sobre transacciones, son métodos de robo. Si no se
implementan controles de acceso adecuados, el robo interno, un método de robo de baja
tecnología, puede tener mucho éxito. Por ejemplo, un operativo de robo interno fue tan eficaz
que la Oficina del Contralor de la Moneda (Office of the Comptroller of the Currency) del
Departamento del Tesoro de los Estados Unidos advirtió a los bancos sobre grupos organizados
que reclutan espías bancarios para ayudar a hacer retiros fraudulentos y cobrar cheques del
gobierno robados (encuentre el texto completo de esta advertencia en
http://www.occ.treas.gov/ftp/alert/2002-4.txt).
31
Capítulo 2
Medidas de seguridad contra amenazas “internas”
La administración de seguridad implica múltiples medidas de seguridad a modo de estrategia gradual
para prevenir intrusiones y daños por parte de autores que pueden pertenecer a la organización. Las
antiguas distinciones entre “interno” y “externo” ya no tienen vigencia. Los clientes, socios de negocio
y proveedores tienen acceso a los activos y recursos de la empresa a través de sistemas distribuidos
que traspasan los límites de la organización. Los sistemas de detección de intrusiones (IDS) y los
servidores de seguridad (firewall) no pueden evitar que un empleado disconforme u otra persona con
acceso legítimo realicen un ataque interno. Del mismo modo, no hace falta que exista un empleado
disconforme, el fácil acceso es tentador para muchas personas.
Para minimizar las amenazas de autores que tienen alguna forma de acceso legítimo, utilice diversas
medidas de seguridad. Deben emplearse medidas para proteger la integridad de los archivos y
garantizar el control de acceso para limitar el acceso con precisión y detectar cambios en archivos
esenciales. El personal de tecnología de la información (TI) debe tener acceso a los sistemas sólo en la
medida de lo necesario para su trabajo. Los programas desarrollados para garantizar la integridad de los
archivos pueden detectar cambios no autorizados en archivos y directorios del sistema. Un régimen de
seguridad que permite detectar cambios en archivos puede haber detectado el programa “bomba de
tiempo” que dejó un administrador de redes disconforme, especialmente cuando se combina con
controles de acceso estrictos y auditorías regulares de sistemas.
Las amenazas de personas que tienen acceso legítimo a los recursos del sistema también dependen de
los distintos niveles de medidas de seguridad. La administración de identidades, los controles de acceso,
los servidores de seguridad, los sistemas de detección de intrusiones (IDS), los controles de integridad de
archivos, y las políticas y los procedimientos formales cumplen un rol. Cada una de estas medidas de
seguridad se utiliza para evitar ataques de alteración y destrucción, y robos de información. Cada una de
estas medidas de prevención apunta a un tipo de amenaza en particular; un régimen de seguridad
efectivo requiere que se coordinen las contramedidas. Las medidas que no están bien integradas pueden
hacer que los activos y recursos aún sean vulnerables a los ataques.
 El robo de información financiera también crea temas de cumplimiento con respecto a la ley
Sarbanes-Oxley (SOX) y la ley Graham Leach Bliley (GLBA). El incumplimiento de éstas y otras
normas específicas para una industria tiene un alto costo para las organizaciones.
La protección contra amenazas a los derechos de autor requiere sistemas integrales de
administración de derechos digitales. Prevenir las violaciones a los sistemas depende de políticas
de seguridad y medidas operativas bien definidas e impuestas. En muchos casos, también se
requieren técnicas de encriptado para prevenir el robo de información. Por ejemplo, para almacenar
contraseñas en un sistema operativo o en un servidor de inicio de sesión único (SSO), transmitir
información financiera fuera de la organización o establecer un canal seguro (o red privada
virtual, VPN) por Internet, es necesario utilizar el encriptado.
 Más adelante analizaremos las políticas de seguridad y las medidas operativas.
32
Capítulo 2
Ataques al encriptado
El encriptado se utiliza para codificar información de modo que sólo el remitente y el receptor
puedan acceder a la misma. Desde una perspectiva de administración de seguridad, los ataques al
encriptado se resuelven de varios modos (para obtener información técnica detallada, consulte la
barra lateral “Información sobre ataques al encriptado”).
En el nivel más básico, se definen e implementan políticas de contraseña efectivas para
minimizar la posibilidad de que los atacantes descubran las contraseñas. Además de prevenir el
acceso no autorizado a un activo, también debe garantizarse que los sistemas fraudulentos no
parezcan recursos legítimos. Por ejemplo, un empleado bancario disconforme puede crear un
sitio web con un URL similar al sitio web del banco y así hacer que parezca un servicio bancario
en línea legítimo. ¿Cómo pueden hacer los usuarios para reconocer la diferencia? Los
certificados digitales de terceros confiables utilizan información codificada para validar la
identidad de un sitio y evitar que alguien falsifique el certificado.
La comunicación codificada entre dos personas depende de que ambas tengan información que
les permita descifrar el mensaje del otro sin que otras personas lo hagan. Manejar esta
información, también conocida como contraseña, es una función esencial de la administración de
seguridad.
Información sobre ataques al encriptado
La naturaleza de los procesos de encriptado, la codificación de textos planos para convertirlos en textos
cifrados y su posterior decodificación (consulte el Gráfico 2.3) y los protocolos para establecer
comunicaciones seguras son vulnerables a una serie de ataques.
Gráfico 2.3: El uso exitoso del encriptado depende de evitar que los atacantes roben o descubran las
contraseñas de codificación y decodificación.
Ataques a textos cifrados
Ciertos ataques se basan en el hecho de que el atacante posee copias de uno o más mensajes de texto
plano y encriptado. En un ataque sólo a un texto encript, el atacante intenta descubrir la contraseña de
encriptado analizando una cantidad de mensajes codificados. Cuanto más extensa es la contraseña de
encriptado, más difícil es atacarla. Las contraseñas cortas, como una contraseña DES de 56 bits, se
descifran fácilmente; las contraseñas más largas, como la contraseña de 168 bits que se utiliza en el
algoritmo Triple DES, actualmente se consideran protegidas contra la decodificación. Algunas variantes
de ataques sólo a textos encriptados son el ataque a un texto plano conocido, el ataque a un texto plano
elegido y el ataque a un texto encriptado elegido.
33
Capítulo 2
Ataques de hombre en el medio (Man-in-the-Middle)
Los ataques de hombre en el medio (MITM) engañan a dos víctimas que pretenden comunicarse por
medio de una red. El atacante intercepta el tráfico de red entre ambas personas y modifica la información
enviada a cada víctima sin que éstas lo sepan. Por ejemplo, un ejecutivo puede enviar un mensaje a un
asistente consultándole sobre una transferencia de fondos de la empresa a un proveedor para cerrar un
trato con respecto a un nuevo equipo. El ejecutivo incluye un número de ruta bancaria y un número de
cuenta en el mensaje. El atacante intercepta el mensaje, modifica los números de ruta bancaria y de
cuenta, y envía el mensaje modificado al asistente, quien transfiere los fondos a la cuenta del atacante.
Este tipo de ataque funciona cuando el atacante puede identificar los sistemas de ambas víctimas,
rastrear una red, interceptar los paquetes entre las víctimas y modificar los mensajes (es decir, los
mensajes no están bien encriptados). Como sucede con otros tipos de ataques, existen herramientas para
ayudar en caso de ataques MITM. Algunas de las más conocidas son Hunt, T-sight y Juggernaut.
Un canal de comunicación encriptado puede evitar el ataque siempre y cuando el atacante no intercepte
las contraseñas al ser intercambiadas. También se utilizan firmas digitales en mensajes y mensajes
condensados para garantizar que los mensajes sean auténticos y que no se los modifique al enviarlos
(consulte el Gráfico 2.4).
Se intercepta el
mensaje destinado
al asistente
Ejecutivo
El atacante envía el
mensaje modificado
Atacante
El asistente recupera la
clave pública del ejecutivo
para descodificar el
mensaje
Asistente
El asistente verifica la
firma con la clave
pública del ejecutivo y
descubre el ataque
Infraestructura
de clave pública
Gráfico 2.4: Las firmas digitales o los mensajes condensados encriptados con la contraseña privada de
cifrado del remitente pueden prevenir ataques de hombre en el medio.
34
Capítulo 2
Ataques de repetición
El ataque de repetición vuelve a utilizar la información confidencial capturada por un rastreador u otro
dispositivo pasivo. Por ejemplo, un rastreador puede capturar paquetes que contienen información de
autenticación que luego se utiliza para acceder a un sistema. Los ataques de repetición pueden
prevenirse utilizando identificaciones únicas en componentes de mensajes y sesiones. Los remitentes
adjuntan las identificaciones a los mensajes enviados y los receptores registran dichas identificaciones
para referencia futura. Cuando un receptor recibe un mensaje, verifica que las identificaciones de los
componentes del mensaje y la sesión no hayan sido utilizadas previamente, de lo contrario, el mensaje
ha sido repetido. El formato de encabezado de la carga de seguridad encapsulada (ESP) del protocolo
de Internet (versiones 4 y 6) utiliza este tipo de mecanismo contra la repetición.
Ataques de diccionario
Las contraseñas generalmente están encriptadas con funciones unidireccionales fáciles de computar pero
difíciles o imposibles de revertir. Cuando un atacante roba un archivo de contraseña, en lugar de perder
tiempo intentando descifrar el archivo, compara el archivo con una lista de contraseñas encriptadas
conocidas con la misma función unidireccional (consulte el Gráfico 2.5). Este método es un ataque de
diccionario.
Para evitar que estos ataques de diccionario tengan éxito, los administradores de sistemas y
profesionales de seguridad recomiendan utilizar contraseñas difíciles de adivinar. Generalmente
consisten en contraseñas que presentan las siguientes características:

Una longitud mínima razonable (de al menos ocho caracteres)

Una combinación de letras mayúsculas y minúsculas

Al menos un número y otro carácter especial (como @, $, !)

Series de caracteres que no figuran en diccionarios o que no se utilizan en nombres
Las políticas de contraseña implementadas que incluyen requerimientos como éstos pueden minimizar la
probabilidad de éxito de un ataque de diccionario.
Gráfico 2.5: Los ataques de diccionario tienen éxito cuando no se eligen buenas contraseñas.
35
Capítulo 2
Amenaza de alteración y destrucción
Las amenazas de alteración de servicios y destrucción de información son los tipos de ataques
más comunes. De acuerdo con la encuesta sobre delincuencia informática (Computer Crime
Survey) del CSI/FBI, el 82 por ciento de los encuestados había sufrido un ataque de virus y el 42
por ciento había sufrido un ataque DoS (el segundo más costoso después del robo de
información). La encuesta del CSI/FBI calcula que el costo total para los encuestados superaba
los U$S 67 millones en 2003. Esta categoría incluye diversos tipos de ataques:
 DoS
 Domain spoofing (correo fraudulento)
 Virus y gusanos
 Explotación de un explorador web
Ésta no es una lista exhaustiva de todos los tipos de ataques de alteración y destrucción (por
ejemplo, el spam -correo no deseado ni solicitado-, también se ha convertido en una gran
amenaza para los servicios, que afecta el ancho de banda de la conexión, el rendimiento del
sistema de correo electrónico, la red de almacenamiento y la atención de usuarios finales), pero
sí ofrece una idea de los tipos de ataques más comunes.
Ataques DoS
Los ataques DoS intentan evitar que los usuarios tengan acceso a los recursos del sistema.
Generalmente, este ataque se realiza saturando un servidor con solicitudes de un recurso, como
ancho de banda, conexiones, espacio en disco, memoria, etc. Otra forma de este mismo ataque
limita el acceso a los servicios cambiando la información de configuración.
En febrero de 2000, Yahoo!, Buy.com, EBay, Amazon.com y CNN.com fueron víctimas de
ataques DoS durante 2 días. Los sitios estaban inundados de tráfico de red basura, una técnica
denominada packet flooding (envío de un gran número de paquetes a un determinado objetivo),
de modo que los usuarios legítimos no podían acceder a los mismos. Otra forma de tráfico basura
consiste en solicitudes falsas de conexión.
Dichas solicitudes de conexión utilizan direcciones de remitentes falsas, de modo que cuando el
servidor responde, no puede encontrar el servidor que inició la solicitud. El servidor atacado
mantiene la conexión abierta para la solicitud falsa durante algún tiempo (por ejemplo, durante 1
minuto) antes de cerrarla. Cuando se realizan miles de estas solicitudes falsas, el servidor agota
su conjunto de conexiones, lo cual impide el acceso de otros (consulte el Gráfico 2.6).
36
Capítulo 2
Gráfico 2.6: Los ataques DoS saturan los servidores con tráfico y solicitudes de conexión falsos, que
eventualmente agotan los recursos de un servidor.
Una versión más sofisticada de este ataque es el ataque DDoS (consulte el Gráfico 2.7). Este tipo
de ataque puede darse en dos fases: primero, quien origina el ataque introduce una copia del
programa DoS en un sistema vulnerable. Los programas DoS están diseñados para realizar un
ataque coordinado en un momento específico o después de un evento particular. Los ataques
DDoS son más difíciles de detener que los ataques DoS tradicionales debido a las múltiples
fuentes del ataque. También, resulta difícil detectar quién originó el ataque.
37
Capítulo 2
Sistema atacante 1
Persona que
originó el ataque
DDOS
La persona
que originó el
ataque infecta
el sistema
vulnerable
con el
programa
DOS
Sistema atacante 2
Los sistemas
atacantes
coordinan sus
ataques
Sistema atacante 3
Sistema atacante n
Servidor
Los ataques
packet flooding
pueden consumir
todo el ancho de
banda disponible
Gráfico 2.7: Los ataques DDoS utilizan sistemas compuestos o “zombies” para realizar un ataque
coordinado.
Otra forma de ataque DoS cambia la información de configuración de las máquinas atacadas. En
las máquinas Windows, este ataque consiste en modificar la configuración de registro o los
archivos de configuración de redes. Por ejemplo, en el caso del reciente virus de correo
electrónico Mydoom, un componente DoS modificó el archivo hosts residente para que los
nombres de dominio del proveedor coincidieran con una dirección IP falsa, 0.0.0.0. Ataques
similares ocurren en los sistemas Linux y UNIX.
Los ataques DoS pueden originarse dentro de una organización. El ataque de bomba de
bifurcación, por ejemplo, genera procesos continuamente hasta consumir los recursos del
sistema. Otra técnica consiste en generar errores de sistema una y otra vez, hasta completar los
archivos de registros y consumir el espacio del disco.
38
Capítulo 2
Prevenir cualquier tipo de ataque DoS es difícil. Debido a que los atacantes DoS falsifican las
direcciones IP, es difícil identificar la fuente y evitar que el ataque continúe. Algunas
herramientas packet flooding DoS cambian los puertos de origen y destino de los paquetes para
complicar la detección y supresión. Los programas DoS son cada vez más sofisticados, utilizan
protocolos alternativos como Internet Relay Chat (IRC) e incorporan mecanismos de autocopia.
El gusano SQL Slammer, por ejemplo, explotó una vulnerabilidad de la base de datos de
Microsoft SQL Server para propagarse en pocos minutos por una gran parte de Internet.
Para evitar ataques DoS, la detección de intrusiones y los rastreadores de red pueden identificar
patrones recurrentes en los paquetes de redes y bloquearlos con un servidor de seguridad; de esta
manera, se protegen los sistemas dentro del servidor de seguridad. No obstante, aún no existen
recursos para legitimar a los usuarios externos.
 Para obtener una descripción de la propagación del virus Slammer por Internet, consulte “Slammed:
An Inside View of the Worm that Crashed the Internet in 15 Minutes” de Paul Boutin en Wired, julio
de 2003 (http://www.wired.com/wired/archive/11.07/slammer.html).
Abuso interno y puertas traseras
A veces, las peores amenazas se originan dentro de una organización. Por ejemplo, el antiguo
administrador de redes de una empresa de instrumentos de control y medición de alta tecnología
dejó una “bomba de tiempo” para eliminar todo el software de fabricación sofisticado de los
servidores de su antiguo empleador. El trastorno le costó a la empresa al menos U$S 10 millones
en ventas y futuros contratos.
 Para obtener más información sobre este incidente, consulte
http://www.cybercrime.gov/lloydSent.htm.
Los típicos ataques de intrusos incluyen:
 El consumo de recursos mediante ataques DoS internos
 La exploración y el copiado de información confidencial
 El suministro de privilegios adicionales
 El fraude y otros robos
 Como mencionamos anteriormente, la diferencia entre amenazas internas y externas a una
organización ya no es útil. Es mejor distinguir a los usuarios por su nivel de acceso legítimo. Los
desarrolladores y administradores de sistemas poseen niveles de acceso elevados. Sus roles
requieren altos niveles de control, monitoreo y cumplimiento de las políticas. El mismo mecanismo de
control de acceso que detecta a los atacantes puede mantener restricciones adecuadas para los
usuarios legítimos.
39
Capítulo 2
Negación de servicios por Domain spoofing
Domain spoofing o correo fraudulento ataca a los servidores de sistemas de nombre de dominio
(DNS), que son los encargados de asignar nombres de dominio, como www.mydomain.com a
una dirección IP. Los servidores DNS atienden consultas de la base de datos DNS y responden
con una de estas cuatro alternativas:
 Si la asignación del nombre de dominio para la dirección IP está oculta, el servidor devuelve
la dirección IP
 Si el servidor no oculta el nombre de dominio, puede consultar un servidor DNS raíz para
obtener la información
 El servidor puede responder la consulta entregando la dirección de otro servidor DNS raíz
que puede responder la consulta
 El servidor puede generar un error por una solicitud no válida
Cuando el servidor DNS rastrea la dirección IP correspondiente a un nombre de dominio, oculta
esa información durante un período predeterminado, denominado tiempo de vida (TTL). En
teoría, los servidores DNS sólo deberían aceptar información de dominio de un servidor
autorizado. En la práctica, las antiguas versiones de los famosos servidores DNS, incluyendo el
famoso Berkley Internet Name Domain (BIND), pueden aceptar y ocultar imitaciones de
asignaciones de nombres de dominio que falsifican nombres de dominio.
 Para obtener más información sobre vulnerabilidades conocidas de las primeras versiones del BIND,
consulte BIND Security Matrix en http://www.isc.org/index.pl?/sw/bind/.
40
Capítulo 2
Dominio A
1. El servidor
FTP intenta
alcanzar
ftp.b.com
Servidor FTP
Dominio B
3. El servidor
FTP del
Dominio A
transfiere el
archivo al
servidor FTP
del Dominio B
2. El servidor
DNS
responde con
una dirección
IP oculta
Servidor FTP
Servidor DNS
5. Luego del correo
fraudulento, el
tráfico al Dominio B
se envía a la
dirección IP del
atacante
4. El atacante
reemplaza la
dirección IP del
Dominio B con
la dirección IP
del atacante
Estación de
trabajo del
DNS del
atacante
Gráfico 2.8: El correo fraudulento cambia el tráfico de un destinatario legítimo a un tercero.
Los pasos 1 a 3 muestran cómo DNS normalmente determina un nombre de dominio para una
dirección IP. Cuando un servicio de Internet, como ftp o correo electrónico, necesita una
conexión con un servicio de otro servidor, el servicio consulta primero al servidor DNS sobre
una dirección IP. Se envía la dirección IP correcta y se establece la conexión con el servicio
deseado. En el 4º paso, se falsifica el servidor DNS vulnerable para ocultar la dirección IP
incorrecta correspondiente al Dominio B. De ahí en más, el tráfico destinado al Dominio B se
dirige a la dirección IP del Dominio B.
41
Capítulo 2
Virus
Desde hace mucho tiempo los virus representan un problema para la seguridad informática. Con
la llegada de la PC, los antiguos virus se propagaron infectando los disquetes utilizados en
diversas PC. En la actualidad, el correo electrónico, las conversaciones por Internet y otros
protocolos constituyen el modo de transmisión más común. Los nuevos canales de transmisión
son uno de los motivos de propagación de virus. Otro motivo es la naturaleza evolutiva de los
virus en sí. Los virus son cada vez más difíciles y complejos de detectar. Tres grandes categorías
de virus, en grado de complejidad ascendente, son:
 Virus no cifrados, estáticos
 Virus cifrados
 Virus polimórficos
Estas categorías representan las técnicas utilizadas por los creadores de virus para evadir la
detección. Estas técnicas pueden utilizarse con diversos tipos de virus, tales como los virus de
arranque, de archivos y los macro virus, los cuales varían según el método de ataque.
Independientemente de la forma en que un virus disfraza su identidad o ataca a un sistema, todos
tienen tres componentes:
 La carga útil
 El método de propagación
 La fecha o condición de activación
La carga útil es el código que se ejecuta una vez que el virus se activa y puede consistir en algo
tan simple como mostrar un mensaje o tan malicioso como eliminar archivos. Los métodos de
propagación varían según el tipo de virus. Por ejemplo, algunos virus macro de Microsoft Word
se propagan infectando la plantilla normal.dot. Algunos virus de correo electrónico recientes se
propagan enviando copias de sí mismos a direcciones encontradas en el directorio infectado de
un usuario. Muchos virus se activan cuando un usuario abre un archivo adjunto infectado, otros
se activan en una fecha predeterminada.
Detección de virus simples
Los virus no cifrados, estáticos son los más fáciles de detectar. Estos virus son como programas
convencionales en el sentido de que no codifican u ocultan su código ejecutable. El software
antivirus detecta estos virus fácilmente buscando patrones de identificación de códigos. Estos
patrones, o firmas, deben ser lo suficientemente discriminatorios como para reducir la
posibilidad de positivos falsos.
Virus encriptados
Siguiendo el patrón mencionado al principio de este capítulo, los creadores de virus respondieron
a las técnicas de detección de antivirus con métodos para evadir los métodos simples de
comparación. Elencriptado de un virus es el primer paso (consulte el Gráfico 2.9).
42
Capítulo 2
Carga útil
codificada
Clave de
decodificación
Código de
decodificación
Gráfico 2.9: Los virus encriptados deben llevar el código y la clave de descifrado junto con la carga útil.
Un archivo encriptado conserva patrones únicos que un software antivirus de escaneo de firmas
puede utilizar. Los creadores de virus evitaron esta situación eligiendo contraseñas de encriptado
aleatorias y diversos métodos de cifrado. El talón de Aquiles de esta técnica es que el código de
descifrado debe estar incluido en el virus. Los escáneres antivirus pueden buscar dicho código e
identificar los virus. Algunos virus, como el Whale, utilizan diversos esquemas de cifrado y, por
consiguiente, diversos códigos de descifrado. Los escáneres antivirus necesitan una sola firma
para cada tipo de esquema de descifrado para poder detectar este virus.
Virus polimórficos
Los atacantes ya dieron otro paso al frente. Crearon virus que cambian con cada infección
utilizando un motor de mutación. El motor de mutación cambia el código del virus para
modificar el archivo binario sin cambiar el comportamiento de los programas (consulte el
Gráfico 2.10). Algunas técnicas típicas son:
 Cambiar la ubicación de instrucciones independientes
 Agregar una instrucción inútil como No Operation (NOP)
 Utilizar diversas instrucciones que producen el mismo efecto, por ejemplo “restar 2 de A” o
“sumar 2 a A”
Las combinaciones de estas técnicas pueden utilizarse una cierta cantidad de veces, lo cual
impide depender del escaneo de firmas para identificar virus en forma confiable. Fue necesario
desarrollar técnicas nuevas para poder identificar los virus polimórficos.
43
Capítulo 2
Carga útil
codificada
Motor de
mutación
Clave de
decodificación
Código de
decodificación
Gráfico 2.10: Los virus polimórficos incluyen motores de mutación para modificar el virus a medida que se
propaga.
Los primeros intentos se basaban en rutinas de detección artesanales creadas por investigadores
de antivirus. Obviamente este enfoque no podía avanzar, de modo que llevó a un cambio de
estrategia: en lugar de buscar las características superficiales de un archivo, se examinan
patrones de comportamiento.
Los detectores polimórficos genéricos crean un entorno virtual para ejecutar presuntos virus.
Estos entornos virtuales son seguros para ejecutar el código del virus sin arriesgarse a dañar el
sistema host. A medida que se ejecuta el virus, los detectores buscan signos indicadores, como
una firma después de descifrar la carga útil. Una limitación clave de los detectores polimórficos
genéricos es el tiempo necesario para ejecutar la simulación del virus. No hay forma de saber
cuándo se descifrará una carga útil y no existe una forma genérica de determinar si un programa
logrará completarse, de modo que las simulaciones por sí solas no bastan.
Los investigadores de antivirus incorporaron técnicas heurísticas o normas generales a las
simulaciones para mejorar la detección. Algunas normas buscan signos indicadores de un virus,
como el antiguo uso de la instrucción NOP. Otras normas controlan comportamientos que no se
encuentran comúnmente en los virus, como generar interrupciones. Entre ambos tipos de normas,
un programa antivirus puede calcular la probabilidad de que el programa que se ejecuta en el
entorno virtual sea de hecho un virus.
La evolución de los virus probablemente continuará como un ciclo de innovación por parte de
los creadores de virus, que también conducirá a innovaciones de la mano de los investigadores de
antivirus; por lo tanto se generarán nuevas técnicas de codificación de virus.
¿Por qué existen tantos virus?
A los usuarios de computadoras constantemente se les recuerda que deben actualizar su software
antivirus para evitar infecciones; pero eso hace que nos preguntemos, ¿por qué existen tantos
virus si son tan complejos? Es difícil crear programas que se auto modifiquen y copien. ¿Existen
tantos atacantes capaces de crear esos programas? Lamentablemente, la respuesta es sí.
44
Capítulo 2
El conocimiento de las técnicas de creación de virus se propaga como cualquier otro. La primera
persona en crear un motor de mutación para un virus polimórfico tuvo que resolver muchos más
problemas que sus sucesores. Los motores de mutación, como Mutation Engine (MtE) y Triden
Polymorphic Engine (TPE), se han agrupado en toolkits para permitir que un creador de virus
incorpore la funcionalidad polimórfica. Por consiguiente, incluso los creadores de virus menos
sofisticados pueden crear virus que no se detectan con técnicas de escaneo de firmas.
Para los principiantes, existen kits de virus para generar virus con una serie de características.
Estos kists ofrecen opciones a los usuarios para personalizar el virus generado, como el nivel de
daño y las condiciones de activación. Afortunadamente, el código generado a partir de antiguos
kits de virus contiene un código común que se puede detectar con el software antivirus de
escaneo de firmas.
 Para obtener más información sobre kits de construcción de virus, consulte “Virus Construction Kits”
de Howard Fuhs en:
La gravedad del problema de los virus se pone de manifiesto cuando nos imaginamos a un
hacker principiante, o script kiddie, utilizando un toolkit a base de menús para generar un virus
destructivo. Para minimizar la posibilidad de detección, el hacker utiliza un motor de mutación
MtE para incorporar capacidades polimórficas. Combine el virus recién mutado con un virus
macro encontrado en el cartel de anuncios de un atacante que envía una copia de sí mismo a
todas las direcciones que figuran en el directorio de Outlook de una víctima y habrá creado un
virus difícil de detectar y de rápida propagación.
Otras formas de malware
Los virus son probablemente la forma más conocida de software malicioso y los gusanos
también son muy comunes, pero también ha surgido un host de otros tipos de malware:
 Software espía (spyware), también conocido como programas potencialmente no deseados
(PUP): este tipo de malware puede rastrear patrones de uso y enviar información a un
repositorio centralizado controlado por un atacante.
 Keylogger: programas que capturan las pulsaciones a medida que se tipean aprovechando las
funciones de bajo nivel del sistema operativo, conocidas como hooks (conexiones), que se
utilizan con fines legítimos como un código de depuración. Los keylogger (registradores de
pulsaciones) son particularmente útiles para capturar nombres de usuario y contraseñas,
especialmente cuando otro texto de la serie capturada indica una posible combinación de
nombre de usuario y contraseña. Por ejemplo, al tipear www.mybankwebsite.com, es lógico
suponer que un usuario introducirá su nombre de usuario y contraseña.
 Tarjetas para la captura de video, también conocidas como screen scrapper: programas que
copian información del buffer de video. Resultan útiles, por ejemplo, para capturar copias de
los documentos o correos electrónicos leídos por un usuario.
 Rookit: programas que cubren las huellas de los atacantes alterando la información de bajo
nivel del sistema operativo e interceptando las llamadas al sistema de bajo nivel. Los rootkit
son muy difíciles de detectar y erradicar, casi como reinstalar un sistema operativo.
El malware está creciendo tanto en la sofisticación de técnicas específicas (por ejemplo, virus
polimórficos) como en el alcance de las formas especializadas, que ahora incluyen programas
maliciosos para controlar pulsaciones y pantallas de video.
45
Capítulo 2
Spam
El spam ha crecido rápidamente y se ha convertido en un gran alterador de servicios que
obstruye los sistemas de correo electrónico, atora el ancho de banda de la conexión, utiliza un
espacio de almacenamiento valioso y aumenta los costos del servicio de atención al cliente. Los
analistas de IDC calculan que el 70 por ciento del correo electrónico de Estados Unidos es spam
y que el costo de proteger del spam a una empresa de 14.000 empleados puede ser tan alto como
U$S 245.000, una suma que continúa en ascenso.
Los spammers (remitentes de correo no deseado) utilizan trucos nuevos constantemente para
obstaculizar los filtros existentes y las organizaciones enfrentan el desafío de reducir la cantidad
de spam garantizando que el correo electrónico comercial válido llegue a destino. La legislación
gubernamental ha sido uno de los caminos elegidos para eliminar los ataques del spam, pero su
efectividad es cuestionable. La Ley de Control del Ataque de Pornografía y Comercialización No
Deseados de 2003 (CAN SPAM), que entró en vigencia el 1 de enero de 2004, no parece haber
reducido sustancialmente la cantidad de spam.
El estado del malware y su repercusión en la administración de seguridad
Esta breve reseña sobre amenazas a la seguridad de la información electrónica (que no incluye
ejemplos de amenazas físicas, como incendios e inundaciones) destaca tres tendencias
preocupantes:
 La creciente capacidad que tienen los atacantes talentosos para realizar modestamente ataques
sofisticados utilizando toolkits
 La creciente dificultad para detectar los ataques, en especial con virus polimórficos
 El uso de vulnerabilidades de las aplicaciones para propagar gusanos
Toda persona a cargo de la gestión de seguridad también se dará cuenta de otra de las
repercusiones de estas tendencias. Imagine que un programador desconforme cuyo trabajo ha
sido trasladado fuera del país tiene acceso a un toolkit de virus basados en GUI (interfaz gráfica
de usuario), al motor de mutación MtE y a la red corporativa. Una situación similar puede
imaginarse para un administrador de red con un toolkit DDoS.
Entonces, es sensato suponer que los ataques aumentarán con el tiempo y que su sofisticación
será mayor. La respuesta adecuada es considerar la seguridad como un proceso continuo, no un
estado estático.
El nuevo escenario del malware
A principio de los ’90, el malware era generalmente un solo tipo de amenaza, como un virus del
sector de carga, un virus macro, una puerta trasera o un ataque DoS. Estas amenazas utilizaban
un solo método de ataque, por ejemplo, a través del correo electrónico o de una sala de chat. En
la actualidad, el malware consiste en una combinación de diversos tipos de ataques y métodos de
propagación que producen amenazas combinadas. Algunas de estas amenazas también utilizan
técnicas de análisis automatizadas para buscar vulnerabilidades.
El efecto en la administración de seguridad es evidente: las respuestas de un solo sistema a las
amenazas, como los servidores de seguridad y el software antivirus, no bastan. La seguridad
debe abarcar todas las plataformas y los servicios. También debe incluir medidas para prevenir
amenazas internas y externas. Esta sección analiza en primer lugar las amenazas combinadas,
luego presenta ejemplos de “virus” que en realidad son mucho más que malware de correo
electrónico tradicional.
46
Capítulo 2
Características de las amenazas combinadas
Las amenazas combinadas pueden consistir en cualquier combinación de los métodos de ataque
y propagación. Muchas se propagan como los gusanos, programas que se propagan a través de
las vulnerabilidades de una red. A diferencia de los verdaderos virus, los gusanos no dependen
de otras aplicaciones para funcionar. La siguiente lista presenta las características generales de
las amenazas combinadas:
 Como los virus convencionales, las amenazas combinadas pueden dañar archivos, corromper
configuraciones del sistema operativo y saturar los recursos de la red. Los daños más
comunes consisten en cambiar las configuraciones de registro, introducir códigos maliciosos
en los archivos ejecutables del sistema operativo y agregar guiones (script) a documentos
HTML.
 Las amenazas combinadas se propagan gracias a diversos métodos y a veces pueden evadir
las medidas de seguridad comunes. Por ejemplo, Fizzer es un virus con su propio motor
SMTP (Protocolo simple de transferencia de correo) y se propaga por la red Kazaa peer-topeer. Las medidas de seguridad en los sistemas de correo electrónico corporativos se eluden
en ambos casos.
 Las amenazas combinadas pueden consistir en rutinas que analizan vulnerabilidades
conocidas, como desbordamientos de búfer y el uso de contraseñas predeterminadas en
cuentas predefinidas.
 Las amenazas más nuevas utilizan las redes en mayor medida para mantener el malware
después de que éste ha infectado el sistema. Los gusanos como Fizzer se conectan a un sitio
Web para descargar actualizaciones de los virus.
 Las amenazas combinadas pueden contener utilidades básicas de red. Como hemos
mencionado, el virus Fizzer cuenta con su propio motor SMTP; el virus Lovsan cuenta con
una utilidad de Protocolo trivial de transferencia de archivos (TFTP) incorporada.
Ejemplo detallado de una amenaza combinada
El gusano Fizzer es un excelente ejemplo de amenaza combinada. El malware se propaga como
archivo adjunto de correo electrónico. Cuando un usuario de correo electrónico abre el archivo
adjunto, el virus copia un archivo en el directorio del sistema Windows, luego introduce otros
dos archivos, una biblioteca DDL y otro archivo ejecutable en el directorio del sistema. La
biblioteca se utiliza para registrar pulsaciones y el otro archivo ejecutable se utiliza para rearmar
el virus.
A continuación, se agrega una entrada al registro de Windows que activa el gusano para cada
sesión de Windows. También intenta detener todo software de antivirus que se encuentra en
ejecución.
Una vez instalado, el virus comienza a propagarse. Con la propagación del correo electrónico, el
virus busca direcciones de correo electrónico en las carpetas de direcciones de Outlook y en las
carpetas blanco del sistema operativo, como las carpetas cookies. Se envían mensajes infectados
a todas las direcciones encontradas utilizando una dirección de remitente falsa. Las direcciones
se eligen al azar de una lista de grandes dominios de correo electrónico, como msn.com,
yahoo.com y hotmail.com. Se eligen el nombre, el asunto, los nombres de los archivos adjuntos y
el cuerpo del mensaje de una lista perteneciente a la carga útil del virus. El gusano también busca
carpetas de la red Kazaa peer-to-peer. Si las encuentra, se copia el virus a una carpeta de
archivos compartidos. Los usuarios que descargan y ejecutan archivos de esa carpeta infectan sus
sistemas.
47
Capítulo 2
El gusano crea tres mecanismos de puerta trasera. Primero, intenta conectarse a varios servidores
IRC y, una vez que lo logra, el virus crea bots probablemente para que el autor del virus pueda
impartir órdenes al sistema infectado. También crea un nuevo usuario de AOL Instant Messenger
y se conecta a una sala de chat, probablemente para esperar instrucciones. Por último, utiliza los
puertos del 2018 al 2021 para recibir órdenes de un host remoto.
Las amenazas combinadas, como Fizzer y Mydoom, se propagan rápidamente y pueden causar
grandes daños. Los profesionales de la seguridad ya no enfrentan un solo ataque DoS, un virus
de correo electrónico o una puerta trasera; se enfrentan a todos al mismo tiempo. Estas amenazas
emergentes requieren un enfoque más holístico e integrado sobre la administración de seguridad
empresarial (consulte el Gráfico 2.11).
Compromete las
configuraciones del
sistema operativo
Se conecta a los
servicios de mensajes
para recibir órdenes de
puerta trasera
Finaliza los procesos
del software antivirus
Escucha a través de
puertos locales
comentarios de
puerta trasera
Corrompe los archivos de
configuración de redes para
evitar el acceso del software
antivirus o la actualización del
sistema operativo
Computadora infectada
con un gusano
combinado
Infecta las carpetas
de documentos
compartidos de
redes peer to peer
Instala el programa
DDoS para su
posterior ejecución
Envía correos
electrónicos infectados a
direcciones encontradas
en la libreta de
direcciones
Gráfico 2.11: Las amenazas combinadas reúnen diversas formas de malware en una sola carga útil.
Técnica phishing y amenazas a la integridad de marcas
Además de las amenazas contra la información de infraestructura física, los administradores de
seguridad de la información enfrentan desafíos que atacan a los activos intangibles. Robar la
identidad de una marca es un proceso denominado phishing. La técnica phishing, que comenzó
como una táctica de los telemercantes para recabar información de verificación de beneficios de
personas mayores, se ha convertido en una amenaza prominente para los servicios comerciales
en línea.
Phishing es un engaño en el que el autor se hace pasar por una empresa legítima para hacer que
las víctimas revelen información personal mediante una variedad de técnicas. Muchos engaños
de phishing utilizan el correo electrónico como medio para solicitar información. El proceso
48
Capítulo 2
comienza con una masa de correos electrónicos para solicitar al receptor que actualice su
información de cuenta o que provea información personal. Supuestamente, el correo electrónico
proviene de un banco, de un servicio en línea o de otro proveedor con una gran base de clientes
en línea, de modo que es muy probable que los receptores sean clientes de la empresa. El
mensaje contiene un enlace con un sitio de phishing que parece legítimo en el cual las víctimas
deben proveer información.
Los servicios financieros y en línea son blancos conocidos de los engaños de phishing. De
acuerdo con Anti-Phishing Working Group (http://www.antiphishing.org), Citibank, U.S. Bank,
Bank One, Fleet, Wells Fargo Bank, PayPal, eBay, Yahoo!, MSN, AOL y una cantidad creciente
de instituciones menores han sido víctimas de engaños de phishing. La tendencia de atacar
empresas más pequeñas probablemente sea un intento por evadir la detección utilizando
empresas menos conocidas y atacando a menos víctimas.
 Para obtener estadísticas del predominio de la técnica phishing, consulte el informe Tendencias de
ataques phishing (Phishing Attacks Trend) en http://www.antiphishing.org.
El Phishing constituye un ataque factible gracias a diversas razones:
 Es relativamente simple falsificar una dirección de envío en SMTP.
 Los autores pueden copiar fácilmente el código HTML y los archivos de imagen de sitios
legítimos para crear un sitio de phishing.
 Los URL o los sitios de phishing a menudo parecen direcciones legítimas y logran engañar a
muchas víctimas.
 Los clientes, que generalmente desconocen el potencial del phishing, confían en las empresas
que supuestamente enviaron el correo electrónico.
Existen diversas medidas que pueden reducir el impacto del phishing en una organización.
Además de las medidas de seguridad básicas, los antivirus, los anti-software espía y servidores
de seguridad, el anti-spam, el filtrado de contenidos y el filtrado de URL pueden reducir la
cantidad de correo electrónico ilegítimo y evitar el acceso a las URL de phishing conocidas. El
filtrado de URL puede identificar sitios malos ya conocidos y sitios de “phish” mal construidos,
como http://www.citibank.i.com (un ejemplo ficticio de un sitio de phish).
Todos ellos pueden ayudar a proteger la información confidencial de una organización, así como
la información personal de los empleados, de las técnicas engañosas y manipuladoras utilizadas
para adquirir información. Asimismo, deben implementarse políticas y procesos para proteger la
información de cuenta de los clientes correspondientes a empleados o contratistas que desean
venderla. Como sucede con otras amenazas, protegerse del phishing requiere una combinación
de tecnología, personas y procesos.
Además, las empresas que ofrecen servicios en línea deben enseñar a los clientes cuáles son las
políticas de la empresa para actualizar la información de cuenta o solicitar información personal.
Regularmente, las políticas de interacción con los clientes comunicadas con claridad deben
traducirse en un proceso que ayude a los clientes a advertir a la organización en forma simple y
segura sobre posibles jugadas sucias.
49
Capítulo 2
Control de amenazas
La primer parte de este capítulo ha descrito la complejidad y variedad de amenazas que enfrentan
las organizaciones. Esta sección explora la manera de controlar esas amenazas.
Antivirus y sistemas de detección de intrusos
Los antivirus y los sistemas de detección de intrusos (IDS) son partes integrales de una seguridad
completa. Estas herramientas suponen que las amenazas externas pueden penetrar los sistemas de
seguridad (de hecho pueden hacerlo) y que pueden surgir dentro de una organización (otra cosa
que también pueden hacer).
El software de antivirus brinda protección contra una amplia gama de vulnerabilidades,
incluyendo:
 Software confiable que no brinda protección adecuada contra el uso no autorizado, como
macro lenguajes incorporados
 Vulnerabilidades en aplicaciones comunes, como la conocida vulnerabilidad MIME en
Microsoft Explorer, que fue utilizada por el gusano Nimda
 Programas de puertas traseras que ingresan a través de amenazas de virus y gusanos
combinados
 Software antivirus utilizado como zombi para realizar ataques de DoS
El software de antivirus es una medida efectiva para mantener al malware fuera de una red; la
detección de intrusos es una medida efectiva para reconocer y posiblemente detener los ataques
directos. Los IDS y los sistemas de prevención de intrusos (IPS) detectan actividad poco común
y amenazante. Los dos tipos generales de IDS están basados en el host y en la red.
Los IDS basados en el host monitorean y detectan cambios en los archivos utilizando controles
de integridad. Los IDS calculan el valor de una función unilateral en archivos de sistemas
críticos cuando se instalan por primera vez (o al menos cuando se sabe que no están dañados),
luego, se recalcula periódicamente la función unilateral de los archivos. Si existe una diferencia
en el original con respecto a los valores unilaterales calculados recientemente, se ha cambiado el
archivo. Los IDS basados en el host también utilizan registros de auditorías, monitoreo de
procesos y otras técnicas para controlar la actividad de los sistemas.
Los IDS basados en la red controlan el tráfico de red, utilizando algoritmos estadísticos y de
comparación; algunos utilizan enfoques basados en las firmas, similares a un software de
antivirus. Este enfoque funciona muy bien en muchos casos y es menos probable que genere
resultados positivos falsos con respecto a las técnicas estadísticas. Igual que los programas de
antivirus, los IDS basados en la red deben actualizarse frecuentemente y de todos modos se
puede dejar pasar un nuevo tipo de intrusión. Los enfoques estadísticos desarrollan perfiles de
tráfico “normal” en la red, que luego se utilizan para identificar actividades poco comunes. A
diferencia de los enfoques basados en firmas, los IDS estadísticos no necesitan actualizaciones
de firmas. En el caso de TI, una combinación de ambos enfoques, en lugar de utilizar sólo uno,
puede mostrar mejores resultados.
Los IPS también están basados en el host y en la red. Los IPS basados en el host (HIPS)
funcionan para detener el malware y los procesos no autorizados en las estaciones de trabajo o en
los servidores comprometidos. Los HIPS utilizan firmas y patrones para identificar actividad
poco común. Las políticas especifican cómo deben responder los HIPS a tal actividad. Las
respuestas pueden incluir la finalización de procesos y el bloqueo de tráfico de red desde y hacia
un dispositivo.
50
Capítulo 2
Los IPS basados en la red (NIPS) funcionan al nivel de los servidores de seguridad para
inspeccionar paquetes e identificar flujos sospechosos de paquetes. Después de que un NIPS ha
identificado un paquete sospechoso, se descarta el paquete al igual que los demás paquetes en el
flujo. Identificar correctamente paquetes maliciosos es un desafío e identificar falsamente un
flujo legítimo de paquetes puede prevenir el tráfico válido y corromper la funcionalidad general
de un sistema.
 Integrar los HIPS y NIPS con los sistemas de administración de identidades permite controles de
accesos detallados combinados con la capacidad para responder de forma inmediata a las
violaciones de políticas de seguridad. Los antivirus e IDS desempeñan una función al momento de
evitar que los sistemas se vuelvan zombis por DoS y otros ataques ilícitos en otros sistemas.
Nuevamente, integrar y coordinar múltiples componentes de seguridad es un elemento esencial para
una administración de seguridad efectiva.
Filtrado de contenidos
Las organizaciones que dependen en gran medida de Internet pueden encontrar varios productos
en las categorías antivirus, antispam y filtro de código. Generalmente, estos productos se centran
en un punto funcional y operan independientemente el uno del otro. Para reducir la carga
administrativa de administrar todas estas soluciones puntuales, se recomienda una solución de
filtrado de contenidos personalizable e integrada. Los filtros de spam deben utilizar un enfoque
de múltiples niveles para marcar la diferencia entre spam y correos electrónicos válidos, como
listas negras en tiempo real (RBL), estadísticas, heurística y listas blancas y negras globales e
individuales.
Control de medidas de seguridad contra amenazas
Para una administración de seguridad efectiva, deben utilizarse múltiples medidas de seguridad
contra amenazas en el ambiente de red actual y deben aplicarse en múltiples partes de una
organización. Considere el caso de la administración de contenidos. Los documentos se crean, se
modifican y se intercambian constantemente dentro y a través de organizaciones. Si los
documentos se intercambian a través de correos electrónicos, estarán casi seguramente sujetos a
un control de antivirus. Sin embargo, más y más organizaciones están utilizando sistemas de
administración de documentos que utilizan bases de datos para controlar la proliferación de
varias copias de documentos y para mejorar la colaboración. Ya que estos centros de depósito de
documentos son una parte importante de TI, los mecanismos de seguridad, tales como los
controles de antivirus, deben incluirse en la funcionalidad principal.
La definición de medidas de seguridad también debe llegar más allá de los límites tradicionales.
El spam es un gran problema y los sistemas de filtrado de correo electrónico deben incluirse en
la administración de seguridad. El filtrado de URL no es sólo un control para evitar que los
empleados vean deportes durante el horario laboral. Las vulnerabilidades conocidas de los
exploradores web pueden permitir que un código malicioso se ejecute en secuencias
incorporadas en documentos HTML. La administración de seguridad no sólo debe desechar los
virus sino que debe hacer lo necesario para prevenir que el material bueno de la organización no
sufra nuevos ataques.
Procesos para controlar el impacto de una amenaza
En el resto de esta guía, se proveen descripciones y pautas detalladas para tipos específicos de
medidas de seguridad, tales como controles de acceso y administración de identidades. El
51
Capítulo 2
próximo capítulo incluirá información específica sobre la administración de vulnerabilidades
para los sistemas Windows y Linux. Este capítulo finalizará con información general sobre
procesos para proteger una infraestructura de TI ante las amenazas descritas anteriormente.
Actualización de software de antivirus
Mantener el software de antivirus actualizado es una tarea crucial, ya sea en una sola máquina o
en una docena. Es diferente cuando se trabaja con cientos o miles de computadoras de escritorio,
portátiles y usuarios móviles. Desarrolle políticas bien definidas para establecer estándares
específicos, incluso:
 El tipo de software de antivirus que se utiliza
 La frecuencia de las actualizaciones
 Las restricciones en acceso remoto (por ejemplo, se niega el acceso si no se ha realizado
un escaneo completo en las últimas 72 horas y si no se han actualizado los archivos de
firma con la última edición)
 Los usuarios de computadoras portátiles que se conectan a redes externas, incluyendo
redes locales, quienes deben instalar un servidor de seguridad personal
Las herramientas de administración de versión y configuración, como el System Management
Server (SMS) de Microsoft, puede ayudar con controles de cumplimiento, inventario de
software, descubrimiento de red e informes.
Filtrado de contenidos no apropiados
Utilice un software para el filtrado integral de contenidos y actualícelo para combatir los virus
más recientes y los engaños de spammers. Además, cree políticas y pautas para su organización,
por ejemplo cómo manejar los correos electrónicos masivos. Establezca expectativas adecuadas
para el usuario final y proporcione mecanismos de comentarios, como una dirección de correo
electrónico a la cual debe enviarse correo falsamente identificado como spam. Considere los
comentarios de sus usuarios finales.
Configuración de servidores de seguridad
Los gusanos y amenazas combinadas utilizan puertos vulnerables en las redes de organizaciones.
Los servidores de seguridad deben estar configurados para cerrar los puertos que no se necesitan
explícitamente para operaciones empresariales. Realizar esto puede prevenir que los atacantes
exploten puertas traseras introducidas a través de alguna otra vulnerabilidad o puede prevenir
que los atacantes realicen un ataque de DoS desde sus servidores.
Los servidores de seguridad personales son muy importantes para los usuarios móviles. Los
vendedores que conectan sus computadoras portátiles a las redes de sus clientes pueden
exponerse a redes con muchas vulnerabilidades que han sido aplicadas a las redes de su propia
empresa. Algunos de aquellos vendedores pueden involuntariamente introducir un gusano a una
red corporativa que podría detenerse gracias a un servidor de seguridad.
Uso de la prevención de intrusos
La prevención y detección de intrusos basadas en la red y en el host pueden identificar
actividades maliciosas que no se previenen con sistemas de servidores de seguridad y antivirus.
La prevención de intrusos proporciona una pieza adicional que no puede dejarse de lado en el
rompecabezas de seguridad de una empresa.
52
Capítulo 2
Desarrollo, mantenimiento e implementación de políticas de seguridad
Los administradores de redes, los administradores de sistemas, el personal de mesas de ayuda y
los usuarios finales deben trabajar en base al mismo grupo de normas para la administración de
seguridad. Las políticas y procedimientos sirven para asegurar que esto se cumpla. Las
necesidades organizacionales variarán, pero algunos de los temas de las políticas que deben
considerarse son:
 Uso aceptable
 Encriptado
 Antivirus
 Servidores de seguridad personales
 Escaneo de vulnerabilidad y auditoría
 Respuesta ante incidentes
 Filtrado de URL
 Filtrado de correo electrónico
 Políticas de contraseña
 Retención de correo electrónico
 Red de conexión inalámbrica
 Para obtener ejemplos de políticas y plantillas, consulte el Proyecto de Política de Seguridad de
SANS (SANS Security Policy Project) en http://www.sans.org/resources/policies/.
Respuesta integrada
Los sistemas de seguridad de múltiples niveles bien integrados son los mejores métodos para
controlar las amenazas que enfrenta una empresa. Las piezas individuales del conjunto de
seguridad han sido descritas en este capítulo. Para demostrar cómo encajan estas piezas,
considere el siguiente ejemplo de un probable incidente de seguridad y la forma en la que debe
manejarse.
Imagine una empresa bancaria ficticia, Universal Financial Services. UFS es un consumidor
bancario que cuenta con un servicio bancario activo en línea. La empresa utiliza seguridad
informática de varios niveles, incluyendo dos tipos de sistemas de antivirus (uno en los
servidores de seguridad y en los otros servidores de correo electrónico), administración de
identidades, HIPS y escaneo de vulnerabilidades. De todos modos, tal enfoque de tecnología
avanzada no puede garantizar la eliminación de todas las posibles violaciones.
53
Capítulo 2
Un empleado descarga un correo electrónico que contiene un virus polimórfico. Este virus es
recientemente nuevo y no muestra características que las firmas y el software de antivirus puedan
identificar. El virus penetra tanto el servidor de seguridad como en los sistemas de antivirus
basados en correos electrónicos. El virus es una amenaza combinada con varias composiciones
de malware, incluyendo un gusano, un programa de seguimiento de pulsaciones y un cliente
IRC. Una vez que pasa los filtros del antivirus y del servidor de seguridad, el virus descifra y
expande la carga útil, infectando la estación de trabajo del empleado.
El cliente IRC se ejecuta y trata de establecer una conexión con un canal IRC en el servidor del
atacante. Si tiene éxito, el cliente IRC descargará las instrucciones y actualizaciones para realizar
más acciones. Un servidor de seguridad personal en la estación de trabajo ha deshabilitado los
protocolos de IRC, entonces el intento de comunicación falla.
El gusano trata de replicar esto explotando vulnerabilidades poco conocidas en los sistemas
operativos de las computadoras de escritorio. El proveedor no ha provisto un parche para esta
vulnerabilidad particular, entonces los gusanos se expanden rápidamente a otras máquinas de la
red. Los programas de recopilación de pulsaciones se comienzan a ejecutar, tratando de
encontrar nombre de usuarios, contraseñas, números de cuentas y otra información de
identificación. Los HIPS detectan actividad poco común y verifican los privilegios del usuario
con un sistema de administración de identidades. El usuario no tiene acceso a las aplicaciones
que generaran tráfico de red anormal o que monitorean las E/S de teclado (de la misma manera
que un programa de captura de pulsaciones), entonces los HIPS deshabilitan los procesos. Se
envía una notificación a los administradores de sistemas identificando la estación de trabajo
comprometida. El administrador desconecta la estación de trabajo de la red, actualiza el software
de antivirus y elimina el malware.
Resumen
Las amenazas a la seguridad de la información son dominantes, se originan dentro y fuera de una
organización. Los antecedentes de seguridad en computadoras son una serie de amenazas
emergentes seguidas por respuestas de nuevas medidas de seguridad, que a su vez, están seguidas
por un nuevo grupo de amenazas que evaden esas medidas. La disponibilidad de grupos de
herramientas de ataque empeora el problema haciendo que el desarrollo de malware sea casi
natural. Actualmente, las amenazas combinadas conjugan múltiples tipos de ataques en cargas
útiles, haciéndolas más peligrosas. Al mismo tiempo, detectar este malware es más difícil debido
a técnicas como mutación de virus.
La respuesta adecuada a estas amenazas es un enfoque unificado ante la administración de
seguridad que utiliza una amplia base de antivirus, servidor de seguridad e IDS junto con
políticas de seguridad bien definidas. Este tipo de enfoque integrado de múltiples niveles es la
base de un régimen efectivo de administración de seguridad que se desarrollará en el resto de
esta guía.
54