| Artículos | 01 JUN 2004

¡Nos vigilan!

Spyware
Las empresas se enfrentan día a día a ataques a la privacidad y a la seguridad cada vez más sofisticados, inmunes incluso a la tecnología antivirus y los cortafuegos convencionales. De ellos, los más amenazantes y los que se están multiplicando a mayor velocidad son los que adoptan la forma del “spyware”.

Incluso en sus versiones más inocuas, el “spyware” es una auténtica invasión de la privacidad. Se expande de mil maneras distintas, aprovechando desde imágenes ejecutables a archivos compartidos a través de las redes peer to peer y una larga lista de programas freeware, y, cuando consiguen su objetivo, se instalan en un sistema de forma automática sin que el usuario sea consciente de ello. Desde allí, subrepticiamente, pueden monitorizar y registrar aspectos del sistema y pasar esta información a terceros. Fiel reflejo de sus orígenes –nació con el propósito de facilitar el envío de publicidad online–, es capaz de rastrear los hábitos de navegación por Internet de los usuarios, y algunos son tan avanzados que incluso permiten realizar capturas de pantalla sin que el usuario se entere.
La gran problemática de este software maligno, con representantes tan conocidos como Cydoor, Gator, Lop.com o Xupiter, es que son programas contra los que es muy difícil luchar, ya que vienen incrustados dentro de otros programas o archivos y, por lo tanto, no es sencillo detectar cuándo un sistema está infectado. Y, al ser capaces de espiar lo que ocurre en un PC, puede convertirse en una herramienta muy dañina si es utilizado maliciosamente por desaprensivos. Buena muestra de su peligrosidad es la importancia que algunos gobiernos están concediendo al problema.
No es de extrañar teniendo en cuenta el punto de vista de Gartner. Según la consultora, “si bien hoy el spyware es más molesto que otra cosa, en el futuro se hará un uso mucho más malicioso de estos programas de software. No pasará mucho tiempo antes de que se emplee para robar los números de tarjetas de crédito, conseguir contraseñas y otras acciones ilegales encaminadas a suplantar la identidad del usuario”.
Más lejos llegan algunos expertos en seguridad informática que no descartan que el spyware acabe empleándose para visualizar, capturar y transmitir documentos de Word o Excel y, de esta forma, robar proyectos científicos o secretos empresariales, entre otros muchos tipos de información altamente crítica. Y no faltarán los hackers “de encargo” que instalen un programa espía para abrir las puertas de los sistemas de una empresa a terceros.

¿Cómo evitarlo?
Para Gartner, la primera línea de fuego en la dura batalla contra el spyware es reforzar al máximo las políticas de uso corporativo de Internet, manifestando de forma clara y expresa qué es lo que está permitido y qué acciones y usos quedan prohibidos.
El segundo consistirá en configurar los navegadores de los equipos y el correo Outlook mediante Microsoft Domain Security Policies, así como activar el bloqueo de Active X y otros ejecutables. También es conveniente el filtrado de contenidos Web a través de un proxy HTPP, y no estaría de más cortar el acceso a Internet a aquellos usuarios que realmente no lo precisen para desarrollar su trabajo.
Con todo, de poco valdrán todas estas medidas si, como advierten los expertos, los usuarios de una empresa carecen de una sana “educación Web”, fundamental para evitar muchos problemas. Por “educación Web” debe entenderse el conjunto de hábitos de navegación de acuerdo con una serie de pautas básicas: no debe descargarse ningún tipo de programa peer-to-peer, hay que evitar hacer clic en imágenes tan divertidas como sospechosas (ositos bailando, banners que imitan el formato de los mensajes de Windows para advertirnos de que nuestro ordenador está infectado, animándonos a hacer clic para limpiarlo...) y, finalmente, no descargar ningún tipo de freeware sin tener el consentimiento del director de sistemas de TI. En resumidas cuentas, no se debe hacer clic si no es necesario para nuestro trabajo.

¿Cómo detectarlo?
Pero que una empresa haya implementado todas las medidas anteriormente enunciadas, no implica que se haya librado totalmente del riesgo que representa el spyware. Hasta hace relativamente poco, la única forma de que un director de sistemas de TI lo detectase era recibir la llamada de un usuario avisan­do del extraño comportamiento de su PC. Imposibilidad de abrir determinados archivos, problemas para imprimir o fallos en la navegación Web son algunos indicios que pueden advertirnos de la existencia de software espía en un equipo.
Sin embargo, ningún responsable TI debería darse por satisfecho yendo siempre a la zaga de enemigos tan dañinos. Pero ir un paso por delante de los creadores de este tipo de ataques requiere disponer de herramientas específicamente dedicadas a ello. Estas herramientas antispyware son programas capaces de identificar y eliminar los programas espías, adaptándose a las muchas formas que adopta en función del análisis del comportamiento de todo software potencialmente peligroso.
Las herramientas antispy­wa­re se asemejan al software antivirus de las redes: su fun­cio­namiento requiere clientes, un servidor antispyware y una consola de administración. Asimismo, como el software maligno cambia de un día para otro, resulta crítico que las actualizaciones de las definiciones de spyware de los fabricantes sean ágiles y ­automáticas. Como las de antivirus, estas actualizaciones se lanzan a los clientes desde un servidor antispyware a través de Internet mediante un panel de control centralizado.
Las firmas de herramientas antispyware más avanzadas generan en sus laboratorios largas listas de características que ayudan a saber cuándo en una máquina reside software espía, dónde se localiza concretamente y lo que está haciendo. Estas listas se utilizan también para eliminar de un disco duro entradas de registro Windows, archivos y, en algunos casos, directorios malignos enteros.
Por lo general, el spyware instala un ejecutable junto con otros ficheros en varias localizaciones del sistema operativo. Pero estos archivos, denominados “rastros” (traces), permanecen cuando se elimina el software maligno sin una herramienta adecuada. Es más, las utilidades antispayware más elementales simplemente eliminan estos “rastros”, lo que podría hacer desaparecer los síntomas pero no la raíz del problema.

Perfiles de usuario
Sin embargo, a diferencia de los típicos virus, no siempre conviene eliminar automáticamente el spyware, pues a veces viene enlazado a aplicaciones necesarias para determinados empleados. La decisión, por tanto, se ha de tomar en función del perfil del usuario y de los programas necesarios para su trabajo. Por ejemplo, la aplicación de consola RemEye instala un servidor WinVNC para realizar tareas de administración. Pero como se instala con la contraseña por defecto “abcd”, se puede convertir fácilmente en un excelente caballo de Troya.
Para crear estos perfiles de usuario son esenciales las bases de datos que ofrecen las herramientas antispyware más sofisticadas. Estas bases de datos, debidamente actualizadas, proporcionan las descripciones necesarias para saber qué se puede considerar spyware, detallando las caracte
Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios