Las redes sociales se consolidan como plataforma ideal para la práctica del cibercrimen
- Facebook y Twitter sufren las embestidas del software malicioso aprovechando su enorme popularidad y el ingente tráfico en sus redes
- Plataformas que hasta ahora parecían inmunes, como MacOS, han comenzado también a sufrir ataques.
- Adobe y Microsoft siguen siendo las plataformas más atacadas.
Kaspersky Lab ha presentado su informe sobre la evolución del malware durante el primer trimestre de 2010. España se sitúa en el puesto 12 a nivel mundial en creación de malware.
En total se han neutralizado 540 millones de intentos de infección a ordenadores de usuarios, lo que supone un incremento de casi el 100 por cien respecto al primer trimestre. De nuevo la mayoría de los acontecimientos más importantes estuvo relacionada con las botnets, pero una conclusión clara que cabe extraer del informe sobre este segundo trimestre de 2010 es la consolidación de las redes sociales como nueva víctima preferida para sus actividades.
A la hora de administrar las botnets (redes piratas creadas para la distribución masiva de malware), los cibercriminales han descubierto una mina en estas redes. Hasta ahora, los escarceos con entornos como Facebook o Twitter eran sólo pruebas de concepto. Pero ya en el mes de mayo apareció un utilitario para crear bots, TwitterNET Builder, que construye una botnet usando una cuenta en Twitter como centro de administración.
Para trabajar con el programa no es necesario saber programación, lo que lo convertía en un “juguete” ideal para los novatos: un par de clics y el bot está listo. Bautizado como Backdoor.Win32.Twitbot, este “juguete” permite la descarga y ejecución de ficheros nocivos, ataques DDoS y visitas a los sitios web predeterminados por los delincuentes. Para recibir instrucciones, el bot busca en Twitter una cuenta determinada en la que, en forma de texto, se publican las órdenes de su dueño.
Afortunadamente, este bot no ha conseguido hacerse muy popular, dado su primitivo comportamiento (las instrucciones no están cifradas, sino que se envían abiertamente mediante la red social, por lo que son fáciles de detectar y desconectar con sólo cerrar la cuenta). A mediados de junio no quedaban ya centros de administración en Twitter, lo que dice mucho de la velocidad de reacción de los servicios de seguridad de esta red.
En cualquier caso, los expertos de Kaspersky Lab insisten en que las redes sociales sirven como ningún otro canal para propagar activamente enlaces a programas maliciosos. De hecho, estos expertos aseguran que, con el tiempo, las redes sociales podrían reemplazar al correo electrónico en la innoble tarea de distribuir programas maliciosos. Las cifras confirman la efectividad de los envíos masivos en las redes sociales. En el transcurso de un ataque llevado a cabo en la red Twitter, en tan sólo una hora 2.000 usuarios siguieron el enlace enviado.
Pero el ataque más importante se produjo en ese mismo mes de de mayo, cuando apareció en Facebook un nuevo tipo de ataque, relacionado con la introducción de la función “like”, que controla la lista de cosas que le gustan al propietario de la cuenta. Miles de usuarios se convirtieron en víctimas de este ataque, que consistía en colocar en Facebook un atractivo enlace (por ejemplo “Mundial 2010 en alta resolución”, o “Las 101 mujeres más atractivas del mundo”). El enlace conducía a una página ad-hoc, en la que un escenario Javascript ponía un botón invisible justo debajo del cursor. El botón se desplazaba junto con el cursor de tal manera que, dondequiera que el usuario pulsara, apretaba inevitablemente en este botón y, como consecuencia, agregaba en su “muro” una copia del enlace. El resultado es que en las “últimas noticias” de sus amigos aparecerá que este enlace (“he likes”or “she likes”). El ataque creció como una bola de nieve: primero seguían el enlace los amigos, después los amigos de los amigos, etc.
Después de agregar el enlace a su “muro”, el usuario recibía, en efecto, una página donde aparentemente estaba lo que había solicitado (un reproductor de vídeo que supuestamente transmitía los partidos del mundial, o un portal con fotografías de chicas); pero en la misma página había una campaña comercial que eludía los bloqueadores de ventanas publicitarias. El estafador recibía pequeñas sumas de dinero por cada visita de los usuarios a la página. Dado que hubo miles de víctimas de este ataque, está claro que la suma recibida por los delincuentes no fue tan pequeña.
Plataformas alternativas
Este trimestre, el malware para plataformas alternativas ha conquistado nuevas fronteras. En abril apareció un nuevo backdoor de la familia Reshe para MacOS X, denominado Backdoor.OSX.Reshe.a. Este backdoor permite al delincuente obtener un control sin restricciones sobre el sistema infectado: enviar spam, buscar y robar ficheros, descargar y ejecutar programas, hacer capturas de pantalla y muchas cosas más. El backdoor está escrito en RealBasic y funciona en ordenadores Apple con procesadores PowerPC o Intel. De momento, no se ha apreciado el uso masivo de este programa malicioso, pero el arma ya está en las manos de los delincuentes.
Ya en junio, varios días después de que Google anunciase su transición a sistemas operativos alternativos, especialistas de Kaspersky Lab detectaron un nuevo troyano-espía para Mac OS X. Este programa malicioso se disfrazaba de “sistema publicitario” y se difundía junto con productos de software legítimos. Además de robar información del PC, el programa malicioso también tiene funcionalidades de backdoor, que permiten a los delincuentes enviar instrucciones al ordenador.
Muchos usuarios de Mac OS tienen la falsa sensación de estar protegidos. Están seguros de que no existen amenazas informáticas que funcionen en su sistema operativo. Pero la misma Apple reconoce que existen códigos maliciosos para Mac. En la última actualización de OS X 10.6.4, Apple incluyó en su escáner antivirus una nueva firma para proteger contra el Backdoor.OSX.Reshe.a. Pero estas actualizaciones, que no fueron anunciadas públicamente, sólo hacen que el usuario conserve su sensación de falsa seguridad, en vez de hacerla desaparecer.
No existen sistemas operativos completamente seguros. En este momento, Mac OS X no es un sistema más seguro que, por ejemplo, Windows 7. Desde el punto de vista técnico, para que su funcionamiento sea seguro, Mac OS X también necesita protección contra los programas maliciosos. Si se toman en cuenta los incidentes citados más arriba, es muy posible que pronto surjan ataques dirigidos a los usuarios de los ordenadores Mac.
Programas nocivos en Internet
En el segundo trimestre de 2010 nuestra compañía ha detectado 157.626.761 intentos de infectar ordenadores a través de Internet. A continuación se exponen las principales categorías de programas maliciosos que dominaron en Internet.
2 Trimestre 2010: “Top 5” de programas maliciosos en Internet
En el TOP 5 hay troyanos, exploits y programas publicitarios, con la particularidad de que casi la mitad (48%) de todas las detecciones en Internet correspondió a troyanos. El 57% eran scripts maliciosos incrustados por los delincuentes en diversos sitios web. Entre estos sitios había también sitios legítimos, que contaban con miles, y en ciertos casos, con millones de visitantes. Se caracterizan porque usan un enlace, invisible en el navegador, para desviar a los usuarios y hacerlos visitar la página de los delincuentes. Por lo general, los enlaces llevan a páginas con exploits (y en los esquemas más tradicionales, a conjuntos de exploits), que permiten a los delincuentes dar el primer paso en la tarea de evadir la defensa del ordenador y conseguir el objetivo final de descargar y ejecutar cualquier fichero.
Un 7,15% de todas las detecciones correspondió al software publicitario (AdWare). En el trimestre anterior, un 70% de los programas publicitarios detectados pertenecían a las familias Zwangi y Boran. En este trimestre las familias Shopper (26,06%) y FunWeb (22,81%) les han arrebatado la supremacía, ya que ambas sumaron un 49% de las detecciones de AdWare.
Geografía de las amenazas
En el segundo trimestre de 2010 Kaspersky Lab ha detectado 157.626.761 ataques desde recursos de Internet. Más del 95% de los ataques detectados por la compañía se realizaron desde 20 países, de los cuales España se sitúa en la posición 12.
| № | Segundo trimestre de 2010 | № | Primer trimestre de 2010 |
| 1 | Estados Unidos | 28,99% | 1 | Estados Unidos | 27,57% |
| 2 | Rusia | 16,06% | 2 | Rusia | 22,59% |
| 3 | China | 13,64% | 3 | China | 12,84% |
| 4 | Alemania | 5,89% | 4 | Países Bajos | 8,28% |
| 5 | Países Bajos | 5,49% | 5 | España | 6,83% |
| 6 | España | 5,28% | 6 | Alemania | 6,78% |
| 7 | Reino Unido | 4,62% | 7 | Reino Unido | 3,29% |
| 8 | Suecia | 4,34% | 8 | Filipinas | 1,60% |
| 9 | Ucrania | 2,76% | 9 | Ucrania | 1,35% |
| 10 | Letonia | 2,02% | 10 | Canadá | 1,29% |
| 11 | Canadá | 1,63% | 11 | Suecia | 0,95% |
| 12 | Francia | 1,49% | 12 | Francia | 0,80% |
| 13 | Turquía | 0,63% | 13 | Turquía | 0,72% |
| 14 | Moldavia | 0,55% | 14 | Australia | 0,48% |
| 15 | República Checa | 0,40% | 15 | Moldavia | 0,42% |
| 16 | Hong Kong | 0,40% | 16 | Letonia | 0,31% |
| 17 | Tailandia | 0,38% | 17 | República Checa | 0,31% |
| 18 | Filipinas | 0,37% | 18 | Luxemburgo | 0,26% |
| 19 | Malasia | 0,37% | 19 | Malasia | 0,26% |
| 20 | Vietnam | 0,36% | 20 | Vietnam | 0,25% |
| | Otros | 4,33% | | Otros | 2,80% |
Vulnerabilidades
En el segundo trimestre de 2010 hemos detectado en los ordenadores de los usuarios 33.765.504 aplicaciones y ficheros vulnerables. Cabe destacar que en uno de cada cuarto casos detectamos en el ordenador más de siete vulnerabilidades abiertas.
Seis de las vulnerabilidades del TOP 10 se encontraron en los productos de Microsoft, tres en los productos de Adobe y una en los de Sun. Pero esto no significa que los programas de estas compañías contengan gran cantidad de errores. Es más bien un indicio de la popularidad de la que gozan estos productos entre los usuarios.
(China)
(Japan)
(Korea)
