Las amenazas informáticas modernas, segundo semestre de 2007

En este informe prácticamente no analizamos programas nocivos. En cambio, analizamos algunos problemas de Internet, las nuevas tecnologías y las vulnerabilidades. Es en estas áreas que de ahora en adelante deben concentrarse los creadores de programas antivirus.

Es probable que uno de los temas más discutidos de todo el año 2007 sean los sucesos acaecidos en Estonia a fines de abril y principios de mayo. Decenas de servidores de la zona estonia de Internet recibieron ataques DdoS después de que en Tallin la policía dispersara una manifestación de protesta contra la decisión del gobierno estonio de trasladar un monumento con los restos de soldados soviéticos caídos en la Segunda Guerra Mundial durante la liberación de Estonia. Desde el 27 de abril, los sitios Internet de la presidencia, del primer ministro, del parlamento, de la policía y de otros ministerios de Estonia fueron tomados al asalto por un gigantesco número de solicitudes provenientes de ordenadores distribuidos por todo el mundo. Además de los ataques DoS lanzados contra los principales sitios Internet gubernamentales, hubo también una deformación masiva de decenas de otros sitios estonios.

Los políticos estonios culparon de todo lo sucedido al servicio de inteligencia ruso. Por vez primera los altos funcionarios mencionaron la palabra "guerra cibernética". Estonia propuso a la OTAN considerar los ataques cibernéticos como “actos de guerra”, mostrando que deseaba una defensa militar contra las amenazas de Internet.

¿Qué sucedió en el sector ruso de Internet durante este periodo? Tan pronto como en Tallin comenzaron los enfrentamientos con la policía, un gran número de internautas rusos que no contaban con los medios para expresar en persona su oposición, decidieron utilizar el único método a su alcance, es decir, una protesta a través de Internet: participarían en ataques DoS. Varios foros y sitios comenzaron a proponer una variedad de programas que enviarían un número infinito de demandas hacia los sitios estonios. Cualquier persona podía descargar este tipo de programas e instalarlos en su ordenador. Desde el punto de vista tecnológico, se trata de una red zombi. La única diferencia es el carácter voluntario de la red, creada de común acuerdo entre usuarios que sabían lo que hacían. Por supuesto, una parte de los ataques fue realizada desde “auténticas” redes zombi, compuestas de ordenadores previamente infectados, pero no hay que subestimar el poder del ataque “artesanal”. Nos encontramos más próximos a una guerrilla que a una guerra cibernética.

No se presentó ninguna prueba real de la participación de las estructuras estatales en los ataques. Pero ahora el problema de la “guerra cibernética” y del “terrorismo cibernético” se discute en todo el mundo. Ahora participan en esta discusión no solo los expertos en informática, sino también los políticos y los militares. Y especialistas del mundo entero elaboran modelos de verdaderas guerras informáticas. Los problemas del terrorismo cibernético se discuten en un ámbito claramente desconectado de la situación real: en una especie de arrebato se publica información demasiado peligrosa y se propone a los lectores modelos acabados de terrorismo cibernético. Kaspersky Lab siempre ha sostenido que la publicación de artículos y los debates realizados sobre métodos que permiten causar daños a objetivos de los cuales depende la vida humana no es una práctica aceptable. No cabe la menor duda de que este tipo de información puede llevar a diferentes grupos extremistas a poner en práctica tales modelos. La caja de Pandora ya está abierta.

El suceso más importante del segundo trimestre de 2007, y probablemente de todo el año, en el sector de los dispositivos móviles, fue el lanzamiento al mercado del iPhone, el teléfono portátil de Apple. Según los analistas, las ventas de este smarphone alcanzará los 13,5 millones dentro de un año y medio. ¿Será la evidente popularidad de iPhone el factor que termine con el estancamiento en el mundo de los virus para dispositivos móviles? Según nuestras apreciaciones, en 2008 los virus para iPhone se pueden convertir en realidad. Es poco probable que los gusanos se conviertan en amenaza para iPhone. Lo más seguro es que aparezcan nuevos virus para ficheros y diferentes programas troyanos. Pero la principal amenaza para los usuarios del iPhone serán las diversas vulnerabilidades que pueden ser aprovechadas por los delincuentes cibernéticos para acceder a datos almacenados en este teléfono.

Mpack Durante la creación de programas nocivos, sus autores están empezando a prestar cada vez mayor atención a la explotación de diversas vulnerabilidades del sistema. A mediados de junio, varios miles de sitios italianos fueron el origen de la propagación de programas maliciosos. En el trancurso de varios días se descubrió más de seis mil servidores italianos cuyas páginas contenían varios renglones de código html agregado por los delincuentes, que tenían más o menos el siguiente aspecto:

< iframe src=’adresse’ width=5 height=5 >  < /iframe >

Esta es una construcción típica para la utilización de varios códigos de explotación de vulnerabilidades en navegadores, que los especialistas de Kaspersky Lab conocen desde hace varios años. Pero…¿qué es lo que sucede en realidad? Existe cierto conjunto de códigos de explotación que utilizan vulnerabilidades en los navegadores y en los sistemas operativos más conocidos. El delincuente pone este conjunto en su propio sitio web. El pirata logra, de una manera u otra, acceder a otros sitios. Generalmente utiliza cuentas de acceso previamente robadas por un troyano cualquiera, como por ejemplo, LdPinch. Acto seguido, añade a todas las páginas de este sitio la etiqueta < iframe > que conducirá al internauta hasta el sitio infectado. Como resultado, en el sistema atacado se instala (como regla) un troyano-descargador, lo que da la posibilidad de descargar virus, gusanos, puertas traseras, etc. en el futuro.

Lo que nos sorprendió fue que Mpack traspasara las fronteras de Rusia y fuera utilizado en Italia. Esta es la razón: Mpack fue creado en Rusia por piratas rusos, que luego lo vendieron a piratas italianos. Sus creadores son los mismos que participaron activamente en la creación y al sostenimiento de otro troyano muy extendido: LdPinch. Circulan en el mercado negro algunos otros códigos de explotación con similares funciones: Q406 Roll-up package, MDAC, WebAttacker, etc. Todos ellos tienen un nivel de “penetración” superior al de Mpack.

Desde nuestro punto de vista, el principal problema es que los autores de Mpack no pueden ser acusados ante la ley como responsables. Formalmente, ellos sólo toman códigos de exploits en recursos de acceso abierto, publicados en cientos de sitios web de seguridad informática, los agrupan y no son responsables de la forma en que serán usados. Aquí nos vemos frente a un problema aún sin resolver: la publicación de las vulnerabilidades ¿constituye un acto útil o perjudicial? Por el momento, nos limitamos a presentar los hechos, pero luego volveremos a tratar este problema y plantearemos nuestra posición sobre todo lo que actualmente sucede, bajo los conceptos del “sombrero blanco” y el “sombrero negro”.

A mediados de mayo descubrimos tres versiones de un nuevo troyano para teléfonos portátiles, Trojan-SMS.SymbOS.Viver que envía SMS de pago a cierto número con una tarifa elevada, para luego debitar cierta suma de dinero de la cuenta del propietario del teléfono y transferirla al pirata informático. En mayo registramos tres nuevos incidentes. Este incidente muestra una vez más que las modernas tecnologías implementadas en dispositivos móviles no cesan de llamar la atención de los delincuentes cibernéticos. Lamentablemente, no disponemos de estadísticas similares de otros países, y los diseñadores extranjeros de programas antivirus no reportan ningún caso de este género, pero no creemos que sea un problema que ataña sólo a Rusia.

Los acontecimientos más importantes de este trimestre que reflejamos en el presente informe nos han dado bastante en qué pensar. Pero todavía no nos han dado respuesta a la pregunta ¿cuál es la ruta que seguirán las amenazas virales e informáticas? A pesar de la aparición de nuevos sistemas operativos (Vista), de nuevos servicios (contenidos para móviles) y dispositivos (IPhone), el mundo de los delincuentes cibernéticos muestra poca iniciativa y sigue usando métodos comprobados durante años que causan daño a los usuarios. Y por si esto fuera poco, se está perfilando un regreso mucho más sustancial a las "fuentes": los ataques DDoS y el aprovechamiento de las vulnerabilidades de los navegadores de Internet están volviendo con nueva fuerza. Quizá lo único que diferencia al presente periodo de su similar de hace tres años sea que la propagación de virus por correo electrónico va quedando cada vez más en segundo plano, cediendo su lugar a los sistemas de mensajes instantáneos y al explosivo crecimiento de los troyanos dirigidos a los usuarios de juegos en línea. Las amenazas no son cada vez más "inteligentes”. El desarrollo se está llevando a cabo por la vía extensiva y todavía no nos queda claro cuál podría ser el catalizador de los cambios globales en el futuro próximo, como lo fue el lanzamiento de Windows 95, la aparición de los gusanos LoveLetter y Mellisa, el primer macrovirus y las epidemias de Lovesan y Mydoom.

Las compañías antivirus han perfeccionado de forma notable sus tecnologías e introducido nuevas, sin dejar de lado el desarrollo de sus productos. Hoy en día, los clientes de las compañías antivirus están mucho más protegidos que hace un par de años. El tiempo medio de vida en “estado natural" de la mayoría de los nuevos programas nocivos se cuenta en horas, muy rara vez en días.

No obstante, intentaremos hacer un pequeño pronóstico del futuro próximo. Los delincuentes tratarán de salir del “campo de responsabilidad” de las soluciones antivirus: en vez de “evadir el antivirus”, su tarea se desplazará a aquellos espacios que todavía no tienen una defensa antivirus de calidad, o dónde esta defensa es imposible debido a toda una serie de factores. Es muy probable que sea precisamente allí donde estará el principal campo de batalla de la guerra informática: en los servicios de los juegos en línea, las bitácoras o weblogs, los sistemas de mensajes instantáneos y las redes de intercambio de ficheros.