-
Gua de defensa en profundidad antivirusDescripcin
generalPublicado: mayo 20, 2004
En esta pginaIntroduccinResumen de los captulos de la guaEnvenos
sus comentariosCaptulo 1: IntroduccinCaptulo 2: Amenazas de
software malintencionadoCaptulo 3: Defensa en profundidad
antivirusCaptulo 4: Control y recuperacin de los ataques de
virusReconocimientos
IntroduccinA pesar de que muchas organizaciones han instalado
programas antivirus en sus equipos, el software malintencionado
como virus, gusanos y troyanos contina infectando sistemas
informticos en todo el mundo. No hay nada que explique esta
aparente contradiccin, pero la situacin actual indica que el
enfoque estndar consistente en instalar software antivirus en cada
equipo del entorno puede no ser suficiente.
La Gua de defensa en profundidad antivirus proporciona una
descripcin general de fcil comprensin de los diferentes tipos de
software malintencionado o "malware", adems de informacin sobre los
riesgos que suponen estos programas, sus caractersticas, formas de
rplica y cargas. En esta gua se detallan las consideraciones que
deber tener en cuenta al planear e implementar un sistema de
defensa antivirus completo para su organizacin, y se facilita
informacin sobre el mtodo de defensa en profundidad y otras
herramientas relacionadas que le permitirn reducir las
posibilidades de infeccin de los sistemas. En el captulo final de
la gua se ofrece una completa metodologa que le ayudar a saber
responder y recuperarse de forma rpida y eficaz de los ataques e
incidencias provocados por el software malintencionado.
Principio de la pgina
Resumen de los captulos de la guaLa Gua de defensa en
profundidad antivirus se compone de cuatro captulos:
Captulo 1: IntroduccinEn este captulo se ofrece una breve
introduccin a la gua y una descripcin general de cada captulo, y se
indican los destinatarios a los que va dirigida.
Captulo 2: Amenazas de software malintencionadoEn este captulo
se definen los tipos principales de software malintencionado y se
especifica qu programas se incluyen y excluyen de esta categora.
Asimismo, se proporciona informacin sobre las caractersticas del
software malintencionado, los vectores de ataque, los medios de
propagacin y las cargas.
Captulo 3: Defensa en profundidad antivirusEn este captulo se
detallan las consideraciones que deber tener en cuenta al
establecer un sistema de defensa antivirus completo para clientes,
servidores y la infraestructura de red. Tambin se abordan
directivas de usuario y medidas de seguridad generales que
Microsoft recomienda tener en cuenta al elaborar un plan de
seguridad global.
Captulo 4: Control y recuperacin de los ataques de virusEn este
captulo se ofrece una descripcin detallada del proceso de resolucin
y recuperacin de los ataques de software malintencionado cuyas
fuentes son las prcticas ms recomendadas del sector y las
operaciones internas de Microsoft.
Principio de la pgina
Envenos sus comentariosAgradecemos cualquier comentario que
desee realizar sobre esta gua. En particular, nos interesara
conocer su opinin sobre los siguientes temas:
En qu medida le ha resultado til la informacin que le hemos
facilitado?
Han sido los procedimientos detallados lo suficientemente
precisos?
Le han parecido los captulos interesantes y de fcil lectura?
En general, cmo valorara la gua?
Envenos sus comentarios a [email protected]. Esperamos con
gran inters sus opiniones.
Principio de la pgina
Captulo 1: IntroduccinA pesar de que muchas organizaciones han
instalado programas antivirus en sus equipos, los nuevos virus,
gusanos y otras formas de software malintencionadocontinan
infectando con rapidez a una gran cantidad de sistemas informticos.
No hay nada que explique esta aparente contradiccin, pero las
tendencias principales se hacen patentes en los comentarios que ha
recibido Microsoft de los profesionales de TI y el personal de
seguridad de organizaciones cuyos sistemas han sido infectados.
Algunos de estos comentarios son los siguientes:
Al usar este sitio acepta el uso de cookies para anlisis,
contenido personalizado y publicidad. Saber ms
Pgina 1 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
"El usuario ejecut el archivo adjunto desde su programa de
correo electrnico a pesar de que le indicamos reiteradamente que no
deba hacerlo...".
"El software antivirus debera haberlo detectado, pero an no se
haba instalado la firma de este virus".
"Este virus nunca debera haber pasado a travs de nuestro
servidor de seguridad; ni siquiera nos dimos cuenta de que esos
puertos podran ser atacados".
"No sabamos que nuestros servidores se deban haber
revisado".
El xito de los ltimos ataques demuestra que el enfoque estndar
consistente en instalar software antivirus en cada equipo de la
organizacin puede no ser suficiente. Los recientes ataques de virus
se han propagado a una velocidad alarmante, de tal modo que la
industria de software no puede detectar, identificar y facilitar
herramientas antivirus capaces de ofrecer proteccin antes de que se
produzcan. Las tcnicas utilizadas por las ltimas formas de software
malintencionado tambin han resultado ser sustancialmente ms
avanzadas, lo que ha posibilitado que los ltimos ataques de virus
hayan escapado a la deteccin y se hayan propagado sin problemas.
Entre estas tcnicas se incluyen:
Ingeniera social. Muchos ataques pretenden hacer creer que
provienen de un administrador del sistema o un servicio oficial, lo
que aumenta las probabilidades de que los usuarios finales los
ejecuten e infecten de este modo sus sistemas.
Creacin de una puerta trasera. La mayora de los ltimos ataques
de virus ha intentado abrir alguna forma de acceso no autorizado a
los sistemas ya infectados, lo que permite al intruso obtener
repetidamente acceso a ellos. Esta capacidad de acceso continuado
se utiliza para infectar sistemas con nuevo software
malintencionado, que actan como "zombies" en ataques coordinados de
denegacin de servicio, o bien, para ejecutar el cdigo que el
intruso desee.
Robo de direcciones de correo electrnico. Los programas de
software malintencionado utilizan las direcciones de correo
electrnico obtenidas de los sistemas infectados para reenviarse a
otras vctimas, al tiempo que los autores de este software pueden
hacer una recopilacin de las mismas. A continuacin, pueden
utilizarlas para enviar nuevas variantes de software
malintencionado, facilitrselas a otros autores de este tipo de
software a cambio de herramientas o cdigo fuente de virus, o
venderlas a todos aquellos que estn interesados en utilizarlas para
generar correo no deseado.
Motores de correo electrnico incrustados. El correo electrnico
es el principal medio de propagacin de software malintencionado.
Muchas formas de software malintencionado integran ahora un motor
de correo electrnico que posibilita que el cdigo malintencionado se
propague mucho ms rpidamente y con menos probabilidades de crear
una actividad poco corriente que se pueda detectar con facilidad.
El correo masivo ilcito aprovecha las puertas traseras de los
sistemas infectados para beneficiarse de las oportunidades que
brinda el uso de estos motores de correo electrnico. Como
resultado, se cree que la mayora del correo no deseado que se gener
el ao pasado se envi a travs de estos sistemas infectados.
Aprovechamiento de las vulnerabilidades de los productos. El
software malintencionado aprovecha cada vez con ms frecuencia las
vulnerabilidades de los productos para propagarse, lo que le
permite extenderse a una velocidad muy superior.
Aprovechamiento de las nuevas tecnologas de Internet. A medida
que surgen nuevas herramientas de Internet, los autores del
software malintencionado las analizan con rapidez para determinar
cmo pueden sacar provecho de ellas. Recientemente, la mensajera
instantnea y las redes de igual a igual (P2P) se han convertido en
vectores de ataque para tal fin.
Estas tcnicas y particularidades del software malintencionado se
analizan en detalle en los captulos siguientes de esta gua.
Microsoft mantiene su firme compromiso de garantizar la
seguridad de las aplicaciones que produce y de colaborar con los
socios de la empresa para hacer frente a las amenazas del software
malintencionado. Entre los ltimos esfuerzos realizados por
Microsoft para reducir el impacto de estas amenazas se
incluyen:
Estrecha colaboracin con los proveedores de software antivirus
para formar la Virus Information Alliance (VIA). Los miembros de la
alianza intercambian informacin tcnica sobre el software
malintencionado descubierto recientemente. De este modo, pueden
comunicar con rapidez a los clientes la informacin sobre el
objetivo del software, su impacto y la recuperacin. Para obtener ms
informacin sobre VIA, consulte la pgina "Virus Information Alliance
(VIA)" en Microsoft TechNet:
http://www.microsoft.com/technet/security/topics/virus/via.mspx (en
ingls).
Investigacin de nuevas tecnologas de seguridad, como la
tecnologa de proteccin activa y la proteccin de sistemas dinmicos,
con las que se contribuye a garantizar la seguridad de la
plataforma Microsoft Windows. Para obtener ms informacin sobre los
esfuerzos realizados en este campo, consulte las declaraciones de
Bill Gates en la RSA Conference 2004 que se incluyen en
Microsoft.com:http://www.microsoft.com/billgates/speeches/2004/02-24rsa.asp
(en ingls).
Apoyo a la legislacin con el objetivo de eliminar el correo no
deseado y de trabajar con los responsables del cumplimiento de las
leyes y los proveedores de servicios de Internet (ISP) para
conseguir que se emprendan acciones judiciales contra las
operaciones de correo no deseado. Para obtener informacin sobre las
alianzas que se han creado con este fin, consulte "America Online,
Microsoft and Yahoo! Join Forces Against Spam" en Microsoft.com:
http://www.microsoft.com/presspass/press/2003/apr03/04-28JoinForcesAntispamPR.asp
(en ingls).
Presentacin del programa de recompensa antivirus (Antivirus
Reward Program) y estrecha colaboracin con las instituciones
responsables del cumplimiento de las leyes para reducir las
amenazas que suponen los autores de software malintencionado. Para
obtener ms informacin sobre este programa, consulte la pgina
"Microsoft Announces Anti-Virus Reward Program" en Microsoft.com:
http://www.microsoft.com/presspass/press/2003/nov03/11-05AntiVirusRewardsPR.asp
(en ingls).
Microsoft ha elaborado esta gua de seguridad con el fin de
ayudarle a identificar todos los puntos de su infraestructura en
los que debera considerar la implementacin de sistemas de defensa
antivirus. Asimismo, se facilita informacin sobre cmo recuperarse
si el entorno resulta infectado.
En esta pginaDescripcin generalDestinatarios de la
guaConvenciones de estilo utilizadas en esta gua
Pgina 2 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Descripcin generalLa Gua de defensa en profundidad antivirus se
compone de los siguientes captulos:
Captulo 1: IntroduccinEn este captulo se ofrece una breve
introduccin a la gua y se presentan las tcnicas y mecanismos
utilizados por el software malintencionado; asimismo se incluye una
descripcin general en cada captulo y se indican los destinatarios
de la gua.
Captulo 2: Amenazas de software malintencionadoEn este captulo
se definen distintos tipos de software malintencionado y se
especifica qu programas se incluyen y excluyen de esta categora.
Adems, se proporciona informacin sobre las caractersticas del
software malintencionado, los vectores de ataque y los medios de
propagacin.
Captulo 3: Defensa en profundidad antivirusEn este captulo se
detallan las consideraciones que recomienda Microsoft al establecer
un sistema de defensa antivirus completo para clientes, servidores
y la infraestructura de red. Tambin se abordan directivas de
usuario y otras medidas de seguridad generales que Microsoft
recomienda tener en cuenta al elaborar un plan de seguridad
global.
Captulo 4: Control y recuperacin de los ataques de virusEn este
captulo se ofrece una descripcin detallada del proceso de resolucin
de los ataques de software malintencionado cuyas fuentes son las
prcticas ms recomendadas del sector y las operaciones internas de
Microsoft.
Principio de la pgina
Destinatarios de la guaCon esta gua se pretende principalmente
ayudar al personal de TI y de seguridad a comprender mejor las
amenazas que supone el software malintencionado, defenderse de
ellas y responder con rapidez y eficacia cuando tenga lugar un
ataque de software malintencionado.
Aunque se detallan las consideraciones relativas a la defensa
mediante software antivirus en entornos de muchos clientes y
servidores, el contenido de la gua tambin es aplicable a las
organizaciones que utilizan un nico servidor para realizar toda su
actividad. Con cada una de estas consideraciones de defensa se
pretende proteger al entorno frente a cualquier tipo de amenaza que
suponga un ataque de software malintencionado, lo que hace que
cobren un gran valor en cualquier organizacin, independientemente
de su tamao. Puede parecer que algunas de las medidas recomendadas,
como la administracin y la supervisin de sistemas, van ms all del
alcance o las necesidades de algunas organizaciones. Sin embargo,
el equipo que elabor esta gua cree firmemente que por su propio
inters debera revisarlas con detenimiento para comprender mejor la
naturaleza de los riesgos que supone el software malintencionado
hoy en da para los sistemas informticos de todo el mundo.
Principio de la pgina
Convenciones de estilo utilizadas en esta guaEn la tabla
siguiente se indican las convenciones de estilo que se utilizan en
la Gua de defensa en profundidad antivirus.
Tabla 1.1: Convenciones de estilo
Elemento Significado
Negrita Los nombres de archivo y los elementos de la interfaz de
usuario aparecen en negrita.
Cursivao
La cursiva se aplica a caracteres que escribe el usuario y que
pueden cambiar. Los caracteres en cursiva que aparecen entre
corchetes angulares representan marcadores de posicin variables en
los que el usuario debe facilitar valores especficos. Ejemplo:
indica que debera sustituir el textoNombredearchivo.ext en cursiva
por otro nombre de archivo que sea adecuado para la configuracin.La
cursiva tambin se utiliza para representar nuevos trminos.
Ejemplo:Identidad digital: atributos descriptivos e identificador
nico de una persona, grupo, dispositivo o servicio.
Fuente de texto de la pantalla Esta fuente define el texto de
salida que se muestra en la pantalla.
Fuente de cdigo MonospaceEsta fuente se utiliza para definir
ejemplos de cdigo. Ejemplo:public override void Install(IDictionary
savedState)
Fuente de comandos MonospaceEsta fuente se utiliza para definir
comandos, modificadores y atributos que el usuario escribe en un
smbolo del sistema. Ejemplo:En el smbolo del sistema, escriba lo
siguiente:CScript SetUrlAuth.vbs
%SystemRoot% La carpeta en la que se ha instalado el sistema
operativo Windows.
Nota Avisa al lector de que hay informacin adicional.
Importante Avisa al lector de que hay informacin adicional que
resulta esencial para completar una tarea.
Pgina 3 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Precaucin Avisa al lector de que si no se realiza o pasa por
alto una determinada accin, se podr producir una prdida de
datos.
Advertencia Avisa al lector de que si no se realiza o pasa por
alto una determinada accin, el usuario o el hardware podra resultar
daado fsicamente.
Principio de la pgina
Captulo 2: Amenazas de software
malintencionadoIntroduccinEvolucin de los virus
informticosDefinicin del software malintencionadoCaractersticas del
software malintencionadoQu no se considera software
malintencionado?Software antivirusCiclo de vida tpico del software
malintencionado en circulacinResumen
IntroduccinEn este captulo de la Gua de defensa en profundidad
antivirus se describe de forma concisa la evolucin de los virus
informticos, desde los primeros virus relativamente simples hasta
la gran diversidad de software malintencionado o malware que existe
hoy en da. Asimismo, se definen distintos tipos y tcnicas comunes
de software malintencionado, se proporciona informacin sobre su
propagacin y se analizan los riesgos que suponen para cualquier
tipo de organizacin.
Dada la continua evolucin de los virus informticos, sera
imposible incluir y explicar en esta gua todos los tipos de
software malintencionado junto con sus posibles variaciones. No
obstante, este documento constituye un primer paso muy importante
hacia el entendimiento de la naturaleza de los distintos elementos
que componen este tipo de software. En esta gua tambin se presentan
y definen otros ejemplos que no pertenecen a la categora de
software malintencionado, como spyware (programas espa que realizan
ciertas actividades en un equipo determinado sin el consentimiento
del usuario), spam (correo electrnico no deseado o solicitado) y
adware (publicidad no deseada integrada en software).
Principio de la pgina
Evolucin de los virus informticosLos primeros virus informticos
aparecieron a principios de los 80. Se trataba, en su mayora, de
archivos relativamente simples de replicacin automtica que
mostraban burlas o bromas cuando se los ejecutaba.
Nota: es necesario sealar que resulta prcticamente imposible
ofrecer un historial definitivo de la evolucin de los virus
informticos. La propia naturaleza ilegal del software
malintencionado hace que los responsables de los ataques intenten
ocultar su origen. En esta gua se describe la historia del software
malintencionado comnmente aceptada y avalada por los investigadores
de virus informticos y los proveedores de productos antivirus.
En 1986 aparecieron los primeros casos de ataques de virus
informticos a equipos Microsoft MS-DOS, de los cuales se identific
al virus Brain como el primero de todos. Sin embargo, en 1986
aparecieron otros virus: Virdem (el primer virus de archivos) y
PC-Write (el primer troyano; un programa aparentemente til o
inofensivo que en realidad contiene cdigo oculto diseado para daar
o beneficiarse del sistema en el que se ejecuta). En el caso de
PC-Write, se trataba de un troyano oculto que utilizaba el mismo
nombre que una conocida aplicacin de procesamiento de textos que se
distribua como "shareware".
A medida que ms usuarios se iniciaban en la tecnologa de creacin
de virus informticos, comenz a aumentar considerablemente su nmero,
la complejidad y diversidad de los virus informticos y las
plataformas susceptibles de ser atacadas. Durante un tiempo, los
ataques se centraron en los sectores de inicio. Ms tarde pasaron a
infectar los archivos ejecutables. En 1988 apareci el primer gusano
de Internet (un tipo de software malintencionado que utiliza cdigo
malintencionado de propagacin automtica capaz de distribuirse de un
equipo a otro a travs de las conexiones de red). El gusano Morris,
por ejemplo, consigui ralentizar considerablemente las
comunicaciones de Internet. En respuesta a esta situacin y al
creciente nmero de ataques de virus registrados, se fund el Centro
de coordinacin de CERT: http://www.cert.org/ (en ingls). Su
objetivo era garantizar la estabilidad de Internet prestando
asistencia para coordinar las respuestas a ataques de virus y otro
tipo de incidencias.
En 1990 apareci en Internet la primera BBS de intercambio de
virus, que utilizaban los creadores de virus para colaborar y
compartir sus conocimientos. Tambin en esta poca se public el
primer libro sobre creacin de virus y se desarroll el primer virus
polimrfico (conocido comnmente como Camalen o Casper). Un virus
polimrfico es un tipo de software malintencionado que utiliza un
nmero ilimitado de rutinas de cifrado para evitar ser detectado.
Este tipo de virus tiene la capacidad de modificarse cada vez que
se replica, lo que dificulta su deteccin mediante programas
antivirus basados en firmas, diseados para "reconocer" virus. Poco
despus hizo su aparicin Tequila, el primer gran virus polimrfico.
En 1992 apareci el primer motor de virus polimrficos y los primeros
kits de herramientas para la creacin de virus.
Desde entonces, el nivel de sofisticacin de los virus ha
aumentado considerablemente: aparecieron virus informticos capaces
de obtener acceso a las libretas de direcciones de correo
electrnico y enviarse a s mismos a los contactos; virus de macro
que se adjuntaban por s solos y atacaban distintos archivos de
aplicaciones tipo Office; y virus creados especficamente para
aprovechar las vulnerabilidades de los sistemas operativos y
aplicaciones. Los virus informticos aprovechan las vulnerabilidades
del correo electrnico, de las redes de uso compartido de archivos
de igual a igual (P2P), de los sitios Web, de las unidades
compartidas y de los productos para replicarse y atacar. Asimismo,
crean puertas traseras (puntos de entrada de red secretos u ocultos
a travs de los cuales penetra el software malintencionado) en los
sistemas infectados para permitir a los creadores de virus, o
intrusos, regresar y ejecutar el software que deseen. En el
contexto de esta gua, un intruso es un programador o usuario de un
equipo que intenta obtener acceso a un sistema o una red informtica
de forma ilegal. En la seccin siguiente de este captulo se trata el
software malintencionado en profundidad.
Determinados virus informticos incorporan su propio motor de
correo electrnico incrustado, a travs del cual pueden propagarse
directamente por correo electrnico desde un sistema infectado,
obviando la configuracin del cliente o servidor de correo
electrnico del usuario. Los creadores de virus tambin han comenzado
a estructurar cuidadosamente sus ataques y a utilizar la ingeniera
social para desarrollar mensajes de correo electrnico con aspecto y
diseo autnticos. Con ello se pretende engaar a los usuarios para
que abran el archivo con el virus adjunto, aumentando, de este
modo, la posibilidad de que tenga lugar una infeccin a gran
escala.
Pgina 4 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Al tiempo que el software malintencionado ha evolucionado, se ha
desarrollado tambin software antivirus para contrarrestarlo. No
obstante, la mayora del software antivirus actual se basa casi por
completo en las firmas de virus (caractersticas de identificacin de
software malintencionado) para detectar el cdigo potencialmente
daino. Esto beneficia a los creadores de virus en tanto que
aprovechan el perodo que va desde el lanzamiento del virus hasta
que los proveedores de software antivirus distribuyen a gran escala
los archivos de firma. Por ello la norma general es que la tasa de
infeccin del virus sea tremendamente elevada durante los primeros
das, y que se produzca un declive pronunciado una vez que se
distribuyen los archivos de firma.
Principio de la pgina
Definicin del software malintencionadoEn esta gua se utiliza el
trmino software malintencionado o malware (procedente del trmino
ingls "malicious software") como denominacin colectiva para hacer
referencia a los virus, gusanos y troyanos que realizan tareas
malintencionadas en un sistema informtico con total
premeditacin.
Por tanto, qu es exactamente un virus o un gusano informtico? En
qu se diferencian de los troyanos? Actan las aplicaciones antivirus
slo frente a gusanos y troyanos, o slo ante virus?
Estas preguntas surgen dada la gran confusin, y a menudo la
distorsin, que acompaa al concepto de cdigo malintencionado. La
gran cantidad y variedad de cdigo malintencionado existente hace
difcil proporcionar una definicin exacta de cada una de sus
categoras.
A continuacin se muestran varias definiciones simples de carcter
general de categoras de software malintencionado:
Troyano. Programa aparentemente til o inofensivo que en realidad
contiene cdigo oculto diseado para daar o beneficiarse del sistema
en el que se ejecuta. Los troyanos se envan normalmente a travs de
mensajes de correo electrnico que falsean el objetivo y la funcin
del programa. Tambin se denominan cdigos troyanos. El troyano deja
una carga o realiza una tarea malintencionada cuando se
ejecuta.
Gusano. Los gusanos utilizan cdigo malintencionado de propagacin
automtica capaz de distribuirse de un equipo a otro a travs de las
conexiones de red. Los gusanos pueden realizar acciones dainas,
como consumir los recursos de la red o del sistema local, dando
lugar probablemente a un ataque de denegacin de servicio.
Determinados tipos de gusanos se pueden ejecutar y propagar sin la
intervencin del usuario, mientras que otros requieren que ste
ejecute directamente el cdigo para su propagacin. Adems de
replicarse, los gusanos tambin pueden dejar una carga.
Virus. Los virus ejecutan cdigo escrito con la intencin expresa
de replicarse. Se intentan propagar de un equipo a otro adjuntndose
a un programa host. Pueden daar elementos de hardware, software o
datos. Cuando el host se ejecuta, tambin lo hace el cdigo del
virus, infectando nuevos hosts y, en ocasiones, dejando una carga
adicional.
A efectos de esta gua, carga es un trmino colectivo que hace
referencia a las acciones que realiza el software malintencionado
en un equipo infectado. Estas definiciones de las distintas
categoras de software malintencionado permiten presentar las
diferencias entre ellas en un simple grfico de flujo. En la
ilustracin siguiente se muestran los elementos que permiten
determinar si un programa o una secuencia de comandos se incluye
dentro de alguna de las categoras:
Figura 2.1 rbol de decisin para determinar si se trata de cdigo
malintencionado
La ilustracin nos permite distinguir las categoras de cdigo
malintencionado ms comunes segn se presentan en esta gua. No
obstante, es importante sealar que un mismo ataque puede introducir
cdigo que se ajuste a varias de estas categoras. Estos tipos de
ataque (conocidos como amenazas mixtas porque constan de ms de un
tipo de software malintencionado y utilizan varios vectores de
ataque) se pueden propagar muy rpidamente. Un vector de ataque es
la ruta que el software malintencionado puede utilizar para
realizar un ataque. Por ello, la defensa frente a las amenazas
mixtas puede resultar especialmente difcil.
En las secciones siguientes se ofrece una explicacin ms
detallada de cada categora de software malintencionado y de algunos
de los elementos clave que lo componen.
Pgina 5 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
TroyanosLos troyanos no se consideran virus informticos ni
gusanos porque no se pueden propagar por s mismos. No obstante, se
puede utilizar un virus o un gusano para copiar un troyano en el
sistema que se desea atacar como parte de una carga de ataque. Este
proceso se denomina colocacin. Normalmente, los troyanos tienen
como objetivo interrumpir el trabajo del usuario o el
funcionamiento normal del sistema. Por ejemplo, los troyanos pueden
crear una puerta trasera en el sistema para que los atacantes
puedan robar datos o cambiar la configuracin.
Hay otros dos trminos que se suelen utilizar al hablar de
troyanos o actividades troyanas; se identifican y explican a
continuacin:
Troyanos de acceso remoto. Algunos programas troyanos permiten
al atacante o ladrn de datos hacerse con el control de un sistema
de forma remota. Estos programas se denominan troyanos de acceso
remoto (RAT) o puertas traseras. Varios ejemplos de RAT son: Back
Orifice, Cafeene y SubSeven.
Para obtener una explicacin detallada de este tipo de troyano,
consulte el artculo "Danger: Remote Access Trojans" en Microsoft
TechNet:http://www.microsoft.com/technet/security/topics/virus/virusrat.mspx
(en ingls).
Rootkits. Se trata de colecciones de programas de software que
los atacantes utilizan para obtener acceso remoto no autorizado a
un equipo y ejecutar ataques adicionales. Pueden utilizar varias
tcnicas diferentes, entre las que se incluyen el seguimiento de las
pulsaciones de teclas, el cambio de los archivos de registro o de
las aplicaciones existentes en el sistema, la creacin de puertas
traseras y el ataque a otros equipos de la red. Por lo general, los
rootkits se organizan como un conjunto de herramientas que se
adaptan especficamente para atacar a un sistema operativo
determinado. Los primeros aparecieron a principios de los 90,
siendo sus principales objetivos los sistemas operativos Sun y
Linux. Actualmente son muchos los sistemas operativos objetivo,
entre ellos la plataforma Microsoft Windows.
Nota: no hay que olvidar que tanto los RAT como determinadas
herramientas que forman los rootkits pueden tener usos legtimos de
control remoto y seguimiento. No obstante, se trata de herramientas
que pueden suponer problemas para la seguridad y privacidad, lo que
aumenta los riesgos globales de los entornos en los que se
utilizan.
GusanosSi el cdigo malintencionado se replica, no se trata de un
troyano. Por tanto, la cuestin que debe plantearse para definir ms
claramente el software malintencionado es la siguiente: "Puede el
cdigo replicarse sin necesidad de un portador?". Es decir, puede
replicarse sin necesidad de infectar un archivo ejecutable? Si la
respuesta a esta pregunta es "S", el cdigo se considera un tipo de
gusano.
La mayora de los gusanos intentan copiarse a s mismos en un
equipo host para, a continuacin, utilizar sus canales de
comunicacin y replicarse. El gusano Sasser, por ejemplo, se
aprovecha inicialmente de la vulnerabilidad de un servicio para
infectar un sistema y, a continuacin, utiliza la conexin de red del
mismo para intentar replicarse. Si ha instalado las ltimas
actualizaciones de seguridad (para detener la infeccin) o ha
habilitado los servidores de seguridad de su entorno para bloquear
los puertos de red utilizados por el gusano (para detener la
replicacin), el ataque no tendr xito.
VirusSi el cdigo malintencionado agrega una copia de s mismo a
un archivo, documento o sector de inicio de una unidad de disco con
el fin de replicarse, estaremos frente a un virus. Puede ser una
copia directa del virus original o una versin modificada del mismo.
Para obtener informacin ms detallada al respecto, consulte la
seccin "Mecanismos de defensa" que aparece ms adelante en este
captulo. Como se mencion anteriormente, los virus contienen a
menudo cargas que pueden colocar en un equipo local, por ejemplo,
un troyano, que realizar una o varias acciones malintencionadas,
como la eliminacin de datos del usuario. No obstante, aunque el
virus slo se replique y no contenga carga, seguimos estando frente
a un problema de software malintencionado, ya que el virus es capaz
de daar datos, utilizar recursos del sistema y consumir ancho de
banda de red a medida que se replica.
Principio de la pgina
Caractersticas del software malintencionadoLas caractersticas de
las distintas categoras de software malintencionado son a menudo
muy similares. Por ejemplo, los virus y los gusanos pueden utilizar
la red como mecanismo de transporte. No obstante, mientras que el
virus buscar archivos que infectar, el gusano slo intentar copiarse
a s mismo. En la seccin siguiente se explican las caractersticas
tpicas del software malintencionado.
Entornos objetivoPara que el ataque del software malintencionado
a un sistema host tenga xito, es necesario que disponga de una
serie de componentes especficos. A continuacin se muestran varios
ejemplos tpicos de componentes que requiere el software
malintencionado para lanzar un ataque a un sistema host:
Dispositivos. Ciertos tipos de software malintencionado se
dirigen especficamente a un tipo de dispositivo determinado, como
un PC, un equipo Apple Macintosh o incluso un dispositivo PDA,
aunque este ltimo caso es muy poco comn en la actualidad.
Sistemas operativos. En determinadas ocasiones, el software
malintencionado requiere un sistema operativo determinado para ser
efectivo. Por ejemplo, los virus CIH o Chernobyl de finales de los
90 slo podan atacar equipos Microsoft Windows 95 o Windows 98.
Aplicaciones. Tambin puede que el software malintencionado
requiera que en el equipo al que va a atacar est instalada una
aplicacin determinada para poder dejar una carga o replicarse. Por
ejemplo, el virus LFM.926 de 2002 slo poda atacar si los archivos
Shockwave Flash (.swf) se ejecutaban en el equipo local.
PortadoresCuando el software malintencionado es un virus,
intenta atacar a un portador (tambin conocido como host) e
infectarlo. El nmero y tipo de portadores susceptibles de ser
atacados vara considerablemente, no obstante, en la lista siguiente
se muestran algunos ejemplos de los portadores que suelen ser
objeto de ataques con mayor frecuencia:
Archivos ejecutables. Se trata del objetivo del virus "clsico",
que se replica adjuntndose a un programa host. Adems de los
archivos ejecutables tpicos que utilizan la extensin .exe, tambin
pueden ser objeto de ataques archivos con las siguientes
extensiones: .com, .sys, .dll, .ovl, .ocx y .prg.
Pgina 6 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Secuencias de comandos. Los ataques que utilizan secuencias de
comandos como portadores se dirigen a archivos que utilizan un
lenguaje de secuencias de comandos como Microsoft Visual Basic
Script, JavaScript, AppleScript o Perl Script. Entre las
extensiones de este tipo de archivos se encuentran: .vbs, .js, .wsh
y .prl.
Macros. Estos portadores son archivos que admiten el lenguaje de
secuencias de comandos con macros de una aplicacin determinada,
como una aplicacin de procesamiento de textos, de hoja de clculo o
de base de datos. Por ejemplo, los virus pueden utilizar los
lenguajes de macro de Microsoft Word y Lotus Ami Pro para producir
una serie de efectos, desde pequeas malas pasadas (cambio de
palabras en el documento o de colores) hasta acciones
malintencionadas (formateo del disco duro del equipo).
Sector de inicio. Otras reas especficas del disco del equipo
(discos duros y medios extrables de inicio), como el registro de
inicio maestro (MBR) o el registro de inicio de DOS, tambin se
pueden considerar portadores, dada su capacidad de ejecutar cdigo
malintencionado. Una vez que el disco se ha infectado, la
replicacin tiene lugar cuando ste se utiliza para iniciar otros
sistemas.
Nota: si el virus intenta infectar tanto a archivos como a
sectores de inicio, hablamos de un virus multipartite.
Mecanismos de transporteLa replicacin de los ataques de virus en
distintos sistemas informticos se puede llevar a cabo a travs de
uno o varios mtodos diferentes. En esta seccin se proporciona
informacin sobre algunos de los mecanismos de transporte ms comunes
utilizados por el software malintencionado.
Medios extrables. La transferencia de archivos es el primer y
probablemente ms utilizado mtodo de transmisin de virus informticos
y otro tipo de software malintencionado (al menos, hasta el
momento). Se inici con los disquetes, luego pas a las redes y, en
la actualidad, utiliza nuevos medios, como los dispositivos de bus
serie universal (USB) y los servidores de seguridad. Aunque la tasa
de infeccin no es tan alta como la del software malintencionado
transmitido a travs de redes, la amenaza siempre est presente.
Resulta difcil de erradicar completamente dada la necesidad de
intercambiar datos entre sistemas.
Recursos compartidos de red. Cuando los equipos dispusieron de
un mtodo que les permita conectarse entre s directamente a travs de
una red, se abri ante los creadores de software malintencionado un
nuevo mecanismo de transporte que superaba a los medios extrables
en cuanto a capacidad de propagar cdigo malintencionado. Cuando el
sistema de seguridad de los recursos compartidos de red est mal
implementado, se obtiene como consecuencia un entorno apto para la
replicacin de software malintencionado a un gran nmero de equipos
conectados. El uso de los recursos compartidos ha reemplazado en
gran medida al de los medios extrables.
Exploracin de la red. Los creadores de software malintencionado
utilizan este mecanismo para explorar redes en busca de equipos
vulnerables o para atacar de forma aleatoria direcciones IP. Con
este mecanismo, por ejemplo, se puede enviar un paquete utilizando
un puerto de red especfico a un intervalo determinado de
direcciones IP en busca de un equipo vulnerable al que poder
atacar.
Redes de igual a igual (P2P). Para que tenga lugar una
transferencia de archivos P2P, es necesario que el usuario instale
previamente un componente cliente de la aplicacin P2P que utilice
uno de los puertos autorizados en el servidor de seguridad de la
organizacin, por ejemplo, el puerto 80. Las aplicaciones utilizan
este puerto para atravesar el servidor de seguridad y transferir
archivos directamente de un equipo a otro. Estas aplicaciones se
pueden obtener fcilmente en Internet y proporcionan un mecanismo de
transporte que los creadores de software malintencionado utilizan
directamente para propagar un archivo infectado en el disco duro de
un cliente.
Correo electrnico. El correo electrnico se ha convertido en el
mecanismo de transporte utilizado por muchos creadores de software
malintencionado. La facilidad con la que se puede llegar a cientos
de miles de personas a travs del correo electrnico sin necesidad de
que los responsables del ataque abandonen sus equipos ha hecho de
este mecanismo un mtodo de transporte muy efectivo. Resulta
relativamente sencillo engaar a los usuarios para que abran
archivos adjuntos al correo electrnico (utilizando tcnicas de
ingeniera social). No es de extraar, por tanto, que muchos de los
ataques de software malintencionado ms prolficos hayan utilizado el
correo electrnico como transporte. Existen dos tipos bsicos de
software malintencionado que lo utilizan de forma especfica:
Servicio de envo de correo. Este tipo de software
malintencionado se enva a s mismo por correo a un nmero limitado de
direcciones, bien utilizando el software de correo instalado en el
host (por ejemplo, Microsoft Outlook Express), bien empleando su
propio motor integrado de protocolo simple de transferencia de
correo (SMTP).
Servicio de envo de correo masivo. Este tipo de software
malintencionado busca en el equipo infectado direcciones de correo
electrnico y, a continuacin, se enva a s mismo de forma masiva a
dichas direcciones, utilizando el software de correo instalado en
el host o su propio motor integrado SMTP.
Aprovechamiento remoto. El software malintencionado puede
intentar aprovechar una vulnerabilidad determinada de un servicio o
aplicacin para replicarse. Este comportamiento se observa a menudo
en los gusanos; por ejemplo, el gusano Slammer aprovech una de las
vulnerabilidades de Microsoft SQL Server 2000 para generar una
saturacin de bfer que permiti que se sobrescribiera una parte de la
memoria del sistema con cdigo que se poda ejecutar en el mismo
contexto de seguridad que el servicio SQL Server. Las saturaciones
de bfer se producen al agregar una cantidad de informacin superior
a la que el bfer es capaz de contener. Se trata de una
vulnerabilidad muy aprovechada por los atacantes para hacerse con
un sistema. Aunque Microsoft ya haba identificado y solucionado
esta vulnerabilidad meses antes de que apareciera Slammer, pocos
sistemas se haban actualizado, por lo que el gusano se pudo
propagar.
CargasUna vez el software malintencionado ha alcanzado el equipo
host a travs del transporte, generalmente realizar una accin
denominada carga, que puede adoptar diferentes formas. En esta
seccin se identifican algunos de los tipos de carga ms
habituales:
Puerta trasera. Este tipo de carga permite el acceso no
autorizado a un equipo. Aunque puede proporcionar acceso completo,
tambin se puede limitar, por ejemplo, a habilitar el acceso
mediante el protocolo de transferencia de archivos (FTP) a travs
del puerto 21 del equipo. Si el ataque se produjo para habilitar
Telnet, un intruso podra utilizar el equipo infectado como rea de
almacenamiento temporal para los ataques a travs de Telnet en otros
equipos. Como se ha mencionado anteriormente, una puerta trasera en
ocasiones se conoce como troyano de acceso remoto.
Daos o eliminacin de datos. Uno de los tipos de carga ms
destructivos puede ser un cdigo malintencionado que daa o elimina
los datos, y deja inservible la informacin del equipo del usuario.
El creador del software malintencionado tiene dos opciones: la
primera consiste en crear la carga de modo que
Pgina 7 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
se ejecute con rapidez. Aunque es potencialmente desastroso para
el equipo que infecta, el diseo del software malintencionado
permite descubrirlo antes y esto favorece que se reduzcan las
posibilidades de que se replique sin ser detectado. La otra opcin
consiste en dejar la carga en el sistema local (a modo de troyano)
durante un perodo de tiempo (consulte la seccin "Mecanismos de
activacin" ms adelante en este captulo para ver ejemplos) para que
el software malintencionado se extienda antes de que se intente
entregar la carga y, por lo tanto, se alerte al usuario de su
presencia.
Robo de informacin. Un tipo de carga de software malintencionado
especialmente preocupante es el que se ha diseado para robar
informacin. Si una carga compromete la seguridad de un equipo host,
podr proporcionar un mecanismo para pasar informacin a los
atacantes. Esto puede ocurrir de diferentes formas; por ejemplo, la
carga de software malintencionado puede automatizar una
transferencia con el objetivo de capturar archivos locales o
informacin tal como las teclas que el usuario presiona (con el fin
de intentar obtener el nombre y la contrasea del usuario). Otro
mecanismo consiste en proporcionar un entorno en el host local que
permita al atacante controlarlo de forma remota u obtener acceso a
los archivos del sistema directamente.
Denegacin de servicio (DoS). Uno de los tipos de carga de
aplicacin ms sencilla es el ataque de denegacin de servicio, que
consiste en un asalto computerizado que inicia un atacante para
sobrecargar o detener un servicio de red, por ejemplo un servidor
Web o de archivos. El objetivo de los ataques DoS es simplemente
dejar inutilizable un servicio determinado durante un perodo de
tiempo.
Denegacin de servicio distribuida (DDoS). Estos tipos de ataques
utilizan habitualmente clientes infectados que desconocen por
completo que participan en el ataque. Un ataque DDoS es un tipo de
denegacin de servicio en el que un usuario utiliza cdigo
malintencionado instalado en varios equipos para alcanzar un nico
objetivo. Con este mtodo se puede conseguir un efecto mayor en el
objetivo de lo que se podra obtener si se usara un nico equipo. La
semntica del ataque vara de unos a otros, si bien generalmente
implica el envo de grandes cantidades de datos a un host o un sitio
Web especfico, que hacen que ste deje de responder (o se vuelva
incapaz de responder) al trfico legtimo. De este modo, inunda el
ancho de banda disponible en el sitio de la vctima y hace que se
quede sin conexin.
Puede resultar extremadamente difcil defenderse de este tipo de
ataque, puesto que los hosts responsables son de hecho vctimas
involuntarias. Los ataques DDoS generalmente se llevan a cabo
mediante bots (programas que realizan tareas repetitivas), como
Eggdrop de Internet Relay Chat (IRC), que un intruso puede utilizar
para controlar los equipos "vctimas" a travs de un canal IRC. Una
vez que esos equipos quedan bajo el control del intruso, se
convierten en zombies que pueden atacar a un objetivo bajo las
rdenes del intruso y sin el conocimiento de sus propietarios.
Los ataques DoS y DDoS pueden implicar distintas tcnicas, entre
las que se incluyen:
Cierres del sistema. Si el software malintencionado consigue
apagar o bloquear el sistema host, puede ocasionar problemas en uno
o varios servicios. Para poder atacar el sistema host y hacer que
se apague, el software malintencionado debe encontrar un punto dbil
en una aplicacin o en el sistema operativo.
Inundacin del ancho de banda. La mayor parte de los servicios
que se proporcionan en Internet estn vinculados a travs de una
conexin de red de banda ancha limitada que los conecta a sus
clientes. Si un creador de software malintencionado puede entregar
una carga que ocupe este ancho de banda con trfico de red falso,
puede producir una denegacin de servicio simplemente impidiendo que
los clientes puedan conectarse directamente al mismo.
Denegacin de servicio de red. Este tipo de carga intenta
sobrecargar los recursos disponibles para el host local. Recursos
como el microprocesador y la capacidad de la memoria quedan
saturados por los ataques del tipo inundacin de paquetes SYN, en
los que un atacante utiliza un programa para enviar mltiples
solicitudes de SYN de TCP con el fin de llenar la cola de conexin
pendiente en el servidor e impedir el trfico de red legtimo a y
desde el host. Los ataques del tipo bomba de correo tambin saturan
los recursos de almacenamiento para crear un ataque DoS, en el que
se enva a una direccin una cantidad excesiva de datos de correo
electrnico en un intento de ocasionar problemas en el programa de
correo electrnico o de impedir que el destinatario reciba otros
mensajes legtimos.
Problemas en los servicios. Este tipo de carga tambin puede
ocasionar una denegacin de servicio. Por ejemplo, esta tcnica de
ataque DoS tiene xito cuando el ataque en un servidor de Sistema de
nombres de dominio (DNS) deshabilita el servicio DNS. Sin embargo,
puede que todos los dems servicios del sistema no resulten
afectados.
Mecanismos de activacinLos mecanismos de activacin son una
caracterstica que el software malintencionado utiliza para iniciar
la replicacin o la entrega de la carga. Entre los mecanismos de
activacin tpicos se encuentran los siguientes:
Ejecucin manual. Consiste simplemente en la ejecucin del
software malintencionado por parte de la propia vctima.
Ingeniera social. El software malintencionado utilizar con
frecuencia alguna forma de ingeniera social para tratar de engaar a
una vctima y conseguir que ejecute manualmente el cdigo
malintencionado. El enfoque puede resultar relativamente sencillo,
como el de los gusanos de correo masivo, en los que el elemento de
ingeniera social se centra en seleccionar el texto del campo Asunto
del mensaje de correo electrnico que tenga ms posibilidades de ser
abierto por una vctima potencial. Los creadores de software
malintencionado pueden utilizar asimismo la suplantacin de correo
electrnico para intentar hacer creer a la vctima que un mensaje
proviene de un remitente de confianza. La suplantacin es el acto de
imitar un sitio Web o una transmisin de datos para hacer que
parezcan autnticos. Por ejemplo, el gusano Dumaru original que
apareci por primera vez en 2003 modificaba el campo De: de los
mensajes de correo electrnico para hacer creer que se enviaban
desde [email protected]. (Consulte la seccin "Mensajes de
virus falsos" en el siguiente apartado de este captulo para obtener
ms informacin sobre esta caracterstica.)
Ejecucin semiautomtica. Este tipo de mecanismo de activacin lo
inicia primero la propia vctima y a partir de ah se ejecuta
automticamente.
Ejecucin automtica. Este mecanismo de activacin no requiere de
ninguna ejecucin manual. El software malintencionado lleva a cabo
su ataque sin necesidad de que la vctima ejecute un cdigo
malintencionado en el equipo de destino.
Bomba de tiempo. Este tipo de mecanismo realiza una accin tras
un determinado perodo de tiempo. Este perodo puede ser un retraso
desde la primera ejecucin de la infeccin o una fecha o intervalo de
fechas previamente establecidos. Por ejemplo, el gusano MyDoom.B
nicamente inici sus rutinas de carga contra el sitio Web de
Microsoft.com el da 3 de febrero de 2004, e hizo lo propio contra
el sitio Web del grupo SCO el 1 de febrero de 2004. Despus, detuvo
toda replicacin el 1 de marzo de ese mismo ao, aunque el componente
de puerta trasera de la bomba de tiempo continuaba activo despus de
esta fecha.
Activacin condicional. Este mecanismo utiliza alguna condicin
predeterminada para entregar la carga. Por ejemplo, un archivo con
un nombre nuevo, una serie de pulsaciones de teclas o el inicio de
una aplicacin. El software malintencionado que emplea esta
activacin se denomina en ocasiones bomba lgica.
Pgina 8 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Mecanismos de defensaNumerosos ejemplos de software
malintencionado utilizan algn tipo de mecanismo de defensa para
reducir la probabilidad de ser detectados y eliminados. En la
siguiente lista se ofrecen algunos ejemplos de las tcnicas
empleadas:
Armadura. Este tipo de mecanismo de defensa emplea tcnicas que
intentan impedir el anlisis del cdigo malintencionado, por ejemplo,
detectar cundo se ejecuta un depurador e intentar evitar que
funcione correctamente, o agregar grandes cantidades de cdigo sin
sentido para ocultar el objetivo del cdigo malintencionado.
Ocultacin. El software malintencionado utiliza esta tcnica para
ocultarse mediante la interceptacin de solicitudes de informacin y
la devolucin de datos falsos. Por ejemplo, un virus puede almacenar
una imagen del sector de inicio no infectado y mostrarla cuando se
intente visualizar el sector de inicio afectado. El virus
informtico ms antiguo conocido, denominado Brain, utiliz esta
tcnica en 1986.
Cifrado. El software malintencionado que utiliza este mecanismo
de defensa realiza un cifrado de s mismo o de la carga (y en
ocasiones incluso de otros datos del sistema) para evitar la
deteccin o la recuperacin de datos. El software malintencionado
cifrado contiene una rutina de descifrado esttica, una clave de
cifrado y el cdigo malintencionado cifrado (que incluye una rutina
de cifrado). Cuando se ejecuta, utiliza la rutina de descifrado y
la clave para descifrar el cdigo malintencionado. A continuacin,
crea una copia del cdigo y genera una nueva clave de cifrado.
Emplea esa clave y la rutina de cifrado para cifrar la copia nueva
de s mismo, agregando la clave nueva con la rutina de descifrado al
inicio de la copia nueva. A diferencia de los virus polimrficos, el
software malintencionado de cifrado utiliza siempre las mismas
rutinas de descifrado, as que aunque el valor de la clave (y, por
tanto, la firma de los cdigos malintencionados cifrados)
generalmente cambia de una infeccin a otra, los programas antivirus
pueden buscar la rutina de descifrado esttica para detectar el
software malintencionado que utiliza este mecanismo de defensa.
Software malintencionado oligomrfico. Se trata de software que
utiliza el cifrado como mecanismo para defenderse y puede cambiar
la rutina de cifrado nicamente un nmero determinado de veces
(generalmente una cantidad reducida). Por ejemplo, un virus que
puede generar dos rutinas de descifrado diferentes se clasificara
como oligomrfico.
Software malintencionado polimrfico. Utiliza el cifrado como
mecanismo de defensa para cambiarse con el fin de evitar ser
detectado, generalmente mediante el cifrado del propio software
malintencionado con una rutina de cifrado para, a continuacin,
proporcionar una clave de descifrado diferente para cada mutacin.
De este modo, el software malintencionado polimrfico utiliza un
nmero ilimitado de rutinas de cifrado para evitar la deteccin.
Cuando el software se replica, una parte del cdigo de descifrado se
modifica. En funcin del tipo especfico de cdigo, la carga u otras
acciones llevadas a cabo pueden utilizar o no el cifrado.
Generalmente existe un motor de mutacin, que es un componente
incorporado del cdigo malintencionado de cifrado que genera rutinas
de cifrado aleatorias. Este motor y el software malintencionado
quedan cifrados y la nueva clave de descifrado se pasa con
ellos.
Principio de la pgina
Qu no se considera software malintencionado?Existe una serie de
amenazas que no se consideran software malintencionado puesto que
no son programas informticos escritos con intencin de hacer dao. No
obstante, estas amenazas pueden afectar a la seguridad y a los
aspectos financieros de una organizacin. Por estos motivos se
recomienda que conozca las amenazas que representan para la
infraestructura de TI de su organizacin y para la productividad de
los usuarios de TI.
Software de humorLas aplicaciones de humor estn diseadas para
conseguir una sonrisa o, en el peor de los casos, una prdida de
tiempo para el usuario. Estas aplicaciones son tan antiguas como
los propios equipos informticos. Como no se han creado con una
intencin maliciosa y se pueden identificar fcilmente como bromas,
no se consideran software malintencionado en esta gua. Existen
numerosos ejemplos de aplicaciones de humor, que ofrecen desde
interesantes efectos de pantalla hasta divertidas animaciones o
juegos.
Mensajes de virus falsosGeneralmente, resulta ms sencillo engaar
a alguien para que realice la accin que uno desea que escribir
software que la lleve a cabo sin que ste lo advierta. Por lo tanto,
en la comunidad de TI existe una gran cantidad de mensajes de virus
falsos.
Al igual que otras formas de software malintencionado, un
mensaje de virus falso utiliza la ingeniera social con el fin de
intentar engaar a los usuarios de los equipos para que realicen una
accin. No obstante, en el caso de un mensaje de virus falso, no se
ejecuta ningn cdigo; su creador habitualmente slo intenta engaar a
la vctima. A lo largo de los aos, estos mensajes han adoptado
formas muy diversas. Sin embargo, un ejemplo muy comn consiste en
un mensaje de correo electrnico en el que se anuncia la aparicin de
un nuevo tipo de virus y se aconseja reenviar el mensaje a los
contactos para ponerles sobre aviso. Estos mensajes de virus falsos
suponen una prdida de tiempo, ocupan los recursos de los servidores
de correo electrnico y consumen ancho de banda de red.
FraudesPrcticamente toda forma de comunicacin se ha utilizado en
algn momento por parte de delincuentes para intentar engaar a sus
vctimas y conseguir que realicen acciones que les reporten un
beneficio econmico. Internet, los sitios Web y los mensajes de
correo electrnico no son una excepcin. Un ejemplo tpico consiste en
un mensaje de correo electrnico que intenta engaar al destinatario
para que revele informacin personal que se pueda utilizar con
objetivos ilegales (por ejemplo, informacin sobre cuentas
bancarias). Un tipo especial de fraude es el denominado phishing,
que se pronuncia igual que fishing, ("pesca", en ingls) y que
tambin se conoce como suplantacin de marca o carding.
Como ejemplos de "phishing" se pueden mencionar los casos en los
que los remitentes suplantan a compaas de gran prestigio, como por
ejemplo eBay, para intentar obtener acceso a la informacin de la
cuenta del usuario. Este tipo de mensajes utiliza con frecuencia un
sitio Web que imita el aspecto del sitio Web oficial de una compaa.
El mensaje de correo electrnico se utiliza para redirigir al
usuario al sitio Web falso y conseguir que escriba la informacin de
su cuenta de usuario, que se guarda y usa con fines ilcitos. Estos
casos se deben tratar con total seriedad y poner en conocimiento de
las autoridades legales.
Correo no deseadoTambin conocido como spam, se trata de correo
electrnico no deseado que se genera para hacer publicidad de un
servicio o producto. Aunque generalmente se considera una molestia,
no se trata de software malintencionado. Sin embargo, el enorme
incremento en la cantidad de mensajes de este tipo constituye un
problema para la infraestructura de Internet, con el resultado de
prdida de productividad para los empleados, que se ven obligados a
descartar y eliminar estos mensajes a diario.
Pgina 9 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Aunque no existe acuerdo sobre el origen del trmino "spam", no
hay duda de que ste se ha convertido en una de las molestias ms
constantes en las comunicaciones basadas en Internet. Muchos
consideran que constituye un problema de tal gravedad que
actualmente representa una amenaza para el funcionamiento de las
comunicaciones a travs de correo electrnico en el mundo. Sin
embargo, es preciso mencionar que salvo por la carga que soportan
los servidores de correo electrnico y los programas anti-spam, los
mensajes no deseados no se pueden replicar o amenazar el correcto
estado y funcionamiento de los sistemas de TI de una
organizacin.
Los creadores de correo no deseado (conocidos con el trmino
ingls spammers) han utilizado a menudo software malintencionado
para instalar un servicio de servidor de correo electrnico SMTP de
pequeo tamao en un equipo host que, a continuacin, utilizan para
enviar este tipo de mensajes a otros destinatarios de correo
electrnico.
Programas espaEste tipo de software se denomina en ocasiones
spybot o software de seguimiento. Los programas espa utilizan otras
formas de software y programas engaosos que realizan algunas
acciones en un equipo sin el consentimiento del usuario. Entre
ellas se incluyen la recopilacin de informacin personal y el cambio
de los parmetros de configuracin del explorador de Internet. Adems
de ser una molestia, los programas espa pueden causar problemas que
abarcan desde la reduccin del rendimiento general del equipo hasta
la violacin de la privacidad personal.
Los sitios Web que distribuyen estos programas utilizan una gama
de trucos para conseguir que los usuarios los descarguen e instalen
en sus equipos. Entre estos trucos se incluye la creacin de
experiencias de usuario engaosas y la inclusin de programas espa
junto con otro software en el que los usuarios pueden estar
interesados, por ejemplo los programas gratuitos para compartir
archivos.
Publicidad no deseadaLa publicidad no deseada se combina con
frecuencia con una aplicacin host que se ofrece de modo gratuito a
condicin de que el usuario acepte dicha publicidad. Como las
aplicaciones de publicidad no deseada generalmente se instalan
despus de que el usuario haya aceptado un contrato de licencia en
el que se advierte del objetivo de la aplicacin, no se comete ningn
delito. No obstante, los mensajes de publicidad emergentes se
pueden convertir en una molestia y, en algunos casos, afectar al
rendimiento del sistema. Asimismo, la informacin que recopilan
algunas de estas aplicaciones puede plantear problemas de
privacidad a los usuarios que no eran totalmente conscientes de los
trminos del contrato de licencia.
Nota: aunque los trminos spyware (programa espa) y adware
(publicidad no deseada) se utilizan con frecuencia como sinnimos,
nicamente la publicidad no deseada que el usuario no ha autorizado
se puede equiparar a los programas espa. La publicidad no deseada
que advierte a los usuarios y les ofrece la posibilidad de eleccin
y el control no es engaosa y no se debe clasificar como programa
espa. Por otra parte se debe tener en cuenta que una aplicacin espa
que afirma realizar una funcin especfica y que, en realidad, lleva
a cabo otra diferente, acta como un troyano.
Cookies de InternetLas cookies de Internet son archivos de texto
que los sitios Web colocan en el equipo de un usuario cuando ste
los visita. Contienen y proporcionan informacin de identificacin
acerca del usuario a los sitios Web que las han colocado en su
equipo, adems de otra informacin que los sitios deseen conservar
acerca de su visita.
Son herramientas legales que numerosos sitios Web utilizan para
realizar un seguimiento de la informacin de los visitantes. Por
ejemplo, un usuario adquiere un artculo en una tienda en lnea, pero
una vez que ha colocado el producto en su carro de la compra, puede
que desee visitar otro sitio Web por alguna razn. La tienda en lnea
puede elegir guardar en una cookie en el equipo del usuario la
informacin de los productos seleccionados, para que, cuando ste
vuelva al sitio, sigan en el carro de la compra listos para que el
usuario los adquiera si as lo decide.
Los desarrolladores de sitios Web slo deberan poder recuperar la
informacin almacenada en las cookies que ellos han creado. Este
enfoque debera garantizar la privacidad evitando que otras personas
que no sean los desarrolladores de estos sitios puedan tener acceso
a las cookies que se han dejado en los equipos de los usuarios.
Por desgracia, se sabe que algunos desarrolladores de sitios Web
utilizan cookies para recopilar informacin sin el conocimiento del
usuario. Algunos pueden engaar a los usuarios o no respetar las
directivas que han establecido. Por ejemplo, pueden realizar un
seguimiento de los hbitos de visita a diferentes sitios Web sin
informar al usuario y utilizar esta informacin para personalizar la
publicidad que ste ve en un sitio Web, algo que se considera una
invasin de la privacidad. Resulta difcil identificar esta forma de
publicidad orientada al usuario y otras formas de "uso indebido de
las cookies", con lo que es complicado decidir si se deben bloquear
las cookies en el equipo y cundo y cmo hacerlo. Adems, el nivel
aceptable de informacin compartida vara de unos usuarios a otros,
por lo que tambin resulta complicado crear un programa
"anti-cookies" que satisfaga las necesidades de todos los usuarios
informticos de un entorno.
Principio de la pgina
Software antivirusEl software antivirus se crea especficamente
para defender un sistema frente a las amenazas del software
malintencionado. Microsoft recomienda encarecidamente el uso de
este tipo de programas para proteger el equipo de cualquier forma
de software malintencionado, no nicamente de los virus.
El software antivirus utiliza diferentes tcnicas para detectar
el software malintencionado. En esta seccin se explicar el
funcionamiento de algunas de ellas, entre las que se incluyen:
Anlisis de firma. La mayor parte de los programas antivirus
utilizan actualmente esta tcnica, que se centra en analizar el
objetivo (equipo host, unidad de disco o archivos) en busca de un
patrn que pueda tratarse de software malintencionado. Estos
patrones se almacenan generalmente en archivos denominados archivos
de firma, que los proveedores del software actualizan con
regularidad con el fin de garantizar que los escneres antivirus
reconocen todos los ataques de cdigo malintencionado posibles. El
principal problema de esta tcnica radica en que el software
antivirus ya debe estar actualizado para que el escner lo pueda
reconocer.
Anlisis heurstico. Esta tcnica intenta detectar las variantes
nuevas y conocidas de software malintencionado mediante la bsqueda
de caractersticas generales en dicho software. La principal ventaja
de esta tcnica consiste en que no depende de los archivos de firma
para identificar y hacer frente al software malintencionado. No
obstante, el anlisis heurstico muestra una serie de problemas
especficos, entre los que se incluyen los siguientes:
Positivos falsos. Esta tcnica utiliza caractersticas generales
y, por tanto, es susceptible de confundir el software legtimo con
el malintencionado si una caracterstica fuera similar en ambos.
Lentitud del anlisis. El proceso de bsqueda de caractersticas
resulta una tarea ms laboriosa que la de buscar un patrn de
software malintencionado ya conocido. Por este motivo, el software
antivirus puede tardar ms tiempo en realizar un anlisis heurstico
que un anlisis de firma.
Pgina 10 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Es probable que se pasen por alto caractersticas nuevas. Si el
ataque de un nuevo software malintencionado presenta una
caracterstica que no se ha identificado previamente, probablemente
el analizador heurstico no la detecte hasta que se actualice.
Bloqueo del comportamiento. Esta tcnica se centra en el
comportamiento de un ataque en lugar de en el propio cdigo. Por
ejemplo, si una aplicacin intenta abrir un puerto de red, un
programa antivirus de bloqueo del comportamiento podra detectarlo
como una accin tpica de software malintencionado y, a continuacin,
clasificar este comportamiento como posible ataque.
Numerosos proveedores de antivirus utilizan actualmente una
combinacin de estas tcnicas en sus soluciones antivirus en un
intento de mejorar el nivel de proteccin general de los equipos
informticos de sus clientes.
Muchos socios de Microsoft ofrecen programas antivirus. Para
obtener una lista completa y actualizada, consulte la pgina
"Microsoft Antivirus Partners" en Microsoft.com:
http://www.microsoft.com/security/partners/antivirus.asp (en
ingls).
Principio de la pgina
Ciclo de vida tpico del software malintencionado en circulacinSe
ha establecido un patrn que define el ciclo de vida de los nuevos
ataques de software malintencionado presente en las redes pblicas o
que est actualmente en circulacin o in the Wild. El examen de este
patrn ayuda a comprender el riesgo que representan los nuevos
ataques tras su aparicin.
Un nuevo ciclo de vida se inicia con el desarrollo del software
malintencionado y finaliza cuando se elimina por completo de las
redes supervisadas. Las etapas del ciclo de vida son las
siguientes:
1. Creacin. El desarrollo del software malintencionado se inicia
con frecuencia cuando se sugiere y comparte entre las comunidades
de piratas informticos la posibilidad de una nueva forma de ataque
o aprovechamiento. Durante un tiempo, se estudian y analizan estos
mtodos hasta que se descubre un enfoque que se puede convertir en
ataque.
2. Desarrollo. Anteriormente, la creacin de software
malintencionado requera un conocimiento del lenguaje del ensamblado
del equipo as como del complejo funcionamiento del sistema contra
el que se diriga el ataque. Sin embargo, la aparicin de los kits de
herramientas y de los salones de chat de Internet ha hecho posible
que casi cualquier persona que lo desee pueda crear software
malintencionado.
3. Replicacin. Una vez que el nuevo software se ha desarrollado
y puesto en circulacin, normalmente busca replicarse en los
dispositivos host potenciales durante un tiempo antes de poder
llevar a cabo su funcin principal o entregar su carga.
Nota: aunque existen decenas de miles de programas de software
malintencionado conocidos, nicamente una pequea parte est en
circulacin actualmente. La mayor parte de estos programas nunca se
han expuesto al pblico y a menudo se conocen como virus de zoo.
4. Entrega de la carga. Una vez el software malintencionado ha
infectado un host, puede entregar una carga. Si el cdigo contiene
una activacin condicional para su carga, es en este momento cuando
se cumplen las condiciones para el mecanismo de entrega. Por
ejemplo, algunas cargas se activan cuando un usuario realiza
determinada accin o cuando el reloj del equipo host llega a una
fecha especfica. Si el software malintencionado contiene una
activacin de accin directa, simplemente comenzar a entregar la
carga en el momento en que se complete la infeccin. Por ejemplo, en
el caso de las cargas de registro de datos, el programa de software
malintencionado simplemente comenzar a registrar los datos
requeridos.
5. Identificacin. En este momento de su ciclo de vida, las
comunidades antivirus identifican el software malintencionado. En
la mayor parte de los casos, este paso ocurrir antes de la etapa 4
o incluso antes de la 3, aunque no siempre es as.
6. Deteccin. Una vez identificada la amenaza, los
desarrolladores de software antivirus deben analizar el cdigo para
hallar un mtodo de deteccin apropiado. Cuando han determinado el
mtodo, pueden actualizar los archivos de firma antivirus para
permitir que las aplicaciones antivirus existentes detecten el
nuevo software malintencionado. La duracin de este proceso es
fundamental para controlar un ataque.
7. Eliminacin. Cuando la actualizacin est disponible para el
pblico, es responsabilidad de los usuarios de las aplicaciones
antivirus aplicar la actualizacin peridicamente para proteger sus
equipos del ataque (o limpiar los equipos ya infectados).
Nota: si no se actualizan los archivos de firma locales con
regularidad los riesgos pueden ser muy altos, ya que los usuarios
creen que estn protegidos mediante sus productos antivirus, cuando
en realidad no lo estn.
Cuantos ms usuarios actualicen sus programas antivirus, el
software malintencionado ir dejando de constituir una amenaza. Este
proceso en pocas ocasiones elimina todas las instancias del
software en circulacin, puesto que ste puede seguir residiendo en
los equipos conectados a Internet con escasa o nula proteccin
antivirus. No obstante, se reduce la amenaza de un ataque
generalizado.
Aunque este ciclo de vida se repite con cada nuevo ataque
diseado, no es tpico de todos los ataques. Muchos de ellos son
simplemente versiones modificadas de una parte de un cdigo
malintencionado original. Por lo tanto, el cdigo bsico y el enfoque
del software malintencionado son idnticos, pero se realizan pequeas
modificaciones para impedir que se detecte y elimine. Tpicamente,
un ataque que haya tenido xito generar diferentes versiones durante
las semanas y meses siguientes. Esta situacin lleva a una especie
de "carrera armamentstica" en la que los creadores de este tipo de
software intentan evitar la deteccin para su propio provecho, ya se
trate de obtener beneficio econmico, fama o simplemente satisfacer
su curiosidad. Las defensas antivirus se actualizan de nuevo, se
revisan o modifican segn sea necesario para reducir la renovada
amenaza.
Principio de la pgina
ResumenEl software malintencionado es un rea compleja y en
constante evolucin dentro del mbito de la tecnologa informtica. De
todos los problemas que se encuentran en la TI, pocos estn tan
extendidos y resultan tan engorrosos como los ataques de este tipo
de software y los costes derivados de su tratamiento. Comprender su
funcionamiento, el modo en que evolucionan a lo largo del tiempo y
los vectores de ataque que aprovechan, puede ayudar a tratar este
asunto de un modo activo. Este conocimiento puede, a su vez,
propiciar un proceso de reaccin ms efectivo cuando afecten a su
organizacin.
Pgina 11 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Como este tipo de software utiliza tantas tcnicas para
generarse, distribuirse y explotar los equipos informticos, puede
resultar difcil saber cmo se puede asegurar un equipo lo suficiente
como para resistir a tales ataques. No obstante, una vez se conocen
los riesgos y vulnerabilidades, se puede administrar un sistema de
modo que la posibilidad de que un ataque tenga xito se reduzca en
gran medida.
El siguiente paso consiste en analizar los riesgos en diferentes
puntos de la infraestructura de TI con el fin de disear una defensa
eficaz, cuestin que se tratar en el siguiente captulo. El diseo de
un plan de recuperacin eficaz es el tema principal en el que se
centra el ltimo captulo de esta gua.
Principio de la pgina
Captulo 3: Defensa en profundidad antivirusIntroduccinVectores
de amenazas de software malintencionadoEnfoque de defensa contra
software malintencionadoDefensas del clienteDefensas del servidorLa
capa de defensa de la redSeguridad fsicaDirectivas, procedimientos
y concienciacinResumen
IntroduccinTodas las organizaciones deberan desarrollar una
solucin antivirus que les proporcionara un elevado nivel de
proteccin. No obstante, a pesar de seguir esta recomendacin e
instalar software antivirus, gran parte de ellas an se infectan.
Esta gua propone un acercamiento distinto al problema del software
malintencionado. Como diseo de seguridad de la red, Microsoft
recomienda una solucin antivirus realizada con un enfoque de
defensa en profundidad que asegure que se mantienen las medidas
preventivas adoptadas por la organizacin.
Tal enfoque es vital para la seguridad de los equipos de
cualquier organizacin, puesto que, por desgracia, y a pesar de la
gran cantidad de caractersticas y servicios prcticos que ofrece un
sistema informtico, siempre existe alguien que por los motivos que
sean intenta encontrar una vulnerabilidad de la que aprovecharse
malintencionadamente.
La colaboracin con consultores e ingenieros de sistemas que han
implementado Microsoft Windows Server 2003, Windows XP Professional
y Windows 2000 en distintos entornos ha servido para establecer las
prcticas ms tiles y actualizadas para proteger del software
malintencionado a los clientes y servidores que ejecutan estos
sistemas operativos. En este captulo se facilita toda esta
informacin.
Adems, se proporcionan instrucciones que le ayudarn a utilizar
un mtodo de defensa en profundidad al disear una solucin de
seguridad antivirus para su organizacin. El objetivo de este
enfoque es que comprenda las particularidades de cada capa del
modelo y que conozca las amenazas concretas a las que cada una de
ellas se expone, a fin de que pueda utilizar esa informacin cuando
implemente las defensas antivirus.
Nota: Microsoft recomienda incluir algunos de los pasos de esta
gua en las directivas y procedimientos generales de seguridad de su
organizacin. Cuando aparecen, la gua los identifica como pasos
necesarios que debe definir el equipo de seguridad.
Importante: si sospecha que su organizacin es actualmente vctima
de un ataque, consulte el captulo 4 de esta gua, "Control y
recuperacin de los ataques de virus", antes de leer el presente
captulo.
Si consulta esta gua despus de haber sufrido un ataque de
software malintencionado y haberse recuperado del mismo, la
informacin proporcionada le ayudar a impedir que vuelva a suceder y
comprender cmo tuvo lugar.
Principio de la pgina
Vectores de amenazas de software malintencionadoEl software
malintencionado puede comprometer la seguridad de una organizacin
con distintos mtodos. Estos se denominan en ocasiones vectores de
amenazas y representan las zonas del entorno que exigen mayor
atencin durante la elaboracin de una solucin antivirus eficaz. En
la siguiente lista se incluyen las zonas de una organizacin tpica
que corren el mayor riesgo de sufrir un ataque de software
malintencionado:
Redes externas. Toda red que no se encuentre bajo el control
directo de una organizacin se debe considerar como posible origen
de software malintencionado. Internet supone, con diferencia, la
mayor amenaza de software malintencionado; el anonimato y la
conectividad que proporciona permiten que los intrusos obtengan
acceso rpido y eficaz a muchos objetivos para establecer ataques a
travs de cdigo malintencionado.
Clientes invitados. A medida que el uso de equipos porttiles y
dispositivos mviles se hace ms frecuente en los negocios, los
propios dispositivos entran y salen de otras infraestructuras
empresariales con mayor asiduidad. Si los clientes invitados no
cuentan con una defensa antivirus eficaz, representan una amenaza
de software malintencionado para la organizacin.
Archivos ejecutables. Todo cdigo con capacidad para ejecutarse
puede actuar como software malintencionado. En esta categora no slo
se incluyen programas, sino tambin secuencias de comandos, archivos
por lotes y objetos activos como los controles de Microsoft
ActiveX.
Documentos. Debido al aumento de la popularidad de los
procesadores de texto y las hojas de clculo, este tipo de
aplicaciones se ha convertido en objetivo para los autores de
software malintencionado, que aprovechan los lenguajes de macro que
admiten muchas aplicaciones.
Correo electrnico. Los autores de software malintencionado
pueden utilizar los archivos adjuntos y el cdigo de lenguaje de
marcado de hipertexto (HTML) activo en los mensajes de correo
electrnico como formas de ataque.
Medios extrables. La transferencia de archivos a travs de un
medio extrable es una cuestin que las organizaciones deben tratar
como parte de su defensa antivirus. Entre los medios extrables ms
habituales se incluyen:
Pgina 12 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Discos CD-ROM o DVD-ROM. El abaratamiento de los dispositivos de
grabacin de CD y DVD ha facilitado el acceso a estos medios de
todos los usuarios, incluidos los autores de software
malintencionado.
Disquetes y unidades Zip. A pesar de que estos medios se
utilizan cada vez menos debido a la velocidad y capacidad limitadas
que tienen, constituyen un riesgo si el software malintencionado
consigue tener acceso a ellos.
Unidades USB. Estos dispositivos adquieren muchas formas, desde
el clsico dispositivo del tamao de un llavero hasta un reloj de
pulsera. Todos ellos se pueden utilizar para introducir software
malintencionado en el puerto bus serie universal (USB) de un
host.
Tarjetas de memoria. Las cmaras digitales y los dispositivos
mviles, como los PDA y telfonos mviles, han contribuido al
establecimiento de las tarjetas de memoria digitales. Los lectores
de tarjetas se estn convirtiendo prcticamente en dispositivos de
serie en los equipos, ya que facilitan el proceso de transferencia
de datos. Dado que dichos datos llegan en forma de archivo, las
tarjetas tambin pueden transferir software malintencionado a un
sistema host.
Principio de la pgina
Enfoque de defensa contra software malintencionadoAntes de
intentar organizar una defensa eficaz contra el software
malintencionado, resulta esencial comprender las distintas partes
de la infraestructura de la organizacin que pueden resultar
amenazadas, as como la importancia del riesgo en cada una de ellas.
Microsoft recomienda que se realice una evaluacin completa de los
riesgos para la seguridad antes de iniciar el diseo de una solucin
antivirus, ya que de ella podr obtener toda la informacin que
necesita para optimizar el diseo de la solucin.
Para obtener informacin e instrucciones sobre la forma de
realizar este tipo de evaluacin, consulte la gua Microsoft Solution
for Securing Windows 2000 Server
en:http://www.microsoft.com/technet/security/prodtech/win2000/secwin2k/default.mspx
(en ingls). En ella se proporciona una introduccin a la disciplina
de administracin de riesgos de seguridad (SRMD), con la que podr
comprender la naturaleza de la exposicin de la organizacin a las
amenazas.
Modelo de seguridad de defensa en profundidadUna vez haya
conocido y documentado los riesgos a los que la organizacin hace
frente, el siguiente paso consiste en examinar y organizar la
defensa que utilizar para la solucin antivirus. El modelo de
seguridad de defensa en profundidad constituye un punto de partida
excelente para ello, ya que identifica siete niveles de defensas de
seguridad diseados para bloquear cualquier intento de comprometer
la seguridad de una organizacin. Cada conjunto de defensas es capaz
de desviar ataques en muchas y distintas escalas. Si no conoce el
modelo de seguridad de defensa en profundidad, Microsoft le
recomienda que visite la pgina "Security Content Overview" en
Microsoft
TechNet:http://www.microsoft.com/technet/security/bestprac/overview.mspx
(en ingls).
Tambin puede encontrar informacin adicional y ejemplos de diseo
prcticos para este proceso en MSA Reference Architecture Kit en
TechNet:http://www.microsoft.com/resources/documentation/msa/2/all/solution/en-us/msa20rak/vmhtm1.mspx
(en ingls).
En la siguiente ilustracin se describen las capas definidas para
el modelo de seguridad de defensa en profundidad:
Figura 3.1 Capas del modelo de seguridad de defensa en
profundidad
Las capas incluidas en la ilustracin ofrecen una vista de cada
rea del entorno que se debe tener en cuenta durante el diseo de
defensas de seguridad para la red.
Las definiciones detalladas de cada capa se pueden modificar
segn los requisitos y las prioridades de seguridad de su
organizacin. En esta gua, las siguientes definiciones sencillas
definen las capas del modelo:
Pgina 13 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Datos. El riesgo en esta capa se debe a las vulnerabilidades que
un atacante podra aprovechar para obtener acceso a los datos de
configuracin y organizacin, o cualquier dato que sea exclusivo de
un dispositivo que utiliza la empresa. Por ejemplo, los datos
empresariales confidenciales, los datos de los usuarios o la
informacin privada de los clientes se incluiran en esta capa. Lo
que ms preocupa a una organizacin en esta capa del modelo son los
problemas legales y empresariales que se pueden derivar de la
prdida o el robo de datos, as como los problemas operativos que las
vulnerabilidades pueden descubrir en el host o en las
aplicaciones.
Aplicacin. El riesgo en esta capa se debe a las vulnerabilidades
que un atacante podra aprovechar para obtener acceso a las
aplicaciones en ejecucin. Todo cdigo ejecutable que un autor de
software malintencionado pueda reunir fuera de un sistema operativo
se puede utilizar para atacar un sistema. Las principales
preocupaciones de la organizacin en esta capa son el acceso a los
archivos binarios que componen las aplicaciones, el acceso al host
a travs de las vulnerabilidades en los servicios de escucha de la
aplicacin o la recopilacin ilcita de datos concretos del sistema
para transferirlos a alguien que pueda utilizarlos en beneficio
propio.
Host. Por norma general, esta es la capa en la que se centran
los proveedores que ofrecen Service Packs y revisiones con el
objetivo de tratar las amenazas de software malintencionado. En
ella, el riesgo proviene de los atacantes que se aprovechan de las
vulnerabilidades en los servicios que ofrecen el host o el
dispositivo. Los atacantes los utilizan de distintas formas para
organizar ataques contra el sistema. Un desbordamiento de bfer, que
se produce como resultado de agregar a un bfer ms informacin de la
que puede contener, es un buen ejemplo. En este caso, en lo que las
organizaciones ponen ms empeo es en impedir el acceso a los
archivos binarios que componen el sistema operativo, as como el
acceso al host a travs de vulnerabilidades en los servicios de
escucha.
Red interna. Los riesgos para las redes internas de las
organizaciones estn relacionados con los datos confidenciales que
se transmiten a travs ellas. Los requisitos de conectividad para
las estaciones de trabajo clientes en estas redes internas tambin
suponen algunos riesgos asociados.
Red perimetral. Los riesgos de la capa de red perimetral (tambin
denominada zona desmilitarizada, DMZ o subred protegida) tienen su
origen en el posible acceso por parte de un atacante a las redes de
rea extensa (WAN) y los niveles de red que conectan. Los
principales problemas se centran en los puertos TCP (protocolo de
control de transmisin) y UDP (protocolo de datagrama de usuario)
disponibles que utiliza la red.
Seguridad fsica. Los riesgos se encuentran en el acceso fsico de
un atacante a un activo fsico. Esta capa integra todas las
anteriores, puesto que el acceso fsico a un activo puede permitir
el acceso a las dems capas del modelo de defensa en profundidad.
Aqu, la preocupacin principal para las organizaciones que utilizan
sistemas antivirus es impedir que los archivos infectados salten
las defensas de las redes perimetral e interna. Los atacantes
pueden intentar hacerlo con tan slo copiar un archivo infectado
directamente en el equipo host a travs de algn medio extrable
fsico, como un dispositivo de disco USB.
Directivas, procedimientos y concienciacin. Rodeando todas las
capas del modelo de seguridad se encuentran las directivas y
procedimientos que la organizacin necesita establecer a fin de
cumplir y admitir los requisitos de cada nivel. Por ltimo, resulta
importante que se estimule la concienciacin en la organizacin de
todas las partes interesadas. En muchos casos, el desconocimiento
de un riesgo puede llevar consigo infracciones en la seguridad, por
lo que el aprendizaje tambin debe formar parte integrante de
cualquier modelo de seguridad.
El uso de las capas de seguridad del modelo como base del mtodo
de defensa en profundidad antivirus le permitir replantearse la
perspectiva y optimizarlas en grupos para aplicar las defensas
antivirus en su organizacin. La forma en que se lleve a cabo esta
optimizacin depender completamente de las prioridades de la propia
empresa, as como de las aplicaciones de defensa concretas que
utilice. Lo importante es evitar un diseo antivirus incompleto y
dbil. Para ello, es preciso asegurase de que no se excluya ninguna
de las capas de las defensas. En la siguiente ilustracin se muestra
la vista de una defensa en profundidad antivirus ms especfica:
Figura 3.2 Vista de una defensa en profundidad antivirus
especfica
Las capas Datos, Aplicacin y Host se pueden combinar en dos
estrategias defensivas para proteger los clientes y servidores de
la organizacin. Aunque estas defensas comparten determinadas
estrategias, las diferencias al implementarlas en el cliente y en
el servidor son suficientes para hacer necesario un nico enfoque
defensivo en cada una de ellas.
Pgina 14 de 47Descripcin general de la Gua de defensa en
profundidad antivirus
11/12/2013http://technet.microsoft.com/es-es/library/cc162791(d=printer)
-
Las capas Red interna y Red perimetral tambin se pueden combinar
en una estrategia de defensas de red comn, ya que las tecnologas
implicadas son las mismas para ambas. Sin embargo, los detalles de
la implementacin diferirn en cada capa, segn la posicin de los
dispositivos y las tecnologas de la infraestructura de la
organizacin.
Principio de la pgina
Defensas del clienteCuando software malintencionado llega a un
equipo host, los sistemas de defensa se deben centrar en proteger
el sistema y los datos que contiene, y detener la propagacin de la
infeccin. Estas defensas no son menos importantes que las fsicas y
de red del entorno. Se deben disear partiendo de la base de que el
software malintencionado ha sido capaz de superar todas las
anteriores capas de defensa para llegar al host. Este mtodo es la
mejor forma de lograr el mximo nivel de proteccin.
Pasos de la proteccin antivirus del clienteSon varios los mtodos
y tecnologas que se pueden utilizar para las configuraciones
antivirus de los clientes. En las siguientes secciones se
proporcionan detalles que Microsoft recomienda tener en cuenta.
Paso 1: Reducir el mbito de ataqueLa primera lnea de defensa en
la capa de aplicacin consiste en reducir el mbito de ataque del
equipo. Ser necesario quitar o deshabilitar todas las aplicaciones
o servicios innecesarios para minimizar las vas desde las que
atacante podra aprovechar el sistema de forma malintencionada.
Encontrar la configuracin predeterminada para los servicios de
Windows XP Professional en la pgina "Default settings for services"
de la documentacin del producto Windows XP Professional en
Microsoft.com:
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sys_srv_default_settings.mspx
(en ingls).
Una vez que el mbito de ataque se ha reducido al mnimo sin
afectar a la funcionalidad necesaria del sistema, la defensa
fundamental que se debe utilizar en esta capa es un escner
antivirus. La funcin primordial del escner consiste en detectar y
evitar un ataque para, a continuacin, notificar al usuario y quizs
tambin a los administradores del sistema de la organizacin.
Paso 2: Aplicar actualizaciones de seguridadLa gran cantidad y
variedad de equipos cliente que puede haber conectados en las redes
de una organizacin puede dificultar la utilizacin de un servicio
confiable de administracin de actualizaciones de seguridad.
Microsoft y otras empresas de software han desarrollado distintas
herramientas que se pueden utilizar para solventar este problema.
Las siguientes herramientas de actualizaciones de seguridad y
administracin de revisiones se encuentran disponibles en
Microsoft:
Windows Update. Ideal para pequeas empresas o particulares, el
servicio Windows Update ofrece un proceso, que puede ser automtico
o manual, que permite detectar y descargar las ms recientes
modificaciones de la seguridad y las caractersticas de la
plataforma Windows. Entre