3. Introducción
• El presente módulo expone diferentes medidas de seguridad
tendientes a prevenir problemas causados por ejecución de
malware, minimizando el impacto sobre potenciales víctimas a
través de consejos útiles para cada una de las tecnologías y los
servicios más populares.
• La mayor parte de las buenas prácticas presentadas a lo largo del
módulo están redactadas para las plataformas masivamente
utilizadas, específicamente diferentes versiones de Microsoft
Windows. Sin embargo, algunos de los consejos presentados
también pueden ser empleados en otras plataformas como
GNU/Linux y Mac OS.
4. Protección contra el malware
• Antivirus
• Un antivirus es un software que posee
como función detectar, identificar y
prevenir o eliminar, códigos maliciosos.
Aunque su nombre proviene de su
relación con los virus informáticos, en la
actualidad son soluciones antimalware
que poseen protección contra gusanos,
troyanos, virus, etc.; es decir, todo tipo
de códigos maliciosos.
5. Antivirus
• Los antivirus cuentan con dos métodos de análisis:
• Bajo demanda: se realiza una exploración de archivos,
memoria y sectores de arranque cuando el usuario lo
solicita. Dado que es ejecutado de forma manual, al
utilizarse sólo el análisis bajo demanda, el usuario no
contará con protección total respecto a la prevención
contra amenazas.
• En acceso: se realiza la exploración automática de todos
los archivos y sectores de memoria accedidos durante el
uso de la computadora. Para este método, el AV debe
estar en modo residente permanentemente. El análisis
en acceso ofrece tanto prevención como eliminación de
amenazas que se encuentren ya instaladas en el sistema.
Por lo tanto, es recomendable tener activado el monitor
en tiempo real de la solución
6. • Sistema de archivos: análisis de los archivos
presentes en el sistema.
• Comunicaciones: análisis del tráfico de la red que
es accedida desde el sistema. En este contexto se
entiende comunicaciones como cualquier tipo de
conexión que se realice a través de cualquier
puerto de comunicación y que permita a un sistema
interactuar con el exterior (web, correo, redes P2P,
mensajería, etc.).
Antivirus
• Un antivirus protege los siguientes componentes del
sistema donde está instalado:
7. • Desinfección: es el método más antiguo y consiste en
desinfectar un archivo que ha sido modificado por un
virus e intentar volverlo a su estado anterior a la
infección. Sólo funciona con los virus, ya que otras
amenazas no modifican archivos (gusanos, troyanos,
etc.).
• Eliminación: este procedimiento intenta quitar del
sistema el código malicioso que ha sido encontrado.
Sólo funciona con gusanos, troyanos y cualquier otro
tipo de malware que no infecta archivos.
• Cuarentena: es una carpeta donde son colocados los
archivos detectados como dañinos y no pueden ser
ejecutados. De esta forma, el código malicioso no
afectará el sistema, pero el usuario podrá acceder a él
si lo considera necesario. Un código malicioso que se
encuentra en cuarentena no es un peligro para el
sistema.
Antivirus
• Cuando un antivirus detecta una amenaza,
pueden realizarse las siguientes acciones:
8. • Desde sus orígenes, los antivirus cuentan
con un método de detección basado en
firmas. Este consiste en una base de
datos generada por el fabricante que
permite al software determinar si un
archivo es o no una amenaza. El sistema
es sencillo: se coteja cada archivo a
analizar con la base de datos y, si existe
coincidencia (es decir, existe en la base
de datos una firma que se corresponde
con el archivo), se identifica el material
como código malicioso.
• Metodologías de detección
Antivirus
• El proceso de generación de firmas es el
siguiente:
1. Aparece un nuevo código malicioso.
2. El laboratorio antivirus recibe la muestra.
3. Se crea la vacuna (firma) para el nuevo código
malicioso.
4. El usuario actualiza el producto con la nueva
base de firmas y comienza a detectar el
malware.
• Recién a partir del último paso el sistema
estará protegido contra esta amenaza. Es
decir, que la detección por firmas es un
método reactivo de protección.
9. • Nótese también que si el usuario no actualiza su
base de firmas, no estará protegido, incluso si el
laboratorio ya hubiera creado la firma para un
código malicioso. A esta razón se debe la
importancia de mantener los antivirus
actualizados.
• Debido a la alta velocidad de propagación de
nuevos códigos maliciosos, y la gran cantidad de
estos que aparecen, el método de detección
basado en firmas se volvió, con el pasar de los
años, lento e insuficiente. El malware se difunde
como una epidemia, y las probabilidades de
infección antes de descargar una firma son muy
altas.
• Desventajas del método basado en la firma
Antivirus
• Por lo tanto, se pueden resumir las
tres principales desventajas del
método basado en firmas:
• Alto riesgo de infección previo a la
creación de la firma
• No es posible detectar virus
desconocidos (nuevos, que no han
sido captados aún por el laboratorio)
• El sistema debe poseer una firma por
cada variante de una amenaza (las
pequeñas modificaciones a un
archivo malicioso requieren de una
nueva firma)
10. • La técnica de detección heurística emplea
una serie de algoritmos “inteligentes” que
permiten detectar códigos maliciosos
nuevos y desconocidos. El análisis
heurístico posee un comportamiento
basado en reglas para diagnosticar que un
archivo es potencialmente ofensivo. El
motor analítico trabaja a través de su base
de reglas, comparando el archivo con
criterios que indican un posible malware, y
se asigna cierto puntaje cuando localiza
una semejanza. Si la calificación iguala o
supera un umbral determinado, el archivo
es señalado como amenaza y procesado
de acuerdo con ello.
Antivirus
• Heurística
11. • Para graficar más claramente los dos métodos de detección con los que trabaja un antivirus, puede
imaginarse un guardia de seguridad en un aeropuerto, y sus formas de detectar amenazas (personas
peligrosas) en el mismo:
• El guardia de seguridad puede tener un listado de personas peligrosas. Es la base de datos de las fuerzas de
seguridad de cualquier país, en donde se posee una foto y nombre de aquellas personas que son conocidas
por cometer delitos, y que deben ser detenidas en caso de aparecer en el aeropuerto. La base de datos (el
listado) refiere a la detección por firmas en un antivirus: solo pueden ser detectadas aquellas amenazas que
ya son conocidas previamente.
• Sin embargo, un guardia de seguridad también utiliza su inteligencia para detectar posibles amenazas,
principalmente mediante el análisis del comportamiento de las personas. Una persona con lentes de sol en
plena noche, un viajero que observa con detalle al personal, o cualquier otro tipo de acción similar, puede
generar la sospecha del guardia de seguridad que, si considera suficiente la información, tomará las
acciones necesarias para la protección y asumirá a la persona como una amenaza.
• En resumen, mientras que una amenaza detectada por una base de firmas exhibe la seguridad de que se
trata de un código malicioso, ya que previamente fue legitimado por una persona, el análisis heurístico
posee una relativa certeza al respecto como afirmarlo. A pesar de esta aparente “desventaja”, los
algoritmos heurísticos ofrecen protección donde la exploración por firmas no puede darla.
Antivirus
12. • El otro factor de riesgo para los algoritmos heurísticos son los falsos positivos. Así como
cualquier antivirus trabaja para minimizar los falsos negativos (es decir, amenazas que no
son detectadas), en el caso de la heurística es necesario minimizar también los falsos
positivos, archivos que no son códigos maliciosos, y son detectados como tales.
• El motivo de tal aparición resulta lógico: al trabajar la heurística con grados de certeza, y
análisis inteligente, puede ocurrir que se haga una detección errónea de un archivo.
• Con la base de firmas esto ocurre en un nivel muy bajo, porque solo se detectan amenazas
conocidas que ya han sido catalogadas como tales por el laboratorio. Sin embargo es
indispensable que los algoritmos heurísticos posean optimización para disminuir la tasa de
falsos positivos, ya que estos son altamente perjudiciales para los usuarios, dado que
podrían causar que aplicaciones detectadas como un falso positivo no puedan ser
ejecutadas, y crear la sospecha de que el software de seguridad no detecta las
amenazas al 100% o está fallando.
Antivirus
• Falsos Positivos
13. Protección del correo electrónico
• En los ambientes altamente conectados en los
que se vive actualmente, no sería errado decir
que un software dañino puede llegar por
cualquiera de las formas por las que se está
conectado a la red. Como ya se mencionó en
módulos anteriores, además del malware se
propagan también por correo electrónico otras
amenazas como hoax, spam, scam y phishing.
• A continuación, se mencionan las buenas
prácticas de protección al usar correo
electrónico:↓
14. • 1. No reenviar mensajes en cadena, ya que los mismos generalmente son algún tipo de engaño (hoax).
• 2. Si aún así se desea enviar mensajes a muchos destinatarios hacerlo siempre Con Copia Oculta (CCO), ya que esto evita
que un destinatario vea (robe) el correo electrónico de los demás destinatarios.
• 3. No publicar una dirección privada en sitios webs, foros, conversaciones online, etc., ya que sólo facilitan la obtención
de las mismas a los spammers (personas que envían spam).
• 4. Si se desea navegar o registrarse en sitios de baja confianza, hacerlo con cuentas de correo destinadas para ese fin.
Algunos servicios de webmail disponen de esta funcionalidad: proteger la dirección de correo principal mientras se
puede publicar otra cuenta y administrar ambas desde el mismo lugar.
• 5. Para el mismo fin también es recomendable utilizar cuentas de correos temporales y descartables.
• 6. Nunca responder mensajes de spam pidiendo que no se envíe más, ya que con esto se está confirmando la dirección
de correo al spammer y sólo se logrará recibir más correo basura.
• 7. Es bueno tener más de una cuenta de correo (al menos 2 o 3): una cuenta laboral que sólo sea
utilizada para este fin, una personal y la otra para contacto público o de distribución masiva.
Protección del correo electrónico
15. • Como se puede observar, son procedimientos de sencilla ejecución y
que ayudarán a prevenir cualquiera de las amenazas mencionadas,
manteniendo la privacidad del correo.
• Además, algunos filtros de correo funcionan efectivamente
previniendo gran cantidad de spam, pero de todas formas es
recomendable recordar estos simples consejos que, utilizados
correctamente, ayudarán a recibir menos correo no deseado.
• Es recomendable en contar con herramientas antispam que realizan
el filtrado de correo no deseado para evitar la recepción de correo
basura en la bandeja de entrada.
Protección del correo electrónico
16. • Los siguientes son aspectos a tener en cuenta para ayudar a identificar un correo falso que simula provenir de una
entidad bancaria, financiera, red social o cualquier otra fuente requiriendo datos del usuario:
• Dirección del remitente: prestar especial atención a la dirección que aparece como remitente. Debe recordarse que la
dirección de un e-mail falso puede parecer legítima.
• Forma del saludo: muchos mensajes falsos comienzan con saludos genéricos sin personalización hacia un usuario
determinado.
• Urgencia y/o amenaza: este es uno de los elementos más importantes, ya que generalmente este tipo de correos se
aprovecha del temor para lograr sus propósitos. Estos mensajes falsos suelen comunicar la necesidad urgente de
actualizar y ampliar los datos del usuario. La mayoría amenazan con la discontinuidad o inhabilitación de un servicio
específico.
• Recordar que las empresas nunca solicitan datos sensibles por correo electrónico. Cuando llega un correo que solicita
información como nombre de usuario, clave, número de tarjeta de crédito o cuenta, es probable que sea un mensaje falso.
• Enlaces en el cuerpo del correo: en la mayoría de los casos se incluyen enlaces con apariencia legítima, pero que llevan a
sitios falsos. Revisar la URL del sitio citada en el correo y comprobar que es la empresa a la que se refiere. Para estar
seguro que se ingresa a un sitio legítimo, comprobar que la URL que aparece en la barra de direcciones
sea igual a la utilizada habitualmente.
Protección del correo electrónico
• Identificación de un correo falso
17. Protección contra otras amenazas
• El phishing es una modalidad delictiva
encuadrada en la figura de estafa, que se
realiza a través de Internet, y constituye otra
de las amenazas de seguridad que abusan del
correo electrónico para su propagación.
• Entre las buenas prácticas de seguridad que se
recomiendan a los usuarios, para que estos
eviten ser víctimas del phishing, están las
siguientes:↓
• Phishing
18. • 1.Tener en cuenta que las entidades bancarias y financieras no solicitan datos confidenciales a través de este medio; de esta
manera se minimiza la posibilidad de ser víctima de esta acción delictiva.
• 2.Desconfiar de los correos que dicen ser emitidos por entidades que brindan servicios y solicitan modificación de datos
sensibles, ya que suelen ser métodos de Ingeniería Social.
• 3.No hacer clic sobre enlaces que aparecen en el cuerpo de los correos electrónicos, ya que pueden direccionar hacia sitios
web clonados o hacia la descarga de malware.
• 4.Asegurarse de que la dirección del sitio web al cual se accede comience con el protocolo HTTPS. La “S” final, significa que
la página web es segura y que toda la información depositada en la misma viajará de manera cifrada.
• 5.Verificar la existencia de un certificado digital en el sitio web. El certificado digital se despliega en pantalla al hacer clic
sobre la imagen del candado.
• 6.Revisar que el certificado digital no haya caducado, ya que el mismo podría haber sido manipulado intencionalmente con
fines maliciosos.
• 7.Si se tiene dudas sobre la legitimidad de un correo, comunicarse telefónicamente con la compañía o entidad que
presuntamente lo envía, para descartar la posibilidad de ser víctimas de un engaño.
• 8.Jamás enviar contraseñas, números de tarjetas de crédito u otro tipo de información sensible a través del correo
electrónico, ya que la comunicación podría ser interceptada y robada.
• 9.Habituarse a examinar periódicamente la cuenta bancaria, a fin de detectar a tiempo alguna actividad
extraña relacionada con la manipulación de la cuenta o transacciones no autorizadas.
• 10.Denunciar casos de phishing (dentro de lo posible) en la entidad de confianza, ya que además de
cortar la actividad del sitio malicioso, se colabora con la seguridad general de la navegación en Internet.
Protección contra otras amenazas
• Phishing
19. • Home banking o Banca en Línea es el servicio por el
cual se pueden ejecutar transacciones bancarias por
medios electrónicos específicamente vía redes privadas
o públicas como la Internet. Su nombre viene de la
posibilidad de hacer transacciones desde la casa (Home)
y no tener que asistir personalmente a un banco (Bank).
• Al acceder a Internet se puede ser víctima de
innumerables amenazas y engaños. Esto toma énfasis al
tratarse de la manejo de información sensible como la
banca en línea (o e-banking).
• Para prevenir este tipo de amenazas es fundamental
seguir los pasos ya descriptos para evitar el phishing,
principal riesgo actual al acceder a información en línea.
Protección contra otras amenazas
• Home Banking
20. Home Banking
• Los teclados virtuales son mini-aplicaciones
generalmente encontrados en sitios web que
requieren alta tasa de seguridad (como páginas de
home banking o financieros) y cuya funcionalidad es
simular un teclado real. El uso del mismo se realiza a
través del mouse, permitiendo escribir lo que
generalmente se realizaría con el teclado
convencional. La seguridad brindada por estos
dispositivos radica en que permiten evitar los
keyloggers, ya que al no presionar ninguna tecla se
evita la grabación de lo que se escribiría.
• En la siguiente imagen pueden observarse los
puntos más importantes a verificar para garantizar
una navegación segura en la página web de las
entidades financieras:
• Uso de teclados virtuales
21. Seguridad en redes sociales
• Actualmente las redes sociales son muy populares y los usuarios las utilizan masivamente; estas
características las transforman en importantes focos de propagación de malware. Por tal motivo
se torna necesario tener en cuenta y aplicar las siguientes medidas preventivas:
• 1.No publicar información sensible y confidencial, debido a que personas extrañas pueden aprovechar estos
datos con fines maliciosos.
• 2.Evitar la publicación de fotografías propias y de familiares, al menos en forma pública. Las fotografías
pueden ser utilizadas para llevar a cabo actos delictivos, incluso fuera del ámbito informático.
• 3.Mantener la privacidad del perfil; es decir, configurarlo para que no sea público.
• 4.No responder las solicitudes de desconocidos, ya que pueden contener códigos maliciosos o pueden formar
parte de actividades delictivas.
• 5.Ignorar los mensajes no solicitados, ya que a través de ellos puede canalizarse la propagación de malware,
además de otras acciones ofensivas y delictivas.
• 6.No abrir contenidos con spam a través de este medio. De esta manera se evita formar parte del ciclo de vida
del spam a través de este canal.
• 7.Cambiar periódicamente la contraseña para evitar que la misma sea descubierta fácilmente.
• 8.También es aconsejable utilizar contraseñas que presenten un adecuado grado de fortaleza.
• 9.Antes de aceptar contactos espontáneos, es recomendable verificar su existencia y que
realmente provienen de quien dice ser.
22. Seguridad en redes P2P
• Una red p2p (peer to peer o redes
entre pares o iguales) es una red que
conecta un gran numero de
ordenadores (nodos) para compartir
cualquier cosa que este en formato
digital (videos, imagenes, musica etc.).
• Las redes P2P forman otro de los
canales con un alto índice de
propagación de códigos maliciosos.
Esta situación obliga a tener en cuenta
una serie de medidas preventivas
tendientes a fortalecer la seguridad del
sistema, entre las cuales se destacan:↓
23. • 1.Explorar con una solución antivirus, como ESET NOD32, todos los archivos que se descargan a
través de esta red, sin importar su extensión.
• 2.Tratar, en lo posible, de no almacenar información confidencial y/o privada en la misma
computadora donde se comparten archivos por redes P2P, para evitar que la misma sea robada.
• 3.Comprobar que el programa cliente de intercambio de archivos no instale o descargue
componentes maliciosos del tipo adware o spyware.
• 4.Se debe verificar que los archivos a descargar no se encuentren sometidos a métodos de
engaño como doble extensión, debido a que se trata de una técnica muy empleada por el
malware.
• 5.Controlar que exista coherencia entre el tamaño original del archivo descargado y el tamaño
aproximado que debería tener, para descartar la posibilidad de que se esté en presencia de
troyanos.
• 6.Asegurarse de que la carpeta de intercambio de archivos contenga sólo los archivos que se
desea compartir.
• 7.Revisar la configuración de seguridad del programa cliente. Esto ayuda a
maximizar la seguridad durante el proceso de descarga de archivos.
Seguridad en redes P2P
24. Seguridad en clientes de mensajería instantánea
• Debido a su popularidad y masividad de
uso, los clientes de mensajera instantánea
se han constituido en otro de los vehículos
más explotados para la diseminación de
códigos maliciosos. Por tal motivo es
importante atender a las buenas prácticas
en esta materia.
• Para prevenir que un usuario sea víctima de
acciones maliciosas llevadas a cabo a través
de esta tecnología, se recomienda aplicar
alguna de las medidas de seguridad que a
continuación se describen: ↓
25. • 1.Evitar que cuentas desconocidas sean aceptadas como contactos sin verificar a quienes pertenecen, ya que en la mayoría de los casos se trata de
intentos de engaños con fines maliciosos.
• 2.No descargar archivos sospechosos, sobre todo cuando vengan acompañados de mensajes genéricos o en otro idioma. Esto constituye una de las
características principales de los códigos maliciosos que se propagan a través de este canal de comunicación.
• 3.En caso de descargar archivos, explorarlos con una solución antivirus con capacidad proactiva como ESET NOD32 antes de ser ejecutados, para
verificar que se encuentren libre de amenazas.
• 4.Configurar en el cliente de mensajería la exploración automática de archivos en el momento de su recepción. La mayoría de estos clientes contemplan
la posibilidad de configurarlos con un antivirus.
• 5.Es recomendable, al igual que con el correo electrónico, no hacer clic sobre los enlaces incrustados en el cuerpo del mensaje, ya que pueden
direccionar a páginas con contenido malicioso o hacia la descarga de malware.
• 6.Cuando se reciben mensajes conteniendo un enlace no esperado, es recomendable preguntar si la otra persona realmente lo ha enviado; de esta
manera se puede verificar la autenticidad del mismo.
• 7.No escribir los datos de autenticación en páginas que prometen ofrecer información de contactos bloqueados y similares. Estos sitios suelen
comprometer la privacidad de la información que se aloja en los correos, además de utilizar la cuenta con otros fines delictivos.
• 8.Utilizar contraseñas fuertes y cambiarla periódicamente. Esto maximiza el nivel de seguridad.
• 9.No compartir la contraseña con nadie. El carácter de ésta es privado, con lo cual lo recomendable es que solo la conozca el usuario que la ha creado.
• 10.Cuando se accede al mensajero desde lugares públicos, conviene deshabilitar la opción de inicio automático para que la información de usuario y
contraseña no queden almacenadas en el sistema. Esto evita que terceros inicien sesión de manera automática.
• 11.No compartir información confidencial a través de este medio ya que la misma puede ser interceptada y robada con fines delictivos.
Seguridad en clientes de mensajería instantánea
26. Seguridad en dispositivos removibles
• Los dispositivos de almacenamiento
removibles, que se conectan a través del
puerto USB (memorias flash, cámaras
digitales, filmadoras, teléfonos celulares,
etc.), constituyen otro de los mayores
focos de propagación e infección de
códigos maliciosos.
• Por lo tanto es necesario tener presentes
las siguientes medidas que ayudan a
mantener el conjunto de la información
con un nivel adecuado de seguridad, ya
sea en entornos corporativos como en
sistemas hogareños: ↓
27. • 1.Establecer políticas que definan el uso correcto de dispositivos de
almacenamiento removibles. Esto ayuda a tener claro las implicancias de
seguridad que conlleva el uso de estos dispositivos.
• 2.Brindar acceso limitado y controlado a los usuarios que utilizan estos
dispositivos, para evitar la propagación de potenciales amenazas y el robo de
información.
• 3.De ser necesario, registrar el uso de los puertos del tipo USB y/o
habilitar/deshabilitar los mismos. Esto permite un mayor control sobre el uso
de dispositivos de este tipo.
• 4.En casos extremos es pertinente bloquear, por medio de políticas de grupo,
de dominio o corporativas, el uso de estos dispositivos.
• 5.Si se transporta información confidencial en estos dispositivos, lo indicado es
cifrarla. De esta forma, en caso de robo o extravío, la información no podrá ser
visualizada o extraída por terceros.
• 6.Se recomienda implementar una solución antivirus con capacidades
proactivas, como ESET NOD32 Antivirus; y en ámbitos corporativos, administrar
cada nodo de la red de manera centralizada con ESET Remote Administrator.
• 7.Es aconsejable explorar con el antivirus cualquier dispositivo que se conecte
a la computadora para controlar a tiempo una posible infección.
• En sistemas Windows se
sugiere deshabilitar la
ejecución automática de
dispositivos, ya que
muchos códigos maliciosos
aprovechan esta
funcionalidad para
ejecutarse, de esa manera,
sin que sea necesaria la
intervención del usuario.
Seguridad en dispositivos removibles
28. Conclusión
• Ningún sistema puede declararse como 100% seguro, y esto se debe
a que una cadena es tan fuerte como su eslabón más débil.
• A raíz de las amenazas que aparecen día a día es muy importante
que todo sistema se encuentre protegido por una solución antivirus,
con capacidades proactivas de detección, y la educación del usuario
minimiza las posibilidades de infección.
• Si un sistema se encuentra correctamente configurado y
protegido las posibilidades de que el mismo se vea vulnerado
son mucho menores.
29. • Realizado por: Jesús Daniel Mayo
• Con la Colaboración de: Academia ESET Latinoamérica