Una computadora en casa, conocimientos de programación y mucha ingeniería social bastan para poner de “rodillas” a cualquier institución sobre todo en cuestión de fuga de Información. La era de los virus indetectables hechos en casa, ha llegado y para bien o para mal, el usuario es la última línea de defensa ante este tipo de ataques

*Arturo García Hernández

Recientemente observé el funcionamiento de una nueva cepa de código malicioso tipo virus informático, el cual puede ser programado desde una computadora casera con la ayuda de herramientas gratuitas de internet. Dado que era un nuevo tipo de código malicioso, no todas las defensas lo detectan, razón por la cual se conoce como HUM (Home made Undetectable Malware, -por sus siglas en inglés-). En este artículo se describirán algunas de sus características, con el fin de que conozca este tipo de amenaza y sepa cómo protegerse ante este nuevo embate informático.
Seguramente ha visto, leído o le han contado sobre ataques informáticos que se montan desde fuera de su organización para lograr burlar las defensas perimetrales de protección con las que cuenta. Generalmente para defendernos de este tipo de ataques ponemos capas y capas de seguridad siguiendo el modelo llamado “cebolla”: para que un ataque desde fuera llegue al corazón donde está la información, se requiere quitar muchas capas de seguridad dispuestas una sobre otra. Esto ha dado lugar a protecciones que indudablemente su grupo de seguridad informática tiene bien identificado: ruteadores con listas de control de acceso, “paredes de fuego” con reglas de filtrado, segmentación interna de redes, protección en sistemas operativos, contraseñas de aplicaciones, etc.
No me malinterprete. Todas estas defensas están bien, son correctas y necesarias. Indudablemente su empresa ha invertido mucho tiempo, dinero y esfuerzo en ponerlas a punto. Pero ¿qué cree? Los atacantes también lo saben. Saben que su empresa tiene una miscelánea de defensas que harán muy difícil (si no imposible) que se pueda montar un ataque exitoso desde fuera pues tendrán que luchar con un sinnúmero de barreras para sustraer alguna información sensible. Por ello, los ataques desde Internet son extremadamente complicados, raros y muy costosos. Si bien es claro que existen, tampoco son algo que se vea cotidianamente en las noticias.
Los atacantes siempre buscarán la forma más fácil de robar la información, que les lleve menos tiempo, en la cual se tengan que esforzar menos y además que les brinde un beneficio a más corto plazo. Precisamente de esta filosofía nacen los nuevos ataques.

Ataques nuevos, ¿Defensas nuevas?
Hace poco en mi artículo sobre el ataque que sufrió la empresa Google, en su oficina de China donde describí el ataque informático -que poco le faltó para desencadenar una “tercera guerra mundial”-. Como recordará en ese incidente, los atacantes no irrumpieron a través de las barreras perimetrales de la compañía Google: utilizaron un ataque que iba desde dentro hacia fuera, llevando secretos internos de la compañía hacia el exterior.
En esta operación llamada “Aurora” (como se conoció al incidente), los atacantes tomaron provecho de una vulnerabilidad en el navegador Internet Explorer que utilizaban algunos de los empleados de Google, a quienes les llegó una liga a la cual solamente tenían que hacerle “click” para que su computadora estuviera bajo el control remoto total de los atacantes. Déjeme repetir la frase “solamente tenían que hacer clic’”.
Los usuarios se volvían la última línea de defensa ante el ataque. Por supuesto cayeron en la trampa: desde ese momento las computadoras internas estuvieron varios meses a merced de los atacantes, fugando información hacia el exterior.
Este es un ejemplo claro de un ataque del tipo “de dentro hacia fuera” en el cual existe participación de un usuario interno el cual no necesita estar coludido con el agresor para que tenga éxito. Es más, le aseguro que el usuario ni siquiera está enterado de lo que está ocurriendo. La ventaja es clara: ya no hay que derribar barreras perimetrales, solo hay que hacer que el usuario interno “colabore” de alguna forma con el ataque.
Por su parte, las defensas que contrarrestan ese tipo de ataque tampoco tienen que estar al último grito de la moda informática. Es más, yo le diría que las defensas más apropiadas son las primeras que aprendimos, las primordiales, las que a veces creo que hemos olvidado por darle tanto espacio a las nuevas herramientas automatizadas de seguridad. Más adelante enlistaré algunas de ellas, mientras tanto lo invito a conocer a HUM.

La aparición de HUM
HUM es el acrónimo de “Home made Undetectable Malware”, esto es, código malicioso (en inglés “malware”) que puede elaborarse en casa con algunas aplicaciones gratuitas que cualquier persona puede descargar de internet.

Hagamos una disección de HUM:
• Home made (hecho en casa): No se requiere un laboratorio especializado, solamente la computadora de casa con los programas adecuados. Por ejemplo:
- Entorno de desarrollo de aplicaciones para el lenguaje de cómputo que se va a utilizar (algo que muchos adolescentes y todos los estudiantes de informática tienen al por mayor, créame). El núcleo del virus se construye aquí, esto es, se define el qué hacer: robar, renombrar, copiar, borrar, aparecer, esperar, etc.
- Aplicación gratuita llamada “Metasploit” la cual sirve para construir el código malicioso y que brinda decenas de opciones para que el programa desarrollado anteriormente pueda por ejemplo: ver la pantalla remota, funcionar aún después de que se arranque de nuevo la computadora, esconderse en otras aplicaciones, etc. ¿No la sabe utilizar? No hay problema, existen videos en YouTube que le explican paso a paso cómo instalarla y utilizarla. Recuerde que la era de “hágalo usted mismo” está en pleno apogeo en el ciberespacio.
- Aplicación gratuita llamada SET (Social Engineering Toolkit) la cual le aportará múltiples formas para engañar a la víctima que recibe el código malicioso. Como su nombre lo dice, su objetivo es ganarse la confianza del usuario mediante “ingeniería social”. Mientras más confianza tenga el usuario en un correo que le llega, más fácil y rápidamente abrirá el archivo adjunto, ¿o no? Por ejemplo, SET le puede ayudar a: suplantar la identidad de una página web para que la víctima le dé clic a la liga; enviar mensajes a nombre de otra persona para que sienta confianza de que el anexo es inofensivo; esconder el código malicioso en una USB para que nadie sospeche de alguna aplicación, etc.
Usar ingeniería social para completar el ataque es la clave donde el límite es la imaginación del maloso. Es más, si el ataque es dirigido (es decir que está hecho para alguna persona o empresa específicamente), la probabilidad de éxito es mucho mayor.
Si desconoce el uso de esta herramienta, solamente busque en la red: “SET Social Engineering Toolkit”, donde podrá tener mayores detalles.

• Undetectable (indetectable):La mayoría de los antivirus trabajan con base en “firmas”. Esto es, sólo bloquean o detectan lo que conocen. Si el bicho malicioso es nuevo (también llamado de “día cero”), esta defensa es cómodamente superada. Por supuesto, hay programas tipo antivirus más sofisticados que pueden ayudar a detectarlo y detenerlo. Ya comentaremos adelante al respecto, por el momento mantenga la idea de que en la mayoría de las ocasiones, un virus nuevo será difícil de detectar.

• Malware (código malicioso): Se refiere a cualquier tipo de virus, gusanos, caballos de Troya, etc. Hoy en día las líneas que separan a unas tribus de otras son muy delgadas, por lo que se les denomina de forma general como “código malicioso”.

Es importante señalar que se puede utilizar esta técnica para elaborar ataques a diversos sistemas operativos: tanto para computadoras personales con software Windows, como para teléfonos celulares inteligentes (de los llamados “smartphones”) como Black berry, iPhone o de la marca que más le agrade. Por cierto, si acaso se pregunta si el sistema operativo Mac es invulnerable a este tipo de ataques, le tengo malas noticias y para muestra basta un botón: ¿sabe cómo se pudo hacer el último desbloqueo del iPhone (proceso conocido como “jailbreak”)? Pues mediante una vulnerabilidad en una aplicación que lee archivos tipo PDF. Alguien se dio cuenta que el iPhone podía ser víctima de ese ataque y lo aprovechó para poder modificar el sistema operativo de tal forma que se le pudieran instalar más aplicaciones y responder a más operadores de telefonía, por decir algo. Es más, hasta se podía hacer ese proceso al visitar una página web de internet como www.jailbreakme.com En este caso el ataque era “benigno” pero no siempre será así (incluso yo me preguntaría si no le dejaron algún “regalito” los que lo ejecutaron).

Ayuda
Las defensas ante este tipo de “malware” no son distintas a las que ya debería estar utilizando. Además de las defensas perimetrales ya mencionadas, a continuación le muestro un cuadro con algunas medidas que pueden ayudarle a minimizar la probabilidad de éxito de estos ataques:

Conclusiones
Anteriormente podíamos pensar que construir un virus era algo tan complejo que únicamente los nerds computacionales podían generarlos. Obviamente se requieren amplios conocimientos y habilidades de computación para desarrollarlos, pero ciertamente hoy en día existen muchas facilidades que acercan ese proceso a más gente.
Por ello, hay que mantener vivas nuestras defensas informáticas protegiéndonos desde varios puntos: Recuerde que un atacante solamente necesita explotar una vulnerabilidad, los defensores debemos proteger todas.
Finalmente, estos nuevos ataques no requieren muchas más defensas de las que ya tiene en operación. Solamente asegúrese que están bien instaladas y configuradas. Recuerde que hasta “Al mejor cazador mas se le escapa la liebre”. 