ciberterrorismo (virus informaticos e impacto en las sociedades de

CIBERTERRORISMO (VIRUS INFORMATICOS E IMPACTO EN LAS SOCIEDADES
DE COMUNICACIÓN MODERNAS).
CAMILO ANDRÉS CAMARGO URIBE
UNIVERSIDAD DE LA SABANA
FACULTAD DE COMUNICACIÓN SOCIAL Y PERIODISMO
CHÍA
2004
CIBERTERRORISMO ( VIRUS INFORMATICOS E IMPACTO EN LAS
SOCIEDADES DE COMUNICACIÓN MODERNAS).
CAMILO ANDRÉS CAMARGO URIBE
Monografía para optar al título de
Comunicador Social y Periodista
Asesor
Mauricio Herrera.
UNIVERSIDAD DE LA SABANA
FACULTAD DE COMUNICACIÓN SOCIAL Y PERIODISMO
CHÍA
2004
1
A la memoria de mi padre.
Para mi madre y hermanos, que fueron
de gran apoyo en el transcurso de mi carrera.
2
AGRADECIMIENTOS
El autor expresa sus agradecimientos a:
Mauricio Herrera, profesor catedrático del área de sistemas y del programa de
Comunicación Social y Periodismo de la Universidad de la Sabana, por sus
valiosos aportes.
Marcela Uribe, directora de monografías de la Universidad de la Sabana, por sus
orientaciones y apoyo permanente.
3
TABLA DE CONTENIDO
1. Introducción....................................................................................................... 1,7
2. Ciberterrorismo................................................................................................... 7
2.1 Definición Ciberterrorismo............................................................................ 7,13
2.2 Virus informáticos......................................................................................... 14
2.2.1 Definiciones virus informáticos................................................................ 14,16
2.2.2 Ciclo de vida de un virus informático.......................................................... 16
2.2.3 Características de un virus informático...................................................... 16
2.2.4 Cómo surge un virus informático. ............................................................ 16,17
2.2.5 Historia de los virus informáticos.............................................................. 17,20
2.2.6 Por qué se hace un virus informático...................................................... 20,21
3. Clasificación de los virus informáticos.................................................. .......... 21
3.1 Virus de Macros/Código Fuente............................................................. ......... 21
3.2 Virus Mutantes. ................................................................................................. 21
4
3.3 Gusanos. ........................................................................................................ 21,23
3.4 Caballos de Troya. ................................ ........................................................ 23,24
3.5 Bombas de Tiempo. ................................ ...................................................... 24
3.6 Virus auto replicables. ................................ .................................................. 24
3.7 Virus del área de carga inicial. ................................ ..................................... 25
3.8 Virus del área del sistema. ................................ ........................................... 25
3.9 Virus de programas ejecutables. ........................................................ ......... 25
3.10 Encriptados. ................................ ................................................................. 26
311 Multipartitos. ................................ ................................................................. 26
3.12 Polimórficos. ................................ ................................................................ 26
4. Funcionamiento de un virus informático. ....................................................... 27
4.1 Proceso de infección. ................................ .................................................... 27
4.2 Técnicas de programación de los virus informáticos.................................. 28
4.2.1 Técnicas Stealth. ................................ ............……………………................. 28
4.2.2 Tunneling. ................................ .........................………………..…....……….. 29
4.2.3 Antidebuggers. ................................ ............................................................. 29
5
4.2.4 Polimorfismo o auto mutación............. ........................................................ 30
4.2.5 TSR. ................................ ................................................................................ 30
5. Medios de entrada más habituales para los virus informáticos...................... 31
5.1 Unidades de disco extraíbles. .......................................................................... 31
5.2 Redes de ordenadores. ....................................................................-............... 32
5.3 Internet............................................................. .............................................. 33,36
5.4 Lugares donde se esconden los virus informáticos para realizar sus
Infecciones. .......................................................................................................... 36,39
6. Virus de Macro. ................................................................................................ 39,40
6.1 Virus de macro para Microsoft Word................................................................ 41
6.2 Virus de macro para Microsoft Excel............................................................... 41
6.3 Virus de macro para Microsoft Access............................................................ 41
6.4 Virus de macro para Microsoft PowerPoint..................................................... 41
6.5 Virus de macro Multiprograma o Multi Macro Partite..................................... 41
6.6Virus de macro en archivos .RTF...................................................................... 42
6.7 Virus de macro para Lotus Ami Pro................................................................. 43
6.8 Virus de macro para Corel Draw. ................................................................. 42,43
6
7.
Síntomas
de
infección
que
pueden
producir
los
virus
informáticos..............................................................................................................44
7.1 Efectos de los virus informáticos.................................................................... 45
7.2 Técnicas utilizadas por los virus informáticos............................................ 48,52
8. Qué es un Antivirus. ........................................................................................... 53
8.1 Técnicas Antivirus. ....................................................................................... 57,63
9. El futuro del Ciberterrorismo. ........................................................................... 64
10. Casos reales de Ciberterrorismo.................................................................. 68,70
11. Conclusiones....................................................................................................... 70
12. Bibliografía...................................................................................................... 73,76
7
1. INTRODUCCIÓN
Mediante del uso de las computadoras las personas alcanzan un alto nivel de
profesionalismo y creatividad, pero este nivel es vulnerado cuando un pequeño
virus obstaculiza su obra. Cada vez que una persona pierde un trabajo , al cual le
había dedicado una gran cantidad de horas en investigación, no puede ocultar la
angustia, la preocupación y el stress para luchar con la situación ; si esto es a
pequeña escala imaginémonos cuando estos ataques se producen en empresas o
sociedades que dependen o se basan en plataformas de computación más
desarrolladas. Creando una nueva clase de terrorismo que implica las
computadoras, las redes, y la información que contienen.
La más reciente investigación sobre las Tecnologías de la Información y las
Comunicaciones en Colombia1 arrojó que existen 1.728.593 computadoras, de las
cuales 727.770 tienen acceso a Internet, equivalente, al 42 por ciento del total. De
estos, el 54 por ciento están instalados en los hogares de las 13 principales
ciudades del país.
Las redes de ordenadores han sido atacadas durante conflictos recientes en
Kosovo, Cachemira, y el Oriente Medio, pero hasta ahora el daño se había limitado
sobre todo a sitios desconfigurados de la red o a servidores vulnerables.
Con una sociedad interconectada cada vez más y siempre más dependiente de
tecnologías de información, a los expertos en terrorismo les preocupa que los
ataques de “ciberterroristas”2 puedan causar tanta devastación como las demás
formas familiares de terrorismo.
1
Estudio realizado por el Departamento Administrativo Nacional de Estadística, Dane, y la Agenda
de Conectividad, en toda Colombia publicado en Enero 27 de 2003 ; el cual se puede revisar
completo en la dirección: http://www.dane.gov.co/comunicados/CP_TICs_Enero27_03.doc
2
Ciberterrorista : Persona motivada políticamente y que opera intencionalmente para causar daños
graves, tales como pérdidas de vidas o perjuicios económicos severos. La opción informática resulta
muy atrayente para los terroristas, ya que les permite infligir un gran daño sin verse afectados, y con
escasas posibilidades de ser alcanzados por la Justicia. Es la forma más fácil que tiene el
"débil" de atacar al "fuerte".FUENTE: Conceptos Sobre Information Warfare, ACFEA
Argentina , dirección electrónica http://www.afcea.org.ar/cursos/conceptosIW.htm.
1
En 1997, el pentágono simuló un ataque cibernético y encontró que los atacantes
pueden usar computadoras ordinarias y software disponible al alcance de cualquier
usuario para interrumpir extensamente comunicaciones militares, corrientes
eléctricas, y redes, en especial las redes de emergencia que usan el prefijo 911, en
varias ciudades americanas. Siete años después las herramientas y maestría de
estos atacantes se han vuelto aun más especializadas.
Como otros actos terroristas, los ataques “ciberterroristas” son premeditados,
motivados políticamente o perpetrados por grupos pequeños y diseñados para
llamar la atención a una causa o influenciar de otra manera al público .
Los responsables, los “hackers”3 , alteran los sistemas informáticos por muchas
razones: para exhibir su propio valor técnico o para demostrar a menudo las fallas
de seguridad de las computadoras. Algunos activistas en línea dicen que las
actividades no son violentas y son dadas más como desobediencia civil.
Hace algunos meses un virus llamado “Blaster”4 irrumpió en la red , este apagaba
literalmente los computadores que basaban su plataforma en Windows a una hora
y fecha determinada , simultáneamente por esa fecha se presentó un
impresionante apagón en los Estados Unidos .
Estos dos acontecimientos tienen una fuerte relación entre si y todos los indicios
demuestran que uno podría ser consecuencia del otro , hasta la fecha nadie aporta
3
HACKER [Originalmente, alguien que fabrica muebles con un hacha]. (pirata) 1. Persona de
elevados conocimientos en el ramo informático que tiene la capacidad de violar los sistemas de
seguridad de una computadora o una red, lo cual le provoca placer, 2. El que programa de forma
entusiasta (incluso obsesiva). FUENTE: CORTIJO FERNÁNDEZ, Bernardino, Ciberterrorismo,
concepto, armas, ataques y consecuencias. Barcelona: Aranzadi,2001. Actualidad Informática
Aranzadi 2001 nº 40, PAGINA 47.
4
BLASTER : Gusano digital (worm), que se caracteriza por haber sido creado para expandirse de la
manera más rápida posible para instalarse en un gran número de computadores. FUENTE:
Periódico EL TIEMPO Agosto 15 de 2003 sección Computadores , dirección electrónica:
http://eltiempo.terra.com.co/comp/noticiascomputadores/ARTICULO-WEB-_NOTA_INTERIOR1218342.html.
2
datos claros sobre las causas del apagón, unos dicen que sobrecarga, otros que
fue un rayo, sin embargo las evidencias apuntan a un ataque premeditado por
parte de células terroristas que actuaron conjuntamente en Canadá y Estados
Unidos .
En las centrales eléctricas americanas los sistemas de monitorización y control
(SCADA) funcionan bajo MS Windows 2000 o XP5. Estos equipos están localizados
en diferentes puntos a lo largo de una red privada, algunos accesibles desde
Internet, otros por “Dialup, Frame relay o conexiones dedicadas” 6, lo que hace
posible que sea factible la propagación del gusano “Blaster”.
La central eléctrica de Niagara que pertenece a la frontera nacional de los Estados
Unidos, esta en una lista como cliente preferente de la empresa Northern Dynamics
y a su vez, Northern Dynamics es llamada “la casa de los expertos OPC” y ofrece
varios productos que usan OPC en sistemas de operación y control.
OPC significa "Ole for process control" y se basa en el modelo COM/DCOM7 de
Microsoft. Si una red no parcheada o vacunada, se viera afectada por el gusano
W32.Blaster las comunicaciones COM/DCOM8 fallarían y caería todo el sistema
OPC.
Además OPC se emplea entre otras cosas como enlace con el sistema SCADA
(Supervisor Control and Data Acquisition), que sirve para monitorear las centrales
eléctricas como la de Niagara, los fallos en estos diferentes procesos podrían
5
Fuente: Consecuencias históricas del virus Blaster, publicado el 19 de Agosto de 2003, dirección
electrónica: http://galiza.indymedia.org/ler.php?numero=1238&cidade=1
6
Dialup, Frame relay o conexiones dedicadas son tipos de conexión compartidas por varios
usuarios o empresas que envían su información a un sólo punto para realizar la transmisión.
FUENTE: ALLENDE, Jorge Oscar. Circulación de datos y políticas informática. Mar Del
Plata:Deplama,1986. Ii Jornadas Argentinas de Informática al Servicio del Derecho, nov. 1986.
7
COM (Component Object Model) se usan para soportar comunicación de objetos entre
ordenadores distintos, en una LAN, WAN, o incluso en Internet FUENTE: Microsoft España
Sistemas de Objetos Distribuidos: DCOM, dirección electrónica:
http://www.elai.upm.es/spain/Investiga/GCII/areas/administracion/DCOM.htm
3
causar una caída en cadena del sistema que causaría lo vivido en el norte de los
Estados Unidos. Ante este contexto, en el que es factible por la infraestructura de
telecomunicaciones que un virus llegue a una red critica (una red basada en
equipos Windows 2000 y XP9) es evidente que la más posible causa de la caída del
sistema fue la propagación del virus “Blaster” o variantes por el mismo.
La seguridad informática es una consecuencia directa sobre los controles que se
tengan en ciertos procesos y en la educación principalmente, ya que al final,
somos personas las que interactuamos con dicha tecnología. Si la persona
encargada de los procesos de control del sistema energético del Niagara hubiera
tenido más cuidado seguramente no se hubiera producido tan alto costo en
perdidas materiales como el que ha tenido el mayor apagón de la historia de EEUU
y que solo en la ciudad de Nueva York, superó los 1.000 millones de dólares.10
Estos ataques cibernéticos pueden además atacar remotamente la infraestructura
de una central de información e interrumpir la tecnología de información que tenga
subyacente , el Internet, las redes de ordenadores de un gobierno o los sistemas
civiles críticos tales como redes financieras o medios de comunicación; mediante
el uso de redes de ordenadores para asumir el control de las máquinas que vigilan
los semáforos, las centrales eléctricas, o el trafico aéreo.
Los ataques , contra componentes físicos , a una infraestructura de información se
asemejarían a otros ataques convencionales. Por ejemplo, un virus se podría
utilizar para destruir el banco de datos de una computadora del gobierno y sus
componentes dominantes de infraestructura en Internet. Otra opción sería un arma
electromagnética que emitiera un pulso que podría destruir o interrumpir el equipo
electrónico. “Los piratas pro islámicos están a la vanguardia de una potencial y
nueva guerra cibernética tras el fin de una tregua de piratas y creadores de virus
luego de los ataques del 11-S, según los expertos en Internet. Estos piratas están
incrementando los ataques contra países que apoyan la guerra de Estados Unidos
9
Actualmente redes basadas en equipos Windows 2000 y XP ocupan el 70% de las redes
instaladas en el mundo. Fuente de consulta: http://www.geocities.com/SiliconValley/8195/selec.html
4
contra el terrorismo y su campaña contra Irak”.11Los ataques lanzados en el
espacio
cibernético
podrían
implicar
métodos
diversos
para
explotar
vulnerabilidades de seguridad, estos ataques podrían también implicar el robo de
archivos clasificados, alterar el contenido de las páginas del Web, diseminar
información falsa, sabotear operaciones, borrar datos, amenazar con divulgar
informaciones confidenciales de un sistema a menos que se haga un pago o una
concesión política, etc. Si los terroristas manejaran la interrupción de mercados
financieros o la difusión de estos en los medios, podrían minar la confianza de los
accionistas en cualquier parte del mundo y esto traería nefastas consecuencias
para la economía global.
Sobre la pregunta: ¿podrían los “ciberterroristas” tomar el control de una planta
nuclear?, Richard Clarke12 afirma: “Sí, aunque los expertos discrepan de cuan
probable es esto, pero si se lograra en cualquier caso, tal hazaña sería
considerablemente más dura de quitar o desconfigurar13 que un sitio cualquiera de
la red. Si el dispositivo que controla el sistema, como una presa o una central
eléctrica, está conectado con el Internet, sería teóricamente vulnerable a un ataque
cibernético, aunque los terroristas necesitarían una manera de explotar las
vulnerabilidades de la seguridad de tales máquinas, quizás con ayuda de un
conspirador en el interior si se podría hacer”. Como ejemplo en 1998, los hackers
trabajaron en complicidad con un empleado retirado de “Gazprom”, la principal
compañía rusa de energía tomaron, según se informa brevemente14, y tomaron el
control de los sistemas informáticos que gobiernan el flujo del gas natural a través
de las tuberías de la compañía.
10
Cifras estimadas que calculan que las pérdidas ocasionadas por el Gran Apagón se situaron
entre los 800 y los 1.000 millones de dólares sólo en la ciudad de Nueva York. FUENTE: Periódico
EL MUNDO de España Lunes, 18 de Agosto de 2003, Sección Internacional ,páginas 5b,6b,
11
Articulo tomado de CNN , CNN internacional y la revista Plus de España publicado en la dirección
electrónica: http://www.plus.es/codigo/noticias/ficha_noticia.asp?id=188154
12
Richard Clarke, consejero especial para la seguridad del ciberespacio “Cyberspace “ y miembro
del consejo de seguridad nacional de los Estados Unidos.
13
No existe un método para desconfigurar una página lo que si existe es un método para
desconfigurar una página en un servidor que presente una vulnerabilidad.
14
Informe Gazprom publicado en revista La Compu .com: http://www.lacompu.us/noticias
5
Hoy se sabe Al-Qaeda tiene capacidades ciberterroristas, La red del terror de
Osama utiliza el Internet, el software cifrado15, y otra tecnología de información
actualizada para conectarse con sus miembros, planear ataques, aumentar sus
fondos , y extender su propaganda política. Funcionarios del Departamento de
Defensa piensan, según informes, que Al-Qaeda ha mantenido entrenamiento
hacia sus miembros en técnicas de ataques cibernéticos, y los diarios y datos
informáticos de las computadoras capturadas en Afganistán indican que el grupo
tiene sistemas explorados que controlan las instalaciones americanas de energía,
la distribución del agua, los sistemas de comunicación, y otras infraestructuras
críticas.
Ejemplos de otros grupos terroristas son “ Los tigres de Tamil” que han montado
ataques en línea contra el gobierno de Sri Lanka. El culto japonés “Aum Shinrikyo”,
que lanzó el gas sarin en el sistema subterráneo de Tokio en 1995 y quienes
habían construido previamente un sistema para seguir los vehículos japoneses del
policía, los investigadores descubrieron que el grupo tenía datos clasificados con
respecto a estos vehículos.16
¿Podrían los estados que patrocinan terrorismo ayudar a los ciberterroristas? Si,
aunque los hackers que trabajan por su cuenta y altamente expertos ofrecerían
probablemente una ayuda mejor. Según un informe17, se estudian, por lo menos,
cuatro de los siete países enumerados por el departamento de estado como
patrocinadores del terrorismo ya que tienen programas de “ciberguerra”: Irak y Libia
tienen ,según se informa, capacidades de ataques cibernéticos, y Corea del Norte y
Cuba también piensan en desarrollarlos. Muchos otros países, incluyendo los
Estados Unidos, Rusia, y China, tienen programas de “ciberguerra”, como parte de
sus aparatos militares.
15
Software Cifrado: es un poderoso software que le permite encubrir sus e-mails y archivos, de tal
manera que otros no puedan leerlo. FUENTE: revista Mercadeo Punto Com No 21 pags.17,18
dirección electrónica: http://www.mercadeo.com/21_pgp.htm
16
Fuente: Combined Center Military Review , November-December Spanish Edition, dirección
electrónica: http://www.leavenworth.army.mil/milrev/Spanish/NovDec00/smith.htm
6
2. CIBERTERRORISMO
2.1 DEFINICIÓN CIBERTERRORISMO
Ciberterrorismo es la convergencia del terrorismo y el espacio cibernético. Se
entiende generalmente para significar ataques y amenazas ilegales contra las
computadoras, las redes, y la información almacenada para intimidar o para forzar
a un gobierno o a su gente en el fomento de objetivos políticos o sociales. Además,
se califica como ciberterrorismo , un ataque que de lugar a la violencia contra
personas , o haga por lo menos bastante daño para generar miedo18. Los ataques
que conducen a la muerte o a lesión corporal, las explosiones, la contaminación del
agua, o la pérdida económica severa serían ejemplos. Los ataques serios contra
infraestructuras críticas podían ser actos de ciberterrorismo, dependiendo de su
impacto. Los ataques que interrumpen servicios no esenciales o que son
principalmente un fastidio costoso, no son considerados como ciberterroristas.
El espacio cibernético está constantemente bajo asalto. Espías, ladrones,
saboteadores, y algunos buscadores de emociones fuertes se funden en sistemas
informáticos, roban datos personales , secretos comerciales e interrumpen
servicios . Los virus de computadores , como los gusanos19, conducen
transacciones fraudulentas, y acosan a los individuos y a las compañías. Estos
ataques se facilitan con herramientas , cada vez, de más alcance y fáciles de
utilizar que están fácilmente disponibles en millares de sitios en el Internet. Muchos
de los ataques son serios y costosos. Un virus reciente y sus variantes como el “
ILOVEYOU”, por ejemplo, infectó a diez millones de usuarios y costó en daños
8.750 millones de dólares20.
17
Informe anual presentado en el 2002 por el instituto “Dartmouth University” para la tecnología de
seguridad en Estados Unidos .Fuente, dirección electrónica: www.ists.dartmouth.edu/text
18
Esta definición fue dada por la profesora de informática Dorothy Denning durante un testimonio
frente a la Cámara de representantes de Estados Unidos y publicada en San Francisco, California,
el 23 de mayo de 2004 en el articulo “La paradoja del ciberterrorismo” por el portal francispani.net
dirección electrónica: http://www.francispisani.net/2004/05/la_paradoja_del.html
19
Similar al virus, con la característica adicional que busca subsistir en el Internet por cualquier
medio a través de diversos mecanismos, ya sea por medio de correo electrónico o algún otro
protocolo o aplicación a través de la red.
20
Cifra tomada del articulo publicado por el periódico El Mundo de España, sección “El
navegante.com del Jueves, 2 de mayo de 2002. dirección electrónica: http://www.elmundo.es/navegante/2002/05/02/seguridad/1020327351.html
7
Algunos ataques se concentran en el fomento de objetivos políticos y sociales,
desde que surgió Internet, como medio de comunicación global, la siguiente es un
cronología21 de los ataques reales perpetrados por cibertorristas, según un informe
realizado
por
La
publicación
digital
Segured.com
(www.segured.com),
especializada en seguridad de Internet en Ibero América :
• “En 1996, un hacker de computador alegando ser socio del movimiento blanco de
“Supremacía Racial” inhabilitó una ISP22 de Massachussets y dañó temporalmente
la parte del sistema operativo inhabilitando el registro de la ISP. La ISP había
“trabajado” para el hacker al enviar mensajes racistas mundiales bajo el nombre de
esta ISP. El hacker concluyó este ataque con un amenaza, "Usted tiene todavía
que ver, que es el terrorismo electrónico verdadero. Esto es una promesa”.
• “En 1998, los protestantes españoles bombardearon al Instituto para las
Comunicaciones Globales (IGC) con millares de mensajes falsos del correo. Este,
fue modificado para que se convirtiera en no entregable a los usuarios de la ISP, y
las líneas de ayuda fueron aseguradas para que la gente no pudiera conseguir su
correo. Los protestantes también sabotearon cuentas del personal y del miembro
del IGC, estorbaron su pagina web con órdenes falsas de tarjetas de crédito, y
amenazaron emplear las mismas tácticas contra diversas organizaciones usando
servicios del IGC. Todo esto porque del IGC era el servidor que albergaba un diario
electrónico
de “Euskal Herria”, una nueva publicación que apoyaba la
independencia Vasca. Los protestantes alegaban que una sección en las páginas
de la revista contenía material del grupo terrorista ETA , que se adjudicaba la
responsabilidad de asesinatos de funcionarios políticos y de seguridad españoles, y
ataques contra instalaciones militares. El IGC finalmente cedió y bajo del servidor el
sitio debido a los constantes "bombardeos de correo."23
21
La investigación de la firma digital Segured.com se encuentra publicada en la pagina de
“etabasco” una publicación dirigida a jóvenes ínternautas creada con fondos del gobierno mexicano,
Fuente, dirección electrónica:
http://www.etabasco.gob.mx/historial_jovenes_mujer/jovenes/historial/octubre/2/tecnologia.htm
22
ISP: Siglas de Internet Service Provider. Hace referencia al sistema informático remoto al cual se
conecta un ordenador personal y a través del cual se accede a Internet. Fuente:
www.educ.ar/educar/ayuda/glosario
23
bombardeos de correo electrónico se refiere a correo no solicitado , para ampliar la información
puede dirigirse a la siguiente Fuente, dirección electrónica:
http://www.etabasco.gob.mx/historial_jovenes_mujer/jovenes/historial/octubre/2/tecnologia.htm
8
• “En 1998, las guerrillas étnicas de Tamil hundieron , literalmente, las embajadas
de Sri Lanka con 800 E-mails al día sobre un período de dos semanas. Los
mensajes leídos "somos los tigres negros del Internet y estamos haciendo esto
para interrumpir sus comunicaciones.”, quedaran en la estadística como el primer
ataque conocido de terroristas contra los sistemas informáticos de un país”.
• En 1999 Durante el conflicto de Kosovo, las computadoras de la OTAN fueron
arruinadas con bombardeos de E-mail y con ataques de negación de servicio por
los activistas hackers que protestaban por los bombardeos de la OTAN. Además,
los negocios, las organizaciones públicas, y los institutos académicos recibieron
altas cantidades de E-mails y virus, según otros informes. Las desconfiguraciones
en la red eran también campo común. Después de que la embajada china fuera
bombardeada accidentalmente en Belgrado, los mensajes fijados , de los activistas
hackers chinos, tales como "nosotros no pararemos este ataque hasta que la
guerra se detenga!" en sitios de la red del gobierno de Estados Unidos, eran
bastante comunes.
• En 2000, el conflicto palestino israelí saltó a internet. De acuerdo con un reportaje
de The Washington Post, hackers israelíes atacaron la página de la guerrilla
islámica Hezbollah colocándole un archivo de audio del Hatikva, himno nacional
israelí, imágenes con la bandera de Israel y textos en hebreo. Durante la última
semana de octubre de 2000, los palestinos contraatacaron introduciéndose en las
páginas del Ejército israelí, del Ministerio del Exterior, del Primer Ministro, del
Parlamento y otros. Esas páginas quedaron bloqueadas por algunas horas con
miles de mensajes hostiles. En este ciberconflicto no hay hackers especializados,
sino miles de jóvenes árabes e israelíes con algunos conocimientos de informática.
Estos últimos tienen la ventaja de que en su país hay un millón 100 mil conexiones
a Internet24, muchas más que en los 22 estados árabes juntos. Pero esa ventaja
también es una debilidad, pues más redes pueden ser víctimas de los ataques.
24
De aquellos israelíes quienes están conectados, un 81% utiliza ADSL o cable, comparados
con 61% seis meses atrás; un 19% utiliza conexión de marcado, comparado con 39% hasta el
pasado Octubre Datos estimado de conexiones, Fuente: http://elreloj.com/article.php?id=4435
9
• En 2003, el jueves 27 de marzo, en el contexto de la guerra en Irak, la cadena
árabe Al Jazeera, importante medio de información árabe, sufrió intensos ataques
por parte de piratas informáticos., la información en línea de la televisora qatarí fue
suplantada por una bandera estadounidense y leyendas como "dejen que suene la
libertad", "pirateado por la cibermilicia patriota de la libertad" y "Dios bendiga a
nuestras tropas". 25
Mientras que los incidentes antedichos fueron motivados por razones políticas y
sociales, está en tela de juicio si fueron suficientemente dañinos o espantosos para
ser clasificados como ciberterroristas.
Ningún ataque ha conducido hasta ahora a la lesión de personas o generado
violencia abrumadora, aunque si pudo haber intimidado a sus víctimas. Muchos de
estos grupos hacen sus operaciones como actos de desobediencia civil, análogos
a las protestas de la calle , no como actos de violencia o terrorismo. Esto es una
distinción importante ya que la mayoría de los activistas no son terroristas. La
amenaza del ciberterrorismo ha sido principalmente teórica, pero es algo que hay
que mirar y se deben tomar precauciones razonables en contra.
Mirando primero las vulnerabilidades, un estudio reciente26 ha demostrado que las
infraestructuras
críticas
son
potencialmente
vulnerables
al
ataque
del
ciberterrorista. Un ejercicio sin aviso conducido por el departamento de la defensa
en 1997, encontró que la red de energía y los sistemas de la emergencia , tenían
debilidades que podrían ser explotadas por un adversario usando solamente
herramientas públicas disponibles en el Internet.
Aunque ninguno de estos sistemas fueron atacados realmente, los miembros del
estudio concluyeron que el servicio en estos sistemas podría ser interrumpido.
25
Fuente: Investigación de la firma digital Segured.com se encuentra publicada en la pagina de
“etabasco, Dirección electrónica:
http://www.etabasco.gob.mx/historial_jovenes_mujer/jovenes/historial/octubre/2/tecnologia.htm
26
Estudio internacional realizado a mediados de agosto de 2002 por Internet Security Alliance
(ISAlliance), National Association of Manufacturers (NAM) y RedSiren Technologies , publicado el
10 de Septiembre de 2002 en la dirección electrónica: http://www.virusprot.com/Nt100932.html
10
También en 1997, la comisión presidencial de los Estados Unidos de protección
crítica de la infraestructura, publicó su advertencia27 de que las infraestructuras
críticas podrían ser asequibles de nuevas formas, y que aumentaban las
vulnerabilidades constantemente, mientras que los costos del ataque disminuían.
Sin embargo muchas de las debilidades en sistemas automatizados pueden ser
corregidas con eficacia pero es imposible eliminarlas todas. Incluso, si la tecnología
misma ofreciera buena seguridad, se configuraría con frecuencia dejando las
puertas abiertas a un nuevo ataque. Además, hay siempre la posibilidad de actuar
en concierto con otros terroristas, aumentando aun más las capacidades de
acceso. Según el ex ministro del interior Ruso. Konstantin Machabeli, el monopolio
del gas, Gazprom28 de Rusia, fue atacado por hackers en complicidad con un
trabajador de Gazprom. Los hackers dijeron en esa ocasión haber utilizado un
“Trojan Horse”29 para ganar el control de la central telefónica y con esto los
controles de el gas que fluye en las tuberías, aunque Gazprom refutó el informe30.
Los consultores y los contratistas son con frecuencia un objetivo donde se podría
causar un daño grave. Como ejemplo , el departamento metropolitano de policía de
Japón divulgó que un sistema de software que habían comprado para seguir 150
vehículos del policía, incluyendo algunos otros particulares, había sido creado por
el culto de Aum Shinryko, el mismo grupo que gaseó el subterráneo de Tokio en
1995, matando a 12 personas e hiriendo a 6.000 más. A la hora del
descubrimiento, el culto había clasificado datos sobre 115 vehículos. Además, el
culto había desarrollado el software para por lo menos 80 firmas japonesas y 10
agencias estatales. Habían trabajado como subcontratistas a otras firmas,
27
Advertencia publicada el 7 de marzo de 2000 como punto aparte en la Agenda de Política Exterior
del gobierno Bush , dirección electrónica: www.usinfo.state.gov/journals/itps/0301/ijps/ijps0301.pdf
28
Gazprom es el productor más grande de gas natural del mundo y el surtidor más grande de gas a
Europa occidental, según el articulo publicado el 18 de febrero de 2002 por la prestigiosa
publicación
de
negocios
norteamericana
“Bussines
Week”,
dirección
electrónica:
www.businessweek.com/magazine/ content/02_07/b3770079.htm
29
Trojan Horse (Caballo de Troya) Se refiere a un programa cuyo proceso lógico necesario hace
que el creador del programa tenga oportunidad de acceder al interior del sistema que lo procesa.
Fuente:Computer Knowledge virus tutorial. Dirección electrónica:
http://www.cknow.com/vtutor/vthistory.htm.
11
haciendo casi imposible que las organizaciones supieran quién había desarrollado
el software. Como subcontratistas, el culto podía haber instalado los caballos
troyanos en el lanzamiento o facilitar ataques de ciberterroristas en otra fecha.
Temiendo manejar un virus propio, en el mes de febrero de 2003, el departamento
de estado envió un cable urgente a cerca de 170 embajadas y les pidieron quitar el
software.31
Si pensamos según lo dicho que las infraestructuras críticas son vulnerables a un
ataque ciberterrorista, la pregunta siguiente sería si hay agentes con la capacidad y
la motivación para realizar tal operación. Mientras que muchos hackers tienen el
conocimiento,
las
habilidades,
y
las
herramientas
para
atacar
sistemas
informáticos, estos carecen generalmente de la motivación para causar violencia o
daño económico social severo. Inversamente, los terroristas que se motivan para
causar violencia parecen carecer de la capacidad o la motivación para causar ese
grado de daño en el ciberespacio.
Los terroristas utilizan el ciberespacio para facilitar formas tradicionales de
terrorismo como los bombardeos de correo y ponen sitios en la red para difundir
sus mensajes , para reclutar a sus partidarios y utilizan el Internet para comunicar y
para coordinar la acción. Sin embargo, son pocas las indicaciones que persigue el
ciberterrorismo, conjuntamente con actos de violencia física.
En febrero de 1998 Clark Staten32,
ante el subcomité judicial del senado en
tecnología y terrorismo, atestiguó que los miembros de algunas organizaciones
extremistas islámicas han estado procurando desarrollar una ' red de hackers ' para
apoyar sus actividades con las computadoras e incluso para producir ataques
ofensivos y desatar una guerra de información en el futuro." En noviembre de 2003,
30
Fuente: KERR, Orin S. Cybercrime's Scope: Interpreting 'Access' and 'Authorization' in Computer
Misuse Statutes.2003. Nwe York University Law Review, Vol. 78, No. 5, pp. 1603, November 2003.
31
Fuente: Extraído del libro de Cortijo Fernández, Bernardino, Ciberterrorismo, concepto, armas,
ataques y consecuencias. Barcelona: Aranzadi,2001. Actualidad Informática Aranzadi 2001 nº 40,
Julio.Pags. 47,48.
32
Clark Staten es actualmente el director ejecutivo del instituto de respuesta y de investigación de
emergencia con sede en Chicago, Estados Unidos.
12
las noticias mundiales33 divulgaron que un miembro militante de un grupo
separatista Indu :”Harkat-UL-Ansar” había intentado comprar software militar a
varios hackers que lo habían robado de las computadoras del departamento de la
defensa de Estados Unidos.
El ejército republicano irlandés , IRA, empleó los servicios de los hackers para
penetrar en las computadoras y así adquirir las direcciones de las casas de los
oficiales de inteligencia, estos datos fueron utilizados para hacer planes para matar
a estos oficiales en una sola "noche de los cuchillos largos" si el gobierno británico
no resolvía los términos para un nuevo cese el fuego que exigían los terroristas.34
Este caso ilustra como los terroristas pueden buscar la manera de adquirir
inteligencia como ayuda a la violencia física, incluso si no la utilizan explícitamente
en el ciberespacio.
Para entender la amenaza potencial del ciberterrorismo, tres factores deben ser
considerados: primero, si hay blancos que sean vulnerables al ataque y que
puedan conducir a la violencia o al daño severo, en segundo lugar, si hay agentes
con la capacidad y motivación para llevarlos ha la practica y en tercer lugar el
funcionamiento y origen de los programas que causan estos efectos devastadores:
los virus informáticos.
33
La noticia completa puede ser revisada en la pagina de la prestigiosa revista Compute World,
fechada el de febrero de 2003, dirección electrónica:
http://www.computerworld.com/securitytopics/security/cybercrime/story/0,10801,78238,00.html
34
Al grupo insurgente IRA también se le ha atribuido el ser pionero en ataques cibernéticos. Fuente
electrónica: http://www.globalterrorism101.com/UTTypesofTerroristAttacks.html
13
2.2 VIRUS INFORMÁTICOS
Los virus de las computadoras son básicamente programas. El nombre de virus
informático es debido a su parecido con los virus biológicos. “De la misma forma
que los virus biológicos, los virus informáticos se introducen en el cuerpo humano
(computadora) de alguna forma concreta e infectan las células (archivos),
presentando algún síntoma de esta infección”35. Además, ambos pueden
reproducirse y propagarse, extendiendo la infección desde el sistema ya infectado
a otros.
Los virus son programas, especiales que pueden producir secuelas no deseadas y
nocivas. Una vez el virus se haya implantado en un ordenador, se ubicará en
lugares donde el usuario pueda ejecutarlo de manera no intencionada. Hasta que
no se ejecuta el programa infectado o se cumple una determinada condición36, el
virus no actúa. Incluso en ciertas ocasiones, los resultados derivados de éste, se
presentan tiempo después de su ejecución. Como característica típica de un virus
esta la capacidad de replicarse e infectar con esto a otros archivos y programas.
2.2.1 Definiciones Virus Informáticos
Existen muchas definiciones como interrogantes sin respuestas exactas. Sin
embargo, si cabe la posibilidad de concretar algunos requisitos que cumplen estos
agentes víricos:
• Son programas de computadora.
• Su principal cualidad es la de poder auto replicarse.
• Intentan ocultar su presencia hasta el momento de la explosión.
35
Analogía hecha por el equipo de investigación de Universidad Americana, Managua, Nicaragua
Fuente: http://www.uam.edu.ni/2002/antivirus/center.htm
36
Condición de activación de una fecha concreta, una acción que realiza el usuario, etc.), FUENTE:
COMPUTER KNOWLEDGE virus tutorial. Dirección electrónica:
14
• Producen efectos dañinos en el "huésped37".
“Si exceptuamos el primer punto, los restantes podrían aplicarse también a los virus
biológicos. El parecido entre biología y tecnología puede llegar a ser en ocasiones
ciertamente abrumador. Como el cuerpo humano, la computadora puede ser
atacada por agentes infecciosos capaces de alterar su correcto funcionamiento o
incluso provocar daños irreparables en ciertas ocasiones”38.
Realmente, los virus informáticos son auténticas imitaciones de sus hermanos
biológicos. Un virus es un agente infecciosos muy peligroso que hay que manejar
con sumo cuidado.
“Un virus informático ocupa una cantidad mínima de espacio en disco ( el tamaño
es vital para poder pasar desapercibido), se ejecuta sin conocimiento del usuario y
se dedica a auto replicarse, es decir, hace copias de sí mismo e infecta archivos,
tablas de partición o sectores de arranque de los discos duros y disquetes para
poder expandirse lo más rápidamente posible”39. Ya se ha dicho antes que los virus
informáticos guardan cierto parecido con los biológicos y es que mientras los
segundos infectan células para poder replicarse los primeros usan archivos para la
misma función. En ciertos aspectos es una especie de "burla tecnológica" hacia la
Naturaleza.
Mientras el virus se replica este intenta pasar lo más desapercibido que puede,
para así evitar que el "huésped" se de cuenta de su presencia, hasta que llega el
momento de la "explosión" el cual es el momento culminante que marca el final de
la infección y cuando llega suele venir acompañado del formateo del disco duro,
borrado de archivos o mensajes de protesta. No obstante el daño se ha estado
http://www.cknow.com/vtutor/vthistory.htm. [Consulta: Mayo de 2004]
Huésped no solamente se refiere a las computadoras en si, sino a los programas o paginas en la
red que manejan los usuarios. Computer Knowledge virus tutorial. Dirección electrónica:
http://www.cknow.com/vtutor/vthistory.htm. [Consulta: Mayo de 2004]
38
Fuente: Panda Anivirus, Modulo 3, unidad 1, dirección electrónica:
http://www.educa.aragob.es/cursoryc/utilidades1/modulo3/unidad1.htm
39
Fuente: Que son los virus informáticos .Dirección electrónica:
www.geocities.com/ogmg.rm/QueSon.html
15
37
ejerciendo durante todo el proceso de infección, ya que el virus ha estado
ocupando memoria en la computadora, ha ralentizado los procesos y ha
"engordado" los archivos que ha infectado.
2.2.2 Ciclo de vida de un virus informático
Los virus tienen un ciclo de vida muy concreto:
1.
Programación y desarrollo
2.
Expansión
3.
Actuación
4.
Extinción o mutación ( en este último caso el ciclo se repite)
2.2.3 Características de un virus informático
Estos programas tienen algunas características muy especiales:
•
Son muy pequeños.
•
Casi nunca incluyen el nombre del autor, ni el registro o Copyright, ni la fecha
de creación.
•
Se reproducen a sí mismos.
Toman el control o modifican otros programas.
2.2.4 ¿Cómo surge un virus informático?
Por Internet se pueden encontrar miles de páginas que hacen referencia al estudio
y desarrollo de los virus informáticos, tras ellas importantes desarrolladores de virus
y en algunos casos organizados en grupos con nombres como “Astalavista,
Crackers, Paradox, La Vieja Guardia, etc... “. En la cabecera de algunas de estas
páginas podemos encontrar un mensaje como: "Los autores no se responsabilizan
del contenido de estas páginas"... o " solo con fines educativos", pero cuando
damos una vuelta por ellas podemos encontrar códigos destructivos de lo más
16
variados, incluso ponen a disposición de incautos: programas ejecutables
infectados. También podemos encontrar herramientas de generación de virus tales
como “ Virus Creation Lab, Trojan Horse, etc”40. Estos grupos se mueven a sus
anchas por Internet, participando en los grupos de noticias y en los canales de
chat. Las páginas de "Cracks"41 son un ejemplo de las muchas relacionadas con el
“Underground”, un tema que está gozando de un gran auge en Internet.
Ciertamente podemos hacer distinciones entre desarrolladores de virus. En su
inmensa mayoría son personas que intentan superarse a sí mismas creando virus
cada vez más complicados, pero cuando alguien necesita ayuda para desinfectar
ese virus puede encontrarse con que el propio programador le responda en algún
grupo de noticias diciéndole lo que tiene que hacer o que antivirus le recomienda. (
Ciertamente hacen un doble juego).
Normalmente el buen desarrollador de virus maneja con gran perfección el lenguaje
ensamblador42, aunque un virus puede desarrollarse también en lenguajes de alto
nivel. Se pueden encontrar incluso aplicaciones destinadas a usuarios con pocos
conocimientos de programación para la creación de virus tales como el :”Virus
Construction Lab, Nowhere Utilities, Vc2000”, nada que ver con el “Turbo
Assembler”, por ejemplo una herramienta muy potente que en Colombia poco se
conoce.
2.2.5 Historia de los virus informáticos
Los científicos del área de la computación discutieron por primera vez la posibilidad
de un programa capaz de duplicarse a sí mismo y extenderse entre las
computadoras desde los años 50.
40
Estos programas son distribuidos libremente por la red por los mismos hackers, muchos de
estos traen consigo más virus ocultos . Fuente: Que son los virus informáticos .Dirección
electrónica: www.geocities.com/ogmg.rm/QueSon.html
41
Para mayor información puede visitar esta página: http://www.cracks.st/
42
La importancia del lenguaje ensamblador radica principalmente que se trabaja directamente
con el microprocesador; por lo cual se debe de conocer el funcionamiento interno de este, tiene
la ventaja de que en el se puede realizar cualquier tipo de programa Fuente: Que son los virus
informáticos .Dirección electrónica: www.geocities.com/ogmg.rm/QueSon.html.
17
El primer virus informático apareció a mediados de 1980. Los hermanos Amjad,
propietarios de un almacén informático y frustrados por la piratería, escribieron el
primer virus al que se le denominó Brain.
De ese simple y casi inocente comienzo, se ha propagado una contracultura
enfocada en la creación de virus y su propagación, con consecuencias muy caras y
a menudo desastrosas.
Pero no fue sino hasta 1983 que un software de virus real fue creado, cuando un
estudiante en la Universidad de California, Fred Cohen, escribió una tesis de
doctorado sobre el tema43.
A continuación se presenta una breve cronología de lo que ha sido los orígenes de
los virus44:
1949: Se da el primer indicio de definición de virus. John Von Neumann
(considerado el Julio Verne de la informática), expone su "Teoría y organización de
un autómata complicado". Nadie podía sospechar de la repercusión de dicho
artículo.
1959: En los laboratorios AT&T Bell, se inventa el juego "Guerra Nuclear" (Core
Wars) o guerra de núcleos de ferrita. Consistía en una batalla entre los códigos de
dos programadores, en la que cada jugador desarrollaba un programa cuya misión
era la de acaparar la máxima memoria posible mediante la reproducción de si
mismo.
43
El Dr. Fred Cohen, intelectual eminente, dirige desde hace varios años una pequeña empresa
denominada Fred Cohen & Associates, además está a cargo del programa College Cyber
Defenders, de la Universidad de New Haven, en California. La auto-biografía, aunque incompleta,
de
este
notable
intelectual
se
puede
ver
y
traducir
desde
este
enlace:
http://www.cdt.org/security/dos/000223senate/cohen.html
18
1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje
"SOY CREEPER...ATRÁPAME SI PUEDES!". Ese mismo año es creado su
antídoto: el antivirus Reaper cuya misión era buscar y destruir al Creeper.
1974: El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola
de ejecución del ASP45 de IBM lo que causaba un bloqueo del sistema.
1980: La red ARPANET es infectada por un "gusano" y queda 72 horas fuera de
servicio. La infección fue originada por Robert Tappan Morris46, un joven estudiante
de informática de 23 años, aunque según él fue un accidente.
1983: El juego Core Wars, con adeptos en el MIT47, salio a la luz publica en un
discurso de Ken Thompson. Dewdney48 explica los terminos de este juego. Ese
mismo año aparece el termino virus tal como lo entendemos hoy.
1985: Dewdney intenta enmendar su error publicando otro artículo "Juegos de
Computadora virus, gusanos y otras plagas de la Guerra Nuclear atentan contra la
memoria de los ordenadores".
1986: Se da el primer caso de contagio masivo de computadoras a través del
MacMag, virus también llamado Peace sobre computadoras Macintosh. Este virus
fue creado por Richard Brandow y Drew Davison y lo incluyeron en un disco de
juegos que repartieron en una reunión de un club de usuarios. Uno de los
asistentes, Marc Canter, consultor de Aldus Corporation, se llevó el disco a
Chicago y contaminó la computadora en el que realizaba pruebas con el nuevo
44
La fuente de esta cronología fue tomada de THE HISTORY OF COMPUTER VIRUSES se puede
hallar completa en ingles en http://www.virus-scan-software.com/virus-scan-help/answers/thehistory-of-computer-viruses.shtml
45
El protocolo ASP (Active Server Pages)se refiere al desarrollo de aplicaciones cliente/servidor ,
Fuente, dirección electrónica: www.webexperto.com/articulos/articulo.php?cod=57
46
El Juicio de los Estados Unidos contra Robert Tappan Morris tuvo una gran trascendencia
histórica, debido a su alto nivel intelectual y el daño causado. Para mas información sobre el
documento puede visitar: http://web.mit.edu/index.html
47
MIT son las siglas del Massachussets Institute of Technology, su dirección electrónica es:
http://web.mit.edu/index.html
48
DEWDNEY, AK Aventuras informáticas: los mundos del ordenador. Barcelona. Labor. 1990.Pg 34
19
software Aldus Freehand. El virus contaminó el disco maestro que fue enviado a la
empresa fabricante que comercializó su producto infectado por el virus.
1987: Se descubre la primera versión del virus "Viernes 13" en los ordenadores de
la Universidad Hebrea de Jerusalén.
1988: El virus “Brain” creado por los hermanos Basit y Alvi Amjad49 de Pakistan
aparece en Estados Unidos y en este año paradójicamente el auge de los
computadores personales en todas las casas , la epidemia en los años siguientes
sería un echo.
2.2.6 ¿ Por qué se hace un virus informático?
La mayoría de los diseñadores de virus lo ven como un pasatiempo, aunque
también hay otros que usan los virus como un medio de propaganda o difusión de
sus quejas o ideas radicales, como por ejemplo el virus “Telefónica”50, que emitía
un mensaje de protesta contra las tarifas de esta compañía a la vez que reclamaba
un mejor servicio, o el “Silvia” que sacaba por pantalla la dirección de una chica
que al parecer no tuvo una buena relación con el programador del virus. Otras
veces es el orgullo, o la competitividad, entre los programadores de virus lo que les
lleva a desarrollar virus cada vez más destructivos y difíciles de controlar.
En oposición a los virus que atacan a los humanos, los virus de computadora no
ocurren de forma natural, cada uno debe ser programado. No existen virus
benéficos. Algunas veces son escritos como una broma, quizá para irritar a la gente
desplegando un mensaje humorístico. En estos casos, el virus no es mas que una
molestia. Pero cuando un virus es malicioso y causa daño real, ¿quién sabe
realmente la causa? ¿Aburrimiento? ¿Coraje? ¿Reto intelectual? Cualquiera que
sea el motivo, los efectos pueden ser devastadores.
49
Actualmente, Shahid Alvi, PhD. en Ciencias de la Computación, es Presidente de ISPAK, la
asociación de ISP de Pakistan. Basit Alvi es Director de Administración de Sistemas en el periódico
Daily Pakistan. Fuente: http://virus.dst.usb.ve/article/articlestatic/34/3/6/
20
3. CLASIFICACIÓN DE LOS VIRUS INFORMÁTICOS51
3.1 Virus de Macros/Código Fuente.
Se adjuntan a los programas Fuente de los usuarios y, a las macros utilizadas por:
Procesadores de Palabras (Word, Works, WordPerfect), Hojas de Cálculo (Excell,
Quattro, Lotus).
3.2 Virus Mutantes.
Son los que al infectar realizan modificaciones a su código, para evitar ser
detectados o eliminados (NATAS o SATÁN, Miguel Ángel, por mencionar algunos).
3..3 Gusanos
Los gusanos se diferencian de los virus en que no intentan infectar otros ficheros.
Su único objetivo es propagarse o expandirse a otros ordenadores de la forma más
rápida posible. Por otra parte, emplean técnicas para replicarse (propagarse). En
realidad su objetivo es crear copias de sí mismos y con ellas realizar infecciones en
otros ordenadores. Las infecciones producidas o reproducciones que éstos realizan
casi siempre a través de medios como el correo electrónico, las redes de
ordenadores y los canales de IRC52 en Internet. También es posible que se
repliquen dentro de la memoria del computador. Cuando un gusano es ejecutado,
permanece así hasta que se apaga o se reinicia el ordenador. No obstante cada
uno de ellos utiliza técnicas diferentes para asegurar su ejecución siempre que se
50
Telefónica es el operador de telecomunicaciones más grande España y actualmente es líder en
el mundo de habla hispana y portuguesa. Fuente: www.telefonica.es/
51
La Clasificación de Virus Informáticos fue extraída según de varias fuentes y empresas creadoras
de antivirus en el mundo, a continuación la lita de direcciones electrónicas donde se puede ampliar
la información: www.symantec.com, www.antivirus.com, www.mcafee.com. www.pandasoftware.es/
52
Canal IRC es la abreviatura para Internet Relay Chat., el cual es un servicio de Internet que nos
permite conectarnos por medio de servidores de a distintos canales en ese servidor. Fuente,
dirección electrónica: http://www.aibarra.org/irc/default.htm
21
arranca el ordenador y se entra en Windows. Por ejemplo la modificación del
Registro de Windows.
Los gusanos que centran sus infecciones en otros ordenadores, copian el
programa que utilizan para realizar la infección en un determinado directorio de
dicho equipo. Esto lo conseguirán propagándose a través de cualquiera de las vías
que permitan el acceso a otras computadoras (red, correo electrónico, unidades de
disco, Internet,...). Por otra parte, podría darse en caso de que el gusano estuviese
compuesto por varios programas. En tal caso, cada uno de ellos actuará de forma
subordinada a uno de éstos que se considerará principal. Esta variación, suele ser
denominado como gusano de red53.
Los pasos que sigue generalmente un gusano para realizar sus infecciones se
pueden resumir en los siguientes:
1.
Alguien (generalmente un hacker), aprovechando los posibles fallos de
seguridad en el sistema o en una determinada herramienta software, introduce el
gusano en una red de ordenadores.
2.
El gusano entra en los equipos a los que pueda acceder a través de un
hueco de seguridad.
3.
Una vez allí, el gusano crea una copia de sí mismo.
4.
Después de esto, intenta introducirse en todos los ordenadores a los que
pueda tener acceso.
53
Un gusano de red, es un virus que circula libremente por Internet y espera infectar un computador
que tenga una vulnerabilidad sin conocimiento del usuario, un análisis de un gusano de red puede
encontrase en la siguiente fuente:
http://www.delitosinformaticos.com/articulos/99717398882640.shtml
22
Dependiendo del lenguaje en el que estén escritos, las técnicas utilizadas para
propagarse y otras características, los gusanos pueden ser de varios tipos54:
1.
Gusanos de correo electrónico. Son gusanos que se propagan a través
de mensajes de correo electrónico, mediante la utilización de programas clientes de
correo.
2.
Gusanos de IRC (gusanos de mIRC y de Pirch). Son gusanos que se
propagan a través de canales de IRC (Chat).
3.
Gusanos de VBS (Visual Basic Script). Son gusanos escritos o creados
en Visual Basic Script.
4.
Gusanos de Windows32. Son gusanos que se propagan a través de las
API de Windows (las funciones pertenecientes a un determinado protocolo de
Internet).
3.4 Caballos de Troya.
Los Caballos de Troya
o troyanos no se pueden considerar virus como tales.
Recogen su nombre de la mitología (el famoso caballo de madera en el que se
escondieron los soldados para entrar a la ciudad de forma aparentemente
inofensiva, cuando lo que pretendían era realmente hacerse con ella). Del mismo
modo funcionan los troyanos. Éstos parecen ser programas inofensivos que llegan
a nuestro ordenador por cualquier medio. Cuando se ejecuta este programa
(llevarán nombres o tendrán características que incitarán a ello), se instalará en
nuestro ordenador generalmente con el nombre de otro programa y eventualmente
podrá producir efectos destructivos.
54
Fuente: Los gusanos informáticos y sus formas de propagación , dirección electrónica:
www.adelaflor.com/seguridad/gusanos.htm
23
En un principio, el troyano podría no activar sus efectos. De todas formas, cuando
esto ocurra (cuando se cumple la condición de activación), se podrán eliminar
ficheros, perder la información del disco duro, o abrirse los posibles huecos de
seguridad a modo de puestas traseras (backdoor) por las que nuestro equipo
podría ser atacado.
La mayoría de ellos se encargan de acceder a determinados puertos de
comunicaciones y abrirlos o dejarlos accesibles desde el exterior. En tal caso, a
través de una conexión (en una red local o a través de Internet) alguien podría
acceder a toda la información contenida en nuestro equipo (contraseñas, claves
personales, direcciones de correo electrónico,...), enviar esta información a otras
direcciones (a otros ordenadores, generalmente los del atacante) y realizar
cualquier tipo de operación sin nuestro consentimiento.
3.5 Bombas de Tiempo.
Son los programas ocultos en la memoria del sistema o en los discos, o en los
archivos de programas ejecutables con tipo COM o EXE55. En espera de una fecha
o una hora determinadas para "explotar". Algunos de estos virus no son
destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la
"explosión". Llegado el momento, se activan cuando se ejecuta el programa que las
contiene.
3.6 Virus auto replicables.
Son los virus que realizan las funciones mas parecidas a los virus biológicos, ya
que se auto reproducen e infectan los programas ejecutables que se encuentran en
el disco. Se activan en una fecha u hora programadas o cada determinado tiempo,
55
La extensiones EXE, Directly executable program (MSDOS),y COM ,Command (memory image
of executable program) son las aplicaciones mas usadas para abrir archivos. Fuente:
http://www.glosarium.com/term/980,7,xhtml
24
contado a partir de su última ejecución, o simplemente al "sentir" que se les trata de
detectar. Un ejemplo de estos es el virus del Viernes 13, que se ejecuta en esa
fecha y se borra (junto con los programas infectados), evitando así ser detectado.
3.7 Virus del área de carga inicial.
Infectan los disquetes o el disco duro, alojándose inmediatamente en el área de
carga. Toman el control cuando se enciende la computadora y lo conservan todo el
tiempo.
3.8 Virus del área del sistema.
Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros
que se alojan como residentes en memoria. Los comandos del Sistema Operativo,
como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar
el Sistema Operativo y es así como el virus adquiere el control para infectar todo
disco que sea introducido a la unidad con la finalidad de copiarlo o simplemente
para ver sus carpetas (también llamadas: carpetas, subdirectorios, directorios).
3.9 Virus de programas ejecutables.
Estos son los virus más peligrosos, porque se diseminan fácilmente hacia cualquier
programa (como hojas de cálculo, juegos, procesadores de palabras).
1.
La infección se realiza al ejecutar el programa que contiene al virus, que en
ese momento se posiciona en la memoria de la computadora y a partir de entonces
infectará todos los programas cuyo tipo sea EXE o COM, en el instante de
ejecutarlos, para invadirlos autocopiándose en ellos.
25
Aunque la mayoría de estos virus ejecutables "marca" con un byte56
2.
especial los programas infectados , para no volver a realizar el proceso en el
mismo disco, algunos de ellos (como el de Jerusalén) se duplican tantas veces en
el mismo programa y en el mismo disco, que llegan a saturar su capacidad de
almacenamiento.
3.10 Encriptados.
Más que un tipo de virus, se trata de una técnica que éstos pueden utilizar. Por
este motivo, los virus que la utilizan (pudiendo pertenecer a otros tipos o
categorías), se suelen denominar también encriptados. Esto es, el virus se cifra,
codifica o "encripta" a sí mismo para no ser fácilmente detectado por los programas
antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y cuando ha
finalizado, se vuelve a cifrar.
3.11 Multipartitos.
Este tipo de virus pueden realizar múltiples infecciones y hacerlo además utilizando
diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser
infectado: archivos, programas, macros, discos,... etc. Se consideran bastante
peligrosos por su capacidad de combinar muchos técnicas de infección y las
acciones que pueden llegar a realizar.
3.12 Polimórficos.
Son virus que emplean una nueva técnica para dificultar su detección por parte de
los programas antivirus (generalmente, son los virus que más cuesta detectar). En
este caso varían en cada una de las infecciones que llevan a cabo. De esta forma,
generan una elevada cantidad de copias de sí mismos.
56
Es una serie de 8 bits. La capacidad de almacenaje de un ordenador se mide en bytes. Un
Kilobyte (o 1 K) representa 1024 bytes y un Megabyte (1 Mb) representa mil "K" bytes.Fuente:
www.pergaminovirtual.com.ar/glosario/byte.htm
26
4. FUNCIONAMIENTO DE UN VIRUS INFORMÁTICO
Un virus es simplemente un programa. Debemos de dejar a un lado los
nerviosismos y los miedos infundados y al mismos tiempo ser concientes del daño
real que puede causarnos. Lo mejor es tener conocimiento de como funcionan y las
medidas que debemos tomar para prevenirlos y hacerles frente , las siguiente es
una recopilación y construcción en forma de guía muy completa tomada de
diversas fuentes de Internet y libros sobre el funcionamiento de un virus
informático.
4.1 Proceso de infección57.
El virus puede estar en cualquier sitio. En ese disquete que nos deja un amigo, en
el último archivo descargado de Internet, etc.
Dependiendo del tipo de virus el proceso de infección varia sensiblemente. Puede
que el disco contaminado tenga un virus de archivo en el archivo: FICHERO.EXE
por ejemplo. El usuario introduce el disco en la computadora ( por supuesto no lo
escanea con un antivirus o si lo hace es con un antivirus desactualizado) y mira el
contenido del disco... unos archivos de texto, unas .dll's, un .ini ... ah, ahí esta, un
ejecutable, es decir nuestro FICHERO.EXE” . Vamos a ver que tiene. El usuario
ejecuta el programa. En ese preciso momento las instrucciones del programa son
leídas por la computadora y procesadas, pero también procesa otras instrucciones
que no deberían estar ahí.
El virus comprueba si ya se ha instalado en la memoria. Si ve que todavía no está
contaminada pasa a esta y puede que se quede residente en ella. A partir de ese
momento todo programa que se ejecute será contaminado. El virus ejecutará todos
los programas, pero después se copiará a sí mismo y se "pegará" al programa
27
ejecutado "engordándolo" unos cuantos bytes. Para evitar que usuarios avanzados
se den cuenta de la infección ocultan esos bytes de más para que parezca que
siguen teniendo el mismo tamaño. El virus contaminará rápidamente los archivos
de sistema, aquellos que están en uso en ese momento y que son los primeros en
ejecutarse al arrancar la computadora. Así, cuando el usuario vuelva a arrancar la
computadora el virus se volverá a cargar en la memoria cuando se ejecuten los
archivos de arranque del sistema contaminados y tomará otra vez el control del
mismo, contaminando todos los archivos que se encuentre a su paso”58.
Puede que el virus sea también de "Sector de arranque". En ese caso el código del
virus se copiará en el primer sector del disco duro que la computadora lee al
arrancar. Puede que sobrescriba el sector original o que se quede una copia del
mismo para evitar ser detectado. Los virus de sector de arranque se aseguran de
ser los primeros en entrar en el sistema, pero tienen un claro defecto. Si el usuario
arranca la computadora con un disquete "limpio" el virus no podrá cargarse en
memoria y no tendrá el control.
Un caso menos probable es que el virus sea de "Tabla de partición". El mecanismo
es muy parecido al de los de sector de arranque solo que el truco de arrancar con
un disquete limpio no funciona con estos. En el peor de los casos nos
encontraremos con un virus multipartita, que contaminará todo lo que pueda,
archivos, sector de arranque, etc.
4.2 Técnicas de programación de los virus informáticos
4.2.1 Técnicas Stealth59
Son técnicas "furtivas" que utilizan para pasar desapercibidos al usuario y a los
antivirus. Habitualmente los virus ocultan el tamaño real de los archivos que han
Proceso De Infeccion, Fuente.: http://www.geocities.com/ogmg.rm/Funciona.html
Esta es la tipicia secuencia y explicación de ocmo un virus inforatico llega a ainfectar a un
computador . Fuente : http://usuarios.lycos.es/urogallo/program.html
59
Técnicas Stealth , Fuente: www.geocities.com/ogmg.rm/Funciona.html
28
57
58
contaminado, de forma que si hacemos un DIR60 la información del tamaño de los
archivos puede ser falsa. Los virus de tabla de partición guardan una copia del
original en otro lugar del disco que marcan como sectores defectuosos para
mostrársela al usuario cuando haga por ejemplo un escaneo al disco duro. Incluso
hay virus que detectan la ejecución de determinados antivirus y descargan de la
memoria partes de su propio código "sospechoso" para cargarse de nuevo cuando
estos han finalizado su búsqueda.
4.2.2 Tunneling 61
Es una técnica usada por programadores de virus y antivirus para evitar todas las
rutinas al servicio de una interrupción y tener así un control directo sobre esta.
Requiere una programación compleja, hay que colocar el procesador en modo
paso a paso. En este modo de funcionamiento, tras ejecutarse cada instrucción se
produce la interrupción : Se coloca una ISR (Interrupt Service Routine) para dicha
interrupción y se ejecutan instrucciones comprobando cada vez si se ha llegado a
donde se quería.
4.2.3 Antidebuggers 62
Un “debugger” es un programa que permite descompilar programas ejecutables y
mostrar parte de su código en lenguaje original. Los virus usan técnicas para evitar
ser desensamblados y así impedir su análisis para la fabricación del antivirus
correspondiente.
60
Se refiere a una orden que le damos al computador para que nos muestre los archivos del
disco duro detalladamente, con su extensión, tiempo de creación, etc. Fuente:
www.doschivos.com/dos.htm
61
Tunneling , fuente: www.racsa.co.cr/consejos_navegacion/
consejos/peligros/virus/funcionamiento.htm
62
Antidebuggers fuente: www.zonavirus.com/Tecnicas/Anti-debuggers.asp
29
4.2.4 Polimorfismo o auto mutación63
Es una técnica que consiste en variar el código vírico en cada infección ( más o
menos lo que hace el virus del SIDA en los humanos con su capa proteica). Esto
obliga a los antivirus a usar técnicas heurísticas ya que como el virus cambia en
cada infección es imposible localizarlo buscándolo por cadenas de código. Esto se
consigue utilizando un algoritmo de encriptación que pone las cosas muy difíciles a
los antivirus. No obstante no se puede codificar todo el código del virus, siempre
debe quedar una parte sin mutar que toma el control y esa es la parte más
vulnerable al antivirus.
4.2.5 TSR64
Los programas residentes en memoria (TSR) o memoria superior, permanecen
alojados en esta durante toda su ejecución.
Los virus utilizan esta técnica para mantener el control sobre todas las actividades
del sistema y contaminar todo lo que encuentren a su paso. El virus permanece en
memoria mientras la computadora permanezca encendido. Por eso una de las
primeras cosas que hace al llegar a la memoria es contaminar los archivos de
arranque del sistema para asegurarse de que cuando se vuelva a arrancar la
computadora volverá a ser cargado en memoria.
63
Polimorfismo o auto mutación Fuente: www.racsa.co.cr/consejos_navegacion/
consejos/peligros/virus/funcionamiento.htm
64
TSR Fuente: https://www.nisu.org/SPI/p/recop/al01/jerry/
30
5. MEDIOS DE ENTRADA MÁS HABITUALES PARA LOS VIRUS
INFORMÁTICOS
”La primera pregunta que debemos plantearnos es: ¿a través de qué medios un
virus puede introducirse en nuestro ordenador, o atacarlo?. Si conocemos
perfectamente la respuesta, seremos capaces de proteger esas posibles vías de
entrada para impedir posteriores infecciones”. Los virus utilizan los siguientes
medios para ello65:
5.1 Unidades de disco extraíbles.
Las unidades de disco son aquellos medios de almacenamiento en los que se
guarda información, mediante ficheros, documentos, o archivos. Con ellos se
puede trabajar en un ordenador para, posteriormente, utilizarlos en otro diferente.
Algunos de estos medios de almacenamiento pueden ser los disquetes, CD-ROMs,
unidades Zip y Unidades Jazz. Estos dos últimos tipos no son más que unos discos
especiales con mayor capacidad que los disquetes. Si alguno de ellos se
encontrase infectado y trabajásemos con él en un ordenador, éste podría ser
igualmente infectado. Dentro de una unidad almacenamiento, también se pueden
almacenar mensajes de correo electrónico y éstos podrían estar infectados.
Los disquetes (u otras unidades de disco extraíbles), pueden almacenar
programas, archivos, páginas web (HTML), mensajes de correo que incluyen
archivos infectados, ficheros comprimidos,...etc. Cualquiera de estos elementos
podría estar infectado. De la misma forma, el disco podría tener infectado el
denominado "sector
65
La fuente de esta cronología fue tomada de carios foros con hackers españoles pertenecientes a
la red alerta antivirus de España se puede hallar completa en español en http://www.virus-scansoftware.com/virus-scan-help/answers/the-history-of-computer-viruses.shtmlalertaantivirus.red.es/virus/ ver_pag.html?tema=V&articulo=1&pagina=1
31
de arranque", debido a un virus de Boot. Aunque todavía tienen lugar, hoy en día
las
infecciones
producidas
a
través
de
disquetes
han
disminuido
considerablemente hasta un 10%. Éste medio de propagación ha dado paso a
otros mucho más rápidos, como el correo electrónico
Aunque en un principio las unidades de CD-ROM solamente podían leer el
contenido pero no escribir nada en el disco, actualmente es posible tanto la lectura
como la escritura (grabación) de un CD-ROM. Esto, unido a la gran cantidad de
información que se puede almacenar en ellos, ha producido gran número de
infecciones. Además, muchos de los ordenadores actuales permiten ser
arrancados mediante CD-ROM. Esto último puede incrementar el número de
infecciones.
5.2 Redes de ordenadores
Una red es un conjunto o sistema de ordenadores conectados entre sí físicamente
(a través de cable, módem, routers,... etc), para facilitar el trabajo de varios
usuarios. Esto quiere decir que existen conexiones entre cualquiera de los
ordenadores que forman parte de la red. De este modo será posible transferir
información entre ellos y/o acceder a la información que contiene uno de ellos,
desde los restantes. Si la información (programas, archivos, documentos,...) a la
que se accede -o la que es transmitida- de un ordenador a otro estuviese infectada,
los ordenadores que acceden a ella -o que intervienen en su transferencia-, podrían
infectarse igualmente.
Éstas conexiones pueden ser locales y/o remotas, pudiendo conectar los
ordenadores y portátiles a través de cable, una Intranet, módem,... etc. En
resumidas
cuentas, esto hace que se tenga acceso a la red por numerosos puntos.
Comencemos pensando en un sólo ordenador y los medios a través de los cuales
pueden introducirse virus en él. Esto hay que ampliarlo o multiplicarlo al número de
ordenadores que pueden forman parte de una red. Además, tenemos que tener en
32
cuenta los posibles equipos móviles (como portátiles) que se podrían conectar a
dicha red. Todo ello nos da una idea sobre la gran cantidad de "lugares" o
"caminos" a través de los cuales pueden introducirse los virus en una red.
5.3 Internet.
Cada día más se utilizan las posibilidades que brinda Internet para obtener
información, realizar envíos y recepciones de ficheros, recibir y publicar noticias, o
descargar ficheros. Internet se ha convertido en la mayor vía de entrada de virus.
Todas estas operaciones se basan en la transferencia de información, así como en
la conexión de diferentes ordenadores en cualquier parte del mundo. Por tanto,
cualquier virus puede introducirse en nuestro ordenador al mismo tiempo que la
información recibida. A través de Internet la infección podría realizarse empleando
diferentes caminos como los siguientes:
• Correo electrónico: en un mensaje enviado o recibido se pueden incluir
documentos o ficheros (fichero adjunto o anexado o atachment). Estos ficheros
podrían estar infectados. Al abrir el mensaje y ejecutar o abrir el archivo incluido en
él, el ordenador del destinatario del mensaje será infectado. Las características
más importantes de las infecciones a través de correo electrónico, son las
siguientes:
1.
Elevada capacidad de replicación y propagación. El virus se puede
extender a miles de ordenadores de todo el mundo, en cuestión de minutos.
2.
Almacenamiento de mensajes. Éstos se guardan en bases de datos
especiales (por ejemplo, ficheros PST), difíciles de analizar con antivirus que no
están especialmente diseñados para sistemas de correo electrónico.
3.
Elevada capacidad de conexión. Es posible enviar y recibir mensajes entre
casi cualquier tipo de ordenador.
33
A diario se intercambian millones y millones de mensajes de correo en todo el
mundo. El tiempo transcurrido entre el envío de un mensaje y su recepción, es
mínimo. Además, un mismo mensaje de correo electrónico puede tener un número
elevado de destinatarios. Esto confiere al correo electrónico las condiciones más
apetecibles para los creadores de virus: extrema rapidez de propagación y un gran
número de destinatarios.
Por otra parte, los virus actuales pueden producir la infección y tienen capacidad
para volver enviarse a sí mismos (auto enviarse) a otros ordenadores (sin que el
usuario infectado sea consciente de ello). En este caso los nuevos destinatarios del
virus podrán ser todas las personas que el usuario infectado tenga incluidas en su
Libreta de Direcciones de correo.
En la gran mayoría de las ocasiones, las infecciones a través de e-mail no ocurren
cuando se abre el mensaje correspondiente, sino cuando se ejecuta o abre el
archivo incluido en él. No obstante, existen excepciones. Algunos virus, la minoría,
pueden producir su infección cuando se abre el mensaje de correo (sin necesidad
de ejecutar el fichero adjunto).Para evitar las infecciones a través de correo
electrónico, podríamos tener en cuenta los siguientes criterios o consejos:
1. Contar con antivirus específico para analizar correo electrónico.
2. No abrir mensajes sospechosos, cuyo destinatario sea desconocido, que
contengan textos extraños,... etc.
3. No ejecutar ni abrir los ficheros incluidos en mensajes de correo sospechosos.
4. Si sospechamos que el mensaje está infectado, lo deberíamos eliminar y avisar
de ello al remitente del mismo.
• Páginas Web: la mayoría de las páginas que visitamos en Internet son ficheros
de texto o imágenes escritos en un lenguaje denominado HTML. No obstante
también pueden contener programas denominados Controles ActiveX y Applets de
Java, que son programas. Éstos sí pueden estar infectados y podrían infectar al
usuario que se encuentre visitando esa página.
34
La navegación por páginas Web puede aprovechar las deficiencias de nuestro
navegador, mediante los Controles Active-X, los Applets de Java, el código HTML
y/o JavaScript, además de otros métodos. De esta forma los virus podrían "colarse"
en nuestro ordenador.
• Transferencia de ficheros (FTP): el término FTP significa File Transfer Protocol.
Es decir, Protocolo de Transferencia de Ficheros. Mediante él se pueden colocar
documentos en ordenadores que se encuentran en cualquier parte del mundo
(upload) o copiar ficheros de estos ordenadores al nuestro (bajar ficheros o
download). En la descarga, un archivo se copia directamente desde un
determinado lugar, hasta nuestro ordenador. Estos ficheros pueden contener virus
que infectarán nuestro ordenador.
Una de las actividades más realizadas por los usuarios en Internet, es la descarga
de programas (shareware), documentos,... etc; además de las descargas de
software en lugares concretos. Por este motivo, es muy importante descargar
ficheros solamente de aquellos lugares o sitios que cuenten con las suficientes
garantías.
• Descargas (download): aunque la descarga de archivos a través de Internet
guarda cierta similitud con la transferencia de ficheros (FTP), no es lo mismo.
Mientras que mediante FTP podemos tanto bajar (descargar - download) como
subir (upload) archivos, mediante la descarga simplemente podremos obtener
archivos (que se copiarán desde un determinado Website a nuestro ordenador).
Generalmente estas descargas son seguras y están libres de virus, pero podría ser
que el fichero a descargar estuviese infectado. Existen páginas especialmente
preparadas para realizar descargas de software o herramientas informáticas
• Grupos de noticias (News o Newsgroups): mediante las denominadas "News"
es posible debatir sobre un determinado tema con cualquier otra persona del
mundo y recibir correo electrónico con nuevas noticias sobre ese tema. En estos
grupos trabajaremos de forma similar a lo que ocurre con los tablones de anuncios.
Cada usuario va dejando sus comentarios, dudas, o notas sobre determinados
35
• temas y otros usuarios pueden responderle, opinar, resolver dudas,... etc. Estos
mensajes con noticias pueden tener documentación adjunta infectada que permita
la introducción de virus en nuestro ordenador.
Dentro de los grupos de noticias, corremos igualmente riesgos frente al ataque de
los virus. Cuando nos conectamos a un grupo de news, se descargan los archivos
con cada uno de los artículos existentes (de forma similar al correo electrónico).
Estos archivos podrían estar infectados.
Para finalizar este apartado, en la siguiente tabla podemos apreciar la evolución de
los medios de infección utilizados por los virus, a lo largo de cuatro años. Es
evidente que el medio preferido por los creadores de virus, es el correo electrónico.
5.4 Lugares donde se esconden los virus informáticos para realizar sus
Infecciones66
Un virus utiliza sus propias medidas de ocultamiento, pudiendo "esconderse" de los
antivirus en diferentes lugares y utilizando diferentes técnicas para ello. Algunos de
estos escondites, podrían ser los siguientes:
66
Fuente: http://www.uam.edu.ni/2002/antivirus/virusdef.htm
36
•
En memoria principal: en este caso el virus se colocará automáticamente en la
memoria principal (memoria RAM) esperando que se ejecute algún programa
(fichero con extensión EXE o COM) para infectarlo. Ese tipo de virus, se denomina
residente.
•
Documentos con macros: por regla general, los ficheros que no sean
programas, no son infectados por ningún tipo de virus. Sin embargo, existen
determinados tipos de documentos (ficheros o archivos) con los que el usuario
puede trabajar, o que puede crear, que permiten incluir en ellos lo que se denomina
macro. Una macro es un conjunto de instrucciones o acciones que otro programa
puede llevar a cabo. Pues bien, estas macros pueden formar parte del documento
(texto, hoja de cálculo o base de datos) y por tratarse de programas pueden ser
infectados por los virus (virus de macro).
•
Sector de arranque (Boot y Master Boot): el sector de arranque es una
sección concreta de un disco (disquete o disco duro) en la que se guarda la
información sobre las características de disco y sobre el contenido del mismo.
Cuando hablamos del sector de arranque de un disquete utilizamos el término
BOOT, mientras que si se trata del sector de arranque de un disco duro,
emplearemos el término Master BOOT (MBR). En ocasiones, esta sección de un
disco contiene un programa que permite arrancar el ordenador. Algunos virus (los
virus de Boot) se esconden en este lugar infectando ese programa y haciendo, en
el arranque del ordenador, que se ejecute el virus.
•
Ficheros adjuntos a los mensajes de correo electrónico: cada vez más se
utiliza el correo electrónico para el envío de ficheros. Estos ficheros acompañan al
mensaje (ficheros adjuntos, anexos o attachments) de texto que se envía, pudiendo
estar infectados. Generalmente, al recibirlos, el destinatario no sospecha que el
fichero recibido puede contener un virus o serlo, pero al abrir el mensaje y
37
posteriormente abrir el fichero que dentro de él se incluye podría llevarse una
sorpresa desagradable.
•
Páginas Web en Internet67: las páginas que se visitan a través de la
navegación por Internet, son ficheros que por regla general no deberían estar
infectados ya que se trata de documentos de texto (texto, imágenes, sonido). Sin
embargo éstas pueden incluir otros elementos denominados Applets de Java o
Controles ActiveX. Estos son programas que dotan a la página Web de mayor
dinamismo, presentaciones y en definitiva, posibilidades. Por tratarse de programas
pueden estar infectados e infectar al usuario que visita la página que los contiene.
67
Fuente: http://www.uam.edu.ni/2002/antivirus/virusdef.htm
38
6. VIRUS DE MACRO
A diferencia de los tipos de virus comentados anteriormente, los cuales infectan
programas (ficheros EXE o COM) o aplicaciones, los virus de macro realizan
infecciones sobre los ficheros (documentos, libros, presentaciones y/o bases de
datos) que se han creado con determinadas aplicaciones o programas. Cada uno
de estos tipos de ficheros puede tener adicionalmente unos pequeños programas,
denominados macros. Una macro no es más que un micro-programa que el usuario
asocia al fichero que ha creado con determinadas aplicaciones. Éste no depende
del sistema operativo sino de acciones determinadas que el usuario puede realizar
dentro del documento que la contiene. Mediante ellos es posible automatizar
conjuntos de operaciones para que se lleven a cabo como una sola acción del
usuario de forma independiente sin necesidad de realizarlas una a una
manualmente.
Pues bien, estas macros podrían estar infectadas o infectarse, lo que significa que
los virus (más concretamente los de macro) pueden fijar sus objetivos de infección
en ellas. En este caso, al abrir un documento que contenga macros, éstas se
cargarán de forma automática (ejecutándose o esperando que el usuario decida
ejecutarlas). En ese instante o posteriormente, el virus actuará realizando cualquier
tipo de operación perjudicial. Al diferencia de lo que se piensa habitualmente, los
virus de macro pueden realizar acciones dañinas de bastante importancia,
propagándose en poco tiempo de forma muy rápida.
Por otra parte, estos virus pueden infectar las plantillas genéricas o globales (a
través de las macros) que las herramientas (procesadores de texto, hojas de
cálculo,...) utilizan. Al abrir un documento, hoja de cálculo o base de datos con la
plantilla infectada, éstos se infectarán. Este es el método más habitual que
emplean los virus de macro para extender sus infecciones.
Este tipo de virus, como ya hemos comentado, actúan sobre los documentos, hojas
de cálculo o libros, bases de datos y/o presentaciones con macros. Por lo tanto, su
39
objetivo serán los ficheros creados con herramientas que permiten utilizar macros.
Esto quiere decir que no existe un sólo tipo de virus de macro, sino uno para cada
tipo de herramienta:
No obstante, no todos los programas o herramientas que permitan la gestión de
macros serán objetivo de este tipo de virus. Las herramientas que son atacadas por
los virus de macro, deben cumplir una serie de condiciones:
•
Las macros pueden transportarse (a través de cualquier medio) de un
ordenador a otro, por estar incluidas en el propio fichero infectado (documento, hoja
de cálculo, presentación, base de datos,...).
•
Se pueden obtener, incluir y utiliza en un fichero las macros que se han creado
e incluido en otros.
•
Las macros pueden ejecutarse automáticamente (al abrir o cerrar el fichero, por
ejemplo), sin que esto dependa del usuario.
Los tipos de virus de macro más comunes, son los siguientes:
6.1 Virus de Macro Virus de macro para Microsoft Word.
Son los virus más comunes en la actualidad, siendo su objetivo los documentos de
texto creados y manipulados con Microsoft Word (archivos con extensión. DOC documentos-). Para identificarlos como tal, sus nombres suelen ir precedidos de los
siguientes prefijos: WM (virus de macro para Word 6.0 y/o Word 95), W97M (virus
de macro para Word 97), o W00M (virus de macro para Word 2000). En estos
casos las macros estarán escritas en Visual Basic, además de las macros
automáticas.
Los métodos más utilizados para la propagación de sus infecciones son las propias
macros, la plantilla global de Word (fichero NORMAL.DOT) y otros tipos de
plantillas personales y el directorio INICIO de Microsoft Word.
40
6.2 Virus de macro para Microsoft Excel.
El objetivo de estos virus son los libros u hojas de cálculo creadas y manipuladas
con Microsoft Excel. Para identificarlos como tal, sus nombres suelen ir precedidos
de los siguientes prefijos: XM (virus de macro para Excel 6.0 y/o Excel 95), X97M
(virus de macro para Excel 97), o X00M (virus de macro para Excel 2000). En estos
casos las macros estarán escritas en Visual Basic, además de las macros
automáticas.
Los métodos más utilizados para la propagación de sus infecciones son las propias
macros y el directorio INICIOXL de Microsoft Excel.
6.3 Virus de macro para Microsoft Access.
Aunque no son tan comunes como los dos tipos anteriores, existen algunos.
También a diferencia de los tipos anteriores no utilizan macros, sino los
denominados módulos propios de Microsoft Access. Su objetivo serán las bases de
datos creadas y manipuladas con Microsoft Access (archivos con extensión .MDB).
6.4 Virus de macro para Microsoft PowerPoint.
El objetivo de estos virus son las presentaciones creadas y manipuladas con
Microsoft PowerPoint (archivos con extensión .PPT -presentaciones-). Los métodos
más utilizados para la propagación de sus infecciones son las propias macros, la
plantilla global de PowerPoint.
6.5 Virus de macro Multiprograma o Multi Macro Partite.
Existen virus de macro cuyo objetivo no es únicamente una determinada
herramienta de Microsoft Office, sino varias de ellas (por ejemplo, pueden atacar
documentos de Word y hojas de cálculo de Excel). Para diferencias estos virus de
los virus de Word o Excel, se utilizan los siguientes prefijos: OM (virus de macro
para Office 95), O97M (virus de macro para Office 97).
41
Esta es una estrategia utilizada para dar confianza al usuario. Éste es consciente
de que un archivo RTF no debería contener macros. Por lo tanto lo abrirá y, si se
trata de un falso RTF, podría producirse la infección (del mismo modo que si fuese
un DOC).
6.6 Virus de macro en archivos .RTF.
Los archivos RTF pueden ser creados con Microsoft Word, pero no pueden
contener macros. Sin embargo si tuviésemos un archivo con extensión DOC
(documento de Word) que contiene macros y cambiásemos su extensión para que
fuese .RTF, las macros del DOC original sí se mantendrían. El resultado sería lo
que se denomina un "falso RTF".
Esta es una estrategia utilizada para dar confianza al usuario. Éste es consciente
de que un archivo RTF no debería contener macros. Por lo tanto lo abrirá y, si se
trata de un falso RTF, podría producirse la infección (del mismo modo que si fuese
un DOC).
6.7 Virus de macro para Lotus Ami Pro.
Este tipo de virus es bastante reducido en la actualidad. El objetivo de estos virus
son los archivos creados y manipulados con el procesador de textos Lotus Ami Pro
(archivos con extensión .SAM -el documento de texto- y archivos con extensión
.SMM -archivo que contiene macros y otras informaciones-).
El método utilizado por estos virus para propagarse consiste en la búsqueda de
otros archivos.
6.8 Virus de macro para Corel Draw.
El objetivo de estos virus son los archivos creados y manipulados con la
herramienta para la creación de gráficos, Corel Draw. Para realizar sus infecciones,
42
localizan los archivos de script correspondientes a Corel Draw (archivos con
extensión .CSC, donde se almacenan elementos similares a las macros). Entonces
averiguan si éstos llevan en su interior la línea "REM Virus". Si no es así, proceden
a infectar el archivo.
43
7. SÍNTOMAS DE INFECCIÓN QUE PUEDEN PRODUCIR LOS VIRUS
INFORMÁTICOS
Esta sección pretende clasificar y describir cada uno de los posibles síntomas que
podemos apreciar, cuando algún virus, gusano o troyano ha producido una
infección o se ha activado en nuestro ordenador.
En un principio comenzaremos estableciendo un criterio aproximado para los
determinar los posibles grados de daño que los virus pueden realizar en nuestro
ordenador:
•
Sin daños. En este caso los virus no realizan ninguna acción tras la infección.
Generalmente, suelen ser virus que solamente se dedican a propagarse e infectar
otros elementos y/o equipos (se envían a sí mismos por correo electrónico, IRC, o
a través de la red).
•
Daño mínimo. Solamente realizan acciones que son molestas al usuario, sin
afectar a la integridad de la información, ni de otras áreas del equipo (presentación
mensajes por pantalla, animaciones en pantalla,... etc).
•
Daño moderado/escaso. En este caso pueden presentarse modificaciones de
archivos o pérdidas moderadas de información, pero nunca serán totalmente
destructivas (desaparecen algunos ficheros, o el contenido de parte de ellos). Las
posibles acciones realizadas por el virus, serían reparables.
•
Daño grave. Pérdida de grandes cantidades de información y/o archivos. Aun
así, parte de los datos podrían ser recuperables, aunque el proceso sería algo
complicado y tedioso.
•
Daño muy grave/irreparable. En este caso se podría perder toda la
información contenida en las unidades de disco infectadas (incluidas las unidades
de red). Se podría además perder la estructura de cada una de las unidades de
44
•
disco (por lo menos de la principal), mediante el formateo de éstas. Estos daños
son muy difícilmente reparables y algunos de ellos irreparables. Además, se
atacarán también e otros sistemas de memoria como la RAM, la CMOS y la BIOS,
así como los sistemas de arranque y todos los ficheros propios del sistema.
• Daños imprevisibles. Son aquellos que generalmente causan los troyanos. Éstos
son programas que pueden estar manipulados de forma remota (desde otro
ordenador) por una persona que está produciendo un ataque (atacante o hacker).
Este tipo de programas cada vez son más complejos y cuentan con más utilidades
y funciones de ataque. Con el programa cliente -en el ordenador del atacante-, el
programa servidor -en el ordenador de la víctima- y una conexión a través de un
puerto de comunicaciones en el ordenador de la víctima, es posible realizar
cualquier acción en éste último.
7.1 Efectos de los virus informáticos
Algunos de los síntomas o efectos que podemos apreciar en nuestro ordenador,
cuando el virus ha producido su infección o se ha activado (en función de la
condición de activación), podrían ser los siguientes:
a.
Lentitud. Se puede apreciar que el ordenador trabaja mucho más despacio
de lo habitual. Tarda mucho más en abrir las aplicaciones o programas que
utilizamos. Incluso el propio sistema operativo emplea mucho más tiempo en
realizar operaciones sencillas que antes no le llevaban tanto tiempo.
b.
Ejecución / Apertura. Cuando tratamos de poner en marcha un
determinado programa o abrir un determinado archivo, este no se ejecuta o no se
abre.
c.
Imposibilidad para acceder al contenido de archivos. Cuando se abre
un archivo, se muestra un mensaje de error, o simplemente esto es imposible.
45
d.
Puede ser que el virus haya modificado la Tabla de Asignación de
Ficheros, perdiéndose así las direcciones en las que éstos comienzan.
e.
Mensajes de error inesperados y no habituales. Aparecen cuadros de
diálogo con mensajes absurdos, jocosos, hirientes, agresivos,... etc; que
generalmente no aparecen en situaciones normales.
f.Disminución de espacio en la memoria y el disco duro. El tamaño libre en el
disco duro disminuye considerablemente. Esto podría indicar que el virus ha
infectado una gran cantidad de archivos y que se está extendiendo dentro del
ordenador. Cuando ejecutamos algún programa, además aparecen mensajes
indicando que no tenemos memoria suficiente para hacerlo (aunque esto no sea
cierto, pues no tenemos apenas programas abiertos).
g.
Sectores defectuosos. Se indica que alguna sección del disco en el que
estamos trabajando, tiene errores y que es imposible guardar un archivo, o realizar
cualquier tipo de operación en ella.
h.
Alteración en las propiedades de los archivos. El virus modifica alguna
o todas las características del archivo al que infecta. De esta manera, podremos
apreciar, que la fecha / hora asociada a él (la de su creación o última modificación)
es incorrecta, se han modificado sus atributos, el tamaño ha cambiado (cuando
esto no debería suceder).
i. Errores del sistema operativo. Al realizar ciertas operaciones -normales y
soportables por el sistema operativo en otro tipo de circunstancias- aparecen
mensajes de error, se realizan otras acciones no deseadas, o simplemente no
ocurre nada.
j. Ficheros duplicados. Si existe un archivo con extensión EXE, aparecerá otro con
el mismo nombre que éste, pero con extensión COM (también programa). El
46
k.
archivo con extensión COM será el virus. El virus lo hace así porque, si
existen dos archivos con el mismo nombre, el sistema operativo ejecutaría siempre
en primer lugar el que tenga extensión COM.
l. Ficheros renombrados. El virus habrá cambiado el nombre de los archivos a los
que ha infectados y/o a otros concretos.
m.
Problemas en el arranque del ordenador. El ordenador no arranca, o no
lo hace de la forma habitual. Sería conveniente arrancar el ordenador con un disco
de sistema o arranque y analizar todas las áreas del ordenador con un antivirus n
línea de comandos.
n.
Bloqueo del ordenador. En situaciones donde tenemos pocos programas
abiertos (o ninguno) y la carga del sistema no es elevada, éste se bloquea (se
queda "colgado") y nos impide continuar trabajando. Será necesario utilizar la
combinación de teclas CTRL+ALT+SUPR. para poder eliminar la tarea que se ha
bloqueado, o reiniciar el sistema.
o.
El ordenador se apaga (se reinicia). Sin realizar ninguna operación
extraña y mientras estamos trabajando normalmente con el ordenador, éste se
apaga automáticamente y se vuelve a encender (se reinicia). Evidentemente, todo
aquello que no hayamos guardado o grabado, se habrá perdido definitivamente.
p.
El programa se cierra. Mientras estamos trabajando con una aplicación o
programa, ésta se cierra sin haber realizado ninguna operación indebida o alguna
que debería haber producido esta acción.
47
q.
Se abre y cierra la bandeja del CD-ROM. Sin que intervengamos para
nada en el equipo, la bandeja de la unidad lectora de CD-ROM, se abre y se cierra
de forma autónoma. Esta acción es muy típica de los troyanos.
r.
El teclado y/o el ratón no funcionan correctamente. Cuando utilizamos
el teclado, éste no escribe lo que queremos, o realiza acciones que no
corresponden a la combinación de teclas que hemos pulsado. Por otra parte, el
puntero del ratón se mueve de forma autónoma por toda la pantalla, sin que
nosotros lo movamos (o cuando lo movemos, realiza ciertas animaciones no
habituales).
s.
Desaparecen secciones de ventanas y/o aparecen otras nuevas.
Determinadas secciones (botones, opciones de menú, redidentes en la barra de
tareas de Windows, textos,...) que deberían aparecer en una determinada ventana,
han desaparecido y no se muestran en ella. También sería posible que en pantallas
donde no debería aparecer nada, se muestren iconos extraños o contenidos que no
son habituales en ellas (por ejemplo en la barra de tareas de Windows, junto al reloj
del sistema).
7.2 Técnicas Utilizadas Por Los Virus Informáticos
Cada uno de los miles de virus existentes utiliza diferentes mecanismos, tanto para
realizar la infección como para ocultarse y pasar desapercibido. Estas técnicas
evolucionan con el tiempo, como las técnicas utilizadas por los programas antivirus
para detectarlos. En esta sección presentamos los mecanismos utilizados por los
virus, con más frecuencia:
•
Ocultamiento (Stealth): los virus que utilizan este tipo de métodos intentan
pasar desapercibidos ante los ojos del usuario, no levantando ninguna sospecha
sobre la infección que ya ha tenido lugar. Los virus residentes son los que más la
utilizan, aunque no es exclusivamente este tipo de virus quienes la aplican, otros
48
tipos de virus también la utilizan. Por otra parte, Las técnicas de ocultamiento o
stealth pueden ser varias, el término ocultamiento no se refiere a una sola forma de
realizar esta práctica. No obstante, los programas antivirus, también utilizan
técnicas especiales anti-ocultamiento para realizar las detecciones de estos tipos
de virus.
Cuando
un
virus
contagia
un
determinado
archivo,
suele
dejar
signos
incuestionables de su trabajo, como los siguientes: aumento de tamaño en el
fichero infectado, modificación de la fecha y hora de creación en el fichero
infectado, secciones marcadas como defectuosas, disminución de la capacidad en
la memoria, ...etc. El virus se encargará de que cada una de estas pistas no
puedan ser visualizadas. Para ello vigilará peticiones de información que requiere
el sistema operativo acerca de estas características, interceptándolas y ofreciendo
un información falseada e irreal. Los virus que utilizan técnicas de ocultamiento o
stealth, suelen realizar ciertas acciones para que no se aprecien sus efectos. Entre
alguna de éstas, podemos destacar las siguientes68:
•
Los archivos infectados aumentarán de tamaño cuando se produce la infección,
ya que el virus se introduce dentro del mismo. Sin embargo, este tipo de virus
impide que se muestre el nuevo tamaño del archivo, para no levantar sospechas.
•
Cuando infectan a un archivo, no modifican su fecha, ni su hora. Es decir, no
permiten que el fichero tenga la fecha y hora de la última modificación (las del
momento en el que se produjo la infección).
•
Si se colocan en memoria, lo suelen hacer por encima de los primeros 640
Kbytes.
•
Si son virus capaces de escribir en secciones protegidas de un disco (donde no
se permite la escritura), evitan la aparición de errores de escritura.
• Sobrepasamiento (Tunneling): se trata de una técnica especialmente diseñada
para imposibilitar la protección antivirus en cualquier momento. Mientras el análisis
68
Técnicas usadas por los virus para evadir antivirus. Fuente, dirección electrónica:
www.udec.cl/~plazo/tarea4/tecnicas.htm
49
permanente, o residente, del programa antivirus que se encuentre instalado intenta
realizar detecciones, el virus actúa en su contra. Todas las operaciones que se
realizan sobre cualquiera de los archivos son inspeccionadas por el antivirus
mediante la interceptación de las acciones que el sistema operativo lleva a cabo
para hacerlas posible. De la misma manera, el virus interceptará estas peticiones o
servicios del sistema operativo, obteniendo las direcciones de memoria en las que
se encuentran. Así el antivirus no detectará la presencia del virus. No obstante,
existen técnicas antivirus alternativas que permiten la detección de virus que
realicen este tipo de operaciones.
El sistema de tunneling es bastante complicado, ya que hay que colocar el
microprocesador en el modo paso a paso y trabajar con interrupciones. Además,
este tipo de virus es capaz de obtener la dirección de memoria en la que
originalmente se encuentran los servicios del sistema operativo. Esto le permite
utilizar este tipo de servicios sin interceptar los utilizados por otros programas.
•
Autoencriptación: los programas antivirus se encargan de buscar determinadas
cadenas de caracteres (lo que se denomina la firma del virus) propias de cada uno
de los posibles virus. Estos, por su parte y mediante la técnica de auto encriptación,
podrían infectar de forma diferente en cada ocasión (polimórficos).
Esto significa que el virus utilizará una cadena concreta para realizar una infección,
mientras que en la siguiente infección utilizará otra distinta. Por otro lado, el virus
codifica o cifra sus cadenas para que al antivirus le sea difícil encontrarlo. Sin
embargo, los virus que utilizan este tipo de técnicas, emplean siempre la misma
rutina o algoritmo de encriptación, con lo que es posible su detección.
Es decir, mediante una clave de cifrado y una serie de operaciones matemáticas, el
virus se puede codificar a sí mismo. Esto dificulta la decodificación del virus para su
análisis y/o detección. El virus también puede descifrarse a sí mismo.
Generalmente, utilizan la misma clave para el cifrado que para el descifrado.
50
• Polimorfismo: basándose en la técnica de auto encriptación, los virus
polimórficos se codifican o cifran, de manera diferente en cada infección que
realizan (su firma variará de una infección a otra). Si sólo fuese así estaríamos
hablando de virus que utilizan la encriptación, pero adicionalmente dichos virus
cifrarán también el modo
(rutina o algotirmo) mediante el cual realizan el cifrado de su firma. Todo esto hace
posible que un el virus polimórfico sea capaz de crear ejemplares de sí mismo
diferentes, de una infección a la siguiente, cambiando de "forma" en cada una de
ellas. Las operaciones de cifrado se realizan generalmente mediante operaciones
XOR (OR-Exclusive), donde a XOR b = a'b+ab'.
Para su detección, los programas antivirus emplean técnicas de simulación de
descifrado. En un principio, éstos tratarán de localizar a los virus buscando su firma
o patrón (cadena de caracteres que lo identifica de manera única). Si el virus está
codificado y además esta codificación se hace de forma diferente en cada una de
las infecciones, resultará muy difícil su detección.
Sin embargo, el virus no puede codificarse completamente a sí mismo, ya que
necesita contar con una parte (no cifrada) que le permita realizar su propia
decodificación. Esto es utilizado por los programas antivirus para realizar la
detección de los virus polimórficos. Para ello el antivirus intentará localizar la rutina
o algoritmo que permite al virus decodificarse automáticamente.
• Armouring: mediante esta técnica el virus impide ser examinado. Para conocer
más datos sobre cada uno de ellos, éstos son abiertos como ficheros que son,
utilizando programas especiales (Debugger) que permiten descubrir cada una de
las líneas del código (lenguaje de programación en el que están escritos). Pues
bien, en un virus que utilice la técnica de Armouring no se podrá leer el código.
En resumidas cuentas, el virus impide que se pueda estudiar su código, haciendo
imposible su desensamblado o traceado. De ahí el nombre de armouring
51
(acorazado, con armadura,...). De todas formas, existen programas antivirus que
utilizan técnicas heurísticas para detectar a este tipo de virus.
52
8. QUÉ ES UN ANTIVIRUS
Un antivirus es un programa de computador cuya intención es combatir y
exterminar los virus informáticos. Para que el antivirus sea fructuoso y efectivo hay
que configurarlo celosamente de tal forma que fructifiquemos todas las cualidades
que poseen. Hay que saber cuales son sus fortalezas y debilidades y tenerlas en
cuenta a la hora de enfrentar a los virus.
En el mundo digital como en la vida humana existen virus que no tienen cura, por
eso hay que andar precavidamente. Un antivirus es una solución para minimizar los
riesgos y nunca será una solución definitiva, lo principal para que funciones es
mantenerlo actualizado con el fin de mantener el sistema estable y seguro,
tomando siempre medidas preventivas , correctivas y estar constantemente
leyendo sobre los virus y nuevas tecnologías.
La totalidad de los virus son excluidos del sistema posteriormente que arremeten a
éste. El antivirus habitualmente escanea cada archivo en la computadora y lo
compara con las tablas de virus que guarda en disco. Por esto el antivirus siempre
debe estar actualizado, es recomendable que se actualice una vez por semana
para que sea capaz de combatir los virus que son creados cada día. También, los
antivirus utilizan la técnica heurística que permite detectar virus que aun no están
en la base de datos del antivirus. Es sumamente útil para las infecciones que
todavía no han sido actualizadas en las tablas porque trata de localizar los virus de
acuerdo a ciertos comportamientos ya preestablecidos.
”El aspecto más importante de un antivirus es detectar virus en la computadora y
tratar de alguna manera sacarlo y eliminarlo de nuestro sistema. Los antivirus, no
del todo facilitan las cosas, porque al ellos estar todo el tiempo activos y tratando
53
de encontrar virus al instante esto hace que consuman memoria de la
computadoras y tal vez la vuelvan un poco lentas o de menos desempeño”.
Un buen antivirus es uno que se ajuste a nuestras necesidades. No debemos
dejarnos seducir por tanta propaganda de los antivirus que dicen que detectan y
eliminan 56,432 virus o algo por el estilo porque la mayoría de esos virus o son
familias derivadas o nunca van a llegar al país donde nosotros estamos. Muchos
virus son solamente de alguna región o de algún país en particular.
A la hora de comprar un buen antivirus debemos saber con que frecuencia esa
empresa saca actualizaciones de las tablas de virus ya que estos son creados
diariamente para infectar los sistemas. El antivirus debe constar de un programa
detector de virus que siempre este activo en la memoria y un programa que
verifique la integridad de los sectores críticos del disco duro y sus archivos
ejecutables. Hay antivirus que cubren esos dos procesos, pero si no se puede
obtener uno con esas características hay que buscar dos programas por separado
que hagan esa función teniendo muy en cuenta que no se produzca ningún tipo de
conflictos entre ellos.
Un antivirus además de protegernos el sistema contra virus, debe permitirle al
usuario hacer alguna copia del archivo infectado por si acaso se corrompe en el
proceso de limpieza, también la copia es beneficiosa para intentar una segunda
limpieza con otro antivirus si la primera falla en lograr su objetivo.
• Detección y Prevención
Hoy en día debido a la sofisticación de los virus, es difícil percatarse de la
presencia de estos por causas de pérdida de desempeño, pero hay que destacar
que la mayoría de estos hacen que el sistema:
1.
Realice sus operaciones de procesamiento más lentas.
2.
Los programas tardan mas en cargarse en memoria.
54
3.
Los programas comienzan a acceder por momentos a la unida de discos
flexibles y discos duros sin necesidad alguna.
4.
Disminución sin motivos del espacio en disco duro y memoria de la
computadora en forma constante y repentina.
5.
Aparición de programas desconocidos en la memoria.
Afortunadamente, las infecciones informáticas pueden ser prevenibles por el
usuario. Con una buena combinación de sentido común unido a un buen antivirus
se puede precaver a gran escala. Además se debe concienciar a los usuarios con
políticas de seguridad en el uso del correo electrónico y otros programas que se
bajan de Internet.
Los archivos adjuntos es la forma más común que es afectado un sistema de
información. Hay que ejercer un cuidado extremo cuando se esta abriendo un
archivo que acabamos de recibir. Nunca se debe abrir un archivo si no se sabe el
lugar de procedencia y mucho menos si no tiene que ver con el trabajo. Antes de
abrir el archivo se tiene que verificar con el antivirus. Si tiene alguna duda con
respecto al archivo que le enviaron es mejor que no lo abra y lo borre
inmediatamente de su computadora.
También la política debe incluir adiestramiento a los usuarios como medida
preventiva a las infecciones. Los adiestramientos pueden ser secciones grupales,
recordatorios de procesos o parte del adiestramiento, material de referencia.
Los adiestramientos deben ser cortos, al grano e interactivos donde se promulgue
la participación por parte de los usuarios e inquietarlos y concienciarlos con
respectos al daño que ocasionan los virus. Los recordatorios deben ser memos
enviados por el correo electrónico describiendo las mejores practicas para combatir
los virus. Enviando documentos de los virus nuevos sus estragos y la forma de
erradicarlo del sistema. Por ultimo el material de referencia puede ser información
para actualizar el antivirus o comunicados que sacan las empresas creadoras de
antivirus.
55
En las medianas empresas se requiere por lo menos dos tipos de antivirus, uno
para el correo electrónico y otro para los clientes y servidores. Una buena practica
es tener dos antivirus distintos ya que trabajan de distintas maneras. Tal vez
mientras uno es bueno detectando nuevos virus el otro es bueno enviado
actualizaciones recientes. En las empresas de muchas computadoras quizás
cientos el antivirus debe estar centralizado para facilitar el trabajo de
actualizaciones y de control de los virus que llegan al servidor manteniendo una
bitácora de todo lo que ocurre en la red.
Los usuarios deben ser capacitados para guardar en lugares seguros sus archivos
esenciales, borrar archivos adjuntos de los correos electrónicos que no representen
seguridad, preparar discos de arranques, bloquear macro virus en las propiedades
de los programas entre otras cosas.
• Antivirus Comerciales
En el mundo de la informática existen varias empresas que se dedican a la
fabricación de antivirus. Dichas empresas desde sus comienzos han tratado de
crear unos sistemas estables que le brinden seguridad y tranquilidad a los usuarios.
Día a
día ellas tienen la encomienda de reconocer nuevos virus y crear los antídotos y
vacunas para que la infección no se propague como plagas en el mundo de las
telecomunicaciones.
Entre los antivirus existente en el mercado se pueden mencionar:
• Panda Antivirus
• Norton Antivirus
• McAfee VirusScan
• Dr. Solomon’s Tool Kit
56
• Esafe
• F-Prot
• IBM Antivirus
• PcCillin
8.1 Técnicas Antivirus
A medida que evolucionan las técnicas empleadas por los virus y éstas son
investigadas, los programas antivirus incorporan medidas de búsqueda de virus y
protección más avanzadas como las siguientes:
•
Búsqueda de cadenas: cada virus contiene determinadas una cadenas de
caracteres que le identifican a él exclusivamente, de forma unívoca (como si de su
DNI se tratase). Ésta es las denominada firma del virus. Los programas antivirus
incorporan un fichero denominado "Archivo de Identificadores de Virus", en el que
guardan todas las cadenas correspondientes a cada uno de los virus que detectan.
De esta forma, para encontrarlos, se analizarán todos los ficheros especificados
comprobando si alguno contiene alguna de dichas cadenas. Si un fichero no
contiene ninguna de ellas, se considera limpio, mientras que si el programa
antivirus la detecta en el interior del fichero avisará acerca de la posibilidad de que
éste se encuentre infectado.
•
Esto implica que los antivirus tengan que realizar las búsquedas de dichas
cadenas en secciones concretas y no muy extensas del fichero analizado. Del
mismo modo deben tener en cuenta que pueden existir dos variantes de un mismo
virus, con la misma cadena a buscar, o pueden aparecer nuevos virus cuyas firmas
aun no se conocen. Esto hace necesario que los programas antivirus combinen la
técnica de Búsqueda de Cadenas, con otras técnicas más precisas.
•
Búsqueda deductiva: ya que la búsqueda de cadenas que comentábamos en
el apartado anterior, puede no ser demasiado fiable en determinadas ocasiones,
los programas antivirus utilizan adicionalmente otras técnicas. Una de ellas, de
57
características similares a la búsqueda de cadenas, es la búsqueda deductiva. Ésta
consiste en la observación de ciertas propiedades concretas en cada uno de los
ficheros que son analizados. Existen propiedades que siempre se dan en los
ficheros infectados. Cuando la búsqueda deductiva detecte alguna de ellas,
confirmará que el fichero se encuentra infectado.
Este tipo de búsqueda tiene en cuenta la estructura interna de los ficheros que
analiza, la fecha, la hora de dicho fichero y los atributos que tiene asociados (sólo
lectura, escritura, sistema, oculto,etc).
•
Excepciones: una alternativa a la búsqueda de cadenas y a la búsqueda
deductiva, es la búsqueda de excepciones. Cuando un virus utiliza una
determinada cadena (firma) para realizar una infección pero en la siguiente emplea
otra distinta, es difícil detectarlo mediante la búsqueda de cadenas. Si esto ocurra,
el programa antivirus consigue es realizar la búsqueda de un determinado virus, en
concreto.
•
Análisis heurístico: cuando no existe información que permita la detección de
un nuevo o posible virus desconocido, se utiliza esta técnica. Se caracteriza por
analizar los ficheros obteniendo información sobre cada uno de ellos (tamaño,
fecha y hora de creación, posibilidad de colocarse en memoria,...etc.). Esta
información es contrastada por el programa antivirus, quien decide sipuede tratarse
de un virus, o no.
Debido a su gran potencia de análisis y sospecha de situaciones extrañas, este tipo
de técnica antivirus podría presentar alarmas (falsas alarmas) que hagan referencia
a posibles virus, cuando realmente éstos no existen. Esto es debido a que el
análisis de cada fichero se realiza mediante la inspección de secciones del mismo
que tengan características o realicen funciones que no son habituales.
Algunos antivirus cuentan con esta técnica de análisis que se puede llevar a cabo
de forma adicional, cuando el usuario así lo indica. En tal caso, el antivirus realizará
58
sus búsquedas habituales y además, aplicará el análisis heurístico, del siguiente
modo:
1.
Accede al código del programa que se desea analizar.
2.
Lo ejecuta paso a paso. Es decir, ejecuta "cada línea de su código, una a
una".
3.
Detecta posibles acciones que, en un principio, el programa analizado no
debería realizar, o modificaciones con las que el archivo analizado no debería
contar.
4.
Si encuentra algo sospechoso, avisa de ello. Indica que podría tratarse de
un virus o que existen cambios sustanciales e irregulares en el archivo analizado.
En definitiva, este tipo de análisis puede detectar tanto virus conocidos, como virus
desconocidos. Esto es así ya que el análisis no se basa las en características
particulares de ningún virus, sino a características comunes que todos los virus
pueden tener (todos los virus utilizan grupos de técnicas similares, que sí pueden
ser detectadas).
Por todo ellos, es aconsejable que el resultado de los análisis heurísticos se tome
con precaución. Esto quiere decir que debemos analizar las acciones que
deseamos llevar a cabo en consecuencia. Existen aplicaciones antivirus (como
Panda Antivirus Titanium) que permiten el envío de archivos sospechosos al para
que sean analizados por expertos (Laboratorio de Virus). Si un análisis heurístico
hubiese detectado algún archivo sospechoso.
Protección permanente (Residente): aunque no se trata de una técnica como tal,
la mayoría de los programas antivirus utilizan esta característica adicional. Durante
todo el tiempo que el ordenador permanezca encendido, el programa antivirus se
encargará de analizar todos los archivos implicados en todas las operaciones que
se realicen (en el sistema y a través de Internet). El antivirus coloca su programa
de análisis en la memoria, de forma permanente y cuando, se abren, se cierran, o
se ejecutan archivos,...etc., el antivirus los analiza. En caso de haberse detectado
un virus se muestra un aviso desde el cual es posible realizar la desinfección. Si no
se encuentra nada extraño, el proceso de análisis continúa.
59
Por lo tanto, podemos decir que la protección permanente es quien se encarga de
vigilar constantemente todo, sin que el usuario tenga que hacerlo por su cuenta.
Esto reduce considerablemente el riesgo de infección ya que el programa antivirus
está siempre realizando análisis sobre cualquier área del ordenador en la que se
llevan a cabo acciones y evitando que se ejecuten los archivos o programas
infectados en ellas.
Aunque es aconsejable contar siempre con la protección permanente, los antivirus
que cuentan con esta posibilidad permiten al usuario activarla o desactivarla.
Además, también será posible indicar o configurar cada una de sus características
(elementos a analizar, acciones a llevar a cabo en caso de detección, elementos
que no deberían ser analizados, indicar cómo deben ser los avisos del antivirus,
etc).
Vacunación: mediante esta técnica, el programa antivirus almacenan información
sobre las características de cada uno de los ficheros que ya ha analizado (los
ficheros son vacunados). Si en un nuevo análisis de esos ficheros se detecta algún
cambio entre la información guardada y la información actual del fichero, el
antivirus avisa de lo ocurrido. Esta técnica facilita además la reconstrucción del
fichero, en el caso de que éste haya sido infectado.
Existen dos tipos de vacunaciones:
•
Interna (inoculación). La información se guarda dentro del propio fichero (se añade
la vacuna al código del fichero vacunado), de tal forma que al ejecutarse él mismo
comprueba si ha sufrido algún cambio.
•
Externa. La información que guarda en un fichero especial y desde él se contrasta
la información) con al obtenida en el análisis actual.
Investigación: existen virus que podrían haberse colocado y activado en la
memoria (RAM) del ordenador. Éstos podrían no haber sido detectados en un
análisis normal de la memoria. El mecanismo de investigación consiste en
60
"provocar" al virus para que intente realizar una infección. De este modo se podrán
descubrir también nuevos virus y averiguar las artimañas para realizar dicha tarea.
Entonces el virus podrá ser detectado. En tal caso, el programa antivirus tendrá en
cuenta cuáles son las actividades que lleva a cabo y cómo las realiza.
Los programadores de virus eligieron a una nueva victima: los mensajeros
instantáneos. Así aprovechan la poca seguridad de programas como ICQ, AOL
Instant Messenger (AIM), Yahoo! Messenger y MSN Messenger para distribuir
archivos infectados.
Entre los más peligrosos, figuran los troyanos .Desde el momento en que éstos son
ejecutados por la víctima, el agresor puede controlar en forma remota al equipo
infectado.
Los hackers suelen aprovechar el tan mentado intercambio de fotos entre personas
que recién se conocen. En lugar de enviar una imagen con extensión.gif, .jpg o
.bmp, mandan archivos del tipo foto jpg.exe o mifoto.gif.bat, que en realidad son
troyanos.
El problema es que algunos programas como ICQ difícilmente muestran en forma
simple archivos de nombre largo. Por eso, el nombre de los archivos infectados
suele ser extremadamente extenso.
En el transcurso del año 2001 se descubrió la existencia de W32/Hello, el primer
gusano creado especialmente para introducirse en el MSN. Luego, se sucedieron el
W32/Choke (también conocido como Bus), su segunda versión W32/Choke,b, y
W32/Rachel o W32/MSNWorm,Racel.
Evidentemente el mensajero de Microsoft es el más vulnerable a la infección de
éstos especimenes de virus.
En cambio, sus pares no se vieron afectados de la misma manera. ICQ, por
ejemplo, debió soportar los embates de los Trojan/Vamp, que sin embargo, no
61
llegó a propagarse tanto como los especimenes típicos de MSN. En cuanto a AIM y
Yahoo! Messenger no se conoce ejemplos de virus operacionales capaces de
reproducirse a través de su soporte.
Además de los troyanos y gusanos, existen virus que se distinguen por su
capacidad de robar la contraseña del usuario infectado, para luego enviarla por email al programador del código maligno. Ante este riesgo de infección AIM es el
mensajero más vulnerable seguido por ICQ. En cambio, MSN y Yahoo! Messenger
parecen estar (al menos por ahora) a salvo.
Algunos datos para tener en cuenta con el fin de prevenir infecciones de virus
informáticos son:
• Utilice un antivirus y actualícelo periódicamente. Sepa que existen algunos
programas como Antivirus expert, que cuentan con versiones especiales para ICQ,
MSN Messenger y Yahoo! Messenger.
• Escanee con un antivirus actualizado todos los archivos ejecutables enviados a
través de una mensajero. Confirme que su interlocutor le haya enviado un archivo.
Verifique que no se trate de un gusano enviado automáticamente. No abra ninguna
supuesta foto con un formato de archivo ejecutable (.exe, .com, .pif, .vbs entre
otros). Posiblemente se trata de un gusano o un troyano.
• Utilice las últimas versiones de los mensajeros instantáneos. No vale la pena
conservar ediciones anteriores que tienen fallas de seguridad ya resueltas.
• La primera etapa en la lucha efectiva contra esta plaga de virus debe ser la de
conocer a tu enemigo. La definición de un virus es conceptualmente simple:
cualquier pieza de código ejecutable que infecte un ordenador
62
reproduciéndose automáticamente a sí mismo mientras causa algún efecto, que en
ocasiones no es deseable.
•
El daño que un virus causa puede ser complejo y potencialmente
demoledor. Un código de virus se distribuye normalmente escondido en los
adjuntos de los correos electrónicos o los archivos que descargas desde las redes
corporativas o desde Internet.
63
9. EL FUTURO DEL CIBERTERRORISMO
Un estudio reciente69 destaca tres niveles distintos de ciberterrorismo.
1)
El "Sencillo y No Estructurado" que es la capacidad de hackers individuales
de vulnerar sistemas simples por medio de herramientas creadas para tal fin.
2)
El nivel de "Estructuras Avanzadas", ataques más complejos contra
sistemas múltiples o redes por medio de herramientas más flexibles.
3)
El "Complejo y Coordinado", nivel en el que los hackers coordinan ataques
contra redes protegidas con defensas complejas y son capaces de provocar una
interrupción masiva de los servicios de Internet.
El estudio menciona cinco clases de terroristas que usan la computadora para
dañar a sus enemigos: los religiosos, grupos de la nueva ola (ecologistas radicales,
por ejemplo), etno-nacionalistas-separatistas, revolucionarios y organizaciones de
extrema derecha. Por ahora, sólo los grupos terroristas religiosos tienen capacidad
para hacer la ciberguerra, aseguran. Sin embargo, organizaciones de la nueva ola,
como el Animal Liberation Front, poseen una gran capacidad para desplegar
ataques continuos.
Esteban Falcionelli, experto en ciberterrorismo y seguridad informática de la Policía
Nacional de Perú, señala que hay tres tipos de armas cibernéticas: los virus
informáticos y bombas lógicas; los programas de interceptación, interferencia,
negación de la información y transmisión de datos; y las armas de pulso
electromagnético, que están diseñadas para neutralizar el hardware.
La
publicación
digital
Segured.com
(www.segured.com),
especializada
seguridad de Internet en Ibero América, distingue como ciberterrorismo a los
69
Estudio elaborado por el Centro para el Estudio del Terrorismo y la Guerra Irregular, de la
Naval Postgraduate School en Monterey, California, conocido como el Grupo Monterey,en
Diciembre de 2003. Fuente: dirección electrónica:
http://www.etabasco.gob.mx/historial_jovenes_mujer/jovenes/historial/octubre/2/tecnologia.ht
m
64
en
ataques realizados desde computadoras hacia centros tecnológicos, a la
propaganda para promover el daño ocasionado por sus ataques y a la utilización de
la red mundial para la planificación logística de atentados materiales. Russ Cooper,
encargado del departamento de investigación y seguridad de la compañía
TruSecure, señala que los recortes de gastos en las empresas de tecnología y la
falta de normas claras para el cibercomercio han propiciado la falta de seguridad en
la red.
Entre los que espían a los ciberterroristas, les siguen la pista y los estudian, hay
posturas moderadas y otras de tono alarmista. Para algunos, la amenaza
electrónica es pura fantasía. El experto en seguridad informática estadounidense
Bruce Schneider asegura que el fenómeno está sobre valorado: "la obsesión
procede del gobierno de Estados Unidos y no entiendo por qué". Algunas de las
advertencias acerca de ciberterrorismo se produjeron tras los ataques del 11 de
septiembre de 2001.
Sin embargo, Schneider añadió que los medios de comunicación eran también
responsables de extender la paranoia: "ningún grupo terrorista que quisierasembrar
el pánico y atacar a sus enemigos utilizaría Internet para lograr sus objetivos",
afirma Schneider. Opina que las empresas deben concentrarse en las amenazas
reales de delincuentes que distribuyen virus y otros programas perjudiciales. En
contraparte, la doctora Dorothy E. Denning, especialista de la Universidad de
Georgetown, considera que la amenaza es real y peor de lo que uno se imagina.
En una reciente conferencia sobre el tema, advirtió que en el mediano plazo los
ciberterroristas podrían ser verdaderamente peligrosos, pues se trata de jóvenes
nacidos en la era digital que contarán con herramientas más poderosas creadas
con conocimientos avanzados. Según Denning, los terroristas podrían manipular a
los robots que practican tele cirugías o infestar las computadoras que controlan las
telecomunicaciones (telefónicas, aéreas, ferroviarias), lo cual provocaría el caos.
En la visión del futuro de esta especialista hay bombas lógicas destruyendo bases
de datos de los bancos y alterando las emisiones de televisión en distintos puntos
del planeta.
65
¿Se trata de ciencia ficción o predicciones esotéricas? Hace dos años, el
Departamento de Policía de Tokio, Japón, filtró a la prensa que la secta del culto
Aum Shinrikyo, la misma que atacó en 1995 el metro de la capital japonesa con gas
sarín, contaba con un software capaz de interceptar las comunicaciones de la
policía, incluyendo las de los agentes encubiertos. Esa información no ha sido
confirmada hasta la fecha, ni se sabe si los cuerpos de seguridad en Japón ya
hicieron algo para proteger sus sistemas de telecomunicaciones o esperan el día
en que se cumpla la amenaza.
En la era de Internet, donde la información esta enlazada y conectada, es
necesario proteger cada bit y byte de información importante. Con la reciente
madurez de las compañías de tecnologías de la información, ha llegado el
momento de adoptar una estrategia acerca de la seguridad de la información y de
Internet.
Es sabido que las organizaciones cada vez invierten más en tecnología puntera
para alcanzar una plaza competitiva en el mercado. Esta carrera para poseer la
corona en el mercado mundial bajo una economía no fiable ha resultado en la
aparición del ciberterrorismo, que ha sido reconocido por muchas organizaciones
en todo el mundo.
¿Cómo explicar entonces que tales ataques no se hayan registrado todavía? La
razones son que las instalaciones nucleares y las comunicaciones estratégicas no
son accesibles por la Internet y a penas e 1% de los hackers tienen los
conocimientos necesarios para generar destrozos a gran escala; sería necesario
contar con recursos considerables para crear un daño real: 200 millones de dólares
y cinco años de preparación si hemos de creer las conclusiones de un experimento
llevado a cabo en julio del 2002 por la marina de EEUU.
66
La ciberguerra es muy sofisticada y los terroristas tienen impacto con simples
explosivos, aviones desviados y bombas en trenes. Hasta la fecha han utilizado la
Internet como canal de comunicación más que como arma. Lo más probable es
que cambien. ¿Cuándo? No lo podemos predecir, lo que es seguro que tarde o
temprano tratarán de utilizar esta arma también. Es asunto de generaciones.
Algunos, intencionalmente o no, pueden exagerar la amenaza, pero no se puede
ignorar el peligro. Preservar la cordura resulta tanto más delicado e importante que
las medidas de protección pueden atentar a nuestra privacidad, libertad de
expresión y derechos civiles La ignorancia es un factor y los responsables de hoy
no están a salvo. Dos de los grandes miedos de los tiempos modernos se
combinan en la palabra 'ciberterrorismo'. El temor de las desgracias violentas y
aleatorias se mezcla bien con la desconfianza y el miedo abierto a la informática.
Ayudar a entender mejor las computadoras e Internet, sus peligros y virtudes
intricadas resulta más necesario que nunca.
67
10. CASOS REALES DE CIBERTERRORISMO70
En 1996, el Movimiento de Supremacía Blanca en Estados Unidos atacó y logró la
inhabilitación momentánea de varios servidores de proveedores de servicio de
Internet en Massachussets. Los ciberterroristas dejaron un mensaje: "No han visto
la verdadera dimensión del terrorismo electrónico, es una promesa".
En
1998,
organizaciones
españolas
bombardearon
el
Instituto
para
la
Comunicación Global (IGC) con miles de correos electrónicos. Los hackers
demandaban que el IGC suspendiera el hospedaje del Euskal Herria Journal, un
periódico editado en Nueva York que apoyaba la independencia del País Vasco.
Los grupos agresores no se identificaron y acusaron a su víctima de dar voz a ETA.
Las guerrillas tamiles de Sri Lanka bombardearon con e-mails las páginas de varias
embajadas de ese país, en 1998. En los mensajes decían, "somos los Tigres
Negros y estamos bloqueando tus comunicaciones". Ese fue el primer ataque
electrónico de esa guerrilla.
Durante el conflicto armado en Kosovo, en 1999, las computadoras de la OTAN
fueron colapsadas por virus integrados en "bombas electrónicas" y ataques de
negación de servicios lanzados por pacifistas de toda Europa. Ese mismo año,
hackers chinos atacaron sitios del gobierno estadounidense en protesta por el
bombardeo supuestamente accidental a la embajada de China en Belgrado.
En 2000, el conflicto palestino israelí saltó a Internet. De acuerdo con un reportaje
de The Washington Post, hackers israelíes atacaron la página de la guerrilla
islámica Hezbollah colocándole un archivo de audio del Hatikva, himno nacional
israelí, imágenes con la bandera de Israel y textos en hebreo. Durante la última
semana de octubre de 2000, los palestinos contraatacaron introduciéndose en las
páginas del Ejército israelí, del Ministerio del Exterior, del Primer Ministro, del
Parlamento y otros. Esas páginas quedaron bloqueadas por algunas horas con
miles de mensajes hostiles. En este ciberconflicto no hay hackers especializados,
sino miles de jóvenes árabes e israelíes con algunos conocimientos de informática.
Estos últimos tienen la ventaja de que en su país hay un millón 100 mil conexiones
68
a Internet, muchas más que en los 22 estados árabes juntos. Pero esa ventaja
también es una debilidad, pues más redes pueden ser víctimas de los ataques.
“En el contexto de la guerra en Irak, la cadena árabe Al Jazeera, importante medio
de información árabe, sufrió intensos ataques por parte de piratas informáticos. El
jueves 27 de marzo de 2003, la información online de la televisora qatarí fue
suplantada por una bandera estadounidense y leyendas como "dejen que suene la
libertad", "pirateado por la cibermilicia patriota de la libertad" y "Dios bendiga a
nuestras tropas".”.71
70
71
Fuente: www.etabasco.gob.mx/historial_jovenes_mujer/ jovenes/historial/octubre/2/tecnologia.htm
Fuente: www.etabasco.gob.mx/historial_jovenes_mujer/ jovenes/historial/octubre/2/tecnologia.htm
69
11. CONCLUSIONES
El ciberterrorismo, nace desde su origen: el terrorismo. Es necesario entonces,
utilizar la definición del FBI sobre el terrorismo: “son redes operativas que usan de
manera ilegal la fuerza y la violencia contra personas y/o objetivos, para intimidar o
presionar a los gobiernos, pueblos y/o sectores específicos en pos de objetivos
políticos y sociales que persiguen”72.
Con lo anterior se deduce el desarrollo de nuevas tecnologías están permitiendo
unas comunicaciones cada vez más rápidas, "seguras", y amplias para todo el
conjunto de la sociedad ya que el proceso de globalización en el que estamos
inmersos se caracteriza entre otras cosas por un impresionante avance de las
tecnologías de la información pero esto trae consigo que distintos grupos
terroristas, que han localizado en esta una nueva forma de comunicación, se estén
beneficiando y hayan encontrado un camino alternativo para llevar a cabo sus
actividades.
“Nadie puede negar los paulatinos cambios y la mayor dependencia de Estados,
Organizaciones y personas hacia los sistemas de información. Dicha tecnología,
tampoco le ha sido ajena a los grupos terroristas, que sin burocracia, corrupción ni
licitaciones, adquieren o roban la misma”73. El ciberterrorismo es la “evolución” que
resulta al cambiar, las armas, las bombas y los mísiles por una computadora para
realizar y planificar los ataques terroristas.
El ciberterrorismo, es una funesta progresión del terrorismo convencional mucho
más sofisticado, más seguro para los terrositas, más letal y más eficiente.
Pensemos que en los ataques del 11 de septiembre del 2001 hacia EE.UU., los
terroristas que los efectuaron se inmolaron en los aviones que piloteaban, así fue
como no sobrevivieron. El ciberterrorismo, en cambio, casi garantiza la
72
Fuente Seguridad informática del gobierno argentino: dirección electrónica: www.seguinfo.com.ar/pdf/A4E-ciberterrorismo.PDF
73
Fuente Seguridad informática del gobierno argentino www.segu-info.com.ar/pdf/A4Eciberterrorismo.PDF
70
supervivencia de los terroristas involucrados en los ataques. Además ofrece mayor
garantía para el anonimato, brindando un manto mayor con el cual cubrir sus
operaciones delictivas. Si volvemos al caso del 11 de septiembre, más del 60% del
plan de operaciones y logístico fue coordinado por ciberterroristas que desde
cibercafes, usando el software de encriptación PGP, realizaban mediante el ratón
de la computadora rentada la planificación del futuro ataque.
En América Latina son escasas las disposiciones que se están tomando en contra
del ciberterrorismo. En general se consideran estos temas como algo lejano, algo
faraónico o algo que nunca nos afectará. Debemos tomar conciencia de algunos
escenarios posibles de ser atacados74:
1-
Acceder ilegalmente al tablero de control de una represa hidroeléctrica,
realizando una apertura descontrolada de sus compuertas, generando así una
inundación en una región.
2-
Acceder ilegalmente a una estación de radares, realizar un bloqueo de
radar, generando un bloque del tráfico aéreo por 12 horas.
3-
Acceder ilegalmente a un Banco y lograr transferir dinero a cuentas
bancarias pertenecientes a grupos terroristas.
Estos tipos de agresiones pueden traer secuelas funestas para la firmeza
institucional, jurídica y económica de un Estado, de una Organización y de las
personas. Lo impresionante es que para ejecutar este tipo de agresiones no se
demandan grandes inversiones económicas, ni contar con armas complejas; se
requiere tener la tecnología de información adecuada, que es de libre acceso, un
alto grado de capacitación en dichas tecnologías y tiempo.
Es trascendental que en todos los países se creen regulaciones sobre el tema, e
impedir así que los ciberterroristas aprovechen el vacío legal para guarecerse en
74
Estos son casos reales de posibles blancos terrositas según Segured .com Fuente, dirección electrónica:
www.segured.com/index.php?od=2&article=290 - 60k
71
estos edenes del crimen y cometer desde allí sus actos violentos, quedando
impunes por ello.
Aunque hay que poner públicamente el mayor o menor grado de avance
tecnológico de cada país, y por consecuente, la mayor o menor capacidad de
defensa contra el ciberterrorismo, la Cumbre de los Ocho ( G-8 ), que comprende a
los siete países mas industrializados y Rusia, está luchando contra el
ciberterrorismo, pidiendo a los Estados que tomen medidas al respecto.
Se aguarda que el Convenio Internacional que está disponiendo el Comité de
Ministros del Consejo Europeo para la reglamentación del los ciberdelitos solucione
el inconveniente. Esta texto obligará a los Estados firmantes a regular en sus
normativas las actividades delictivas y las sanciones correspondientes a las
mismas.
Económico y anónimo, el ciberterrorismo puede ser realizado a distancia contra un
sin número de objetivos y afectar una cantidad enorme de personas e instituciones.
Cada día más súbdita de la informática, las infraestructuras de los países
desarrollados (incluyendo las que se someten de empresas privadas, menos
protegidas) ofrecen una extensa lista de blancos.
72
12. BIBLIOGRAFÍA
ALLENDE, Jorge Oscar. Circulación de datos y políticas informática. Mar Del Plata:
Deplama,1986. Ii Jornadas Argentinas de Informática al Servicio del Derecho, nov.
1986.
ÁLVAREZ VIZCAYA, Maite. Consideraciones
político criminales
sobre la
delincuencia informática: el papel del Derecho penal en la red, en "Internet y
Derecho penal". MADRID: Consejo General Del Poder Judicial,2001. Cuadernos de
Derecho Judicial X-2001, páginas 255-279
BUCH, Jordi. Cuestiones fundamentales de seguridad en Internet. Seguridad
lógica, firewalls, encriptación y firma digital. Barcelona: Planeta,1999. Curso
Nuevas Tecnologías de la información y Derecho penal 27,28 y 29 septiembre.
Págs. 87-206.
CAVAZOS, Edward A. y G. MORIN. Cyberspace and the Law: your rights and
duties in the on-line world. Cambridge/London: Mit Press,1994. Págs. 11 y ss.
COMPUTER KNOWLEDGE virus tutorial.
http://www.cknow.com/vtutor/vthistory.htm. [Consulta: Mayo de 2004]
-CORTIJO FERNÁNDEZ, Bernardino, Ciberterrorismo, concepto, armas, ataques y
consecuencias. Barcelona: Aranzadi,2001. Actualidad Informática Aranzadi 2001 nº
40, Julio.
73
CHAYER, Héctor Mario. Capacitación tecnológica para la gestión judicial. Alfa-Redi
Alfa Revista Electrónica de Derecho Informático 2000.01 nº 18 http://www.alfaredi.org, [Consulta: Enero de 2004].
DÍAZ PICAZO, Luis. Cambio social y evolución jurídica en la sociedad de la
información. Buenos Aires: Depalma,1986. Derecho Industrial, 1986.
FERNÁNDEZ JURADO, Mª Yolanda; RÚA VIEITES, Antonio; VAQUERO
LAFUENTE, María Esther. MADRID: Universidad Pontificia Comillas,2003. XVII
Encuentros sobre informática y derecho, páginas 315 a 336.
HEREDERO HIGUERAS, Manuel. Consideraciones sobre la protección jurídica de
los datos emitidos en una operación de pago electrónico. Pamplona: AranzadI,
1993. VI Encuentros sobre Informática y Derecho 1992-1993, pags. 133 a 138.
ILLESCAS ORTIZ, Rafael. Claroscuro con patitos. De nuevo sobre la legislación
proyectada en materia de contratación electrónica. RCE. Revista de Contratación
Electrónica 2002.05 nº 27 http://www.vlex.com. [Consulta: Noviembre de 2003]
JOYANES AGUILAR, Luis. Cambio tecnológico y nueva sociedad de la
información. MADRID: PLANETA, 1997. Cuadernos Realidades Sociales.
JUSTE MENCIA, J. Contratación a distancia y protección de los consumidores en
el derecho comunitario europeo. Madrid: La Ley/Actualidad,1997. La Ley/Actualidad
1997.12.09, páginas 1619 y ss.
KERR, Orin S. Cybercrime's Scope: Interpreting 'Access' and 'Authorization' in
Computer Misuse Statutes.2003. Nwe York University Law Review, Vol. 78, No. 5,
pp. 1596-1668, November 2003.
74
KESAN; Jay P. Cyber-working on cyber-shirking?: A first principies examination of
electronic
privacy
in
the
workplace.
Ssrn
Electronic
Paper
Collection
Nternet,http://papers.ssrn.com/paper.taf?abstract_id=289780. [Consulta: Marzo de
2004].
MARCELLINO, Franceso. Cyberwar: La minaccia del terrorismo informatico,
fantascienza o realtà?. Alfa Redi, Internet,2001. Alfa-Redi Alfa Revista Electrónica
de Derecho Informático 2001.12 nº 99 http://www.alfa-redi.org. [Consulta: Mayo de
2004]
MELTZER CAMINO, David. Comunicado sobre la experiencia obtenida por el
departamento de ingenieria y arquitecturas telemáticas de la UPM en el "Desarrollo
de un EDI seguro" . PAMPLONA: ARANZADI, 1996. IX Encuentro sobre informática
y Derecho 1995-1996, pags. 147 a 152.
MINGUET MELIÁN, Jesús María; José Maria MOLINA y Lucrecio REBOLLO
DELGADO. Criptología y delito informático. Criptología y delito informáticoz
MÉRIDA: UNED,1999. Informática y Derecho, 1999, nº 27, 28 y 29. Jornadas sobre
Delito Cibernético, páginas 389-412
MONTOTO GUERRERO, José Luis. Ciberespacio: aproximación a temas de
jurisdicción y ley aplicable. Mardid: Bhid, 1999, Boletín hispanoamericano de
informática y derecho 1.999 nº 7 diciembre.
REMOLINA ANGARITA, Nelson. Centrales de información, habeas data y
protección de datos personales: Avances, retos y elementos para su regulación, en
"Derecho de Internet & Telecomunicaciones". Bogotá: Legis 2003.
RODRIGUEZ
BAIXAULI,
Francisco.
Comercio
electrónico,
derechos
consumidor y proteción de datos. Bogotá: DERIN, 2002. , Págs. 17 y ss.
75
del
VASSILAKI,
I.
Computer
Crimes
ans
other
Crimes
against
Information
Technology.1996. International Review of Penal Law, 1.992, AIDP, vol. 46.
76