Peligro en la red: Troyanos, malware y botnets

En este artículo vamos a hablar de dos de las mayores amenazas que existen actualmente en Internet: los troyanos y el malware.

Para los que no sepan el significado de estos términos, voy a hacer una pequeña definición.

– Troyano: Un troyano es un programa informático usado con el fin de obtener acceso a un sistema informático remoto. Un troyano consta de 2 partes bien diferenciadas:

• Cliente: El programa cliente es el programa que el atacante usa para conectar con el ordenador de su víctima y acceder a sus datos.
• Servidor: El servidor es el programa que infecta el ordenador de la víctima. Normalmente es un archivo .exe, y una vez ejecutado en el ordenador objetivo, este queda a merced del atacante.

– Malware: La palara “Malware” está formada por la abreviatura de dos palabras en inglés: “Malicious software” (programa malicioso en español). Como su propio nombre indica, se trata de cualquier tipo de programa con malas intenciones. Por ejemplo los troyanos son considerados malware, pero hay muchos más tipos de malware: gusanos, virus, spyware, keyloggers, spyware, etc…

 

¿QUÉ PELIGRO REPRESENTAN LOS TROYANOS?

Los troyanos permiten a una persona atacante acceder a un ordenador y tener un control total sobre él. Para empezar, alguien que controle tu PC mediante un troyano puede ver todas tus contraseñas, puede ver lo que estás escribiendo en cada momento, puede abrir o cerrar programas en tu pc, puede extraer los datos bancarios de tu ordenador, puede descargar tu historial de conversaciones de skype, o cualquier archivo que tengas en tu PC: trabajos, contraseñas, fotos personales…

 

Como comprenderás, la peligrosidad de los troyanos es brutal, pero esto no es todo. En Internet existen mafias que comercian con redes de ordenadores infectados, también conocidos como ordenadores zombis.

Como curiosidad comentaré que según Wikipedia, en el año 2011 había entre 100 y 150 millones de ordenadores zombis en el mundo. Por supuesto ahora el número es mucho mayor. Otro dato muy curioso, es que en 2009 se desactivó la mayor red de ordenadores zombis en España, con un total de 13 millones de ordenadores, de los cuales 200.000 eran españoles.

 

¿PARA QUE QUIEREN LAS MAFIAS DE INTERNET ORDENADORES ZOMBIS?

Como he comentado anteriormente, en Internet existe un mercado, ilegal evidentemente, de compra y venta de ordenadores infectados. Se calcula que aproximadamente un 20% de los ordenadores forman parte de estas redes de ordenadores zombis (también conocidas como botnets). ¡Una auténtica plaga! La pregunta es ¿Qué utilidad les sacan a las redes de ordenadores zombis? Las usan para muchas cosas, por ejemplo:

– Ataques DDOS: Supongamos que un “hacker” tiene bajo su control 100.000 ordenadores infectados por un troyano. Ahora supongamos que este hacker quiere hacer un ataque a una web. Solo tiene que dar la orden para que esos 100.000 ordenadores ataquen. Su dirección IP queda oculta, y son los ordenadores zombis los que atacan sin parar, causando que un usuario normal no pueda acceder a la web, debido a la saturación de peticiones.

– Ordenadores zombis para hackear: Otro de los usos que puede tener un ordenador zombi, es el de usarse como proxy, es decir, usar la IP de dicho ordenador para realizar actividades ilegales sin que el propietario tenga consciencia de ello.

– Envío de Spam:  Se calcula que el 80% de los emails con mensajes publicitarios no deseados son enviados por ordenadores infectados por malware. De esta forma pueden obtener ingresos publicitarios sin exponer sus direcciones IP reales.

– Obtener ingresos publicitarios: Los ordenadores infectados pueden ser usados para mostrar en ellos publicidad, y de esa forma generar ingresos publicitarios. ¿Quién no ha visto nunca un ordenador infectado que abre popups con publicidad?

– Phishing: Para los que no sepan lo que es, os recomiendo este artículo donde hablamos del phishing. Los ordenadores zombis son usados tanto para enviar emails de phishing, como para hospedar páginas webs falsas para realizar el phishing.

– Robo de datos bancarios: Un delincuente informático puede estar interesado en adquirir una gran red de ordenadores zombis para robar sus datos bancarios, cuentas de paypal etc… Entre 2003 y 2007 el aumento de los troyanos bancarios fue del 500%, y desde 2007 hasta la actualidad el aumento ha sido exponencial.

– Venta de videos de webcams: Este es un uso muy curioso. La verdad es que desconocía este uso, hasta que lo escuché en una conferencia sobre seguridad informática. El caso es que hay gente que compra videos extraídos de webcams para hacerse pasar por otras personas, simulando que son ellos los que se ven en la imagen de la webcam. Algunos dueños de redes de ordenadores zombis, extraen videos de las webcams de los ordenadores infectados para luego venderlos.

 

¿CUÁNTO VALE UNA BOTNET?

Evidentemente no tengo experiencia propia en este campo, pero según un informe de Yuri Namestnikov, Analista de Malware Senior de Kaspersky, cada ordenador de una botnet puede tener un valor de 0,5$ para redes pequeñas. Por lo tanto, una pequeña red de unos pocos cientos de ordenadores infectados, puede tener un valor de entre 200$ y 700$ en el mercado negro.

Un dato muy curioso es que un hacker holandés de 19 años, creó una botnet, conocida como red Shadow, que constaba de más de 100.000 ordenadores y fue vendida por 25.000 euros.

 

¿QUÉ TIPOS DE MALWARE EXISTEN Y COMO SON DE PELIGROSOS?

En mi opinión el Malware más peligroso son los troyanos, pero también hay otros bichitos muy peligrosos pululando por la red:

 

– Virus: Los virus son programas informáticos que se replican a sí mismos y normalmente infectan archivos .exe, casi siempre modificando su tamaño original. Su objetivo final suele ser el de replicarse lo máximo posible, y en algunos casos, causar graves daños al ordenador.

Han evolucionado mucho con el paso del tiempo, los primeros virus apenas tenían poder destructivo, y ni siquiera se quedaban residentes en memoria. Con el tiempo fueron incorporando nuevas y peligrosas funcionalidades como la posibilidad de quedar residentes en memoria, o el polimorfismo (cambio de su propio código para dificultar la detección por parte de los antivirus).

Actualmente los virus están de capa caída, en detrimento de otro tipo de Malware más lucrativo para sus creadores.

Uno de los virus que más me marcó en su día fue el famoso virus “Barrotes”. Este virus lo que hacía es infectar todos los archivos .exe y .com. Y cuando ha infectado a todos los archivos, lo que hace es mostrar 8 barrotes en la pantalla, y sobre escribir el Master Boot Record del disco duro, de tal forma que no puedes arrancar el ordenador.

 

Un amigo mío de la infancia estaba infectado por este virus. Recuerdo que estábamos en su casa probando juegos, y de repente salieron los 8 famosos barrotes en la pantalla. Imaginar la cara que se nos quedó. Recuerdo que mi amigo apagó el ordenador inmediatamente y luego al arrancarlo ya no funcionaba.

– Keyloggers:  Son programas maliciosos cuya finalidad es la de grabar las teclas que se pulsan en el ordenador infectado, de tal forma que puedan obtener información sobre sus conversaciones o contraseñas

– Gusanos: Los gusanos son un Malware que se reproduce y se duplica a sí mismo a través de las redes, normalmente usando bugs conocidos para propagar su infección. A diferencia de los virus, no se replican en ficheros .exe, simplemente se quedan residentes en la memoria del ordenador y usan la red para seguir infectando a nuevos ordenadores. Uno de los gusanos más conocidos ha sido el Sasser. Recuerdo que instalé un Windows XP en el ordenador de mi padre, y al terminar fui a la conocida a por un poco de agua, en menos de 1 minuto había vuelto, y ¡el Sasser ya había infectado el PC recién instalado!

 

– Adware: Es un tipo de malware cuyo objetivo es obtener ingresos publicitarios, infectando el sistema y mostrando publicidad en él. Suelen cambiar la página de inicio, abrir popups etc…

 

Como se puede ver en el gráfico anterior, el mayor porcentaje de malware son los troyanos, que es el malware más peligroso y lucrativo.

 

¿CÓMO SE INFECTA UN ORDENADOR CON UN TROYANO O MALWARE?

Antiguamente la única forma de infección era mediante diskettes. Un amigo te dejaba un diskette con un virus y al ejecutarlo tu sistema se infectaba. Hoy en día el peligro acecha en la red, y el potencial de infección del malware ha crecido exponencialmente. Vamos a ver algunas de las formas más comunes de infección:

– Piratería / descargas de software por Internet: Es la forma de infección más común. Según estudios recientes, aproximadamente un 57% de los usuarios a nivel mundial utilizan algún tipo de software pirata. El país con mayor porcentaje de Windows piratas es China. Nueve de cada diez Windows es pirata en China. El segundo país en porcentaje de piratería es Indonesia, que le sigue de cerca con un 86%. El país con menor porcentaje es EEUU, con cerca de un 20%. Las redes tipo torrent y las descargas a través de páginas son la mayor fuente de infecciones. Sobre todo en países como España, donde existe la cultura de no pagar por software. Mucha gente descarga todos sus programas piratas, empezando por el propio sistema operativo Windows, y siguiendo con todo tipo de software y juegos.

– Ingeniería social: Aunque el número de infecciones es mucho menor que las causadas por la piratería, es algo a muy tener en cuenta. Supongamos que alguien quiere obtener información tuya por cualquier razón: un empleado que quiere leer tus emails, una novia que sospecha de ti… ok. Ahora supongamos que esta persona tiene un troyano. Lo que intentará es convencerte para que lo ejecutes. Lo puede meter camuflado dentro de un programa, un juego etc… En los chats todavía se ve a personas que supuestamente envían fotos y realmente envían troyanos.

– Bugs no parcheados en el sistema: Como hemos comentado anteriormente, hay gusanos que infectan a ordenadores aprovechándose de vulnerabilidades. Si no tienes el sistema actualizado con los últimos parches de seguridad, estarás más expuesto a estos ataques.

– Correo electrónico: Muchos emails son enviados por ordenadores zombis con la intención de infectar, y suelen contener archivos peligrosos, con extensiones .exe .bat .doc etc…

– Unidades de almacenamiento portátiles: Por ejemplo discos duros externos, dvds, unidades flash, y en general todo tipo de unidad de almacenamiento externo con ejecución automática. Por ejemplo si conectamos un disco duro externo que previamente ha sido infectado, al conectarse se activará la función de Windows de ejecución automática, e infectará al PC.

 

¿LOS USUARIOS DE LINUX, MAC, ANDROID O DE OTROS SISTEMAS ESTÁN SEGUROS?

Existe una leyenda urbana que dice que no existen virus para Linux ni para ordenadores Mac. Pero ¿están realmente a salvo de los virus y el malware?

Desgraciadamente no es así. El Malware está presente en todos los sistemas operativos. Sí es cierto que, para Windows, el número de Malware es infinitamente mayor, pero también hay que decir que es el sistema mayoritario, y es normal que los esfuerzos de los creadores de malware se centren en él.

Todos los sistemas necesitan parches de seguridad periódicamente, de lo contrario serán más vulnerables a los ataques de malware. Hasta hace pocos años, sonaba a broma si alguien te decía que tenía un antivirus en el móvil. Hoy en día el malware existente para Android ha crecido exponencialmente.

Como se puede ver en la foto, el malware para android se triplicó en el segundo trimestre del 2012, un crecimiento bestial, que no ha hecho más que crecer junto con la fama de Android.

 

COMO SABER SI ESTAS INFECTADO

Algunos de los síntomas más comunes en caso de infección son:

– Notar el ordenador más lento de los normal

– Se abren popups sin hacer nada

– El disco duro carga cuando no haces nada

– Se ha cambiado sola la página de inicio

– Se te desactiva solo el antivirus y / o el firewall

– Se te eliminan solos los puntos de restauración

La buena noticia es que los antivirus se actualizan constantemente y por ejemplo, si estás infectado, y en ese momento el antivirus no lo detecta, es posible que al cabo de un tiempo sí lo haga.

Una forma de comprobar si tienes algún tipo de malware en el sistema, es instalando un programa analizador de paquetes, para comprobar el tráfico de tu ordenador y detectar posibles conexiones sospechosas. El problema es que hace falta tener conocimientos medio-altos de informática para poder analizar los resultados.

 

CONSEJOS PARA PROTEGERSE DE LAS INFECCIONES DE MALWARE Y TROYANOS

– Utiliza siempre software original: El mayor peligro de infección se encuentra en las descargas de programas y juegos pirateados. Muchos Windows que se pueden descargar por torrent o páginas webs piratas, vienen con malware instalado de serie.

Para descargar programas es mejor hacerlo siempre de la web del autor original, y por supuesto de webs fiables.

– Cuidado con los ficheros que te envían: Siempre desconfía si alguien te envía un programa, nunca sabes que puede ser. Si alguien te dice que te envía una foto, un video o un mp3, comprueba que realmente sea lo que dice que es. Las fotos suelen ser .jpg o .png, los videos .avi .mpg .flv o .mp4. Si te envían un archivo .exe o .bat diciendo que es un foto o un video… mal asunto.

Os voy a dejar un pequeño truco para poder ver correctamente las extensiones de los ficheros, ya que por defecto Windows las oculta.

Primero tenemos que abrir el explorador de archivos del Windows. Luego vamos a la pestaña “Herramientas” y luego a “Opciones de carpeta”

Luego vamos a la pestaña “Ver”, y hay buscamos la opción “Ocultar las extensiones de archivo para los tipos de archivo conocidos”, y la desmarcamos.

 

¿Para qué sirve esto? Para poder ver las extensiones reales de los archivos. En un Windows “de serie”, si te envían un fichero llamado “Mi foto.jpg.exe”, Windows ocultará la extensión .exe, haciendo que parezca una foto. Cambiando la opción que he comentado, se ve el nombre real del fichero, incluyendo su extensión.

– Estate al día de las actualizaciones de seguridad: Da igual el sistema operativo que tengas, siempre debes instalar las últimas actualizaciones de seguridad para cerrar los agujeros.

Recuerda que no solo debes instalar las actualizaciones para tu sistema operativo. Hay muchos programas susceptibles de tener fallos de seguridad. Por ejemplo el Adobe Flash Player es un programa imprescindible para poder visualizar flash en páginas de Internet, y cada poco sacan actualizaciones de seguridad. Lo mismo pasa con muchos otros programas.

– Ten un buen antivirus instalado: Para Windows hay muchos antivirus buenos y gratis. Voy a recomendar 3, pero recuerda que solo puedes tener 1 instalado en tu PC, ya que si tienes más de un antivirus se producen conflictos y puede dar muchos problemas.

Avira: http://www.avira.com/es/avira-free-antivirus

Avg: http://free.avg.com/es-es/homepage

Avast: https://www.avast.com/es-es/index

Para android puedes instalar Avast o Avg, ambos son gratuitos, y puedes buscarlos en Google play.

– Instala un firewall: Un buen firewall puede ser muy útil para cortar intentos de conexión indeseados y aumentar la protección. Recomiendo el Zone Alarm, que es gratuito:

Zone Alarm: http://www.zonealarm.es

– Deshabilita la ejecución automática: Como hemos visto antes, al introducir un disco externo, dvd o unidad flash que estén infectados, Windows ejecutara el autorun automáticamente, lo cual siempre es peligroso. Os dejo un enlace de Microsoft que explica como desactivar la ejecución automática en sus diferentes sistemas operativos:

http://support.microsoft.com/kb/967715/es-es?wa=wsignin1.0

 

– Instalar un Anti Malware y un Anti rootkit:  A veces el antivirus no es suficiente para detectar todas las amenazas. Si después de escanear con el antivirus todavía sospechas que tu ordenador puede estar infectado, te recomiendo descargar un programa detector de malware:

Malwarebytes: https://es.malwarebytes.org/

 

También recomiendo escanear con un Anti rootkits:

TDSSKiller: https://www.infospyware.com/antirootkits/tdsskiller/

 

– Virus total:  Si por alguna razón tienes que instalar o ejecutar un programa, es recomendable subirlo a www.virustotal.com ¿Qué es virus total? Es una web que dispone de más de 50 antivirus. Subes un fichero y te muestra el resultado del escaneo de todos los antivirus. Muy recomendable.

– Cuidado con los emails: Nunca abras emails de desconocidos. Nunca ejecutes programas o abras ficheros que recibas por email. Incluso si el remitente es conocido, debes tener cuidado si tiene archivos adjuntos, ya que un sistema infectado puede enviar emails con malware sin que su propietario sea consciente.

– Visitar webs de confianza: Dentro de lo posible intenta navegar por webs de confianza.

– Ten organizados los programas que necesitas: Normalmente siempre necesitamos los mismos programas. La mayoría son gratuitos y descargables de sitios de confianza, por ejemplo: Firefox, skype, chrome, etc…

Yo siempre guardo una carpeta con todos los programas que necesito, y además guardo una copia de seguridad en un disco duro externo. De esta forma, si tengo que reinstalar el ordenador, o instalar los programas en un ordenador nuevo, tengo ya todos los programas que necesito descargados, testeados, y sabiendo que están limpios.

Por ejemplo, tengo una versión antigua de Xpadder, que es un programa sirve para mapear las teclas y que te permite usar el mando para juegos que solo aceptan teclado y ratón. Ese programa antiguo funciona perfectamente, y ahora si quieres obtener una versión nueva solo tienes 2 opciones: pagar o descargarlo de Internet. Y las descargas de Xpadder la mayoría tienen virus. Muchas veces las versiones nuevas de programas solo hacen que consuma más recursos y no mejoran nada, este es el caso del Xpadder. ¿Para qué correr riesgos descargando versiones nuevas?

 

– En caso de infección haz una buena limpieza: En caso de infección, lo mejor es reiniciar el ordenador en modo a prueba de fallos. Para ello pulsa F8 en el momento en el que se está iniciando el ordenador. En ese momento te aparecerá el menú de inicio avanzado. Podrás manejarte por las opciones con las flechas de dirección. Elige la opción “Inicio seguro con funciones de red”. Una vez dentro de Windows, ve a “Restaurar sistema” y elimina los puntos de restauración anteriores. Esto se hace para eliminar las infección de los puntos de restauración. Ahora sí, escanea tu sistema con Malwarebytes y con tu antivirus para hacer una buena limpieza.

 

¿ESTOY PROTEGIDO SI TOMO ESTAS PRECAUCIONES?

Desgraciadamente nunca se puede estar 100% seguro de evitar infecciones de malware, pero una cosa si es cierta, tomando precauciones reduces drásticamente las probabilidades de infección, y si no las tomas, eres carne de cañón.

Por ejemplo, puedes navegar por webs de confianza, pero éstas pueden estar infectadas. A mí una vez me llegó un email de Google, avisando de que estaba infectando con malware a los usuarios de una de mis webs. Al comprobar el código, efectivamente tenía un código malicioso en mi web. Esto es algo muy común, ya que los gusanos suelen aprovecharse de fallos en los scripts para introducir códigos maliciosos en las webs vulnerables. Es muy típico que pase esto cuando sale un nuevo bug para wordpress o para un CMS muy usado.

También suele pasar que los códigos maliciosos se cuelen a través de la publicidad. Esto es debido a que normalmente la publicidad es contratada a empresas intermediarias. En la mayoría de los casos, el webmaster simplemente pone un código en su web, y la empresa intermediaria se encarga de mostrar los anuncios. En algún caso, un anunciante malintencionado puede colocar un código malicioso, que acabe por publicarse en la web sin el consentimiento del propietario. Esto ha pasado en webs muy conocidas.

Otro de los grandes peligros son “Bugs 0 day” o “Vulnerabilidad día 0” ¿Qué es un Bug 0 day? Es un fallo de seguridad que un hacker acaba de descubrir, y nadie más conoce. En ese momento puede aprovechar para hacer un “Ataque de día 0”, que consiste en utilizar la vulnerabilidad descubierta para infiltrarse, dañar o infectar sistemas. Evidentemente como nadie más la conoce, no existen parches de seguridad para arreglar el fallo. Estos bugs 0 day son vendidos en el mercado negro por cantidades astronómicas. (muchos miles de euros).

Otra de las grandes amenazas son los troyanos indetectables. Todos los troyanos “de serie” suelen ser detectados por todos los antivirus, pero es posible modificarlos para evitar su detección.

A mí siempre me ha gustado el tema de la seguridad informática, y en mis tiempo mozos pasaba tiempo buscando información y manuales en foros, incluso llegué a hacer un curso de un año de duración que impartían un grupo de hackers. Nos daban entre 150 y 300 páginas todas las semanas, con sus respectivos ejercicios y pruebas. Una de las semanas, precisamente el tema trataba sobre malware indetectable, y te enseñaban a modificarlo para que no fuese detectado. Todavía tengo la imagen de mi prueba:

Lo que veis en la imagen, es un troyano perfectamente funcional que es indetectable para todos los antivirus de virustotal.com . La fecha de la imagen es del 2006, que fue cuando hice el curso, ahora virustotal tiene muchos más antivirus que antes, pero aun así volví a repetir el ejercicio recientemente con el mismo resultado. Yo no soy ningún experto, simplemente alguien que estudió informática y le interesaba un poco el tema de la seguridad. Es preocupante que un simple aficionado pueda saltarse la protección de más de 50 antivirus. Y ahora existen formas mucho más sencillas para hacer malware indetectable que las que aprendí a usar yo. Cualquiera puede hacer un troyano indetectable a los antivirus.

Conclusión: si sospechas que un fichero puede estar infectado, virustotal.com te va a salvar de muchas, pero no es infalible, ni mucho menos. La única forma de estar 100% a salvo de malware es encerrarte en un bunker con un ordenador desconectado de Internet. El peligro acecha ahí afuera amigos, protéjanse.