A medida que avanza el tiempo, se hace cada vez más
evidente la dependencia que tiene el ser humano en los diversos activos de la
información tales como los servidores, las bases de datos; las redes sociales, corporativas
o gubernamentales, las plataformas de telecomunicación y similares. Precisamente
por esta dependencia, es necesario que cada persona adquiera conocimientos
básicos de programación y tecnologÃa en general, aún cuando estas áreas no
representen un interés profesional o académico.
Con mayor razón, los internacionalistas deben estar al
tanto de estos temas justamente por la naturaleza de su profesión, ya que el
mundo que observan y analizan está en constante cambio y eso implica precisamente, observar la
transformación de los Estados y la aparición de actores atÃpicos o no estatales.
Hoy en dÃa, los ciber-ataques se están haciendo más
frecuentes y han aumentado en gran medida debido a los efectos que ha generado
la pandemia tales como la imperiosa necesidad de realizar teletrabajo, la trascendencia
de la educación virtual a un primer plano y el aumento de los tráficos de las
páginas web tanto gubernamentales como corporativas.
Es necesario aclarar que en este ensayo se hace
referencia a los ciber-ataques y/o ciber-delitos y no al ciber-terrorismo en su
pleno significado porque todavÃa no se han registrado guerras informáticas de
una forma abierta y consistente. Los
ciber-ataques tienen diversos objetivos y regularmente están orientados hacia
el robo de activos financieros, al espionaje o al activismo general.
En un futuro ensayo, se abordarà el tema de la
ciberseguridad desde la perspectiva estatal pero por el momento, el propósito de
este escrito es hacer una pequeña introducción a la ciberdelincuencia en
general.
En estos tiempos de pandemia, cuando se trata del teletrabajo,
los ciber delincuentes aprovechan las diversas vulnerabilidades que se generan
en el sistema de seguridad de las redes corporativas para poder hacer sus
fechorÃas. Antes de la pandemia, dichas vulnerabilidades no se daban con tanta facilidad
y frecuencia pero actualmente los trabajadores tienen que acceder al intranet
de las empresas desde sus computadoras personales y las mismas no cuentan con
el software y monitoreo de seguridad directa que maneja el personal de IT
(Information and Tecnology/Soporte técnico).
Los ciberdelincuentes que explotan tales vulnerabilidades generalmente son contratados por individuos o colectivos para robar secretos corporativos tales como planos, fórmulas y estrategias etc. o simplemente acceden a la información bancaria para robar dinero en beneficio propio.
Para entender mejor los diferentes tipos de amenazas
informáticas programadas por los ciber delincuentes, es necesario abordar el
concepto de malware.
La palabra malware proviene del inglés “Malicious
Software” que significa programa malicioso. El malware es un tipo de software
que tiene por objetivo infiltrarse para poder espiar o dañar una computadora o sistema de
información.
Existen diversos tipos malware; sin embargo, los más
comunes hoy en dÃa son los siguientes:
- Virus
- Troyanos
- Gusano
informático
- Adware
- Spyware
- Ransomware
EL VIRUS
El virus es un tipo de malware que tiene por objetivo
alterar los equipos informáticos ya sean laptops, computadoras de escritorios,
tablets etc. En el peor de los casos, un virus puede dañar permanentemente una
computadora al borrar los archivos fundamentales para su funcionamiento.
El virus necesita ser ejecutado por el usuario sin que
este se de cuenta y para ello, los ciberdelincuentes asignan al virus nombres
de programas confiables, como por ejemplo: “Softonic.exe”, un archivo ejecutable
necesario para la instalación de un programa de Softonic. Además, los ciber
delincuentes programan el virus para que se mezcle con programas ejecutables
propios de la computadora.
A pesar de todo esto, un usuario puede resolver este
problema con un antivirus actualizado o mejor aún con un antimalware tal como lo
es “Malwarebytes”. Si el usuario es lo suficientemente experimentado, puede
encontrar el virus de manera manual mediante la consola de Windows (Windows
Powershell) en su credencial de administrador.
EL TROYANO
El troyano es un tipo de malware parecido al virus pero más
discreto. El nombre de este tipo de malware hace analogÃa al caballo de Troya
propia de las historias de la mitologÃa griega. Una persona no podrÃa detectar
un troyano ya que este se camufla de cierta forma con archivos no dañinos o con
archivos ejecutables de un software que se desea instalar. Este malware opera
en un segundo plano junto con otros procesos propios del sistema operativo
(casi siempre Windows) y genera una vulnerabilidad para que otros tipos de
malware puedan tomar control del computador y robar información personal.
EL GUSANO INFORMÀTICO
A diferencia del virus informático y del troyano, el
gusano informático no necesita la intervención del usuario (descarga) y es aún más
difÃcil de detectar ya que no altera el funcionamiento de una computadora. Su
principal función es acceder a la lista de contactos de un correo electrónico para
obtener las direcciones IP y las redes de las computadoras de las personas que
forman parte de dicha lista de contactos. El gusano permite la entrada de otros
tipos de malware, cantidades masivas de spam y botnets (robot virtuales) para
tomar control de los ordenadores y responder de manera conjunta a los comandos
del ciber delincuente.
EL ADWARE
El adware es un tipo de malware que podrÃa considerarse
no malicioso ya que no causa daños al software y hardware de la computadora, y
su finalidad es la de mostrar cantidades exageradas de anuncios publicitarios mientras
recolecta los datos (preferencias) del usuario, de manera que el
ciberdelincuente pueda generar ingresos por publicidad. Las propagandas del
adware aparecen en los programas y en los navegadores de internet en forma de
ventanas emergentes.
La descarga inconsciente de un adware generalmente ocurre
cuando un usuario visita las páginas web dedicadas a la pornografÃa o cuando
navega en las páginas web que contienen catálogos de productos de dudosa
procedencia, los cuales regularmente terminan siendo estafas.
EL SPYWARE
Por otro lado está el spyware que significa “software de
espionaje” y su objetivo es recolectar información del usuario o dueño de la
computadora. El spyware es casi indetectable, no deja rastros de actividad y
recolecta los datos del usuario tanto localmente (por el disco duro) como externamente
(por el internet).
EL RANSOMWARE
El ransomware deriva del inglés ransom (rescate) y ware
(software). Este tipo de malware es un software de encriptación de datos que
generalmente se instala de maneja adjunta a otros tipos de malware.
El ransomware encripta los datos de la computadora
infectada, es decir, bloquea toda la información personal y de esa forma impide
que la vÃctima pueda acceder sus propios datos. Cuando el ransomware toma el
control total, la vÃctima no puede usar su computadora y lo único que ve en la
pantalla es un mensaje de rescate en el que el ciberdelincuente pide dinero a
la vÃctima a cambio de desbloquear la información que habÃa sido encriptada.
En otras palabras, el ransomware es un software de
secuestro de la información que cada vez se hace más común y ahora más en estos
tiempos de pandemia en el que la extorsión y el robo de información están a la
orden del dÃa.
Ciertamente, existen otros tipos de malware además del
ransomware; sin embargo, el propósito de este artÃculo fue dar una idea general
sobre la ciberseguridad. En un futuro artÃculo abordaré el tema de la seguridad
informática desde la perspectiva estatal, del “hacktivismo” y el hackeo ètico.
ALGUNOS CONSEJOS PARA ENCONTRAR UN VIRUS SIN UN ANTIMALWARE
Tanto los antimalware como los antivirus operan mediante
el escaneo de directorios (carpetas de archivos) en la computadora para
comprobar si existe algún programa malicioso alojado en el disco duro y asÃ
poder borrarlo. Cada programa malicioso tiene un nombre especÃfico con el que
se le identifica y para nuestra fortuna, los programadores expertos en
ciberseguridad siguen creando bases de datos para registrar tales nombres. Los
anti malwares y los antivirus consultan esas bases de datos para conocer si el
archivo encontrado en alguno de los directorios es un programa sospechoso
alojado en nuestra computadora. Si la base de datos muestra el nombre de un
virus que coincide con el nombre del archivo sospechoso, los antimalware
proceden a borrarlo.
Cada antimalware y/o antivirus tiene una base de
datos propia y solo puede ser vista por los programadores que la crearon; es
decir, los técnicos de Norton hicieron su lista de malware basado en sus investigaciones
y la misma es diferente a la lista que hicieron los técnicos de AVG o Avast.
Pese a lo que he mencionado sobre las bases de datos privadas o no accesibles,
existe una página web desarrollada por filántropos especialistas en
ciberseguridad que permite la consulta a una base de datos pública desarrollada
por ellos mismos y que además es tan grande como la combinación de todas las
bases de datos de todos los antimalware y/o antivirus que encontramos hoy en
dÃa.
Dicha página es https://www.virustotal.com/gui/ y es totalmente gratis. Es una herramienta que nos
permite copiar y pegar en su barra de búsqueda, el nombre del archivo
sospechoso o de una página web que no es confiable. Con Virus Total podremos
comprobar de forma manual y directa lo que generalmente harÃa un antivirus o
antimalware.
Método para encontrar y eliminar archivos maliciosos que
operan remotamente.
(Solo Windows)
Para este método se debe abrir el Powershell o consola
haciendo click izquierdo en el botón con el sÃmbolo de Windows o simplemente
escribiéndolo en la barra de búsqueda de “Inicio” y seleccionarlo. Es
importante que el Powershell o consola de Windows se ejecute como administrador
para tener todos los permisos necesarios para activar los comandos que se vayan
a realizar.
Se debe escribir el comando “cd..” varias veces hasta que solo quede en pantalla C:\> el directorio principal del sistema operativo.
Una vez se visualice el directorio principal C:\> que contiene los archivos importantes de
nuestra computadora, se procede a escribir el comando de consola netstat -anob que permite mostrar las conexiones que
están activas y de las cuales alguna de ellas sea probablemente un virus o un
spyware controlado desde la computadora del ciberdelincuente. Cuando se
despliegue la información en la consola hay que tener mucho cuidado al
sospechar porque allà se muestran muchos de los archivos y procesos indispensables
para el funcionamiento del sistema operativo.
Además de la consola, se recomienda abrir simultáneamente el administrador de tareas para consultar en la pestaña de “detalles” y verificar si uno de los nombres que aparece es realmente desconocido o poco confiable.
Otra cosa que hay que tener en cuenta al momento de
buscar las conexiones que sean consideradas sospechosas es que solo deben
examinarse las que tienen un estado de ESTABLISHED, ya
que las otras que aparecen como LISTENING operan
en un segundo plano y no representan una amenaza. Si el nombre de una conexión ESTABLISHED no logra verse en la consola o Powershell,
todavÃa puede identificarse mediante el PID
(Número de Identidad del proceso) y compararse con el PID que aparece en el
administrador de tareas en la pestaña llamada “detalles”. Cuando se tenga la
completa seguridad de que el archivo y/o conexión sospechosa no es un archivo
benigno del sistema y que el mismo aparece en el listado de malware de
Virustotal.com, entonces se procede a borrarlo mediante el comando taskkill / pid más el número PID del archivo sospechoso mostrado en Powershell. Cabe destacar que la eliminación del archivo
también será reflejada a través del administrador de tareas mencionado
anteriormente.
Método para encontrar y eliminar archivos maliciosos que
operan localmente.
(Solo Windows)
Todo el procedimiento que se ha explicado hasta ahora es
aplicable para los malware que se encuentran alojados en una computadora con
sistema operativo Windows y que operan de manera remota a través de internet;
sin embargo, también existen con mucha frecuencia los archivos maliciosos
creados como archivos .bat o archivos creados como blog de notas .txt. Estos operan de
manera oculta desde las mismas carpetas en las que están instalados. Un archivo
malicioso creado por bloc de notas puede estar alojado en la carpeta de
imágenes o de videos y no serà visible debido a su propiedad H que
le permite mantenerse oculto al usuario.
Para identificar y eliminar el malware o archivo
sospechoso que fue creado de esta manera se utiliza nuevamente la consola y se
inicia desde la dirección o raÃz del disco duro C:\> (Veà se imagen 1.1).
Una vez se localiza el directorio raÃz del disco duro C:\> se procede a escribir el comando attrib (atributo) que desplegará una lista de
archivos y carpetas tanto visibles como no visibles. Es
necesario entender que cada archivo tiene atributos y que los mismos pueden ser
S (archivo del sistema) o H (archivo oculto) o R (archivo de
solo lectura) o SHR todas juntas.
Generalmente la mayorÃa de los archivos tienen los 3
atributos pero en cualquier caso es indispensable no afectar los archivos con
el atributo S ya que son vitales para el sistema
operativo y por lo tanto deben ser descartados como amenazas. Los archivos con
el atributo H que no sean “S” del sistema pueden
ser archivos sospechosos y para poder eliminarlos es necesario remover ese
atributo.
Supongamos que en esta imagen el archivo UKLog.dat es un
archivo malicioso. Como se puede apreciar, el nombre de este archivo está
oculto cuando navegamos desde nuestro explorador de archivos.
Para que se pueda eliminar el archivo UKLog.dat es
necesario remover su atributo de oculto y para ello se escribe el comando attrib -h UKLog.dat . Una vez se ejecute ese comando,
el archivo UKLog.dat que sirve como ejemplo, podrá ser visible.
Ya cuando sea visible el archivo malicioso o el archivo que genera sospechas, se procede a eliminar mediante el comando del que significa “delete” o “borrar”. Como en este ensayo se utiliza de ejemplo el archivo UKLog.dat , el comando completo serÃa del UKLog.dat .
2.5 Imagen demostrativa capturada de mi pantalla.
Es necesario recalcar
que estas operaciones deben realizarse solo si existen fuertes sospechas de que
un archivo en particular es un programa potencialmente malicioso. De todas
maneras expliqué en párrafos anteriores que la página web https://www.virustotal.com/gui/ es una herramienta
creada por programadores especializados en ciberseguridad que nos permite
verificar los nombres de los archivos maliciosos y mucho más.
Recomendaciones para su ciberseguridad (Uso de software).
Anteriormente mencioné que los malware son programas
maliciosos que abarcan tanto los virus como los adwares, spyware u otros y que
algunos son capaces de dañar incluso una computadora. En virtud de ello,
recomiendo la instalación de un poderoso antimalware llamado Malwarebytes (el
mejor del mercado hasta ahora) y que si bien, la versión completa serÃa la
mejor opción, la versión gratuita no se queda atrás.
Si de antivirus se trata puedo recomendar Kaspersky, en
caso tal que Malwarebytes resulte inaccesible por alguna razón. En mi humilde
opinión Kaspersky es un antivirus completo pero sigue teniendo menos rango o
alcance que Malwarebytes, precisamente porque el virus es uno de los tipos de
malware.
Si existe indecisión en conseguir uno u otro y por alguna
razón usted querido lector decide conseguir ambas, mi recomendación serÃa no
hacerlo. Esto es por la sencilla razón que dos antivirus o un antivirus y un
antimalware chocarÃan el uno con el otro afectándose mutuamente en el
funcionamiento.
Referente al cuidado de la computadora, recomiendo
Ccleaner, un programa que en la actualidad es ampliamente usado para la
corrección del registro del ordenador. El registro es un espacio en el
microprocesador que permite almacenar datos temporales para ejecutar
operaciones. El lenguaje del registro es el lenguaje de programación
“ensamblaje” que traduce el código binario (ej.01001011) producido por las
señales eléctricas positivas y negativas de la computadora al lenguaje común de
programación.
Para garantizar el cuidado del computador es necesario tomar en cuenta el correcto funcionamiento del registro y del sistema en general. El disco duro también es de vital importancia porque puede ser alojado por un archivo malicioso enviado por el ciber delincuente.
0 Comentarios