Diferencia entre revisiones de «Mantenimiento y Montaje de Equipos Informáticos/Tema 8/Malware y Antivirus»
Sin resumen de edición Etiqueta: Revertido |
Etiqueta: Revertido |
||
| Línea 34: | Línea 34: | ||
Google ha descubierto que '''una de cada 10 páginas web''' que han sido analizadas a profundidad '''puede contener los llamados ''drive-by downloads''''', que son sitios que instalan spyware o códigos que '''dan información de los equipos''' sin que el usuario se percate. |
Google ha descubierto que '''una de cada 10 páginas web''' que han sido analizadas a profundidad '''puede contener los llamados ''drive-by downloads''''', que son sitios que instalan spyware o códigos que '''dan información de los equipos''' sin que el usuario se percate. |
||
Rootkits |
|||
Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el |
|||
Los rootkits son programas maliciosos sigilosos diseñados para ocultar su existencia o la existencia de otro malware en un sistema. Son particularmente preocupantes porque pueden proporcionar acceso no autorizado a una computadora o red mientras permanecen indetectables por programas antivirus o antimalware. |
|||
malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la |
|||
lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de |
|||
Los rootkits operan en los niveles más bajos de un sistema, a menudo explotando vulnerabilidades en el kernel o firmware del sistema operativo. Una vez instalados, pueden manipular las funciones del sistema para ocultar archivos, procesos, conexiones de red y otras actividades al usuario y a los administradores del sistema. |
|||
modificaciones consiguen ocultar cualquier indicio de que el ordenador esta infectado por un malware. |
|||
Troyanos |
|||
Los rootkits se pueden utilizar para diversos fines maliciosos, incluyendo: |
|||
El término troyano suele ser usado para designar a un malware que permite la administración remota de una |
|||
computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado. |
|||
- Espionaje: pueden monitorear la actividad del usuario, capturar pulsaciones de teclas y robar información sensible como contraseñas o números de tarjetas de crédito. |
|||
Este tipo de malware es un híbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definición. |
|||
- Puertas traseras: pueden crear puntos de entrada ocultos en un sistema, permitiendo que los atacantes accedan y controlen de forma remota el dispositivo comprometido. |
|||
Keyloggers |
|||
- Robo de datos: pueden extraer datos confidenciales almacenados en el sistema infectado, incluyendo propiedad intelectual, información personal o registros financieros. |
|||
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envío al creador. Por |
|||
- Botnets: los rootkits se pueden utilizar para reclutar dispositivos infectados en una botnet, que luego se puede utilizar para lanzar ataques coordinados, enviar spam o minar criptomonedas. |
|||
ejemplo al introducir un número de tarjeta de crédito el keylogger guarda el número, posteriormente lo envía al autor |
|||
del programa y este puede hacer pagos fraudulentos con esa tarjeta. Si las contraseñas se encuentran recordadas en el |
|||
Los rootkits suelen ser difíciles de detectar y eliminar debido a su capacidad para evadir las medidas de seguridad tradicionales. La detección y mitigación de rootkits generalmente requiere herramientas y técnicas especializadas, como la forensia de memoria, la verificación de integridad y el escaneo en el inicio del sistema. |
|||
equipo, de forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La |
|||
mayoría los keyloggers son usados para recopilar contraseñas de acceso pero también pueden ser usados para espiar |
|||
Las medidas preventivas contra los rootkits incluyen mantener el software actualizado, utilizar soluciones de seguridad robustas, practicar una buena higiene de seguridad (por ejemplo, evitar sitios web, correos electrónicos y descargas sospechosas) y emplear las mejores prácticas de seguridad, como el principio de privilegio mínimo y la segmentación de redes. |
|||
conversaciones de chat u otros fines. |
|||
Programas anti-malware |
|||
EDITANDO EDITANDO EDITANDO |
|||
Como los ataques con malware son cada vez más frecuentes, el interés ha empezado a cambiar de protección frente a |
|||
EDITANDO EDITANDO EDITANDO |
|||
virus y spyware, a protección frente al malware, y los programas han sido específicamente desarrollados para |
|||
EDITANDO EDITANDO EDITANDO |
|||
combatirlos. Generalmente se aplican a sistemas operativos populares como la familia Windows o OS X |
|||
EDITANDO EDITANDO EDITANDO |
|||
Los programas anti-malware pueden combatir el malware de dos formas: |
|||
EDITANDO EDITANDO EDITANDO |
|||
• Proporcionando protección en tiempo real (real-time protection) contra la instalación de malware en una |
|||
computadora. El software anti-malware escanea todos los datos procedentes de la red en busca de malware y |
|||
LosEDITANDO EDITANDO EDITANDO |
|||
bloquea todo lo que suponga una amenaza. |
|||
niveles más bajos de un sistema, a menudo explotando vulnerabilidades en el kernel o firmware del sistema operativo. Una vez instalados, pueden manipular las funciones del sistema para ocultar archivos, procesos, conexiones de red y otras actividades al usuario y a los administradores del sistema. |
|||
• Detectando y eliminando malware que ya ha sido instalado en una computadora. Este tipo de protección frente al |
|||
malware es normalmente mucho más fácil de usar y más popular.32 Este tipo de programas anti-malware |
|||
Los rootkits se pueden utilizar para diversos fines maliciosos, incluyendo: |
|||
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 194 |
|||
escanean el contenido del registro de Windows, los archivos del sistema operativo, la memoria y los programas |
|||
- Espionaje: pueden monitorear la actividad del usuario, capturar pulsaciones de teclas y robar información sensible como contraseñas o números de tarjetas de crédito. |
|||
instalados en la computadora. Al terminar el escaneo muestran al usuario una lista con todas las amenazas |
|||
- Puertas traseras: pueden crear puntos de entrada ocultos en un sistema, permitiendo que los atacantes accedan y controlen de forma remota el dispositivo comprometido. |
|||
encontradas y permiten escoger cuales eliminar. |
|||
- Robo de datos: pueden extraer datos confidenciales almacenados en el sistema infectado, incluyendo propiedad intelectual, información personal o registros financieros. |
|||
Métodos de protección |
|||
- Botnets: los rootkits se pueden utilizar para reclutar dispositivos infectados en una botnet, que luego se puede utilizar para lanzar ataques coordinados, enviar spam o minar criptomonedas. |
|||
Protección a través del número de cliente y la del |
|||
generador de claves dinámicas |
|||
Los rootkits suelen ser difíciles de detectar y eliminar debido a su capacidad para evadir las medidas de seguridad tradicionales. La detección y mitigación de rootkits generalmente requiere herramientas y técnicas especializadas, como la forensia de memoria, la verificación de integridad y el escaneo en el inicio del sistema. |
|||
Siguiendo algunos sencillos consejos se puede aumentar |
|||
considerablemente la seguridad de una computadora, algunos son: |
|||
NATHAN |
|||
• Protección a través del número de cliente y la del generador de |
|||
V |
|||
claves dinámicas |
|||
* Evitar el software encontrado en las redes P2P, ya que realmente no se sabe su contenido ni su procedencia. |
|||
• Tener el sistema operativo y el navegador web actualizados. |
|||
* Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies sólo en las páginas web de confianza. |
|||
• Tener instalado un antivirus y un firewall y configurarlos para |
|||
* Utilizar unas contraseñas de alta seguridad para evitar los ataques de diccionario. |
|||
que se actualicen automáticamente de forma regular ya que |
|||
cada día aparecen nuevas amenazas. |
|||
Es muy recomendable el hacer regularmente unas copias de respaldo de los documentos importantes y guardarlas en unos medios extraíbles como CD o DVD, para poder recuperar los datos si por ejemplo algún malware causa una infección. |
|||
• Utilizar una cuenta de usuario con privilegios limitados, la |
|||
cuenta de administrador solo debe utilizarse cuándo sea |
|||
[[Categoría:Mantenimiento_y_Montaje_de_Equipos_Informáticos|{{PAGENAME}}]] |
|||
necesario cambiar la configuración o instalar un nuevo |
|||
software. |
|||
• Tener precaución al ejecutar software procedente de Internet o de medio extraíble como CD o memorias USB. Es |
|||
importante asegurarse de que proceden de algún sitio de confianza. |
|||
• Una recomendación en tablet, teléfono celular y otros dispositivos móviles es instalar aplicaciones de tiendas muy |
|||
reconocidas como App Store, Google Play o Nokia Store, pues esto garantiza que no tendrán malware. |
|||
• Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia. |
|||
• Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies sólo en páginas web |
|||
de confianza. |
|||
• Utilizar contraseñas de alta seguridad para evitar ataques de diccionario. |
|||
Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extraíbles |
|||
como CD o DVD para poderlos recuperar en caso de infección por parte de algún malware. |
|||
Otras utilidades |
|||
KeyLogger [222] |
|||
Una base de datos de un keylogger tipo software. |
|||
Un keylogger (derivado del inglés: key (tecla) y logger |
|||
(registrador); registrador de teclas) es un tipo de software o |
|||
un dispositivo hardware específico que se encarga de |
|||
registrar las pulsaciones que se realizan en el teclado, para |
|||
posteriormente memorizarlas en un fichero o enviarlas a |
|||
través de internet. |
|||
Suele usarse como malware del tipo daemon, permitiendo |
|||
que otros usuarios tengan acceso a contraseñas importantes, |
|||
como los números de una tarjeta de crédito, u otro tipo de |
|||
información privada que se quiera obtener. |
|||
El registro de lo que se teclea puede hacerse tanto con |
|||
medios de hardware como de software. Los sistemas |
|||
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 195 |
|||
comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace |
|||
inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que |
|||
se necesita algún conocimiento de como soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar |
|||
keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o |
|||
como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar |
|||
esto, ya que sólo requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran screenshots |
|||
(capturas de pantalla) al realizarse un click, que anulan la seguridad de esta medida. |
|||
Funcionamiento |
|||
Un keylogger tipo hardware. |
|||
El registro de las pulsaciones del teclado se puede alcanzar por medio de |
|||
hardware y de software: |
|||
• Keylogger con hardware. Son dispositivos disponibles en el mercado |
|||
que vienen en tres tipos: |
|||
• Adaptadores en línea que se intercalan en la conexión del teclado, |
|||
tienen la ventaja de poder ser instalados inmediatamente. Sin |
|||
embargo, mientras que pueden ser eventualmente inadvertidos se |
|||
detectan fácilmente con una revisión visual detallada. |
|||
• Dispositivos que se pueden instalar dentro de los teclados estándares, requiere de habilidad para soldar y de |
|||
tener acceso al teclado que se modificará. No son detectables a menos que se abra el cuerpo del teclado. |
|||
• Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a |
|||
menos que se les busque específicamente. |
|||
• Keylogger con software. Los keyloggers de software se dividen en: |
|||
• Basado en núcleo: residen en el nivel del núcleo y son así prácticamente invisibles. |
|||
• Enganchados: estos keyloggers registran las pulsaciónes de las teclas del teclado con las funciones |
|||
proporcionadas por el sistema operativo. |
|||
Instalación |
|||
Paso Descripción |
|||
Ejecutar en el terminal |
|||
1 Actualizar repositorios locales sudo apt-get update |
|||
2 instalar photrec y testdisk sudo apt-get install logkeys |
|||
Configuración en una máquina virtual |
|||
Paso Descripción |
|||
Ejecutar en el terminal |
|||
1 Editar fichero de configuración "gedit /etc/default/logkeys" |
|||
y modificamos el contenido del fichero |
|||
ENABLED=1 LOGFILE=/var/log/logkeys |
|||
DEVICE=/dev/input/event2 #teclado máquna virtual |
|||
2 crea fichero de resultados sudo touch /var/log/logkeys |
|||
3 cambio permisos del fichero de resultados sudo chmod 0777 /var/log/logkeys |
|||
4 reinicia servicio keylogger sudo /etc/init.d/logkeys start |
|||
4 al teclear algo, lo comprobamos cat /var/log/logkeys |
|||
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 196 |
|||
Protección |
|||
teclado virtual anti keylogger |
|||
En algunas computadoras podemos darnos cuenta si están infectadas |
|||
por un keylogger (dependiendo de la velocidad y uso de CPU de |
|||
nuestro procesador) por el hecho de que el programa registrara cada |
|||
una de nuestras teclas de la siguiente manera: FicheroLog = |
|||
FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger |
|||
cada vez que el usuario presione una tecla. Si bien este evento no será |
|||
una carga relevante para nuestro procesador si se ejecuta a una |
|||
velocidad normal, pero si mantienes unas 10 teclas presionadas por |
|||
unos 30 segundos con la palma de tu mano y tu sistema se congela o su |
|||
funcionamiento es demasiado lento podríamos sospechar que un |
|||
keylogger se ejecuta sobre nuestro computador. Otro signo de que un |
|||
keylogger se está ejecutando en nuestro computador es el problema de |
|||
la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal sin acentuar. Esto |
|||
ocurre en keyloggers configurados para otros idiomas. |
|||
La banca electrónica utiliza teclados virtuales para evitar teclear. Al utilizar el ratón, solo registrará las posiciones |
|||
del teclado virtual de la sitio web y este teclado varía en cada actualización de la página. |
|||
Recuperación de ficheros borrados de la papelera PhotoRec [223] |
|||
PhotoRec es una herramienta gratuita y de código abierto utilizada para recuperar archivos perdidos de la |
|||
memoria de las cámaras digitales (CompactFlash, Memory Stick, Secure Digital, SmartMedia, Microdrive, MMC, |
|||
unidades flash USB, etc), los discos duros y CD-ROMs. Recupera formatos de fotos más comunes, incluyendo |
|||
JPEG, y también recupera archivos de audio como MP3, formatos de documentos como OpenDocument, Microsoft |
|||
Office, PDF y HTML y formatos de archivo, incluyendo ZIP. El usuario puede añadir nuevos tipos de archivo |
|||
indicando la extensión del archivo, una cadena de datos a buscar y la posición de la cadena en el archivo. |
|||
Funcionamiento |
|||
Los sistemas de archivo FAT, NTFS, ext2/ext3/ext4 guardan los archivos en bloques de datos. El tamaño del bloque |
|||
es constante. En general, la mayoría de los sistemas operativos intentan guardar los datos de forma contigua para |
|||
minimizar el nivel de fragmentación. |
|||
Cuando un archivo es eliminado, la meta información sobre este archivo (Nombre, fecha/hora, tamaño, ubicación del |
|||
primer bloque ó cluster, etc.) se pierden; por ejemplo, en un sistema ext3/ext4, los nombres de los archivos |
|||
eliminados siguen presentes, pero la ubicación del primer bloque de datos es eliminada. Esto significa que los datos |
|||
siguen estando presentes, pero solamente hasta que sean sobreescritos en parte o por completo por un nuevo archivo. |
|||
Para recuperar estos archivos 'perdidos', PhotoRec primero intenta encontrar el tamaño del bloque. Si el sistema de |
|||
archivos no está dañado, este valor puede ser leído de su índice. Si no lo puede leer, PhotoRec lee toda la partición, |
|||
sector por sector. |
|||
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 197 |
|||
Instalación |
|||
Paso Descripción |
|||
Ejecutar en el terminal |
|||
1 Actualizar repositorios locales sudo apt-get update |
|||
2 instalar photrec y testdisk sudo apt-get install testdisk |
|||
Utilización |
|||
Paso Descripción Captura del programa |
|||
1 En un terminal sudo photorec |
|||
2 Los dispositivos disponibles son listados. Usar las flechas de arriba/abajo para seleccionar el disco que |
|||
contiene los archivos perdidos. Presionar Enter para continuar. |
|||
3 Seleccionar el tipo de tabla de particionamiento, generalmente el valor por defecto es el correcto ya que |
|||
PhotoRec auto-detecta el tipo de tabla de partición. |
|||
4 Selección de partición del disco donde están los ficheros a recuperar. Seleccionar: |
|||
• Search luego de elegir la partición que contiene los archivos perdidos para comenzar con la |
|||
recuperación, |
|||
• Options para modificar las opciones, |
|||
• File Opt para modificar la lista de archivos recuperados por PhotoRec. |
|||
5 Opciones de PhotoRec: |
|||
• Paranoid Por defecto, los archivos recuperados son verificados y los inválidos, rechazados. |
|||
• Habilitar bruteforce para recuperar más archivos JPEG fragmentados, teniendo en cuenta que esta |
|||
opción tiene un alto impacto en el rendimiento del CPU. |
|||
• Habilitar Keep corrupted files para conservar los archivos, incluso cuando son inválidos para permitir |
|||
el uso de otras herramientas sobre estos datos. |
|||
6 Selección de archivos a recuperar. Habilitar o deshabilitar la recuperación de ciertos tipos de archivos con |
|||
las flechas ↑ y ↓ para moverse y espacio para seleccionar |
|||
7 Tipo de Sistema de ficheros. Una vez que la partición ha sido seleccionada y validada con Search, |
|||
PhotoRec necesita saber como los bloques de datos son distribuídos. Al menos que se use ext2/ext3, |
|||
seleccionar Other. |
|||
8 PhotoRec puede buscar archivos en |
|||
• WHOLE: toda la partición (útil si la partición esta severamente dañada) ó |
|||
• FREE: solamente del espacio no atribuído (unallocated) (Disponible para ext2/ext3, |
|||
FAT12/FAT6/FAT32 y NTFS). Con esta opción solamente los archivos eliminados son recuperados. |
|||
9 Seleccionar la carpeta donce se ubicarán los archivos recuperados. Es recomendable seleccionar una |
|||
unidad distinta a la que será analizada, o de lo contrario se corre peligro de sobreescribir los datos que se |
|||
intentan recuperar. |
|||
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 198 |
|||
10 Recuperación en progreso puede tardar varias horas, depende de las opciones elegidas. La cantidad de |
|||
archivos recuperados es actualizada en tiempo real. Durante la primera pasada, PhotoRec busca los |
|||
primeros 10 archivos para determinar el tamaño de los bloques. Durante la siguiente pasada, los archivos |
|||
son recuperados incluyendo algunos archivos fragmentados. Los archivos recuperados son escritos en los |
|||
subdirectorios recup_dir.1, recup_dir.2... . Es posible acceder los archivos incluso si la recuperación no |
|||
terminó. |
|||
11 La recuperación está completa. |
|||
Cortafuegos Gufw [224] |
|||
Gufw es una interfaz gráfica de software libre para ufw (Uncomplicated FireWall), publicado por primera vez en |
|||
Ubuntu 8.04. |
|||
Instalación |
|||
Paso Descripción |
|||
Ejecutar en el terminal |
|||
1 Actualizar repositorios locales sudo apt-get update |
|||
2 instalar gufw sudo apt-get install gufw |
|||
Configurar |
|||
Acción Descripción |
|||
Captura |
|||
Ejecutar y |
|||
Activar |
|||
Para acceder a Gufw, vete al menú: Sistema->Administración->Configuración Cortafuegos. |
|||
Por defecto, el cortafuegos está desactivado. |
|||
Para activarlo, simplemente pulsa en Activar y por defecto el tráfico será establecido a |
|||
Denegar conexiones entrantes y Permitir conexiones salientes. |
|||
Pestaña |
|||
Preconfigurada |
|||
La pestaña Preconfigurada proporciona opciones para controlar las aplicaciones y servicios |
|||
más comunes. |
|||
Pestaña Añadir |
|||
reglas |
|||
Pulsa en el botón Añadir y aparecerá una ventana. Las reglas pueden configurarse para los |
|||
puertos TCP, UDP o ambos, incluyendo algunas aplicaciones/servicios preconfigurados. Las |
|||
opciones disponibles son Permitir, Denegar, Rechazar y Limitar: |
|||
• Permitir: Se permitirá el tráfico entrante para un puerto. |
|||
• Denegar: Se denegará el tráfico entrante para un puerto. |
|||
• Rechazar: Se rechazará el tráfico entrante para un puerto, informando del rechazo al |
|||
sistema que solicita la conexión. |
|||
• Limitar: Se limitará el intento de conexiones denegadas. Si una dirección IP intenta iniciar |
|||
6 o más conexiones en los últimos 30". |
|||
Mantenimiento y Montaje de Equipos Informáticos/Texto completo 199 |
|||
CCleaner [225] |
|||
CCleaner es una aplicación gratuita, de código cerrado, que tiene como propósito mejorar el rendimiento de |
|||
cualquier equipo que ejecute Microsoft Windows mediante la eliminación de los archivos innecesarios y las |
|||
entradas inválidas del registro de Windows (REGEDIT). También cuenta con la posibilidad de desinstalar |
|||
programas desde su interfaz e inhabilitar la ejecución de aplicaciones en el inicio del sistema para mejorar la |
|||
velocidad de arranque. |
|||
• DLLs compartidas faltantes. |
|||
• Extensiones de archivos inválidas. |
|||
• Entradas de ActiveX y Class. |
|||
• Tipo de Librerías. |
|||
• Aplicaciones |
|||
• Fuentes |
|||
• Rutas de aplicación. |
|||
• Archivos de ayuda. |
|||
• Instalador |
|||
• Programas obsoletos. |
|||
• Ejecución en el Inicio. |
|||
• Clasificación del menú de Inicio. |
|||
• Cache MUI |
|||
Instalación |
|||
Paso Descripción |
|||
Ejecutar en el terminal |
|||
1 Desde el sitio web oficial http://www.ccleaner.com/ |
|||
Utilización |
|||
Navegando por las pestañas, se debe buscar las entradas inválidas del registro Windows. Antes de pulsar borrar, se |
|||
debe realizar la copia de seguridad que aconseja. Cuando se reinicie varias veces el computador y se realicen |
|||
varias tareas y no hay problemas, se puede borrar la copia de seguridad. |
|||
Revisión del 15:44 22 abr 2024
|
Índice de Malware y Antivirus | |
|
Índice del «Tema 8» | |
MalwareMalware [196] (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o Sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos. El software se considera malware en función de los efectos que, pensados por el creador, provoque en un computador. El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables. Malware no es lo mismo que software defectuoso; este último contiene bugs peligrosos, pero no de forma intencionada.
Tipos
Virus y gusanos
Un virus informático es un programa que, al ejecutarse, se propaga infectando otros softwares ejecutables dentro de la misma computadora. Los virus también pueden tener un payload que realice otras acciones a menudo maliciosas, por ejemplo, un borrado de archivos.
Por otra parte, un gusano es un programa que se transmite a sí mismo, explotando una vulnerabilidad en una red de computadoras, para infectar otros equipos. El principal objetivo es la infección de la mayor cantidad posible de usuarios, y también puede contener instrucciones dañinas al igual que los virus.
Un virus necesita de la intervención del usuario para propagarse mientras que un gusano se propaga automáticamente.
Backdoor o puerta trasera
Un backdoor o puerta trasera es un método para eludir los procedimientos habituales de autenticación al conectarse a una computadora. Una vez que el sistema ha sido comprometido (por uno de los anteriores métodos o de alguna otra forma): puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden instalarse previamente al software malicioso para permitir la entrada de los atacantes.
Drive-by Downloads
Google ha descubierto que una de cada 10 páginas web que han sido analizadas a profundidad puede contener los llamados drive-by downloads, que son sitios que instalan spyware o códigos que dan información de los equipos sin que el usuario se percate.
Rootkits Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador esta infectado por un malware. Troyanos El término troyano suele ser usado para designar a un malware que permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado. Este tipo de malware es un híbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definición. Keyloggers Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envío al creador. Por ejemplo al introducir un número de tarjeta de crédito el keylogger guarda el número, posteriormente lo envía al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta. Si las contraseñas se encuentran recordadas en el equipo, de forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayoría los keyloggers son usados para recopilar contraseñas de acceso pero también pueden ser usados para espiar conversaciones de chat u otros fines. Programas anti-malware Como los ataques con malware son cada vez más frecuentes, el interés ha empezado a cambiar de protección frente a virus y spyware, a protección frente al malware, y los programas han sido específicamente desarrollados para combatirlos. Generalmente se aplican a sistemas operativos populares como la familia Windows o OS X Los programas anti-malware pueden combatir el malware de dos formas: • Proporcionando protección en tiempo real (real-time protection) contra la instalación de malware en una computadora. El software anti-malware escanea todos los datos procedentes de la red en busca de malware y bloquea todo lo que suponga una amenaza. • Detectando y eliminando malware que ya ha sido instalado en una computadora. Este tipo de protección frente al malware es normalmente mucho más fácil de usar y más popular.32 Este tipo de programas anti-malware Mantenimiento y Montaje de Equipos Informáticos/Texto completo 194 escanean el contenido del registro de Windows, los archivos del sistema operativo, la memoria y los programas instalados en la computadora. Al terminar el escaneo muestran al usuario una lista con todas las amenazas encontradas y permiten escoger cuales eliminar. Métodos de protección Protección a través del número de cliente y la del generador de claves dinámicas Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son: • Protección a través del número de cliente y la del generador de claves dinámicas • Tener el sistema operativo y el navegador web actualizados. • Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automáticamente de forma regular ya que cada día aparecen nuevas amenazas. • Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cuándo sea necesario cambiar la configuración o instalar un nuevo software. • Tener precaución al ejecutar software procedente de Internet o de medio extraíble como CD o memorias USB. Es importante asegurarse de que proceden de algún sitio de confianza. • Una recomendación en tablet, teléfono celular y otros dispositivos móviles es instalar aplicaciones de tiendas muy reconocidas como App Store, Google Play o Nokia Store, pues esto garantiza que no tendrán malware. • Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia. • Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies sólo en páginas web de confianza. • Utilizar contraseñas de alta seguridad para evitar ataques de diccionario. Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extraíbles como CD o DVD para poderlos recuperar en caso de infección por parte de algún malware. Otras utilidades KeyLogger [222] Una base de datos de un keylogger tipo software. Un keylogger (derivado del inglés: key (tecla) y logger (registrador); registrador de teclas) es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet. Suele usarse como malware del tipo daemon, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener. El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software. Los sistemas Mantenimiento y Montaje de Equipos Informáticos/Texto completo 195 comerciales disponibles incluyen dispositivos que pueden conectarse al cable del teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos para instalarlos en el teclado). Escribir aplicaciones para realizar keylogging es trivial y, como cualquier programa computacional, puede ser distribuido a través de un troyano o como parte de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para evitar esto, ya que sólo requiere clics del ratón. Sin embargo, las aplicaciones más nuevas también registran screenshots (capturas de pantalla) al realizarse un click, que anulan la seguridad de esta medida. Funcionamiento Un keylogger tipo hardware. El registro de las pulsaciones del teclado se puede alcanzar por medio de hardware y de software: • Keylogger con hardware. Son dispositivos disponibles en el mercado que vienen en tres tipos: • Adaptadores en línea que se intercalan en la conexión del teclado, tienen la ventaja de poder ser instalados inmediatamente. Sin embargo, mientras que pueden ser eventualmente inadvertidos se detectan fácilmente con una revisión visual detallada. • Dispositivos que se pueden instalar dentro de los teclados estándares, requiere de habilidad para soldar y de tener acceso al teclado que se modificará. No son detectables a menos que se abra el cuerpo del teclado. • Teclados reales del reemplazo que contienen el Keylogger ya integrado. Son virtualmente imperceptibles, a menos que se les busque específicamente. • Keylogger con software. Los keyloggers de software se dividen en: • Basado en núcleo: residen en el nivel del núcleo y son así prácticamente invisibles. • Enganchados: estos keyloggers registran las pulsaciónes de las teclas del teclado con las funciones proporcionadas por el sistema operativo. Instalación Paso Descripción Ejecutar en el terminal 1 Actualizar repositorios locales sudo apt-get update 2 instalar photrec y testdisk sudo apt-get install logkeys Configuración en una máquina virtual Paso Descripción Ejecutar en el terminal 1 Editar fichero de configuración "gedit /etc/default/logkeys" y modificamos el contenido del fichero ENABLED=1 LOGFILE=/var/log/logkeys DEVICE=/dev/input/event2 #teclado máquna virtual 2 crea fichero de resultados sudo touch /var/log/logkeys 3 cambio permisos del fichero de resultados sudo chmod 0777 /var/log/logkeys 4 reinicia servicio keylogger sudo /etc/init.d/logkeys start 4 al teclear algo, lo comprobamos cat /var/log/logkeys Mantenimiento y Montaje de Equipos Informáticos/Texto completo 196 Protección teclado virtual anti keylogger En algunas computadoras podemos darnos cuenta si están infectadas por un keylogger (dependiendo de la velocidad y uso de CPU de nuestro procesador) por el hecho de que el programa registrara cada una de nuestras teclas de la siguiente manera: FicheroLog = FicheroLog + UltimaTecla, este evento será ejecutado por el keylogger cada vez que el usuario presione una tecla. Si bien este evento no será una carga relevante para nuestro procesador si se ejecuta a una velocidad normal, pero si mantienes unas 10 teclas presionadas por unos 30 segundos con la palma de tu mano y tu sistema se congela o su funcionamiento es demasiado lento podríamos sospechar que un keylogger se ejecuta sobre nuestro computador. Otro signo de que un keylogger se está ejecutando en nuestro computador es el problema de la tilde doble (´´) al presionar la tecla para acentuar vocales, salen dos tildes seguidas y la vocal sin acentuar. Esto ocurre en keyloggers configurados para otros idiomas. La banca electrónica utiliza teclados virtuales para evitar teclear. Al utilizar el ratón, solo registrará las posiciones del teclado virtual de la sitio web y este teclado varía en cada actualización de la página. Recuperación de ficheros borrados de la papelera PhotoRec [223] PhotoRec es una herramienta gratuita y de código abierto utilizada para recuperar archivos perdidos de la memoria de las cámaras digitales (CompactFlash, Memory Stick, Secure Digital, SmartMedia, Microdrive, MMC, unidades flash USB, etc), los discos duros y CD-ROMs. Recupera formatos de fotos más comunes, incluyendo JPEG, y también recupera archivos de audio como MP3, formatos de documentos como OpenDocument, Microsoft Office, PDF y HTML y formatos de archivo, incluyendo ZIP. El usuario puede añadir nuevos tipos de archivo indicando la extensión del archivo, una cadena de datos a buscar y la posición de la cadena en el archivo. Funcionamiento Los sistemas de archivo FAT, NTFS, ext2/ext3/ext4 guardan los archivos en bloques de datos. El tamaño del bloque es constante. En general, la mayoría de los sistemas operativos intentan guardar los datos de forma contigua para minimizar el nivel de fragmentación. Cuando un archivo es eliminado, la meta información sobre este archivo (Nombre, fecha/hora, tamaño, ubicación del primer bloque ó cluster, etc.) se pierden; por ejemplo, en un sistema ext3/ext4, los nombres de los archivos eliminados siguen presentes, pero la ubicación del primer bloque de datos es eliminada. Esto significa que los datos siguen estando presentes, pero solamente hasta que sean sobreescritos en parte o por completo por un nuevo archivo. Para recuperar estos archivos 'perdidos', PhotoRec primero intenta encontrar el tamaño del bloque. Si el sistema de archivos no está dañado, este valor puede ser leído de su índice. Si no lo puede leer, PhotoRec lee toda la partición, sector por sector. Mantenimiento y Montaje de Equipos Informáticos/Texto completo 197 Instalación Paso Descripción Ejecutar en el terminal 1 Actualizar repositorios locales sudo apt-get update 2 instalar photrec y testdisk sudo apt-get install testdisk Utilización Paso Descripción Captura del programa 1 En un terminal sudo photorec 2 Los dispositivos disponibles son listados. Usar las flechas de arriba/abajo para seleccionar el disco que contiene los archivos perdidos. Presionar Enter para continuar. 3 Seleccionar el tipo de tabla de particionamiento, generalmente el valor por defecto es el correcto ya que PhotoRec auto-detecta el tipo de tabla de partición. 4 Selección de partición del disco donde están los ficheros a recuperar. Seleccionar: • Search luego de elegir la partición que contiene los archivos perdidos para comenzar con la recuperación, • Options para modificar las opciones, • File Opt para modificar la lista de archivos recuperados por PhotoRec. 5 Opciones de PhotoRec: • Paranoid Por defecto, los archivos recuperados son verificados y los inválidos, rechazados. • Habilitar bruteforce para recuperar más archivos JPEG fragmentados, teniendo en cuenta que esta opción tiene un alto impacto en el rendimiento del CPU. • Habilitar Keep corrupted files para conservar los archivos, incluso cuando son inválidos para permitir el uso de otras herramientas sobre estos datos. 6 Selección de archivos a recuperar. Habilitar o deshabilitar la recuperación de ciertos tipos de archivos con las flechas ↑ y ↓ para moverse y espacio para seleccionar 7 Tipo de Sistema de ficheros. Una vez que la partición ha sido seleccionada y validada con Search, PhotoRec necesita saber como los bloques de datos son distribuídos. Al menos que se use ext2/ext3, seleccionar Other. 8 PhotoRec puede buscar archivos en • WHOLE: toda la partición (útil si la partición esta severamente dañada) ó • FREE: solamente del espacio no atribuído (unallocated) (Disponible para ext2/ext3, FAT12/FAT6/FAT32 y NTFS). Con esta opción solamente los archivos eliminados son recuperados. 9 Seleccionar la carpeta donce se ubicarán los archivos recuperados. Es recomendable seleccionar una unidad distinta a la que será analizada, o de lo contrario se corre peligro de sobreescribir los datos que se intentan recuperar. Mantenimiento y Montaje de Equipos Informáticos/Texto completo 198 10 Recuperación en progreso puede tardar varias horas, depende de las opciones elegidas. La cantidad de archivos recuperados es actualizada en tiempo real. Durante la primera pasada, PhotoRec busca los primeros 10 archivos para determinar el tamaño de los bloques. Durante la siguiente pasada, los archivos son recuperados incluyendo algunos archivos fragmentados. Los archivos recuperados son escritos en los subdirectorios recup_dir.1, recup_dir.2... . Es posible acceder los archivos incluso si la recuperación no terminó. 11 La recuperación está completa. Cortafuegos Gufw [224] Gufw es una interfaz gráfica de software libre para ufw (Uncomplicated FireWall), publicado por primera vez en Ubuntu 8.04. Instalación Paso Descripción Ejecutar en el terminal 1 Actualizar repositorios locales sudo apt-get update 2 instalar gufw sudo apt-get install gufw Configurar Acción Descripción Captura Ejecutar y Activar Para acceder a Gufw, vete al menú: Sistema->Administración->Configuración Cortafuegos. Por defecto, el cortafuegos está desactivado. Para activarlo, simplemente pulsa en Activar y por defecto el tráfico será establecido a Denegar conexiones entrantes y Permitir conexiones salientes. Pestaña Preconfigurada La pestaña Preconfigurada proporciona opciones para controlar las aplicaciones y servicios más comunes. Pestaña Añadir reglas Pulsa en el botón Añadir y aparecerá una ventana. Las reglas pueden configurarse para los puertos TCP, UDP o ambos, incluyendo algunas aplicaciones/servicios preconfigurados. Las opciones disponibles son Permitir, Denegar, Rechazar y Limitar: • Permitir: Se permitirá el tráfico entrante para un puerto. • Denegar: Se denegará el tráfico entrante para un puerto. • Rechazar: Se rechazará el tráfico entrante para un puerto, informando del rechazo al sistema que solicita la conexión. • Limitar: Se limitará el intento de conexiones denegadas. Si una dirección IP intenta iniciar 6 o más conexiones en los últimos 30". Mantenimiento y Montaje de Equipos Informáticos/Texto completo 199 CCleaner [225] CCleaner es una aplicación gratuita, de código cerrado, que tiene como propósito mejorar el rendimiento de cualquier equipo que ejecute Microsoft Windows mediante la eliminación de los archivos innecesarios y las entradas inválidas del registro de Windows (REGEDIT). También cuenta con la posibilidad de desinstalar programas desde su interfaz e inhabilitar la ejecución de aplicaciones en el inicio del sistema para mejorar la velocidad de arranque. • DLLs compartidas faltantes. • Extensiones de archivos inválidas. • Entradas de ActiveX y Class. • Tipo de Librerías. • Aplicaciones • Fuentes • Rutas de aplicación. • Archivos de ayuda. • Instalador • Programas obsoletos. • Ejecución en el Inicio. • Clasificación del menú de Inicio. • Cache MUI Instalación Paso Descripción Ejecutar en el terminal 1 Desde el sitio web oficial http://www.ccleaner.com/ Utilización Navegando por las pestañas, se debe buscar las entradas inválidas del registro Windows. Antes de pulsar borrar, se debe realizar la copia de seguridad que aconseja. Cuando se reinicie varias veces el computador y se realicen varias tareas y no hay problemas, se puede borrar la copia de seguridad.