Muchas de las revisiones anuales son publicadas al final de cada año. Aunque esto puede ser interesante con fines educativos, no nos dice demasiado; sin embargo, puede evocar algunos recuerdos, placenteros o no, y presentarnos material interesante para examinar y debatir a aquellos que trabajamos en el tema.

El Malware (Software Malicioso) tiene corta vida, al menos en cuanto a la importancia que pueda tener como noticia (por supuesto, puede llevar mucho más tiempo hasta que desaparezca). El período de tiempo más importante es aquel entre que el nuevo malware aparece y los software antivirus y anti-malware son capaces de detectarlo y eliminarlo. Después de eso, no hay mucho más que hacer, y pasamos al siguiente evento.

Como resultado, lo más importante que una revisión anual de malware muestra es una idea de las tendencias de ese año. ¿Se identificó alguna nueva tendencia? ¿Cuáles fueron las sorpresas? ¿Qué tipos de ataque declinaron? ¿Cuáles aumentaron? ¿Qué tipos de malware tuvieron éxito? Las respuestas a esas preguntas nos darán una lista de desafíos que el mundo anti-malware enfrentarán en el próximo año. Esto nos ayudaría a identificar lo que será más probable que ocurra en el futuro, y realizar algunas predicciones acerca del tipo de estrategias de defensa que serán importantes.

Así que, para evitar que este artículo sea de mero interés académico, revisaremos el próximo año, y al final de éste, podremos ver qué tan exactas han sido estas predicciones.

El malware basado en email está aquí para quedarse

Los virus que utilizan el correo electrónico son tan frecuentes como siempre, y mientras que el 2004 fue dominado por tres familias de gusanos – Netsky, Bagle y Mydoom -, hubo otros gusanos de importancia, como las familias Zafi y Sober. Es poco probable que esta tendencia tenga una baja significante durante el 2005, o que otras amenazas alcancen los niveles de reproducción de estos gusanos.

Sin ninguna duda, uno puede decir que el malware basado en correo electrónico está aquí para quedarse, hasta que el correo electrónico en sí sea reemplazado por otro método de intercambio de información más robusto y menos vulnerable. Lo que es probable es que haya un incremento en la explotación criminal del malware. Tanto las familias de gusanos Bagle como Mydoom han sido vinculadas a actividades criminales. Las primeras variantes del Mydoom realizaban ataques de denegación de servicios (DoS) contra sitios de internet de alto perfil, mientras que las últimas incluían keyloggers (interceptores de pulsaciones de teclas), muchas veces usados por criminales para obtener fraudulentamente información importante como contraseñas o detalles de bancos y tarjetas de crédito. Algunas variantes del Bagle incluyen un Backdoor (troyano de puerta trasera) que es capaz de crear un retransmisor de spam en la PC infectada (aunque en algunas versiones, errores en el código no permitían que esta funcionalidad se desempeñara correctamente).

La necesidad de la velocidad

Una característica particular del malware basado en correo electrónico es que puede reproducirse extremadamente rápido – en la primer hora o más desde la aparición de un gusano, éste puede reproducirse lo suficiente como para causar una epidemia global que cueste millones de dólares o euros. Esto lleva a una segunda predicción: aquellos productos antivirus que no tengan alguna forma de detección heurística avanzada, para detectar las nuevas amenazas sin necesidad de actualizaciones de firmas, declinarán en popularidad.

La heurística es aún una tecnología no demasiado explotada, con grandes diferencias entre los productos que la utilizan en términos de los objetos que cada uno puede detectar heurísticamente.

El desafío para muchos de los productos tradicionales basados en firmas será incluir una tecnología de detección heurística en su producto, y para las compañías que ya la tienen, será mejorar sus tasas de detección y educar a los usuarios en los beneficios de esta tecnología.

Sin técnicas heurísticas avanzadas, la situación actual de gusanos de correo electrónico es poco probable que mejore significativamente, ya que el tiempo que lleva actualizar un antivirus para detectar un nuevo virus sigue siendo lo suficientemente largo para que el nuevo malware alcance niveles epidémicos.

Malware distribuido por el navegador

Desde que el primer virus apareció hace algo más de 20 años, han sido creados alrededor de 100,000 nuevos virus, y solo cerca de 3,000 o 4,000 de ellos han estado activos e infectado usuarios realmente. En los últimos dos o tres años, el fenómeno conocido como Spyware ha crecido de un par de cientos de objetos hasta cientos de miles de ellos, superando ampliamente el número de virus conocidos.

El Spyware, que puede ser clasificado bajo el paraguas de los Troyanos, es una epidemia global que, hasta ahora, no muestra signos de disminuir, o de estar siendo combatida con efectividad.

Hasta el momento no hay soluciones realmente completas contra el problema del Spyware, y parece probable que las compañías dedicadas a la industria de los antivirus son los que están mejor posicionados para proveer una solución que combata la avalancha de código malicioso que está actualmente inundando Internet.

El desafío para las compañías antivirus será proporcionar una respuesta al aumento de malware que es distribuido a través del navegador de Internet, esperando ver un incremento en el número de productos que incluirá tanto detección de Spyware, como análisis automático del tráfico de Internet, para que las páginas de Internet sean analizadas mientras se visualizan.

El auge de los “bots”

El año 2004 se caracterizó por un incremento en los llamados “bots” (diminutivo para robots), convirtiéndose en la mayor parte de las detecciones incluidas en las actualizaciones regulares de firmas de los antivirus. Los bots, normalmente distribuidos a través de sitios de Internet – algunas veces vinculados a mensajes de spam, otras a descargas de virus, contenidos en Spyware, entre otras cosas – suelen estár vinculados a actividades criminales, particularmente a aquellas que tratan de obtener detalles bancarios fraudulentamente. Contrariamente a la concepción popular, la razón para el robo de detalles bancarios no es la suplantación de identidad (una amenaza muchas veces sobrevaluada), sino la explotación rápida de cuentas bancarias para obtener dinero. Montar un robo de identidad es algo costoso, consumiendo mucho tiempo, y tiene un alto riesgo de fallo. Por otro lado, un ataque a través de un troyano es de relativo bajo costo, bajo riesgo y mayor seguridad para el criminal.

Hubo un tiempo en que era muy fácil ver las distinciones entre los distintos tipos de malware, pudiendo decidir si un código malicioso era un virus o un gusano, o un troyano. Hoy en día es cada vez más difícil hacer estas distinciones – demasiado malware usa métodos múltiples para distribuirse, y no es común que caigan en una sola de las típicas categorías de virus – pero una cosa es segura, para el usuario es todo lo mismo: algo indeseable y que le trae problemas.

Mientras que hay varias razones técnicas por las que es más fácil clasificar el malware capaz de replicarse (como los virus y gusanos) como malicioso, es difícil para las compañías antivirus ser demasiado estrictos en las definiciones de software malicioso, por lo que veremos cada vez más y más productos capaces de detectar todos los tipos de troyanos, incluyendo Spyware, bots y keyloggers. Esto puede causar algunos “ataques cardíacos” (y provocar largas discusiones) entre los investigadores antivirus, pero es una progresión inevitable, y para el final del año 2005, es fácil de predecir que la mayoría de los exploradores antivirus incluirán algún tipo de detección para todos estos tipos de malware.

Un inevitable resultado de la categorización del nuevo malware será el aumento de juicios legales contra las compañías antivirus. Los desarrolladores de Spyware argumentarán normalmente que sus productos son legítimos, y que el usuario ha aceptado algún tipo de licencia para instalar el software.

Ataques de Phishing

Otro ataque popular en el 2004, con la intención de obtener dinero en forma simple y rápida, han sido los ataques de “Phishing”.

El Phishing normalmente comienza con un mensaje de spam aparentando haber sido originado de un banco legitimo (y algunas veces por un sitio importante como Paypal o eBay), pidiéndole a los usuarios que introduzcan sus datos de cuenta para una auditoria de seguridad o alguna otra excusa. Pulsando en los enlaces incluidos en el mensaje, el receptor del mensaje será dirigido a un sitio de Internet que, en muchos casos, lucirá exactamente igual que el sitio original de la organización.

De acuerdo al Gartnet Group, en el año 2004 hubo una explosión de Phishing, reportando que más de 1.7 millones de adultos pueden haber sido víctimas de esos ataques. Con tal tasa de éxito, es probable que el Phishing sea una actividad importante en el año 2005, y que este tipo de ataques sean cada vez más sofisticados mientras que los responsables de estos engaños estén un paso delante de bancos y autoridades.

Spam

El Spam, actualmente en más del 70% de los mensajes de correo electrónico, es otra área que ha explotado completamente durante los últimos años. Una ley anti-spam enviada al Congreso de los Estados Unidos el 1ero. de Enero del 2004 ha fallado completamente en lograr algún impacto en la cantidad de spam que es enviado diariamente.

Muchos negocios han sido forzados a implementar algún tipo de solución anti-spam, y mientras que existen diferencias técnicas entre la detección de spam y la de malware, los dos pueden lógicamente analizarse en conjunto. Grandes compañías antivirus compraron a pequeñas empresas para adquirir su tecnología anti-spam.

Hasta ahora, las soluciones anti-spam se han basado en los servidores de correo electrónico, pero las estaciones de trabajo y ordenadores de escritorio son lógicamente otro lugar para implementar medidas contra el spam (ciertamente, esto es más útil para los usuarios particulares), y aún no existen demasiadas soluciones en esa área. Parece ser que combinar técnicas antivirus con técnicas anti-spam en los exploradores de PCs de escritorio puede ser una solución importante para los usuarios finales, ya que muchos buenos productos antivirus revisan el correo electrónico cuando es descargado en la bandeja de entrada.

Es lógico esperar que más soluciones anti-spam serán ofrecidas por más y más fabricantes de antivirus durante el 2005.

La manía del malware móvil

Los teléfonos móviles se han vuelto omnipresentes, es casi imposible evitarlos y, con la marcha del tiempo y la tecnología, cada vez se vuelven más avanzados, con mayor funcionalidad. El 2004 fue testigo de la llegada del primer malware que fue capaz de explotar teléfonos móviles. Para el popular sistema operativo Symbian, el virus Cabir, que se reproducía a través de Bluetooth, y para las PocketPC, el virus Duts, aunque por el momento no son más que interesantes pruebas de concepto.

La tendencia en mejorar la funcionalidad es lo que seguramente proporcionará una base sólida para el incremento del malware en este tipo de dispositivos. Mientras que la amenaza es hoy en día más imaginaria que real, la dominante tecnología móvil la hace un objetivo interesante para los escritores de malware, particularmente para aquellos que quieren probar nuevas aguas. En el 2005 y más adelante, habrá un incremento en el malware y la explotación de agujeros de seguridad para dispositivos móviles, por tanto, habrá un incremento en el número de soluciones anti-malware disponibles para estas plataformas.

Adiós al antiguo perímetro

La tendencia más clara, y una que seguramente definirá el año 2005, es la tendencia hacia un mundo cada vez más interconectado y sin límites. Tiempo atrás, un negocio definía su perímetro por las cuatro paredes del edificio desde donde operaba, y cualquier ordenador dentro del edificio se encontraba dentro del perímetro, y todas las tecnologías de seguridad – cortafuegos/firewalls, IDS, IPS, Proxies, Gateways de correo electrónico, Antivirus, Anti-Spam, etc – se enfocaban en proteger aquello que quedaba dentro del perímetro. Hoy los dispositivos de muchos negocios tienen algún tipo de ordenador dentro, y muchos de ellos son dispositivos que no entran en el alcance de un anti-virus. Por ejemplo, la solución Imagerunner de Canon, que brinda soluciones de copiado e impresión en una red, ahora incluye un software anti-virus. Existe una abrumadora cantidad de ordenadores personales, PDA, teléfonos móviles, dispositivos inalámbricos, satélites, VPNs, todos vinculados con las comunicaciones del negocio, ampliando los limites del negocio a latitudes que la tecnología aún no está preparada para mantener seguras.

Hoy en día, el perímetro del negocio es el usuario descargando sus mensajes de correo electrónico desde su habitación de hotel a través de su PDA inalámbrica, es el usuario en su automóvil en la estación de servicio descargando un documento interno, es la persona navegando la web a través de su red inalámbrica no encriptada. Cada dispositivo necesita ahora su propia defensa perimetral, las redes necesitan soluciones de administración que brinden control y visibilidad, y los negocios que aún tienen la antigua mentalidad de perímetro pueden encontrarse con que tienen una puerta de metal, con paredes de papel.

Autor: Andrew J. Lee, CTO de Eset LLC.