Cómo funcionan los ataques

Cada generación de delincuentes se caracteriza por sus propias herramientas. Las armas favoritas de los actuales ciberdelincuentes son los troyanos; los utilizan para construir botnets, para robar contraseñas y datos confidenciales, para lanzar ataques DoS y para codificar datos para chantajear a sus víctimas. Una de las características más perturbadoras de los ataques actuales es el renovado objetivo de permanecer en el ordenador infectado. Los ciberdelincuentes usan una serie de técnicas para lograr este objetivo.

Hoy en día, los botnets están formados por una cantidad de de ordenadores infectados muy fácil de manejar que permiten el control de bots (equipos zombi, robots) y el procesamiento de los datos recolectados. Las ganancias dependen del número de víctimas y de la frecuencia de la demanda de programas maliciosos. A mayor permanencia de un programa malicioso en un equipo, mayores las ganancias para el individuo que los controla.

Técnicas de los ciberdelincuentes

En términos generales, los modernos ciberdelincuentes tienen que considerar dos técnicas distintas para lograr los resultados finales deseados: distribución e implementación.

Distribución - El primer paso para un ciberdelincuente es distribuir e instalar su programa malicioso. Los ciberdelincuentes usan una serie de técnicas para lograr este objetivo. Las actuales técnicas más conocidas de transmisión de programas maliciosos (también llamadas “vectores de infección”) son los mensajes no deseados y los sitios web infectados. El escenario ideal para un ciberdelincuente es un ordenador víctima con una vulnerabilidad que permita que un programa malicioso se instale de inmediato, ya sea que se haya distribuido por un mensaje no deseado o “de paso” mientras se navegaba por Internet.

Implementación - Una vez que se distribuye el programa malicioso, el pirata se esforzará por evitar su detección el mayor tiempo posible. Los creadores de programas maliciosos usan varias técnicas para maximizar el tiempo de vigencia de sus creaciones.

Como estrategia primaria, los creadores de programas maliciosos dependen del robo no sólo para la distribución de sus programas sino también para su supervivencia. Cuanto menos visible sea un programa malicioso ante los sistemas de detección antivirus y ante las respectivas autoridades, mayor será el tiempo que el programa malicioso permitirá el acceso al equipo víctima para recopilar información. Las técnicas más comunes de invisibilidad incluyen las tecnologías rootkit (paquete raíz), la neutralización de los mensajes de errores detectados en el sistema, los incrementos invisibles del tamaño de los archivos, los numerosos y variados compresores y el bloqueo de los mensajes de advertencia antivirus.

Otra técnica muy común consiste en sabotear los programas de seguridad para neutralizar la detección de los programas maliciosos extendiendo así su vida útil. El sabotaje a menudo termina un proceso de seguridad, elimina un código, o modifica el archivo anfitrión de Windows para prevenir la actualización de los programas antivirus. Además, los programas maliciosos a menudo eliminan códigos maliciosos previamente instalados, no para beneficiar al usuario, sino para garantizarse la “propiedad” y el control del ordenador cautivo para su propio beneficio. Esta competencia activa entre programas maliciosos remarca las oportunidades de las que gozan los autores de programas maliciosos y los delincuentes que los patrocinan.

El factor humano

Por último, cualquier sistema de seguridad tiene un talón de Aquiles. En el caso de la seguridad online, este talón de Aquiles es siempre el factor humano. En consecuencia, las técnicas de ingeniería social constituyen un elemento clave en los modernos métodos de propagación de programas maliciosos. Estas técnicas por lo general son tan simples como el envío de vínculos desde un amigo a través de un mensaje de correo o instantáneo. Estos vínculos se presentan de tal manera que parecen conducir a interesantes recursos en línea, pero en realidad pueden contener scripts (rutinas) que conectan a sitios web infectados sin el conocimiento del usuario. Incluso usuarios instruidos y muy cautelosos que nunca activan vínculos no solicitados corren el riesgo de infectar su equipo por descargas hechas “sobre la marcha” mientras navegan por Internet. El phishing (correo fraudulento) sigue siendo la mayor fuente de infección a pesar de los esfuerzos de los bancos y de otras organizaciones con operaciones online por dotarse de todo tipo de medidas de protección. Aún es posible convencer a muchas víctimas inocentes para que exploren vínculos interesantes y para que acepten como legítimos comunicados aparentemente oficiales.

Internet podría ser un lugar seguro

Para hacer frente a la ciberdelincuencia necesitamos desarrollar e implementar varias estrategias de seguridad. Damos aquí por descontado que los programas antimalware y las estrategias de gestión de riesgo son vitales a todos los niveles y críticos para cualquier organización.

Sin embargo, como afirmé antes, y lo sigo haciendo, creo que además de estrategias apropiadas de protección, una estrategia de éxito contra la ciberdelincuencia requiere un esfuerzo de la comunidad. Tiene que haber una Interpol de Internet completamente funcional y una creciente formación informática del usuario. Tiene que haber instrumentos legales que obliguen a los usuarios a comportarse de una manera segura y legal en su interacción online, así como consecuencias legales.

Aunque pienso que no será posible eliminar la ciberdelincuencia, como no ha sido posible eliminar la delincuencia en el mundo real, creo que sí podemos hacer de Internet un lugar seguro. Necesitamos una comunidad unida en la que cada individuo ponga su granito de arena en la construcción de la seguridad en línea... una comunidad como ésta puede y tendrá éxito en la lucha contra los ciberdelincuentes en la mayoría de los casos. Y esa mayoría de los casos es un objetivo por el que vale la pena luchar.