Peregrinaje Hacia El Centro. Un Pasaje Cuaresmal. Fr. THomas Keating, OCSO
OCSO INET - Seguridad Informática y Virus
-
Upload
marcos1024 -
Category
Documents
-
view
49 -
download
4
Transcript of OCSO INET - Seguridad Informática y Virus
ANEP
CONSEJO DE FORMACIÓN EN EDUCACIÓN
INET
ORGANIZACIÓN DEL COMPUTADOR
Y SISTEMAS OPERATIVOS
TRABAJO FINAL
2010
Seguridad Informática y Virus
Grupo: Nocturno
Docente: Juan Pablo Sales
Alumnas: María Hernández C.I.: 2.692.404-6
Lorena Pérez C.I.: 4.480.080-8
Lucía Favilla C.I.: 2.983.213-3
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 2 de 35
Índice General
Introducción ......................................................................... 3 Seguridad Informática ........................................................... 4 Definición y conceptos básicos de seguridad informática……… .............................. 4 Seguridad física .............................................................................................................. 6 Desastres naturales ................................................................................................. 6 Acciones hostiles ..................................................................................................... 8 Seguridad lógica ............................................................................................................. 9 Controles de acceso .............................................................................................. 9 Niveles de seguridad informática ...................................................................... 10 Delitos informáticos ..................................................................................................... 11 Métodos de protección y prevención ............................................................................ 12 Restricciones legales ..................................................................................................... 13 Políticas de seguridad .................................................................................................. 14 Las política en nuestro país ................................................................................. 15 Legislación ................................................................................................................... 15 A nivel internacional ............................................................................................. 15 A nivel nacional ..................................................................................................... 16 Ataques a la seguridad informática en el Uruguay ..................................................... 17
Virus Informático ................................................................ 19 Concepto y características ............................................................................................ 19 Cómo y por qué surgen.................................................................................................. 20 Funcionamiento ........................................................................................................... 20
Ciclo vital ............................................................................................................... 20 Módulos .................................................................................................................. 21 Mecanismos de infección .................................................................................. 21 Técnicas de ocultación ...................................................................................... 22 Historia ........................................................................................................................ 23 Su vinculación con los sistemas operativos .................................................................. 24 Clasificación ................................................................................................................. 24
Por su destino de infección ............................................................................... 25 Por la forma de acción o el modo de activación ......................................... 26 Síntomas y efectos ........................................................................................................ 30
No destructivos ..................................................................................................... 30 Destructivos ........................................................................................................... 30 Detección de infección.................................................................................................. 31 Estrategias de protección y prevención ........................................................................ 31
Métodos pasivos ................................................................................................... 31 Métodos activos ................................................................................................... 32 Otras consideraciones ................................................................................................... 34
Webgrafía ........................................................................... 35
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 3 de 35
Introducción
Los avances tecnológicos y el acceso masivo a la información hacen que la
seguridad en los sistemas informáticos sea un tema primordial. Por tal motivo consideramos
importante dar una visión general acerca de la vulnerabilidad de los actuales sistemas de
información y los modos de protección existentes. Asimismo, a lo largo de este trabajo
haremos énfasis en los virus informáticos, analizando sus características y las distintas formas
de combatirlos, ya que ellos constituyen una de las amenazas a la seguridad de la
información más generalizadas.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 4 de 35
Seguridad Informática
Definición y conceptos básicos de seguridad informática
Según la definición de la Real Academia de la Lengua Española, seguridad es la
cualidad de seguro, y seguro es algo libre y exento de todo peligro, daño o riesgo.
Seguridad informática es un sistema informático exento de peligro, aunque no en un cien
por ciento (debido a fallas en la lógica de los programas u otras causas).
Se define como el conjunto de métodos y herramientas utilizadas para proteger la
información y en consecuencia los sistemas informáticos ante cualquier amenaza física o
lógica.
Las amenazas a las que se exponen los centros de cómputos pueden ser de muy
diversa índole; pueden ser causados por:
El usuario: causa del mayor problema ligado a la seguridad de un sistema
informático porque no le importa, no se da cuenta o a propósito.
Programas maliciosos: programas destinados a perjudicar o a hacer un uso
ilícito de los recursos del sistema. Es instalado por falta de atención o maldad
en el ordenador abriendo una puerta a intrusos o bien modificando los datos.
Estos programas pueden ser un virus informático, un gusano informático, un
troyano, una bomba lógica o un programa espía o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de los
cuales no tiene acceso permitido (cracker, hacker, defacer, script kiddie o
Script boy, viruxer, etc.).
Un siniestro (robo, incendio, inundación): una mala manipulación o una
malintención derivan a la pérdida del material o de los archivos.
El personal interno de Sistemas: Las pujas de poder que llevan a disociaciones
entre los sectores y soluciones incompatibles para la seguridad informática.
Los elementos de un centro de cómputos que se ven amenazados son: hardware,
software, datos y líneas de comunicación.
La seguridad informática se dedica principalmente a proteger la confidencialidad, la
integridad y disponibilidad de la información.
Confidencialidad
Se refiere a que la información solo puede ser conocida por individuos autorizados.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 5 de 35
Integridad
Asegura que una información no ha sido alterada, borrada, reordenada, copiada,
etc., durante el proceso de transmisión o en su propio equipo de origen.
Disponibilidad
Garantiza que la información pueda ser recuperada en el momento que se necesite,
es decir, evitar su pérdida o bloqueo, ya sea por ataque fraudulento, mala operación
involuntaria o situaciones ocasionales de fuerza mayor.
A continuación se detalla cómo pueden verse afectados los diferentes elementos de
un sistema informático bajo los aspectos expuestos anteriormente.
Elemento Confidencialidad Integridad Disponibilidad
Hardware Robo o sobrecarga
de equipos,
eliminando el servicio.
Software Realización de copias no
autorizadas del software
Alteración de un
programa en
funcionamiento
haciéndolo fallar durante
la ejecución o haciendo
que realice alguna tarea
no pretendida.
Eliminación de
programas
denegando el
acceso a los usuarios.
Datos Lecturas de datos no
autorizados.
Revelación de datos
ocultos de manera
indirecta por análisis de
datos estadísticos.
Modificación de archivos
existentes o invención de
nuevos.
Eliminación de
archivos denegando
el acceso a los
usuarios.
Líneas de
comunicación
Lectura de mensajes.
Observación de la
muestra del tráfico de
mensajes.
Mensajes modificados,
retardados, reordenados
o duplicados.
Invención de mensajes
falsos
Destrucción o
eliminación de
mensajes.
Las líneas de
comunicación o
redes se hacen no
disponibles.
Además de estos aspectos se consideran otros como es el control y la autenticidad
de la información.
Control
Permite asegurar que sólo los usuarios autorizados pueden permitir o no el acceso a
la información.
Autenticidad
Certifica que la información solicitada es válida y disponible en tiempo y forma. Ésta
permite asegurar además el origen de la información, evitando el reemplazo de
identidades.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 6 de 35
Para implementar la seguridad informática existe una serie de estándares, protocolos,
métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la
infraestructura o a la información.
La seguridad informática abarca los conceptos de seguridad física y seguridad
lógica. Por lo que se debe tener en cuenta que un sistema informático puede verse
afectado por la falta de seguridad física o por la falta de seguridad lógica.
Seguridad física
La Seguridad Física refiere a la protección del hardware y de los soportes de datos,
así como a la de los edificios e instalaciones donde se encuentran.
Las principales amenazas que se prevén en la seguridad física son:
1. Desastres naturales: incendios accidentales, tormentas, inundaciones,
actividad volcánica, terremotos, etc.
2. Amenazas ocasionadas por el hombre.
3. Disturbios, sabotajes internos y externos deliberados.
Se analizan a continuación los peligros más importantes que se corren en un centro
de procesamiento, con el propósito de mantener una serie de acciones a seguir para la
prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.
DESASTRES NATURALES
Incendios
El fuego es una de las principales amenazas contra la seguridad, ya que puede
destruir fácilmente el centro de cómputos y por ende los equipos, archivos de información y
programas.
Los diversos factores a considerar para reducir los riesgos son:
el local donde se encuentran las computadoras, como sus alrededores, debe
ser impermeable y no contener materiales combustibles o inflamables;
las paredes deben hacerse de materiales incombustibles y extenderse desde
el suelo al techo;
no debe estar permitido fumar;
es necesario contar con detectores incendios adecuados.
Para protegerlos se debe tener en cuenta que:
la temperatura ambiente no debe sobrepasar los 18º C y el límite de
humedad no debe superar el 65% para evitar el deterioro;
deben instalarse extintores.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 7 de 35
Inundaciones
Esta es otra de las causas de mayores desastres en centros de cómputos. Para evitar
este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable
para evitar el paso de agua desde un nivel superior y acondicionar las puertas para
contener el agua, entre otras.
Condiciones climatológicas
Es necesario tener en cuenta la frecuencia y severidad de estas, principalmente en
las zonas propensas a la ocurrencia de desastres como tornados, inundaciones, terremotos,
tormentas, etc. al momento de construir el edificio que contendrá el centro de cómputos.
Los informes climatológicos, permiten que se tomen precauciones, tales como la
retirada de objetos móviles, la provisión de calor, iluminación o combustible para la
emergencia.
Señales de radar
Éstas, cuando son muy fuertes, 5 Volts/Metro, pueden inferir en el procesamiento
electrónico de la información.
Instalaciones eléctricas
Como el uso de computadoras está ligado al uso de electricidad, es necesario
evaluar riesgos particulares y aplicar soluciones que estén de acuerdo con una norma de
seguridad industrial vinculada a la electricidad.
Algunos de los problemas eléctricos a los que se puede enfrentar son:
Picos y Ruidos electromagnéticos: tanto las subidas y caídas de tensión como
el ruido interfieren en el normal funcionamiento de los componentes
electrónicos.
Cableado se puede ver afectado por diferentes motivos. Las interferencias
pueden provocar alteraciones en los cables metálicos por acción de campos
eléctricos, lo que no sucede con la utilización de cables de fibra óptica. Por
otro lado, los cortes del cable impiden la circulación de los datos,
interrumpiendo la conexión y los daños en el mismo deterioran la integridad
de los datos transmitidos o hacen que las comunicaciones dejen de ser
fiables. También las emisiones electromagnéticas que generan algunos
periféricos, que si bien son de muy baja frecuencia, se consideran dañinas
para el ser humano. Estas emisiones podrían reducirse mediante filtros
adecuados.
Estos problemas se pueden dar de forma natural y de hecho en general así suceden,
aunque cabe también la posibilidad que se den de forma intencional para atacar la red,
con el objetivo de interferir en su funcionamiento.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 8 de 35
Por otra parte es recomendable la utilización de:
Cableado de Alto Nivel de Seguridad : refiere a cableados de redes que se
utilizan para instalaciones con alto grado de seguridad, con el objetivo de
impedir la posibilidad de infiltraciones y monitoreos de la información que
pasa por el cable. Consta de un sistema de tubos (herméticamente cerrados)
por cuyo interior circula aire a presión y el cable, cuenta con sensores
conectados a una computadora que si detecta algún tipo de variación de
presión dispara un sistema de alarma.
Sistema de Aire Acondicionado: el centro de cómputos debe estar provisto
de un sistema de aire acondicionado en forma exclusiva, para prevenir el
recalentamiento de equipos.
ACCIONES HOSTILES
Robo
Se puede considerar por la utilización indebida de las computados en otras tareas
(robo de tiempo de máquina), realización de copias de información confidencial o por la
sustracción de software o disco.
Fraude
Estos causan pérdidas millonarias a las empresas por la utilización de computadoras
con este fin.
Sabotaje
Se da principalmente por cortes en las líneas de comunicaciones y eléctricas.
Una consideración importante a tener en cuenta para evitar acciones de este tipo
consiste en el control de acceso al área del centro de cómputos. Este mecanismo requiere
la identificación del personal para permitir o negar el acceso. Teniendo en cuenta además
restricciones de tiempo, área o sector dentro de una empresa o institución.
Algunas de las medidas a tomar para implementar este control son:
utilización de Guardia;
utilización de Detectores de Metales;
utilización de Sistemas Biométricos (empleo de características únicas para la
identificación de personas);
Verificación Automática de Firmas (VAF) (secuencia sonora de emisión
acústica generada por el proceso de escribir constituye un patrón que es
único en cada individuo);
protección electrónica.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 9 de 35
Tener controlado el ambiente y acceso físico permite:
disminuir la posibilidad de ocurrencia de siniestros;
trabajar mejor;
descartar falsas hipótesis si se produjeran incidentes;
tener los medios de precaución y acción frente a accidentes.
Seguridad lógica
Refiere a la seguridad del uso del software, a la protección de los datos, procesos y
programas, así como al ordenado y autorizado acceso de los usuarios a la información.
Los objetivos que busca son:
1. Limitar el acceso a los programas y archivos.
2. Garantizar que los operadores no puedan modificar los programas ni los
archivos que no correspondan.
3. Asegurar que se estén utilizado los datos, archivos y programas correctos en y
por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha
sido enviada y no a otro.
5. Que la información recibida sea la misma que se ha transmitido.
6. Prever sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Disponer de pasos alternativos de emergencia para la transmisión de
información.
Algunos de los mecanismos empleados para proveer seguridad lógica son el control
de acceso y los niveles de seguridad.
CONTROLES DE ACCESO
Los mismos se implementan en el Sistema Operativo, en aplicaciones, en base de
datos, en paquetes específicos de seguridad, en otros necesarios.
Según el National Institute for Standars and Technology (NIST), los mínimos estándares
de seguridad que debe seguir cualquier sistema son:
Identificación y Autentificación: previene el ingreso de personas no
autorizadas.
Roles: permite controlar el acceso a la información a través del rol del usuario
que requiere dicho acceso.
Transacciones: se solicita una clave al requerir el procesamiento de una
transacción.
Limitaciones a los Servicios: restricciones que dependen de parámetros
propios de la utilización de la aplicación o preestablecidos por el
administrador del sistema.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 10 de 35
Modalidad de Acceso: modo de acceso del usuario a los recursos y a la
información (lectura, escritura, ejecución, borrado).
Ubicación y Horario: el acceso puede estar basado en la ubicación física o
lógica de los datos o personas. También permite limitar el acceso de los
usuarios a determinadas horas del día.
Control de Acceso Interno: palabras claves (passwords).
Control de Acceso Externo: dispositivos de control de puertos (Firewalls,
accesos al personal, acceso público).
Administración: implementación, seguimientos, pruebas y modificaciones
sobre los accesos de los usuarios de los sistemas.
NIVELES DE SEGURIDAD INFORMÁTICA
En 1983 se desarrolló el estándar de niveles de seguridad más utilizado
internacionalmente es el TCSEC Orange Book, acorde a las normas de seguridad en
computadoras del Departamento de Defensa de los Estados Unidos. Los niveles definidos
describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el
mínimo grado de seguridad al máximo. Cabe aclarar que cada nivel requiere todos los
niveles definidos anteriormente.
A continuación se describe cada uno de estos niveles.
Nivel D
Contiene sólo una división y está reservada para sistemas que han sido evaluados y
no cumplen con ninguna especificación de seguridad.
Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de
Macintosh.
Nivel C1: Protección Discrecional
Se requiere identificación de usuarios que permite el acceso diferencial a la
información. Cada usuario puede manejar su información privada y se hace la distinción
entre los usuarios y el administrador del sistema, quien tiene control total de acceso.
Nivel C2: Protección de Acceso Controlado
Tiene la capacidad de restringir aún más el que los usuarios tengan acceso a ciertos
archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos,
sino también en los niveles de autorización.
Exige que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas
las acciones relacionadas con la seguridad, como las actividades efectuadas por el
administrador del sistema y sus usuarios.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 11 de 35
Nivel B1: Seguridad Etiquetada
Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el
dueño del archivo no puede modificar los permisos de un objeto que está bajo control de
acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel
de seguridad jerárquico (alto secreto, secreto, reservado, etc.), por lo que cada usuario
tiene sus objetos asociados.
Nivel B2: Protección Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto
inferior. Así, un disco duro será etiquetado por almacenar archivos que son accedidos por
distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y
seguridad son modificadas; y el administrador es el encargado de fijar los canales de
almacenamiento y ancho de banda a utilizar por los demás usuarios.
Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalación de hardware. Existe un monitor de
referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega
según las políticas de acceso que se hayan definido.
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una
conexión segura.
Cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Nivel A: Protección Verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación,
mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un
usuario sobre el sistema. El software y el hardware son protegidos para evitar infiltraciones
ante traslados o movimientos del equipamiento.
Delitos informáticos
Este concepto refiere a todas aquellas conductas ilícitas capaces de ser
sancionadas por el derecho penal, que hacen uso indebido de cualquier medio Informático
(robo, hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etc.).
Los tipos de delitos informáticos reconocidos por la Organización de Naciones Unidas
(ONU) son los siguientes:
1. Fraudes cometidos mediante manipulación de computadoras
2. Manipulación de los datos de entrada
3. Daños o modificaciones de programas o datos computarizados
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 12 de 35
En un delito informático se diferencian dos tipos de sujetos: activo y pasivo.
Sujeto Activo
Se llama así a las personas que cometen los delitos informáticos. Los sujetos activos
manejan los sistemas informáticos y generalmente trabajan en lugares donde se maneja
información confidencial.
Sujeto Pasivo
Es el ente sobre el cual recae la conducta de acción que realiza el sujeto activo. Las
víctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc.
que usan sistemas automatizados de información, generalmente conectados a otros.
Debido a que generalmente los delitos informáticos en su mayoría son desconocidos
o no son denunciados, es imposible conocer su magnitud real.
Por otra parte, este tipo de delitos, generalmente, es objeto de medidas o sanciones
de carácter administrativo y no privativo de la libertad.
Para conseguir la prevención efectiva frente a éstos, es necesario tomar medidas
como:
la difusión de las posibles conductas ilícitas derivadas del uso de las
computadoras;
alertar a las potenciales víctimas, para que tomen las medidas pertinentes a
fin de prevenir la delincuencia informática;
creación de una adecuada legislación que proteja los intereses de las
víctimas;
una eficiente preparación por parte del personal encargado de la
procuración, administración y la impartición de justicia para atender e
investigar estas conductas ilícitas.
Métodos de protección y prevención
Algunas técnicas para asegurar el sistema son:
Codificar la información: Criptografía, Criptología y Criptociencia, todas involucran criterios
de contraseñas difíciles de averiguar a partir de datos personales del individuo.
Vigilancia de red.
Tecnologías repelentes o protectoras: cortafuegos, sistemas de detección de intrusos
(antispywares, antivirus, llaves de protección de software, etc.). Mantener los sistemas de
información con las actualizaciones que más impacten en la seguridad.
Técnicas de respaldo (backup): permiten la protección de datos contra pérdida por
borrado accidental o desastres fortuitos. Consisten en realizar copias de seguridad de la
información, que pueden realizarse de forma manual y periódica. La información
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 13 de 35
respaldada no es exactamente igual a la actual lo que brinda cierta protección contra los
errores humanos, como borrado accidental o uso negligente, ya que permite recuperar los
datos con cierto desfase de tiempo y solo será necesario actualizar ese desfase. Hay
multitud de sistemas de copia de seguridad. Las más recomendables son las que dejan dos
desfases (diarios y semanales, por ejemplo) ya que proporcionan una mejor seguridad (si se
copió el error en el primer período aún queda un segundo para recuperar). Esta técnica se
complementa con los sistemas redundantes en cuanto a la seguridad que ofrecen ya que
tanto los respaldos como la redundancia, por si solos, no cubren todas las necesidades.
Redundancia - Sistemas RAID: también permiten la protección de datos contra pérdida por
borrado accidental o desastres fortuitos. Un RAID es un conjunto de unidades de disco que
aparecen lógicamente como si fueran uno solo. Así los datos, se dividen entre dos o más
unidades. Esta técnica incrementa el rendimiento y proporciona una redundancia que
protege contra el fallo de uno de los discos. Existen varios niveles RAID a partir del nivel 0, en
el que los datos se dispersan en varias unidades pero no hay redundancia (gran rendimiento
pero nula seguridad). Luego el nivel 1 (mirroring o espejo) en el cual los datos se escriben
duplicados en distintas unidades, este método no incrementa el rendimiento pero si la
seguridad y es, de hecho uno de los más utilizados. Los demás niveles RAID son una
combinación de los conceptos anteriores y buscan aumentar la seguridad y el rendimiento
simultáneamente. Existen sistemas operativos, que ofrecen administración RAID incorporada,
como por ejemplo Windows NT que ofrece los niveles 0, 1 y 5. Como es obvio si se
implementa el nivel 1 (discos espejo, donde todo lo que se escribe en un disco es duplicado
automáticamente), la duplicación debe ser en un disco físico diferente.
Tolerancia a fallos: la tolerancia a fallos es la capacidad de un sistema a responder a un
suceso inesperado, como puede ser un fallo de suministro eléctrico o un fallo de hardware
de forma que no se pierdan datos. Cabe señalar que la redundancia no protege contra el
borrado accidental, la operación negligente, etc. ya que cualquier operación (aún las
erróneas) es automáticamente duplicada en todas las unidades. Así, la redundancia, junto
con los sistemas de alimentación ininterrumpida (UPS y grupos electrógenos) proporcionan
seguridad solamente en caso de cortes de suministro o fallos del hardware.
Restricciones legales
En algunos países existen muchas restricciones legales para el comercio electrónico,
y esto impide la evolución del desarrollo de las aplicaciones y la implementación de
software de seguridad para los negocios en línea.
Esto enmarca la importancia de contar con políticas internas específicas que
cuenten con el apoyo de los altos directivos, así como la existencia de un responsable en la
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 14 de 35
seguridad interna cuyas decisiones de protección se realicen en función de problemáticas
específicas y no sujetas a ajustes económicos.
Políticas de seguridad
Es un conjunto de reglas y procedimientos que regulan la forma en que una
organización previene, protege y maneja los riesgos de daño sobre:
Los equipos de sus sistemas y los elementos físicos asociados con éstos
(edificación, impresoras, discos, cables, dispositivos de interconexión, etc.).
El software y la información almacenada en tales sistemas.
Los usuarios del sistema.
Las políticas tienen como objetivos:
Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las
normas y mecanismos que deben cumplir y utilizar para proteger los
componentes de los sistemas de la organización.
Proporcionar los criterios para adquirir, configurar y auditar los sistemas de
computación y redes para que estén en concordancia con las políticas de
seguridad.
Son componentes de la seguridad de la información:
Una política de privacidad.
Una política de acceso.
Una política de autenticación.
Una política de contabilidad.
Son planes para satisfacer las expectativas de disponibilidad de los recursos del
Sistema:
Una política de mantenimiento para la red y los sistemas de la organización.
Directrices para adquirir tecnología con rasgos de seguridad requeridos y/o
deseables.
Una política de reporte de incidentes y de divulgación de información.
Algunas consideraciones para establecer una política de seguridad son:
Sanciones para quien la infrinja
Identificar los elementos a asegurar.
Identificar las amenazas.
Identificar quienes y de qué forma tienen acceso a la información.
Identificar los sitios de acceso.
Fiscalizar regularmente el sistema.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 15 de 35
Establecer un plan de acción al detectar una violación de seguridad.
Divulgar la política, educando a los usuarios.
LAS POLÍTICAS EN NUESTRO PAÍS
En Uruguay, el 71% de las empresas no cuentan con políticas de seguridad definidas
formalmente.
Es política del Organismo AGESIC:
Establecer objetivos anuales con relación a la Seguridad de la información.
Desarrollar un proceso de evaluación y tratamiento de riesgos de seguridad y,
de acuerdo a su resultado, implementar las acciones correctivas y
preventivas correspondientes, así como elaborar y actualizar el plan de
acción.
Clasificar y proteger la información de acuerdo a la normativa vigente y a los
criterios de valoración en relación a la importancia que posee para el
Organismo.
Cumplir con los requisitos del servicio, legales o reglamentarios y las
obligaciones contractuales de seguridad.
Brindar concientización y formación en materia de seguridad de la
información a todo el personal.
Contar con una política de gestión de incidentes de seguridad de la
información de acuerdo a los lineamientos establecidos por el CERTuy.
Establecer que todo el personal es responsable de registrar y reportar las
violaciones a la seguridad, confirmadas o sospechadas de acuerdo a los
procedimientos correspondientes.
Establecer los medios necesarios para garantizar la continuidad de las operaciones
del Organismo.
Legislación
Se entiende por legislación informática al conjunto de Leyes, normas, reglas,
procedimientos, asignación de funciones y demás elementos que rigen la implantación de
sistemas de información en empresas e instituciones.
A NIVEL INTERNACIONAL
Se cuenta con más legislación que en nuestro país y desde hace más tiempo, porque
en Uruguay es un tema relativamente nuevo.
Por ejemplo, en España en 1999 se creó la Ley Orgánica de Protección de Datos de
Carácter Personal (LOPDCP) que contempla la mayor cantidad de acciones lesivas sobre la
información.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 16 de 35
En Inglaterra, en 1990 comenzó a regir la Computer Misuse Act, Ley de Abusos
Informáticos donde se establece que el acceso ilegal a una computadora contempla hasta
6 meses de prisión.
Por otro lado, en Estados Unidos en 1985 surge la Ley Federal de Protección de
Sistemas y en 1994 se adoptó el Acta Federal de Abuso Computacional (18. USC sec. 1030).
También en Estados Unidos funcionan la FCIC, organización más importante en lo referente
a delitos computacionales y la IACIS (Asociación Internacional de Especialistas en
Investigación Computacional) que investiga nuevas técnicas para dividir un sistema en sus
partes sin destruir las evidencias.
A NIVEL NACIONAL
En nuestro país en los últimos años se han establecido un conjunto de Leyes y
Decretos que regulan y pautan las normas de seguridad de la información, enmarcadas
dentro de lo que se denomina Gobierno en Red.
Algunas Leyes y Decretos uruguayos son:
Ley 18.172 (art. 118 a 121): establece como misión de AGESIC(Agencia para el Desarrollo del
Gobierno de Gestión Electrónica y la Sociedad de la Información y Conocimiento) impulsar
el avance de la sociedad de la información y del conocimiento. Crea el Consejo Asesor
Honorario de Seguridad Informática.
Ley 18.331/08: de Protección de Datos Personales y Acción de Habeas Data (LPDP).
Ley 18.362/08 (art.73): Crea el Centro Nacional de Respuestas a Incidentes de Seguridad
Informática (CERTuy) en la AGESIC.
Ley 18.381/08: Ley de Acceso a la Información Pública.
Ley 18.600/09: Se reconoce la admisibilidad, validez y eficacia jurídica del Documento
Electrónico y Firma Electrónica, creando como órgano de control la Unidad de Certificación
Electrónica.
En octubre de 2009 el gobierno aprobó tres decretos que establecen el marco para
la uniformización de los sistemas informáticos del Estado y fijan pautas para la seguridad de
sus activos de información. Estos decretos son:
Decreto 450/09: dispone los Principios y Líneas Estratégicas para el Gobierno en Red.
Establece que Agesic será la encargada de promover el uso de las tecnologías de la
información y la comunicación y de la coordinación de los proyectos en el área del
gobierno electrónico.
Decreto 451/09: regula el funcionamiento y organización del CERTuy. Se le encomendó la
seguridad de los sistemas informáticos públicos, la prevención de incidentes y la
recuperación de eventuales daños en los sistemas estratégicos de información del Estado.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 17 de 35
Decreto 452/09: regula la adopción de una política de seguridad en informática de los
organismos públicos. Agesic es la encargada del control del cumplimiento de normas en
tecnología de la información en los organismos de la administración central y la adopción
de políticas de seguridad informática.
Decreto 232/010: regula la aplicación de las normas y la ejecución de los procedimientos
establecidos por la Ley Nº 18.381
Ataques a la seguridad informática en el Uruguay
A continuación se mencionan algunos casos de ataques a la seguridad de centros
de cómputos ocurridos en Uruguay. Estos casos comprenden diferentes tipos de siniestros.
Caso 1: Incendio en el Palacio de la Luz (1993)
“En la madrugada del viernes 13 de agosto de 1993, el Palacio de la Luz sufrió un
terrible incendio en sus pisos superiores. Hoy luce como un sus orígenes, ya que fue
cuidadosamente restaurado. El incendio evidenció las debilidades del edificio, las carencias
en la protección contra incendios en los medios urbanos y la ausencia de una normativa
actualizada. En realidad, a las autoridades de UTE les pasó lo que a cualquiera que tiene
que encargarse de la seguridad ante incendios de un edificio: no hay normas precisas a la
que apegarse. A diferencia del resto del mundo, en Uruguay son los bomberos los que tienen
que diseñar la estrategia de protección, que queda librada al criterio personal de cada
inspector que se maneja con las mínimas normativas que hay legisladas en detección de
incendios: iluminación, señalización de seguridad, extintores, bombas, red hidráulica.” (EL
PAIS- Suplemento Que Pasa – 24 de noviembre de 2007).
Este incidente, de índole de los desastres naturales, afectó la seguridad física del
centro de cómputos que sufrió daños importantes. Debido a que se contaba con un sistema
de backup de información, con las cintas almacenadas en otra edificación, se pudieron
recuperar los datos. A partir de entonces, el centro de cómputos del Palacio de la Luz se
encuentra distribuido en diferentes locaciones físicas.
Caso 2: Temporal de viento y lluvia afectando a Torre de las Telecomunicaciones (2005)
“RUTURA DE VIDRIOS - Antel realizará un estudio acerca de los daños que sufrió la
Torre de las Telecomunicaciones, producidos por el temporal del pasado 23 de agosto así
como la acción de los vientos en esos edificios. Según dijo a El País el vicepresidente del
ente telefónico, Edgardo Carvalho, el temporal rompió un total de 312 vidrios ubicados en
los pisos inferiores del complejo. El monto de los daños aún no ha sido estimado. Los daños
más graves ocurrieron en el tercer piso, en unas estructuras de aluminio que sostenían unos
cinco cristales.” (EL PAIS, Ciudades, Antel estudia rotura de 312 vidrios a causal del temporal,
– 10 de setiembre de 2005.)
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 18 de 35
En esta otra oportunidad, otro desastre natural, perjudicó la seguridad física del
centro de cómputos de Antel que se vio inundado debido a la rotura de los cristales.
Caso 3: Intruso en Antel (2009)
“El intruso que ingresó a Antel con una falsa recomendación de Jorge Vázquez. - La
Policía maneja como hipótesis válida que el intruso que se infiltró en las oficinas de la
vicepresidencia del ente intentaba llevar adelante una gran maniobra de fraude. Los
investigadores presumen que, con el tiempo, el falso funcionario pretendía escalar
posiciones dentro de Antel, interiorizarse de los movimientos bancarios del ente y falsificar
firmas de las autoridades, como lo hizo con la del prosecretario de la Presidencia, Jorge
Vázquez, en una nota membretada en la que solicitaba tres laptops para trabajar desde su
domicilio…El objetivo final, intuye la Policía, era apoderarse de fuertes sumas de dinero de
las transacciones comerciales de la empresa, en las que se manejan cifras elevadas...Se lo
define como una persona "muy entradora"- era capaz de convencer a las jerarquías y lo
estaba logrando.” (Últimas Noticias, art. Antel: Policía cree que intruso intentaba maniobra
millonaria – 5 de setiembre de 2009.)
Este es un caso de ingeniería social que se define como la práctica de obtener
información confidencial a través de la manipulación de usuarios legítimos. Esta técnica es
empleada por investigadores privados, criminales, o delincuentes computacionales, para
obtener información, acceso o privilegios en sistemas de información que les permitan
realizar algún acto que perjudique o exponga la persona u organismo comprometido a
riesgo o abusos. Para ponerla en práctica se usa el teléfono, Internet o el cara a cara para
engañar a la gente, fingiendo ser otra persona.
Caso 4: Hackers (2008-2010)
" El pasado 25 de abril un habilidoso hacker logró violar la seguridad de la página
web del Ministerio del Interior. Poco antes, en marzo de este año, le tocó al portal del
Ministerio de Turismo, que ya había sido violentado en octubre de 2009. En ese entonces, las
eliminatorias para el Mundial de fútbol de Sudáfrica estaban en su fase final; el hacker dejó
un mensaje que decía: "Vamos - Argentina - Carajo" además de un video de YouTube con
imágenes ganadoras de la selección de fútbol del vecino país. En 2008 el hacker argentino
Iván Velázquez, quien se encontraba en Uruguay tramitando asilo político, interceptó mails
de unas 600 cuentas de correo de políticos y empresarios argentinos y obtuvo la contraseña
de 50 cuentas de políticos e instituciones uruguayas”. (EL PAÍS, art. Mejorarán la seguridad
informática del Estado Uruguayo – Viernes 25 de junio de 2010, por wmorales).
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 19 de 35
Virus Informáticos
Concepto y características
Los virus informáticos, si bien son simplemente programas, que debido a sus
características particulares son especiales, constituyen uno de los principales riesgos de
seguridad en los sistemas de información tanto empresariales como hogareños.
Forman parte de un tipo de software llamado “malware” (software malicioso) cuyo
objetivo es infiltrarse en una computadora, sin el permiso ni el conocimiento del usuario, para
alterar el normal funcionamiento de la misma. Se valen de cualquier técnica para lograr su
cometido.
Un virus informático es una secuencia de código ejecutable capaz de replicarse a
otros archivos (a los que se les llama host o anfitrión), quedando oculto en ellos. Se propaga
de un computador en otro, a gran velocidad, por lo que a veces resulta muy difícil de
erradicar. Puede dañar el software, el hardware y/o los archivos.
Tiene tres características principales:
Es dañino, aunque no siempre causa rupturas. En ocasiones simplemente
provoca mayor consumo de memoria principal o tiempo de procesador,
disminuyendo así la performance del equipo.
Es autorreproductor. Se replica a sí mismo, lo que constituye una característica
propia del virus.
Es subrepticio. Utiliza diversas técnicas para evitar ser descubierto por el
usuario.
Su gravedad varía; los hay muy simples e inofensivos, pero molestos, que sólo
muestran un mensaje en el monitor, hasta muy complejos y destructivos. Su peligrosidad no
radica en las instrucciones maléficas que lo componen, sino en lo crítico del sistema que
puede infectar. No es lo mismo infectar una computadora personal, que como mucho
habrá que reiniciarla y se podrán perder datos, que ataque una computadora que
almacena información crítica como la de los controladores aéreos. Si se modificaran estos
datos, se podría llegar a producir una catástrofe que involucraría muchas vidas humanas.
Otra cosa que hay que considerar es que no pueden causar daño al hardware de
forma directa, sino a través de la ejecución de operaciones que reducen la vida útil del
mismo.
En la actualidad el incremento de ataques víricos, más frecuentes y de
consecuencias más graves, es muy notorio. Esto se debe al aumento de redes internas y
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 20 de 35
conexiones de red entre empresas, vinculadas principalmente a Internet e Intranets. Cuantos
más archivos se envíen los usuarios, mayor es el riesgo de infección. A esto debe agregársele
el hecho del aumento de la cantidad de virus capaces de penetrar en una red empresarial.
Cómo y por qué surgen
Los virus informáticos están hechos por personas con conocimientos de
programación, especialmente de lenguaje ensamblador (aunque se pueden desarrollar en
lenguajes de alto nivel), y del funcionamiento general de la computadora. Aunque no se
requiere capacitación demasiado especializada.
En un principio sólo los diseñaban los hackers y crackers, quienes tenían la necesidad
de demostrar su creatividad y su dominio de las computadoras o como una forma de
diversión. En su inmensa mayoría los diseñadores de virus informáticos son personas que
buscan la superación personal y que ven esta actividad como un pasatiempo o un reto,
aunque hay quienes lo usan como medio de propaganda, difusión de quejas, sabotaje
corporativo, espionaje industrial y daños materiales a las empresas. En otras ocasiones es la
competitividad lo que los lleva a desarrollar virus cada vez más destructivos, complejos y
difíciles de controlar.
El término que se emplea para hacer referencia al estudio y desarrollo de virus
informáticos es: “virii”. Existen grupos de personas que se dedican a esto.
Funcionamiento
En la vida diaria, cuando un programa invade inadvertidamente un sistema y se
replica sin conocimiento del usuario, puede provocar daños como pérdida de información o
fallas del sistema, pero para el usuario se comporta como un programa más. Actúan de
forma enmascarada debajo del sistema operativo, en general, disponiendo de sus propias
rutinas para acceder al control de los periféricos, lo que le garantiza cierto grado de
inmunidad a los ojos del usuario, que no advierte su presencia. Aunque esto no siempre es
así, porque hay algunos, especialmente los que operan bajo Windows, que utilizan las rutinas
llamada API´s.
CICLO VITAL
El ciclo vital de un virus comienza con su creación y termina con su erradicación,
pero entre medio pasa por varias etapas. A continuación se describe cada una de ellas.
Etapa 1: Creación
Programación y desarrollo del programa de virus, generalmente en lenguaje
ensamblador, de bajo nivel y sin necesidad de software intermedio entre el hardware y el
usuario.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 21 de 35
Etapa 2: Expansión
Un virus bien diseñado se copia a sí mismo en distintos archivos durante el tiempo
suficiente para llegar a muchísimos usuarios. Estos archivos son, en general, ejecutables
porque, como cualquier otro programa, el virus necesita ser ejecutado para surtir el efecto
para el que fue diseñado.
Etapa 3: Activación
Período en el cual el virus se activa, para lo cual, en ciertos casos, es necesario que
se cumplan determinadas condiciones (por ejemplo, una fecha o la ejecución de una
determinada acción por parte del usuario). Puede darse el caso de computadoras
portadoras del virus sin estar infectadas. Hasta que el programa del virus no se ejecuta, y por
consiguiente se carga a memoria, no se activa.
Etapa 4: Descubrimiento
Detección del mismo para luego poder ser enviado a los fabricantes de antivirus.
Etapa 5: Asimilación
Modificación de los programas antivirus existentes por parte de sus fabricantes, para
que sean capaces de detectar y erradicar el nuevo virus.
Etapa 6: Erradicación o Mutación
A través de las buenas prácticas y los antivirus generados se puede llegar a extinguir
el virus o hacer que no represente una amenaza importante para la comunidad. Pero, en
muchos casos, el virus muta y el ciclo se repite.
MÓDULOS
Según las características del virus, puede contener tres módulos principales: módulo
de reproducción, módulo de ataque y módulo de defensa.
El módulo de reproducción está encargado de manejar las rutinas para infectar
entidades ejecutables asegurando así la subsistencia del virus.
El módulo de ataque contiene las rutinas de daño adicional o implícito. Se puede
disparar por distintos eventos como ser una fecha específica, una hora, encontrar un
determinado archivo o un sector específico, etc.
El módulo de defensa está destinado a proteger el virus. Incluye rutinas para disminuir
los síntomas y evitar ser delatado.
MECANISMOS DE INFECCIÓN
Existen distintos mecanismos de infección utilizados por los virus.
Añadidura o Empalme
El código del virus se agrega al final del archivo ejecutable que infecta, haciendo
que el control del programa pase primero al virus, así éste puede realizar sus tareas
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 22 de 35
específicas y luego pasa el control al programa para su normal ejecución. La desventaja de
este método es que lo hace fácilmente detectable porque aumenta el tamaño del archivo
infectado, respecto del original.
Inserción
El código del virus se aloja en zonas de código no utilizadas o en segmentos de datos
dentro de los archivos que infectan, así logran no modificar la longitud total del archivo. Este
mecanismo requiere, para su desarrollo, conocimientos más avanzados de programación.
Reorientación
Los códigos principales del virus se introducen en zonas físicas del disco duro
marcadas como defectuosas o en archivos ocultos del sistema, y son luego llamados por
pequeños trozos de código que se implantan en los archivos ejecutables que infectan. De
esta manera el tamaño del cuerpo del virus puede ser grande, aumentando así su
funcionalidad. La desventaja de este método es que la eliminación es muy fácil, se logra
reescribiendo las zonas defectuosas del disco o borrando los archivos ocultos sospechosos.
Polimorfismo
El virus compacta parte de su código y del código del programa anfitrión y se inserta
en el código de este último, de manera tal que no modifica el tamaño del archivo original.
Cuando se activa, se descompacta en memoria. Es el método de contagio más avanzado.
Sustitución
El código del virus sustituye completamente el código del archivo original. Cuando se
ejecuta cumple sus tareas y termina la ejecución del programa reportando algún tipo de
error. Es el método más primitivo.
TÉCNICAS DE OCULTACIÓN
Se emplean técnicas para ocultar los signos visibles de la infección que son
conocidas como mecanismos de Stealth o técnicas furtivas. En general buscan mantener la
fecha original del archivo, restaurar el tamaño original de los archivos infectados, modificar
directamente la FAT, modificar la tabla de vectores de interrupción, soportar la
reinicialización del sistema por teclado, evitar que se muestren mensajes de error cuando el
virus intenta escribir en discos protegidos, hacer invisible el virus frente a un antivirus, etc.
Auto encriptación o auto mutación
El virus se encripta de manera diferente cada vez que se infecta un archivo,
enmascarando su código viral y sus acciones sobre el sistema.
Anti debuggers
El virus evita ser desensamblado para impedir su análisis dificultando así la fabricación
del antivirus correspondiente.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 23 de 35
Armouring
El virus impide que se examinen los archivos que ha infectado.
Evasión – técnica de tunneling
Este método se emplea para evitar las rutinas al servicio de una interrupción y así
tener un control directo sobre ésta. Requiere una programación compleja.
Residentes – TSR
El virus permanece residente en memoria manteniendo así el control sobre todas las
actividades del sistema y contaminar todos los archivos que encuentre.
Historia
El matemático John Von Neumann, creador del modelo de arquitectura Von
Neumann para computadoras, manejó en 1949 la posibilidad teórica de creación de
programas que se auto reprodujeran. Esto se llevó a la práctica, unos años después (década
del 60), en lo que se puede considerar como antecedente de los virus actuales, con la
creación del juego llamado “Core Wars” donde los jugadores creaban minúsculos
programas que atacaban y borraban el sistema del oponente y se reproducían cada vez
que se ejecutaba. Para ese entonces no se llamaban todavía “virus”. Este término lo acuñó
el Dr. Fred Cohen, conocido como “el padre de los virus”, recién en 1983, por la
característica de autoreproducción y mutación de estos programas, que los hace parecidos
a los virus biológicos. Los caballos de Troya aparecieron en 1985 y luego les siguió un gran
número de virus cada vez más complejos.
Cronológicamente se podría establecer:
1949 – publicación de “Teoría y organización de un autómata complicado” de John Von
Neumann, donde expone teóricamente la creación de programas que se reproducen a sí
mismos.
1959 – se crea, en secreto, el juego “Core Wars” (“Guerra Nuclear”), desarrollado por AT & T,
donde el cometido de cada jugador era desarrollar códigos que atacaran al adversario
acaparando la máxima memoria posible, mediante la autoreproducción.
1970 – surge el virus “Creeper”, difundido a través de la red ARPANET, que mostraba el
mensaje “Soy Creeper … atrápame si puedes”. También se crea su antídoto, el antivirus
“Reaper”.
1974 – aparece el virus “Rabbit” que se copiaba a sí mismo y bloqueaba el sistema ASP de
IBM.
1980 – un gusano ataca la red ARPANET dejándola 72 horas fuera de servicio.
1983 – se hace pública la existencia del juego “Core Wars” y se empieza a utilizar el término
“virus”.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 24 de 35
1987 – se da el primer caso de contagio masivo de computadoras, Macintosh, a través del
virus “Peace Virus”. Surge la primera versión del virus “Viernes 13” en la Universidad Hebrea
de Jerusalén.
1988 – aparece en Estados Unidos el virus “Brain”, de origen pakistaní.
1989 – la cantidad de virus detectados en todo el mundo sobrepasa los 100, llegando a
darse situaciones graves de contagio.
En la actualidad la cantidad de virus en circulación, y sus mutaciones, es tan grande
que no se puede llegar a precisar con certeza.
Su vinculación con los sistemas operativos
Los virus informáticos afectan en mayor o menor medida a casi todas las plataformas
más utilizadas, pero un virus atacará sólo al sistema operativo para el que fue desarrollado.
Las mayores incidencias de infección se dan en MS-Windows debido principalmente
a: su gran popularidad; la falla de seguridad del sistema por ser éste muy permisivo, situación
que se está intentando revertir en la actualidad; la gran vulnerabilidad de software como
Internet Explorer y Outlook Express incluidos en la plataforma y su gran difusión; la escasa
capacitación requerida para sus usuarios.
Por otro lado, en los sistemas Unix y derivados (GNU/Linux, Solaris, Mac OS), los
ataques son prácticamente inexistentes. Esta realidad se debe a diversos factores, como: la
alta prioridad que se le ha dado a la seguridad en Unix; la jerarquía de permisos y accesos
para usuarios, especialmente a los directorios que contienen los archivos vitales del sistema
operativo; la imposibilidad de que un usuario común inicie sesión como administrador,
impidiéndole así la instalación o configuración de software; la utilización de este tipo de
plataforma para tareas más complejas, como ser servidores, generalmente fuertemente
protegidos; las aportaciones constantes de actualización por parte de los usuarios, que
resuelven posibles problemas de seguridad, particularmente en distribuciones GNU/Linux.
Clasificación
Existe una gran variedad de programas maliciosos, llamados “plagas digitales” pero
que no son exactamente virus. Aún teniendo esta distinción es muy común que dentro del
término virus se englobe software de diversa índole como los virus propiamente dichos, pero
también troyanos, gusanos o programas “broma” que simulan ser virus sin serlo.
La clasificación puede ser muy variada porque se los puede agrupar según la
entidad que parasitan, su grado de dispersión, su comportamiento, su agresividad, sus
técnicas de ataque o de ocultamiento, etc. En ocasiones un mismo virus puede ser incluido
en más de una categoría.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 25 de 35
A continuación presentamos una de las posibles formas de clasificación en la cual se
distinguen dos categorías principales: por su destino de infección y por sus acciones o modo
de activación.
POR SU DESTINO DE INFECCIÓN
Infectores de archivos
Infectan archivos, tradicionalmente aquellos cuya extensión es .exe, .com, .bat, .sys,
.pif, .dll, .dry, .drv, .bin, .ovl, aunque este tipo de virus está en vías de extinción. Se replican en
la memoria toda vez que un archivo infectado es ejecutado e infectan a otros ejecutables.
Hay distintos subtipos de esta categoría. Normalmente insertan su código al principio
o final del archivo, manteniendo intacto el programa infectado. Pueden permanecer
residentes en memoria mientras se ejecutan y luego devolver el control al programa original
para que continúe normalmente. Un ejemplo sería el virus “Viernes 13”. Pero también
pueden ser virus de acción directa, en cuyo caso es imprescindible que el archivo infectado
esté en ejecución para que funcione. Estos virus corrompen el archivo donde se ubican y
son muy destructivos. Otra subcategoría corresponde a los virus de sobreescritura que
modifican el archivo host al sobrescribirlo.
Infectores del sector de arranque
Afectan el programa Boot Program encargado de buscar y ejecutar en el disco los
archivos del sistema operativo o la tabla de partición de un disco. Una infección de este tipo
ocurre cuando se intenta bootear la máquina desde un dispositivo de almacenamiento
infectado y luego infecta cada disquete, disco duro, CD, unidad ZIP, etc. que se utilice en
ella.
Se ocultan en el primer sector de un disco y se cargan en la memoria antes de que lo
hagan los archivos del sistema, así pueden tomar el control de las interrupciones del sistema
para diseminarse y causar daño.
Este tipo de virus está también en vías de extinción. En general, son fácilmente
erradicados.
Un ejemplo de este tipo de virus es “Brain”.
Virus multipartito
Infectan archivos ejecutables y del área de arranque. Su nombre se debe a que no
se limitan a infectar un tipo de archivo ni una zona en particular del disco duro, sino que
suelen ser una combinación de todos los tipos de virus existentes. Su poder de destrucción es
muy superior al de los demás y de alto riesgo para los datos.
Macrovirus
Se trasmiten a través de documentos que posean algún tipo de lenguaje de macros
(lenguaje script) que utilizan para generar su pequeño código. Estos documentos son
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 26 de 35
específicos de cada aplicación y no pueden afectar archivos de otro programa o
ejecutables. Como son independientes de la plataforma, se pueden diseminar a equipos
con diferentes sistemas operativos que usen las mismas aplicaciones. Por este motivo
representan una amenaza importante para una red porque se propagan con mucha
facilidad y a gran velocidad. Constituyen el 80% de todos los virus, según la International
Security Association. Cuando un documento infectado es abierto o cerrado, el virus toma el
control y se copia a la plantilla base de nuevos documentos, infectando todos los archivos
que se abran o creen en el futuro. Alteran de tal forma la información de los documentos
que hacen imposible su recuperación. Un ejemplo es el virus “Melissa” de MS-Word.
De Active Agents y Java Applets
Estos virus se alojan en los applets de Java y en los Active Controls, que son
programas que se graban en el disco duro cuando se conecta a Internet y se ejecutan
automáticamente cuando la página a la que se accede así lo requiere.
De HTML
Estos virus incluyen su código en archivos HTML. Con solo conectarse a Internet,
cualquier archivo HTML de una página Web puede contener y ejecutar un virus.
POR LA FORMA DE ACCIÓN O EL MODO DE ACTIVACIÓN
Bombas
Este tipo de virus ejecuta su acción dañina como si fuese una bomba. Es decir, se
activa cuando se cumple determinada condición. Esta condición en algunos casos es luego
de segundos de infectar el sistema. Pero también puede ser después de un cierto tiempo, en
cuyo caso estos virus se conocen como bombas de tiempo. Ejemplos de bombas de tiempo
son los virus que se activan en una determinada fecha u hora, como el virus “Michel Angelo”
que se activa el 6 de marzo. Otra condición puede ser de tipo lógico vinculada al equipo,
como por ejemplo cuando en el disco duro solo queda un 10% de espacio disponible; en
este caso estos virus suelen llamarse bombas lógicas. Si la condición no se cumple, el virus
permanece oculto al usuario.
Retro Virus
Atacan directamente al antivirus que está en la computadora, destruyendo sus
tablas de definición de virus o aprovechándose de los puntos débiles del mismo.
Virus lentos
Infectan solamente los archivos que el usuario hace ejecutar por el sistema operativo,
simplemente “siguiendo la corriente” y aprovechando cada una de las cosas que se
ejecutan. De los archivos que pretende infectar realiza una copia que infecta, dejando al
original intacto. Su eliminación resulta bastante complicada.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 27 de 35
Virus voraces
Alteran el contenido de los archivos indiscriminadamente, sustituyendo el código del
programa anfitrión por el suyo propio. Tienen por objetivo destruir completamente los datos
que estén a su alcance.
Sigilosos o Stealth
Éstos trabajan en el sector de arranque de la computadora a la par con el sistema
operativo viendo como éste hace las cosas y tapando y ocultando todo lo que va editando
a su paso. Engaña al sistema haciéndole creer que los archivos infectados no han sufrido
ningún aumento en tamaño, utilizando alguna técnica stealth de ocultamiento de tamaño
(descritas anteriormente). Cuentan con un módulo de defensa sofisticado que hace difícil
que un antivirus se de cuenta de su presencia, por lo que será necesario que se encuentre
en ejecución en memoria en el momento justo en que el antivirus corre. Un ejemplo es
“Brain”.
Polimorfos o Mutantes
Encriptan todas sus instrucciones para que no puedan ser detectados fácilmente y
cambian de forma cada vez que contagia algo. Solamente dejan sin encriptar aquellas
instrucciones necesarias para ejecutar el virus. Para esto utilizan un generador de códigos,
conocido como motor de mutación, que les permiten desencriptarse de manera diferente
cada vez que se ejecutan. En ocasiones se necesitan las llamadas vacunas para
erradicarlos.
Virus de script
Están escritos en este tipo de lenguajes de programación, como VBScript y
JavaScript. Se activan haciendo doble clic sobre archivos con extensión *.vbs o *.js desde el
explorador de Windows e infectan otros ficheros mediante el Windows Scripting Host de
Microsoft, tanto en Windows 98 como Windows 2000.
Un script es un conjunto de instrucciones ordenadas secuencialmente para realizar
una determinada acción al iniciar un sistema operativo, al conectarse a un servidor de red o
al ejecutar una aplicación. Es interpretado y ejecutado por Windows, Novell, aplicación
Mirc, IRC, etc. Algunos tienen objetivos dañinos otros simplemente usan el script como medio
de propagación.
Los dos medios de mayor difusión son: canales IRC (a través del comando send file
del chat) y por re-envío de mensajes de la libreta de direcciones de MS-Outlook.
Un ejemplo de este tipo de virus es “VBS/Loveletter”.
Código ActiveX malicioso
Utilizan el código de un control ActiveX, que es un objeto anidado que forma parte
de una página web, y se ejecutan automáticamente cuando se visita la página.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 28 de 35
Troyanos
A diferencia de los virus y gusanos, los troyanos ni se auto replican ni se reproducen
infectando otros archivos, por lo que no llegan a ser virus realmente y no es necesario
limpiarlos. En general se encuentran en páginas web de baja confiabilidad. Este tipo de
programas varía según los distintos puntos de ataque en que se centran.
El caballo de Troya incluye el código maligno en el programa benigno y pasan
inadvertidos para muchos antivirus. Son programas que imitan programas útiles o ejecutan
algún tipo de acción aparentemente inofensiva, pero que de forma oculta al usuario
ejecutan acciones inesperadas o no autorizadas, a menudo dañinas (como borrar archivos,
formatear discos o abrir agujeros en la seguridad del sistema llamadas puertas traseras o
backdoors). Otras veces, solo son acciones molestas (como mostrar mensajes en pantalla o
agregar iconos en el escritorio). En los casos más dañinos, su objetivo es robar contraseñas
de archivos o de acceso a redes y una vez que las obtiene las envía por correo a la
dirección de quien lo envió a realizar esa tarea. Si afecta una red, representa un gran riesgo
de seguridad ya que facilita el acceso a los intrusos. Permiten controlar remotamente la
computadora infectada.
Son ejemplos de este tipo de virus: “Poison Ivy”, “Nuclear Rat” y “Back Orif ice”.
Camaleones
Constituyen una variante de los troyanos pero actúan como programas comerciales
confiables (por ejemplo, demostración de producto) mientras que en realidad crean un
nuevo programa añadiéndole el código maligno. Pueden ejecutar todas las instrucciones
del programa legítimo mientras, almacenan las cuentas de usuario y contraseñas en un
archivo para luego utilizarlas ilegalmente.
Reproductores o conejos
Estos virus se reproducen en forma constante una vez que son ejecutados hasta
agotar totalmente, con su descendencia, los recursos del sistema, como ser el espacio de
disco o memoria. Su única función es crear clones y ejecutarlos para que ellos hagan lo
mismo. Llega un punto, especialmente en un entorno multiusuario interconectado, que el
sistema principal colapsa. Surgió en ambiente universitario donde el sistema funcionaba con
un algoritmo de prioridades para la atención de procesos y los procesos de los estudiantes
tenían baja prioridad.
Gusanos
Aunque su diseño es similar al de un virus, no se puede decir que es uno, sino que se
lo suele considerar como una subclase de virus. Es un programa o un conjunto de ellos que
utilizan copias completas de sí mismos para infectar otros equipos informáticos en los que
dejan esa reproducción o un segmente de ellos. No necesitan la intervención del usuario
para lograrlo. Se propagan muy rápidamente a través de las conexiones de red o ficheros
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 29 de 35
adjuntos en mensajes de correo. Tienen gran capacidad para replicarse. No producen
efectos destructivos sino que buscan colapsar el sistema o el ancho de banda. En algunos
casos su función principal es viajar a través de equipos anfitriones recopilando cierto tipo de
información, como claves de acceso. Algunos, como el Blaster Worm, generan un túnel en el
sistema permitiendo que usuarios malévolos controlen remotamente el equipo.
Hay dos tipos de gusanos: host computer worm y network worms. Los primeros son
contenidos totalmente en una computadora, se ejecutan y se propagan a través de una
conexión de red. Terminan cuando hicieron una copia en otro host, por lo que sólo hay una
copia del gusano corriendo en algún lugar de la red. Los hay también aquellos que infectan
otras redes. Por otro lado, los segundos, consisten en un conjunto de segmentos corriendo
cada uno en una máquina distinta y realizando una tarea distinta. Utilizan la red para
propósitos de comunicación.
Algunos ejemplos son: “Gusano Morris”, “Happy99” y “Bubbleboy Worm”, éste último
viene incluido en el cuerpo del e-mail, sin necesidad de abrir ningún archivo adjunto.
Bug-Ware
No son virus propiamente dichos sino que son programas pensados para realizar
funciones concretas dentro del sistema, pero debido a defectos de programación
(deficiente comprobación de errores por parte del programador o programación confusa),
provocan daños al hardware o al software del sistema. Por lo tanto son fragmentos de
código mal implementados, que debido a fallos lógicos, dañan el hardware o inutilizan los
datos del computador.
Virus de MIRC
Tampoco son considerados virus, pero infectan a las computadoras, aprovechando
las ventajas proporcionadas por Internet y los millones de usuarios conectados a cualquier
canal IRC a través del programa Mirc y otros programas de chat. Consisten en un script para
el cliente del programa de chateo. Cuando se accede a un canal de IRC, se recibe un
archivo llamado "script.ini". Por defecto, el subdirectorio donde se descargan los archivos es
el mismo donde esta instalado el programa, esto causa que el "script.ini" original se sobre
escriba con el "script.ini" maligno. A través de este archivo se accede la información privada
de la computadora, como el archivo de claves, y es posible desconectar remotamente al
usuario del canal IRC.
Virus Falsos (Hoax)
Al igual que los anteriores, no son considerados virus. Son mensajes advirtiendo sobre
algún virus peligrosísimo, inexistente, que circulan como cadenas de e-mails que se reenvían
por temor a su certeza. Generan un tráfico de información innecesaria además de provocar
estados de pánico en la población. No contienen ningún código oculto ni instrucciones para
ejecución. Algunos ejemplos son: “Irina”, “Good Time” y “Penpal Greetings!”.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 30 de 35
Síntomas y efectos
Así como los virus y sus comportamientos son muy variados, los síntomas que
producen también lo son. Dado que una característica de los virus es el consumo de
recursos, los virus ocasionan problemas tales como: pérdida de productividad, cortes en los
sistemas de información o daños a nivel de datos. Se pueden distinguir efectos de dos tipos:
no destructivos y destructivos.
NO DESTRUCTIVOS
Son indicios de infecciones molestas pero no destructivas:
actividad y comportamientos inusuales de la pantalla (aparición de gráficos
poco comunes, mensajes nunca antes vistos, letras que caen y rebotan en el
fondo de la pantalla, cierre de ventanas, movimientos del ratón inesperados)
leve distorsión de los objetos de la pantalla
DESTRUCTIVOS
Algunos de estos indicios son:
ralentización global del sistema
la carga de aplicaciones resulta aún más pesada, si ya lo eran
caídas, bloqueos o reinicios frecuentes del sistema
lectura injustificada de dispositivos de almacenamiento
imposibilidad de acceso al disco duro
aparición de sectores defectuosos en el disco duro
formateo automático del disco duro
reducción inexplicable del espacio libre del disco o de la memoria RAM
destrucción de información almacenada en el disco duro
leve incremento en el tamaño de archivos, programas u objetos
aparición o desaparición de archivos
modificación en el nombre, la fecha y/o hora de los archivos
fallos en ejecución de programas
aparición de procesos desconocidos en memoria sin autorización del usuario
aparición de mensajes de error no comunes
aparición de anomalías en el teclado
borrado del BIOS
quemado del procesador por falsa información del censor de temperatura
robo de información confidencial
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 31 de 35
Detección de infección
La mejor forma de detectar un virus es con un antivirus, pero en ocasiones éstos
fallan. Muchas veces el funcionamiento inestable de un sistema se debe a fallas de
hardware, fallas en el sistema eléctrico, deterioro normal del equipamiento, conflictos de
software o errores de programación, entre otros. Es necesario descartar todas estas
posibilidades para concluir que el fallo del sistema se debe a la presencia de un virus no
detectado por el antivirus.
Estrategias de protección y prevención
Si bien existen numerosos mecanismos para combatir el problema, a medida que
nuevos programas y sistemas operativos se introducen en el mercado, más difícil es tener
controlados a todos.
Se distinguen dos tipos de métodos para reducir los riesgos asociados a los virus:
métodos pasivos y métodos activos.
MÉTODOS PASIVOS
Son medidas de este tipo a tomar:
evitar introducir en el equipo medios de almacenamiento extraíbles poco
confiables
no instalar software no que no sea original
evitar descargar software de Internet; en caso de ser programas del tipo
freeware, shareware, trial, o de cualquier otro tipo de distribución deberán ser
escaneados por el antivirus antes de su ejecución
evitar tener instalado software innecesario
disponer de software de seguridad adecuado
no abrir mensajes provenientes de una dirección electrónica desconocida
desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX
y cookies sólo en páginas Web de confianza
realizar copias de seguridad de los datos y programas para garantizar la
recuperación de la información en caso de necesitarse
utilizar contraseñas y no revelar las mismas
manejar permisos de usuario manteniéndolos reducidos a lo mínimo necesario
para realizar el trabajo diario
formación del usuario
evitar compartir archivos, impresoras y medios de almacenamiento
activar la protección con macro virus, de ser posible
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 32 de 35
analizar con el antivirus actualizado toda información recibida
evitar revelar datos personales a desconocidos
contar con un plan de contingencia en caso de emergencia por virus
reemplazar el software como el de correo, páginas Web, entrada de archivos
desde unidades externas y el uso de equipos portátiles, por otras alternativas
más seguras
centralizar los recursos del sistema y los datos
controlar y separar la información móvil que es más propensa a contingencias
de virus
emplear sistemas operativos más seguros y adecuados para cada caso,
pudiendo ser diferente para servidor de archivo y para servidor de
aplicaciones
mantener al máximo el número de recursos de la red en modo de sólo lectura
controlar el acceso a Internet
MÉTODOS ACTIVOS
Dentro de los métodos se tienen:
utilización de antivirus
utilización de filtros de archivos
contar con un firewall
Antivirus
Un antivirus es un programa creado para prevenir la activación de los virus así como
también para evitar su propagación y contagio. Cuenta con rutinas para la detección,
identificación y eliminación de trazas de software malicioso, así como para la reconstrucción
de objetos infectados. Su objetivo es detectar la mayor cantidad de amenazas informáticas
que pueden afectar a un computador. Los primeros antivirus surgieron en la década de 1980
y han evolucionado ampliamente. Algunos permanecen residentes en memoria (módulo
demonio de protección del antivirus) controlando el sistema mientras funciona, detectando
actividades sospechosas y parando las vías conocidas de infección y las incidencias de
seguridad detectadas. En estos casos el consumo de recursos se ve incrementa
notoriamente. Otros antivirus deben ser ejecutados periódicamente por el usuario.
Un antivirus consta de tres componentes principales: vacuna, detector y eliminador.
La vacuna es un programa que, instalado residente en la memoria, actúa como filtro de los
programas que son ejecutados o abiertos para ser leídos o copiados, en tiempo real. El
detector es la rutina encargada de examinar todos los archivos existentes en el equipo y
contiene instrucciones de control y reconocimiento de códigos virales. Posee una base de
datos con las características de los virus conocidos (firmas) y las formas de reconocerlos. En
base a esta lista, analizan los archivos manejados por el computador y el comportamiento
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 33 de 35
de los mismos así como el de las comunicaciones. El eliminador es el módulo encargado de
erradicar el virus y reparar los daños.
Existen distintos tipos de vacunas empleadas por los antivirus: sólo detección
(detectan pero no eliminan ni desinfectan), detección y desinfección (detectan y
desinfectan), detección y aborto de la acción (detectan y detienen las acciones que causa
el virus), comparación de firmas (comparan las firmas de archivos sospechosos para saber si
están infectados), comparación de signatura de archivo (comparan las signaturas de los
atributos guardados en el equipo), por métodos heurísticos (buscan líneas de código
dañinas), invocación por el usuario, invocación por la actividad del sistema.
La detección de un virus consiste en reconocer la presencia de uno sin llegar a
identificar de cuál se trata. En ocasiones es necesario colocar los archivos infectados en
cuarentena, esto es aislarlo, hasta tener una herramienta que permita identificarlo y
eventualmente erradicarlo. Para la identificación de un virus se utiliza la lista de firmas
mencionada anteriormente, para lo cual es imprescindible su permanente actualización. El
procedimiento de eliminación de un virus implica extraer el código del archivo infectado y
reparar de la mejor manera el daño causado. En muchos casos, esto puede resultar
peligroso para la integridad de los archivos infectados, ya que si el virus no está
debidamente identificado las técnicas de erradicación no serán las adecuadas para el tipo
de virus.
Hay que mencionar que los antivirus no son herramientas cien por ciento efectivas,
siempre queda un margen posible para las infecciones.
Filtros de archivos
Los filtros de archivos se generan para evitar el acceso a determinados objetos
propensos a contener virus. Por ejemplo, se crean filtros para evitar la llegada al servidor de
correo electrónico de determinados tipos de mensajes.
Firewall
Un firewall, también conocido como pared de fuego o cortafuegos o barrera de
fuego, es un sistema que bloquea el acceso desautorizado al sistema a la vez que permite
comunicaciones autorizadas. Permite filtrar contenidos y puntos de acceso al sistema así
como también monitorear los accesos de los usuarios a la red. Consiste de software,
hardware o ambos que evitan el acceso de usuarios no autorizados de Internet a las redes
privadas conectadas a ella, principalmente intranets. Todos los mensajes que entran o salen
de la intranet pasan a través de esta barrera que los examina y bloquea aquellos que no
cumplan los criterios de seguridad establecidos. No elimina problemas de virus pero agrega
un mecanismo de protección. Los cortafuegos de hardware proporcionan protección
contra la mayoría de ataques externos, pero para ataques de virus son más eficaces los
firewall de software. Estos últimos protegen el equipo contra intentos de control o acceso
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 34 de 35
externo al sistema, además de brindar protección contra troyanos y gusanos de e-mail. Su
desventaja es que sirven solo para el equipo en el que están instalados y no para una red.
Los cortafuegos pueden utilizar distintas técnicas como filtro de paquetes, aplicaciones de
Gateway (servidores ftp y telnet), Gateway a nivel de circuitos (conexiones TCP o UDP) y
servidor Proxy.
Las ventajas de los cortafuegos son: protección contra intrusos, establecimiento de
perímetros confiables, protección de información privada (mediante definición de distintos
niveles de acceso a la misma) y optimización de acceso (mediante comunicación directa
entre elementos internos de la red).
También tiene limitaciones como: no protección contra ataques cuyo tráfico no pasa
a través de él, no protección de amenazas de ataques internos, no protección contra
ataques de ingeniería social (seguridad informática), no protección contra ataques de virus
informáticos que llegan a las máquinas a través de medios de almacenamiento y no
protección contra fallos de seguridad de servicios y protocolos cuyo tráfico esté permitido.
Otras consideraciones
Es pertinente mencionar que, si bien no son necesariamente virus, los términos
spyware, keylogger y hijacker representan peligro. Los spywares son programas que pueden
estar incluidos en software desconocido y que espían las actividades de los usuarios en la
Web o capturan información de ellos. Por otro lado, los keyloggers son pequeñas
aplicaciones que pueden venir incluidos en virus, spywares o software sospechoso y cuya
finalidad es capturar todo lo que sea ingresado a través del teclado para así obtener
contraseñas. Los hijackers son programas o scripts que “secuestran” navegadores de
Internet, alteran la página inicial del browser e impide al usuario poder cambiarla. Además
muestra propaganda en ventanas nuevas, instala barras de herramientas e impide el
acceso a determinados sitios. Los dos primeros pueden ser identificados por programas anti-
spywares, aunque también hay antivirus que lo hacen. En el caso de hijackers, muchas
veces es necesario usar una herramienta desarrollada especialmente para combatirlos,
porque pueden infiltrarse en el sistema operativo de una forma que ni los antivirus ni anti-
spywares los consiguen detectar.
INET – Profesorado de Informática 2010 O.C.S.O.
Seguridad Informática y Virus Página 35 de 35
Webgrafía http://www.segu-info.com.ar
http://www.delitosinformaticos.com/delitos/delitosinformaticos.shtml
https://egovflash.wordpress.com/2010/06/29/aumentara-la-seguridad-informatica-en-uruguay/
Fuente: El Pais (Uruguay)
Fuente: Últimas Noticias (Uruguay)
http://www.agesic.gub.uy
http://www.monografias.com
http://es.wikipedia.org
http://www.masadelante.com/faqs/virus
http://www.sitiosargentina.com.ar
http://www.informatica-hoy.com.ar/software-seguridad-virus-antivirus/Tipos-de-virus.php
http://www.muyinteresante.es/icuantos-tipos-de-virus-informaticos-existen
http://www.taringa.net
http://www.geocities.com