Inteligencia colectiva: la evolucion del modelo de - Panda Security
Inteligencia colectiva: la evolucion del modelo de - Panda Security
Inteligencia colectiva: la evolucion del modelo de - Panda Security
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
INTELIGENCIA COLECTIVA: LA EVOLUCIÓN DEL MODELO DE SEGURIDAD TRADICIONAL<br />
Pág. 8<br />
2.2.5 Botnets<br />
Según algunos estudios, aproximadamente<br />
el 11% <strong>de</strong> los or<strong>de</strong>nadores <strong>de</strong> todo el<br />
mundo están infectados por bots, responsables<br />
<strong><strong>de</strong>l</strong> 80% <strong><strong>de</strong>l</strong> spam que se envía 14 .<br />
Una buena parte <strong><strong>de</strong>l</strong> dinero que consiguen<br />
los <strong><strong>de</strong>l</strong>incuentes informáticos proce<strong>de</strong> <strong>de</strong><br />
los botnets.<br />
El control <strong>de</strong> estas gran<strong>de</strong>s re<strong>de</strong>s <strong>de</strong> or<strong>de</strong>nadores<br />
infectados se ven<strong>de</strong> o alqui<strong>la</strong> para<br />
llevar a cabo <strong><strong>de</strong>l</strong>itos informáticos: envío <strong>de</strong><br />
spam, ataques <strong>de</strong> <strong>de</strong>negación <strong>de</strong> servicio<br />
distribuida, venta <strong>de</strong> proxies, etc. <strong>Panda</strong><br />
Labs ha sido testigo <strong>de</strong> guerras online entre<br />
diferentes bandas <strong>de</strong> bots para hacerse<br />
con los PCs secuestrados.<br />
Hay pruebas que sugieren que existen muchos<br />
PCs <strong>de</strong> empresas pertenecientes al<br />
índice Fortune 500 que son contro<strong>la</strong>dos<br />
<strong>de</strong> forma remota por bot her<strong>de</strong>rs para el<br />
envío <strong>de</strong> spam 15 .<br />
Aunque los botnets tradicionales son contro<strong>la</strong>dos<br />
vía IRC, hay botnets nuevos basados<br />
en P2P y HTTP que utilizan técnicas <strong>de</strong><br />
encriptación <strong>de</strong> comunicaciones más potentes<br />
y se están haciendo popu<strong>la</strong>res entre<br />
los <strong><strong>de</strong>l</strong>incuentes informáticos para evadir<br />
<strong>la</strong> <strong>de</strong>tección.<br />
2.2.6 Vectores <strong>de</strong> infección por<br />
fases<br />
No es nuevo que <strong>la</strong> mayoría <strong><strong>de</strong>l</strong> malware<br />
actual tien<strong>de</strong> a utilizar ataques en dos fases<br />
como principal técnica <strong>de</strong> infección, ya sea<br />
explotando vulnerabilida<strong>de</strong>s conocidas o<br />
<strong><strong>de</strong>l</strong> tipo día cero, o utilizando pequeños<br />
“downloa<strong>de</strong>rs” que cambian muy rápidamente<br />
para evitar <strong>la</strong> <strong>de</strong>tección.<br />
Mientras en el pasado aprovecharse <strong>de</strong> una<br />
vulnerabilidad como principal vector <strong>de</strong><br />
infección podía llevar semanas o incluso<br />
meses a los autores <strong><strong>de</strong>l</strong> malware, hoy en<br />
día es normal ver exploits in-the-wild que<br />
se aprovechan <strong>de</strong> vulnerabilida<strong>de</strong>s dos días<br />
<strong>de</strong>spués <strong>de</strong> que se hagan públicas.<br />
Aplicaciones maliciosas automatizadas,<br />
como Web-Attacker 16 y MPack 17 están<br />
explotando, por ejemplo, vulnerabilida<strong>de</strong>s<br />
GDI, <strong>de</strong> cursores animados y VML para<br />
aprovecharse <strong>de</strong> usuarios <strong>de</strong>sprevenidos o<br />
sin parches e infectarles con un troyano.<br />
Los downloa<strong>de</strong>rs se están convirtiendo<br />
también en herramientas habituales en <strong>la</strong>s<br />
técnicas <strong>de</strong> infección en dos fases. En<br />
primer lugar, se ejecuta un pequeño<br />
fichero mediante una <strong>de</strong>scarga conducida<br />
<strong><strong>de</strong>l</strong> navegador o un exploit simi<strong>la</strong>r. El<br />
objetivo <strong>de</strong> este archivo es el siguiente:<br />
<strong>de</strong>scargar un segundo archivo <strong>de</strong>s<strong>de</strong> una<br />
URL y ejecutarlo. Este segundo archivo es el<br />
verda<strong>de</strong>ro troyano que termina infectando<br />
al sistema.<br />
Estos downloa<strong>de</strong>rs han <strong>evolucion</strong>ado mucho.<br />
SecuriTeam organizó recientemente<br />
un concurso para crear el downloa<strong>de</strong>r más<br />
pequeño <strong><strong>de</strong>l</strong> mundo 18 . Más recientemente,<br />
hemos visto surgir miles <strong>de</strong> herramientas<br />
gráficas que simplifican el trabajo <strong>de</strong><br />
creación <strong>de</strong> downloa<strong>de</strong>rs 19 , incluso con técnicas<br />
<strong>de</strong> empaquetamiento personalizadas<br />
para eludir <strong>la</strong> <strong>de</strong>tección.<br />
2.2.7 “Malware 2.0”<br />
Una <strong>de</strong> <strong>la</strong>s ten<strong>de</strong>ncias actuales en <strong>la</strong><br />
creación <strong>de</strong> malware es que el binario que<br />
infecta al PC <strong><strong>de</strong>l</strong> usuario sea “tonto” y <strong>la</strong><br />
inteligencia esté “en <strong>la</strong> nube”. El código<br />
que resi<strong>de</strong> en el PC posee funciones simples<br />
que transfiere a un servidor compinchado<br />
remotamente. El servidor, entonces,