Pregunta al experto: brainstorming

Siempre es positivo que los verdaderos expertos TI contesten a las preguntas de nuestros usuarios. Hemos elegido a los mejores miembros del GReAT (Global Research and Analysis Team), el brazo

Brainstorming

Siempre es positivo que los verdaderos expertos TI contesten a las preguntas de nuestros usuarios. Hemos elegido a los mejores miembros del GReAT (Global Research and Analysis Team), el brazo investigador de la compañía, que se dedica a analizar y combatir las amenazas informáticas.

 Brainstorming

¿Sabíais que Kaspersky Lab recibe más de 200.000 muestras de malware únicas al día? En el post de hoy, nuestros expertos responden a las preguntas sobre seguridad y productos que les hemos enviado.

GReAT

 

Por favor, cuéntame cómo es el entorno de trabajo de un analista; es decir, qué sistema operativo, navegador y demás herramientas utiliza.

Michael Molsner:

No nos atamos a un entorno específico, más bien construimos aquél que necesitamos. Mi equipo más antiguo todavía funciona con Windows 2000, otros con WinXP, Win7, CentOS, Ubuntu y FreeBSD.

 

¿Cómo encontráis el malware?

Roel Schouwenberg:

Con más de 200.000 muestras de malware diarias, es necesaria la automatización. Tenemos diferentes tipos de robots de búsqueda que rastrean la Red en búsqueda de malware nuevo. Estos sistemas visitan las páginas web para ver si están infectadas y capturar los exploits y programas maliciosos. Además, también tenemos diferentes tipos de honeypots para el correo electrónico o el tráfico de red. Cuando se procesa un malware que se ha descubierto, frecuentemente, encontramos URLs que nos dirigen hacia más malware, los cuales se procesan automáticamente. La industria antimalware comparte los programas maliciosos que encuentra y así obtenemos muestras de otras compañías. Finalmente, también están las muestras que nos envían los “entusiastas antimalware”, los profesionales del sector y nuestros clientes.

 

¿En qué plataforma se están concentrando los desarrolladores de malware: en PCs o en dispositivos móviles?

Sergey Novikov:

Los desarrolladores de malware trabajan para apoderarse de los recursos económicos o la información de valor. Prefieren objetivos que sean fáciles de atacar. En relación a los dispositivos móviles, lamentablemente los usuarios todavía no son conscientes de los posibles peligros. No protegen los datos que almacenan en sus smartphones o tablets. Éste es uno de los motivos por los cuales los cibercriminales atacan estos dispositivos. Además, teniendo en cuenta la plataforma, el 99% de los ataques están dirigidos contra el sistema operativo Android. En el mundo de los ordenadores, Windows sigue estando en el punto de mira del malware debido a su gran popularidad. Los delincuentes suelen intentar robar información económica u otra información como los datos de acceso al correo electrónico o redes sociales. Posteriormente, suelen venderlos a otros cibercriminales que los usan para diferentes fines (siempre maliciosos). A su vez, los hackers también infectan los equipos de las víctimas para enviar spam o realizar ataques DDoS.

 

¿Cuál es la vulnerabilidad más común de un smartphone?

Christian Funk:

Los cibercriminales suelen usar aplicaciones legítimas como vía para difundir su malware. Añaden códigos maliciosos en dichas apps y las lanzan en las app stores; aprovechándose del nombre de la aplicación oficial para engañar a las víctimas.

 

¿Qué país es el mejor preparado para la ciberguerra? ¿Crees que los partidos políticos y las instituciones españolas y europeas son conscientes de estos peligros e invierten los recursos suficientes?

Vicente Diaz:

No existe un país que haya publicado información sobre este tema tan crítico. Sin embargo, está claro que la nación que más se está preparando para la ciberguerra es EE.UU. China, también, está invirtiendo bastantes recursos en el tema y luego están Francia, Reino Unido, Alemania, Rusia o Israel que son países líderes en tecnología.

 

¿Qué tipo de malware existe para Mac OS X y dónde me lo puedo descargar?

Sergey Novikov:

Los Mac no difieren de los PC Windows. Existen keylogger, botnets y otros programas maliciosos que atacan a estos equipos. Aunque la cantidad de muestras de malware sea bastante baja, este número está aumentando. No es cierto que solo el propio usuario puede infectar su Mac. Por ejemplo, el botnet Flashback/ Flashfake incluía más de un millón de equipos Mac, infectados a través de una vulnerabilidad de Java. Por supuesto, no te voy a decir dónde puedes descargarte malware porque es ilegal.

En términos de números, la mayor amenaza para Mac son los ataques de phishing: correos electrónicos y páginas web falsas. La mayoría de los usuarios de Mac tiene algo en común: usan el ID de Apple para descargarse software y otros archivos o programas. Por lo tanto, las campañas de phishing como “restablece tu ID de Apple” suelen resultar muy efectivas. Algunos usuarios, incluso, proporcionan su número de tarjeta  u otros detalles de facturación.

 

Hasta el día de hoy no me he encontrado con una página de phishing o tal vez simplemente no me haya percatado. Me gustaría saber lo siguiente:

Sin tener instalado un software antivirus, ¿cómo puedo saber antes de visitar una website si es una página de phishing o no? ¿Y si tengo un software antivirus instalado? ¿Me lo notificará de algún modo?

Michael Molsner:

Hoy en día, es peligroso navegar en Internet sin tener instalado un software de seguridad. No digo esto porque quiera venderte algo sino porque descubrimos, día tras día, miles de páginas web legítimas que han sido comprometidas. Se suele insertar un código malicioso entre el contenido legítimo, para que ataque a aquellos equipos vulnerables. Sin una protección adecuada, los visitantes de dicha páginas tienen muchas posibilidades de resultar infectados sin necesidad de hacer clic en ningún  sitio.

Si tenemos instalado un software de seguridad, lo más probable es que no nos llegue ningún correo de phishing porque estos productos no son solo antivirus sino que nos protegen frente a otros tipos de amenazas. Así, el 99,5% de los mails de phishing terminan en la papelera de reciclaje.

De todos modos, si pinchamos en un enlace de phishing, nuestro producto nos mostrará una notificación de advertencia que nos informará sobre los posibles riesgos.

 

¿Dónde se encuentra el mayor número de links de phishing? ¿Podemos confiar en los links que aparecen en las páginas web de compañías o blogs famosos? ¿Son peligrosos los enlaces publicitarios de los blogs?

Michael Molsner:

La mayoría de los enlaces de phishing llegan a través del correo electrónico aunque otros muchos lo hacen a través de mensajes directos, foros o comentarios.

No me gusta utilizar la palabra “confiar” cuando hablamos de temas online. Incluso las páginas de compañías o blogs conocidos pueden ocultar contenido malicioso. Esto ya ha ocurrido en el pasado y seguirá sucediendo en el futuro.

 

Me preocupa que la mayor parte de los virus los hayan creado las empresas antivirus. Por ejemplo, el primer virus de Android apareció justo cuando se lanzó al mercado el primer antivirus para estos dispositivos.

Vicente Diaz:

Nosotros analizamos aproximadamente 200.000 muestras de malware al día. Si Kaspersky Lab crease un virus nuevo, esto no conseguiría que los usuarios comprasen nuestros productos. En su lugar, si alguien se enterase de esto, supondría la ruina para la compañía.

Como ves no tiene ningún sentido. Vivimos en un mundo en el que ya existen bastantes amenazas de todo tipo y gente que gana mucho dinero a costa de los demás como para tener que entrar en ese juego.

 

¿Por qué se necesita una solución de seguridad para nuestro smartphone? Desde hace dos años, todavía no he encontrado virus alguno en mi dispositivo. Creo que solo sería necesario un verificador de enlaces web.

Sergey Novikov:

Si todavía no te has encontrado algún virus, esto no significa que no existan. Lo más probable es que seas un tipo con suerte o muy cauteloso. También es posible que no te hayas percatado del malware porque los criminales se esfuerzan mucho para que sus programas maliciosos pasen desapercibidos. Existen backdoors diseñados para instalarse en el dispositivo de la víctima e invernar hasta que el cibercriminal los necesite.

Además, hay otro aspecto importante: los dispositivos que carecen de protección pueden difundir el malware a otros ordenadores a través de la misma red. Así, tu smartphone puede formar parte de algún tipo de ataque malicioso sin que te des cuenta. Por este motivo, creo que la gente que rechaza los productos de seguridad es irresponsable ya que participan, involuntariamente, en el cibercrimen.

 

¿Por qué es Kaspersky mejor que Norton o McAffe?

David Emm:

Ésta es siempre una pregunta difícil para alguien que trabaja en un empresa de seguridad TI, ya que, inevitablemente, estás condicionado. Kaspersky Lab está a la vanguardia en el desarrollo antimalware. Puedes comprobarlo con la información que publicamos en nuestra página www.securelist.com. Además ofrecemos diferentes tecnologías, diseñadas para proteger a nuestros clientes, y que explica detalladamente nuestro CEO, Eugene Kaspersky, en su blog personal. Pero, la mejor prueba de nuestro buen trabajo, son los resultados que obtienen nuestros productos en los test comparativos independientes como www.av-test.org, www.av-comparatives.org o www.anti-malware-test.com.

 

En relación a los adware ¿vais a tomar medidas al respecto? Creo que sería necesario crear o lanzar algún tipo de notificación antiadware. La política actual considera legal a la mayoría de ellos, provocando problemas reales en los equipos de los usuarios porque se suelen instalar otros “programas” junto al adware.

Vicente Diaz:

Este tipo de software no es malicioso en sí. De hecho, a veces es difícil determinar si conlleva una actividad maliciosa o no. Sin embargo, está claro que, a menudo, confunde a los usuarios. De todos modos, debemos bloquear aquellos programas que sean maliciosos, no irritantes. Si la ley, por ejemplo, permite este tipo de software, entonces es necesario que la industria antivirus y los usuarios se unan para conseguir el bloqueo del adware. Nosotros buscamos mejorar nuestros productos para proteger, lo máximo posible, a nuestros usuarios. Si encontramos malware dentro de un adware, nosotros lo bloquearemos.

 

¿Qué sugiere Kaspersky Lab a la hora de realizar transacciones o disfrutar de un almacenamiento online seguro?

Christian Funk:

Solo se deben hacer las transacciones online a través de equipos de confianza, evitando las redes WiFi públicas o los equipos desconocidos. Nunca podemos estar seguros de qué tipo de software está funcionando de fondo o si tiene instalado un producto de seguridad incluso si está infectado con algún tipo de malware. Además, si tenemos que realizar, sí o sí, una transacción online, debemos acceder a la página web de nuestro banco tecleando, manualmente, su URL en la barra del navegador; no a través de enlaces o correos electrónicos que supuestamente nos ha enviado nuestra entidad bancaria. Estos trucos nos ayudan a evitar los timos de phishing.

Sumado a esto, el usuario debe asegurarse de que tiene instalada la última versión del sistema operativo o de cualquier aplicación antes de acceder a su banca online. Una de las mayores vías de infección son las vulnerabilidades de software, las cuales se convierten en la puerta de entrada del malware.

Los bancos ofrecen diferentes métodos para proteger las cuentas online de sus clientes, quienes deberían ponerse en contacto con ellos para mantenerse informados al respecto.

Por último, es imprescindible tener instalado un software antivirus en nuestro ordenador, el cual nos proteja y nos ayude a mantener nuestros ahorros a salvo.

 

¿Por qué habéis eliminado el sandboxing?

David Emm:

Nosotros no lo hemos eliminado. Solo hemos cambiado el nombre de nuestra tecnología sandboxing por “Pago Seguro”. Esto se debe a que queríamos una nomenclatura que fuese más explicativa: proteger las transacciones online. Además, es más sencilla de utilizar: en lugar de tener que activar manualmente esta herramienta, ahora detectamos automáticamente las transacciones económicas e implementamos la función cuando sea necesario (aunque, por supuesto, sigue siendo posible añadir manualmente otras páginas web). A propósito, también usamos el sandboxing dentro de nuestro motor de análisis para determinar si un código es malicioso o no.

 

¿Cabe la posibilidad  de añadir alguna extensión, app o plug-in a los productos como KIS para ayudar a los usuarios a navegar de forma segura o a cifrar nuestras comunicaciones web?

David Emm:

Tenemos diferentes extensions para Internet Explorer, Chrome y Firefox:

•             Análisis Anti-Banner.

•             Bloqueo de contenido de URLs peligrosas.

•             URL Advisor que verifica las URLs y ofrece señales visuales claras para que el usuario sepa qué tipo de URL es.

•             Pago Seguro que protege las transacciones online.

•             Teclado Virtual que evita que los keyloggers lean nuestras contraseñas.

 

El malware se puede identificar a través de la firma; entonces, ¿por qué se utilizan dichas firmas? Todos los software tienen una, ¿cómo sabe un antivirus si una firma es peligrosa o no? ¿Qué es lo que manipula el malware realmente?

Roel Schouwenberg

Una firma es algo que describe de forma única un malware, una familia de malware o un tipo de actividad maliciosa. Las firmas pueden ser de diferentes tipos. La detección se realiza en el código que es el responsable de usar un algoritmo específico. La firma también se crea para detectar cierto comportamiento del sistema. La mayoría de las firmas actuales son muy inteligentes. Podemos detectar miles de archivos maliciosos diferentes que usan una sola firma inteligente.

Nosotros –tanto los sistemas automáticos como los analistas- simplemente decidimos cómo detectar los archivos. Si una muestra de malware complica el análisis, entonces crear una firma según su código o comportamiento es una buena manera de detectar dichos archivos maliciosos. Esto significa que el autor del malware tendrá que cambiar de truco para evitar que lo detectemos. Digamos que es el juego del gato y el ratón…

Nosotros utilizamos una lista de admitidos y otra de rechazados. Al tener una base de datos de lista de admitidos podemos ser más rápidos con el análisis, evitando los falsos positivos y sospechando de aquellos archivos que desconocemos.

 

¿Cómo me puedo proteger de un ataque DDoS?

Roel Schouwenberg:

Los ataques DDos son un problema serio. No son fáciles de eliminar porque cada uno de ellos es diferente y con una magnitud distinta. Si un atacante está intentando inundar tu servicio con  tráfico de red, tendrás que mudarte a un proveedor que ya tenga experiencia en lidiar con estos ataques. De todos modos, para este tipo de casos, los IDS/ IPS deberían ser capaces de ayudar en la tarea.

 

¿Tener los puertos abiertos supone un vulnerabilidad?

Roel Schouwenberg

Los programas son los responsables de los puertos abiertos. La pregunta principal es si podemos confiar en el programa que abre el puerto. Si quien abre el puerto es un malware, entonces, sí podemos considerarlo una vulnerabilidad. Normalmente, se utilizará dicho puerto como backdoor del sistema. Cuando un programa legítimo abre un puerto, nos preguntamos qué tipo de programa es y si necesita de verdad abrir el puerto a Internet. La respuesta más común es no. Por este motivo, son importantes los firewall, que suelen estar incluidos en todos los productos de seguridad de hoy en día.

 

¿Tenéis pensado desarrollar un navegador seguro que forme parte de Kaspersky Internet Security?

Sergey Novikov:

La verdad es que no. Nos distinguimos por los productos de seguridad y no queremos desarrollar otro tipo de software. En su lugar, podemos fortalecer cualquier navegador con una capa de seguridad robusta, la cual está incluida, por ejemplo, en nuestra tecnología Pago Seguro.

 

¿Tenéis pensado desarrollar un antivirus que se aloje en la web y proteja a las páginas de los diferentes ataques?

Sergey Novikov:

No soy conocedor de ningún plan de ese estilo en Kaspersky Lab. Es bastante cuestionable el tipo de producto necesario para mejorar la seguridad web. Sin embargo, estoy de acuerdo contigo en que es un problema serio porque la mayoría de desarrolladores no prestan atención a la seguridad. Puedo recomendarte unos pasos muy simples para mejorar la seguridad de las páginas web. Usa contraseñas largas y complicadas para acceder a tu FTP, consola de administrador u otros ajustes de servidor. Actualiza, regularmente, el software del servidor (inclusive scripts). Esto es muy sencillo pero, lamentablemente, algunas webs pequeñas están desactualizadas durante años. Por supuesto, son perfectas para que un cibercriminal las hackee y las use para difundir su malware. En Kaspersky Lab, resolvemos el problema desde el punto de vista del cliente; evitando que el usuario visite páginas infectadas.

 

¿Es seguro Windows 8? ¿Creéis que el futuro Windows 8.1 ofrecerá mejoras en seguridad?

Sergey Novikov:

Windows 8 fue diseñado teniendo en cuenta la seguridad. Lo hemos comprobado en detalle y es mucho mejor que su predecesor Windows 7, y, por supuesto, nada que comparar con la versiones anteriores. Lamentablemente, es imposible diseñar un producto tan complejo y que, al mismo tiempo, sea invulnerable. Así, los hackers ya han encontrado alguna forma de comprometer Windows 8 y, por este motivo, es necesario instalar una solución de seguridad. Como Windows 8.1 todavía está en versión beta, no puedo comentar nada al respecto.

 

Me asustó bastante ver en la televisión a un hacker ruso que pudo penetrar en un equipo en menos de media hora. Tengo un producto Kaspersky instalado en mi PC, ¿estoy a salvo? ¿De qué debo tener cuidado?

Michael Molsner:

Nunca debemos pensar que estamos protegidos al 100%. Por supuesto, si tenemos instalado un producto de Kaspersky Lab, estamos más seguros que si no disponemos de una solución de seguridad TI.

 

Consejos