Información sobre seguridad McAfee

La opinión del experto: La prevención es la mejor cura

La amenaza de ataques de virus está remitiendo un poco, pero está aumentando el peligro de los robos de identidad (phishing) y de los troyanos. Monty Ijzerman, director de contenidos de seguridad de McAfee, forma parte de un equipo de élite de investigadores en seguridad que identifican, valoran y evalúan las amenazas en los servidores. Ijzerman comparte sus profundos conocimientos de la evolución de las amenazas y cómo pueden protegerse las corporaciones con efectividad contra las amenazas combinadas mediante la prevención.

La seguridad en primer plano: ¿Cuál cree que será la evolución que seguirán en el futuro las vulnerabilidades y los ataques a redes y hosts, como los gusanos, troyanos y virus?

Monty Ijzerman: en la actualidad los virus no están tan extendidos, aunque los robos de identidades y los troyanos van en aumento. Según un informe del Anti-Phishing Working Group (Grupo de trabajo antiphising), los sitios dedicados al robo de identidades aumentaron un 24% entre julio y diciembre del año 2004, con más de 1.700 sitios notificados en diciembre de dicho año.

En este último año, las amenazas que combinan más de un tipo de vulnerabilidad se han incrementado. Antes, el software dañino se enviaba por correo electrónico y se iniciaba cuando un usuario abría un documento adjunto; ahora, esos programas utilizan más de una vulnerabilidad. Por ejemplo, si el ordenador está protegido contra la vulnerabilidad A, entonces el software intenta causar daños con las vulnerabilidades B y C.

Por ejemplo, el objetivo inicial de un ataque puede ser el servidor de correo electrónico de una empresa y, una vez conseguido, el ataque continúa. El atacante traspasa el perímetro y, una vez allí, instala un bot (una herramienta controlable a distancia) que empieza a atacar equipos de diferentes tipos. Tenemos, pues, que el atacante puede pasar de un servidor de correo electrónico a un ordenador personal y de nuevo a servidores web. Repercute en la empresa en el sentido de que la protección debe poder hacer frente a ataques combinados.

La seguridad en primer plano: ¿Cree que podría producirse otro gran ataque como el de "día cero" que tuvo lugar en 2005?

Ijzerman: una vez al año, en los últimos tres o cuatro, un gusano se ha valido de una única vulnerabilidad para extenderse por todo el mundo. Es muy probable que este año suframos, como mínimo, otro ataque.

Cuando se detectaron estos gusanos, Microsoft sabía que existían esas vulnerabilidades subyacentes y ya había creado parches. Ahora bien, si esos parches no se implantan, los gusanos pueden extenderse con bastante facilidad.

La seguridad en primer plano: ¿Está mejorando la situación?

Ijzerman: en la segunda mitad del año 2004, los clientes han demostrado que sabían protegerse mejor de los virus, mientras que las organizaciones de TI han mejorado a la hora de aplicar los parches de Microsoft, ya que han sincronizado sus procesos internos con los Patch-Tuesdays ("parches del martes") de Microsoft.

Una amenaza en evolución

La seguridad en primer plano: ¿Cómo están cambiando las amenazas a la seguridad de hoy día? ¿Cuáles son los tipos de ataques más frecuentes?

Ijzerman: los ataques de programas espía, publicitarios y de robo de identidad son mayoría. Para que el usuario pueda protegerse contra el robo de identidad es preciso que se le eduque y sea consciente de los peligros de los programas potencialmente no deseados, y que disponga de buenas herramientas para prevenir la amenaza. Algunas de estas estafas son muy complejas; incluso un usuario consciente de la seguridad puede descargar de forma accidental software no deseado o resultar estafado.

También están cambiando los tipos de ataques. En la actualidad la mayoría de los ataques se hacen a través de los archivos multimedia como
WAV, o imágenes como GIF. Hace poco se produjo el problema de que si se descargaba una lista de reproducción en Windows Media Player, podría tratarse de un ataque. La buena noticia es que McAfee® VirusScan® 8.0i
protege los ordenadores de mesa contra el software dañino oculto en los archivos de imágenes o multimedia.

Los ataques de archivos de imágenes o multimedia intentan desbordar la memoria de búfer. Si éste se desborda, los datos se graban en otro punto de la memoria y, si un atacante actúa de forma hábil, podrá ejecutar códigos malignos. McAfee Entercept® protege a los servidores y a los sistemas anfitriones contra la ejecución de programas dañinos que pueda producirse como consecuencia de desbordamientos del búfer, y es capaz de ver estos ataques incluso en el día cero.

La seguridad en primer plano: ¿Quién escribe o desata los ataques? ¿Los creadores de programas espía y de publicidad son los mismos que los creadores de gusanos?

Ijzerman: sólo se logró capturar a los creadores de los gusanos Sasser y Blaster. Sigue sin saberse quiénes son la mayoría de los creadores de virus. Prácticamente no existen informes sobre el cibercrimen organizado. Los creadores de programas espía y publicitarios tienen mayores motivaciones financieras.

Con los programas espía y publicitarios, instalan software en el sistema del escritorio del usuario que éste puede o no desear. Es probable que no lo desee. A veces, aparece un recuadro emergente que le hace una pregunta del tipo "¿Desea instalar este software?" Si comete el error de pulsar "Aceptar", significa que da su consentimiento a la instalación de ese software. Y eso no es ilegal.

Otros programas espía y de publicidad pueden instalar software de forma subrepticia. Existen tretas que permiten combinar las vulnerabilidades de Microsoft Internet Explorer y trasladar software a su equipo. Se convierte en programa espía a partir del momento en que usted no ha dado su consentimiento. Los programas espía pueden ser inofensivos y tratarse solo de anuncios emergentes, o bien dañinos si intentan obtener los números de las tarjetas de crédito.

Para protegerse, debería ejecutar programas antiespía como McAfee AntiSpyware. McAfee AntiSpyware detecta y elimina aplicaciones como los registradores de pulsaciones, los programas de control remoto y los secuestradores de navegadores, que se pueden utilizar para robar la identidad. También detiene los programas publicitarios que inician los molestos anuncios emergentes y minan los recursos del sistema.

Un perímetro poroso

La seguridad en primer plano: ¿Es suficiente una defensa con varias capas para defenderse contra estos ataques? ¿Cómo cambia la protección de los activos de información a medida que la noción de perímetro de red empresarial va perdiendo su sentido?

Ijzerman: el perímetro de red empresarial, tal como existía hace diez años, ya no existe. Ahora, el personal de las empresas conecta sus portátiles en casa o en el aeropuerto y después vuelve con ellos a la compañía, lo cual puede abrir una brecha en el perímetro. Por ello, el sistema de defensa multicapa se hace ahora más relevante que depender sólo de un firewall o una solución antivirus.

La protección mediante el bloqueo de los ataques es más importante. El bloqueo de los ataques puede realizarse utilizando un sistema de prevención de intrusiones en red, como McAfee IntruShield®, o bien un sistema de prevención de intrusiones en el host, como McAfee Entercept. Si las compañías utilizan IntruShield, se interceptará el tráfico dañino y se bloqueará en la red. Si, además, un ataque consigue llegar a la red e intentar ejecutar algo en el servidor, o si se inicia un ataque localmente, Entercept lo bloqueará.

Los departamentos de TI de las empresas deberían examinar sus sistemas en busca de vulnerabilidades. Los directores de TI deberían conocer su propia red y qué aplicaciones ejecutan sus servidores y ordenadores portátiles. Tendrían que asegurarse de que sus sistemas tienen aplicados los parches. McAfee Foundstone es una de las mejores soluciones para estas tareas. Foundstone permite que los responsables de TI midan y protejan de forma activa sus valiosos activos corporativos, lo que les permite dedicar sus recursos limitados a proteger los elementos más valiosos.

Las compañías tendrían que ser muy estrictas y aplicar políticas de uso de los ordenadores. Deberían asegurarse de que los empleados están seguros cuando navegan por Internet. En McAfee, si entro en un sitio web poco claro, la política empresarial hace que quede bloqueado. Tampoco podré instalar software en mi ordenador de la empresa.

Las compañías deberían asimismo establecer un proceso de respuesta a incidentes para poder contener un problema y librarse de él de forma segura y organizada.

La seguridad en primer plano: ¿Qué soluciones pueden adoptar las empresas para proteger sus redes y sistemas?

Ijzerman: la mejor estrategia consiste en aplicar una defensa de varias capas y en bloquear los ataques en el momento en que se produzcan. Elija un proveedor que ofrezca una solución de seguridad que lo abarque todo, desde software antivirus o antiespía, hasta sistemas de prevención de intrusiones en la red y en el host. Es muy difícil tener productos de varios proveedores y estar realmente seguro de que se está protegido.

Recursos

Visite la Demostración de amenazas cifradas.