Content
Nociones de seguridad de McAfee
La visión del experto: Detención de programas espía
Los computadores de usuarios corporativos están llenos de posibles programas no deseados que van desde molestos avisos publicitarios emergentes focalizados que consumen recursos computacionales, hasta capturadores de teclado que pueden robar los números de tarjetas de crédito u otra información privada de los empleados. La mayoría de los gerentes de IT de las empresas han subestimado la magnitud del problema. ¿Qué tan grave es el problema de los programas espía y los programas publicitarios, y más importante, qué pueden hacer las empresas para impedir que lleguen a los computadores y equipos portátiles de sus usuarios? Conversamos con Joe Telafici, director de operaciones de McAfee® AVERT® Labs para comprender la condición del problema y la solución.
Destacado de seguridad: ¿Qué tan grave es el problema de los programas espía? ¿Y por qué está empeorando?
Joe Telafici: Es masivo. En los últimos doce o veinticuatro meses ha ido de mal en peor. Es mucho más negativo que los virus. Hay más equipos con posibles programas no deseados (PUP), principalmente programas publicitarios. En la mayoría de los meses, 10 a 15 de los 20 principales ataques de virus son de programas publicitarios y programas espía. En entornos corporativos, hemos visto informes en los que un virus aparece recién en el número 200. El resto corresponde a programas espía, programas publicitarios y otros programas no deseados.
Esta proliferación tiene dos causas. En primer lugar, este software tiene un objetivo legítimo. Algunas personas desean estos programas. Cuando uno descarga Kazaa, descarga dos o tres programas adicionales; si los desea, debe tenerlos. Si trabaja en IT, puede usar un sniffer o un programa de control remoto como parte del trabajo. Si el software accede a un lugar que no le corresponde, se produce un problema.
En segundo lugar, las herramientas para identificar y eliminar programas espía no han estado ampliamente disponibles, en especial para las empresas. Mientras el personal de IT no tenga herramientas con una amplia implementación y administradas centralmente, no conocerá el problema y no podrá enfrentarlo.
La palabra "programas espía" tiene una gran carga. Una gran cantidad de software realmente malicioso corresponde a troyanos tales como ladrones de contraseñas, capturadores de tecleado y programas de control remoto que tienen como objetivo el robo de identidad.
Una nueva motivación: Dinero
Destacado de seguridad: ¿Piensa que la motivación de los programas espía es principalmente financiera, tal como sucede con el robo de identidad y el fraude?
Telafici: En 2003 y 2004, hubo un cambio del malware, como declaración política y el equivalente digital del grafiti, a la ganancia financiera. Es difícil determinar si los autores del malware aprenden de los proveedores de programas publicitarios o viceversa.
Los spybots y los gusanos instalan programas publicitarios, supuestamente porque el autor del gusano obtiene dinero en función de la cantidad de programas publicitarios que instala. Algunos de los proveedores más deshonestos de PUP los instalan a través de exploits y usan los mismos trucos de ingeniería social que han usado tradicionalmente los autores del malware.
Si observa el extremo negativo del espectro, hay una combinación de técnicas. En el extremo inocuo, una serie de autores de programas publicitarios han intentado tener un mejor comportamiento. Algunos tienen financiamiento de capital de riesgo e intentan complacer a los inversionistas.
Destacado de seguridad: ¿El cambio de las personas que escriben programas espía facilita o dificulta su detención?
Telafici: En algunos casos es mejor y en otros es peor. Las personas que escriben PUP son más profesionales y minuciosas que hace dos años. No se trata de universitarios. El autor lleva 10 años realizando tareas de codificación. Él prueba su creación. Obtiene dinero con su trabajo.
El lado positivo es que es un poco más predecible. Muchos programas vienen con desinstaladores, aunque si los usuarios no saben cómo obtuvieron el software, un desinstalador no sirve de ayuda. Los autores son más honrados en cuanto a la forma en que etiquetan el software, incluida la presencia de información de versión y del nombre real de la empresa.
Por otra parte, aquellos a quienes no les importa su reputación producen elementos muy sombríos y usan técnicas furtivas para ocultar su presencia en los sistemas.
Una cuestión de política
Destacado de seguridad: ¿Tiene una estimación de cuántos computadores de las empresas de Estados Unidos están infectados con programas espía?
Telafici: Los programas espía no han estado en la pantalla del radar, y la falta de herramientas es parte del motivo. Aunque tienen una necesidad cada vez mayor de antivirus en los computadores, muchas organizaciones no bloquean sus configuraciones.
Una gran cantidad de personas, especialmente en Estados Unidos, realiza compras y actividades no relacionadas con los negocios en el trabajo. Algunas organizaciones adoptan duras medidas contra el uso no relacionado con el trabajo, pero la mayoría no lo hace. La aplicación de políticas es la mejor manera de mantener a los computadores libres de posibles programas no deseados.
Destacado de seguridad: ¿Qué hacen las empresas para impedir el ingreso de posibles programas no deseados a su entorno?
Telafici: La principal medida que las organizaciones pueden adoptar es revisar los derechos y los privilegios que tienen los usuarios en sus computadores. En forma predeterminada, todos son administradores en Windows, y los administradores pueden hacer cualquier cosa en sus equipos. Cada vez que visita una página Web, tiene todos los derechos.
Las empresas deben establecer una política que abarque el software que los empleados supuestamente deben tener para realizar sus trabajos, ya sea Microsoft Office o un entorno de desarrollo de software. IT debe bloquear las aplicaciones en los computadores de los usuarios, de modo que puedan ejecutar sólo aplicaciones aprobadas.
Más allá de eso, puede que le interese descargar otro software interesante y útil. En lugar de tener los derechos para descargarlo automáticamente, debe tener la posibilidad de solicitar derechos temporales y la oportunidad de que alguien de IT revise el caso y dé su aprobación o su rechazo.
Destacado de seguridad: ¿Qué más pueden hacer las empresas?
Telafici: IT debe forzar una política de parches, de modo que las actualizaciones se distribuyan automáticamente, y poner en cuarentena los equipos que no estén actualizados.
Muchas organizaciones aún permiten el tráfico IRC en sus redes. Una gran cantidad de spybots usan IRC. Aunque no tiene que ver necesariamente con PUP, las empresas no deben permitir ese tipo de tráfico. Deben bloquear puertos específicos. En términos de programas publicitarios, hay listas de dominios de código abierto que pueden incluir contenido ofensivo. Es necesario usar un firewall para bloquear el acceso a estos dominios.
Las empresas pueden usar una combinación de McAfee® Secure Content Management, del software de administración de vulnerabilidades McAfee® Foundstone® y de McAfee® Desktop Firewall para estar protegidas contra el problema. McAfee® Anti-Spyware Enterprise brinda protección contra programas espía, programas publicitarios, capturadores de tecleado, cookies y programas de control remoto.
Destacado de seguridad: ¿Cuál es la mejor forma de educar a los usuarios en cuanto a la instalación de software que puede permitir el ingreso de programas espía y publicitarios a la empresa?
Telafici: La educación es absolutamente fundamental. Las personas piensan que tienen el derecho de instalar software en los equipos corporativos. No logran ver el vínculo entre la instalación de una barra de herramientas del explorador y los programas espía. Comúnmente, este software forma parte de sitios de compras en línea y de apuestas. Las personas deben responsabilizarse de su descarga.
El papel de la ley
Destacado de seguridad: ¿Qué sucede con los intentos estatales y federales para detener los programas espía? Por lo que se dice, CAN-SPAM no resultó eficaz en la detención del spam. ¿Podemos esperar un mejor resultado en relación a los programas espía?
Telafici: Utah aprobó una ley destinada a poner freno a los programas espía, y California está considerando una. La ley exige que las empresas de software y los sitios Web informen a los usuarios si el software o los sitios instalan programas espía, y que divulguen lo que harán y la información que recopilarán. También hay dos proyectos de ley en discusión en la Cámara de Representantes de Estados Unidos y uno en el Senado.
CAN-SPAM legitimizó toda una nueva forma de spam. No ha hecho nada para acabar con el flujo de spam, e incluso puede haber empeorado la situación. En nuestro nivel, hay preocupación sobre cualquier legislación federal que indique que estos elementos son negativos.
El proceso legislativo no puede ir a la par con la tecnología. Cada día o cada semana se desarrolla una nueva técnica. Cualquier intento por señalar que esta forma en particular es negativa será una tarea extremadamente dura, a menos que se disponga de alguien que genere una lista de comportamientos perjudiciales y que la actualice de la misma forma que lo hace la Administración de Drogas y Alimentos con los medicamentos buenos y malos. Debe haber un esfuerzo normativo de modo que la ley vaya a la par con la tecnología.
Esto puede cambiar si organismos como la Comisión Federal de Comercio regulan a los proveedores de este software. Recientemente, la FTC cerró Sanford Wallace, el rey del spam, por prácticas comerciales. Están comenzando a mostrar algo de interés en esta área, pero el problema es cuánto presupuesto y tiempo pueden dedicar a la aplicación de políticas.
Destacado de seguridad: En consecuencia, ¿cuál es la solución?
Telafici: Estamos en conversaciones con el resto de la comunidad dedicada a antivirus y a software contra programas espía. Hay una serie de grupos de trabajo normativos en los que varios proveedores de seguridad se encuentran desarrollando convenciones de denominación y comportamiento.
La solución será impulsada en gran medida por la comunidad dedicada a la seguridad y los proveedores de PUP más legítimos, a quienes los impulsa el sentimiento público. McAfee hace lo que nuestros clientes piden, mientras que las otras empresas hacen lo que sus inversionistas o anunciantes, quienes determinan su valor, les piden hacer.
Los proveedores de tecnología y la comunidad deben unirse para encontrar la solución. Es probable que el carácter global de Internet haga que cualquier esfuerzo normativo carezca finalmente de la eficacia necesaria.
Desde que se escribió este artículo, McAfee introdujo nuevos productos que ofrecen capacidades similares. Consulte la información adicional en la sección de productos.
Recursos
