martes, 24 de octubre de 2006

Malware y phishing, ¿ponemos más puertas al campo?

Los sistemas de seguridad reactivos, basados en firmas tradicionales
para el malware y listas negras para el phishing, están obsoletos y
se muestran insuficientes para abordar una realidad cuyos números y
efectos se desconocen.

La Real Academia Española describe "poner puertas al campo" como frase
coloquial usada para dar a entender la imposibilidad de poner límites
a lo que no los admite.

Por definición, tanto el malware como el phishing son conjuntos
finitos, si bien están en continuo crecimiento. La producción actual
es tan prolífica que a efectos prácticos es imposible luchar de forma
efectiva intentando poner una nueva "puerta" para cerrar la vía de
entrada de cada nuevo caso de malware o phishing.


¿Se desconoce la magnitud del problema?

Cuando uno trabaja dentro del sector tiene acceso a material de
primera mano y tendencia a perder la perspectiva que se distingue
del problema desde el exterior. Es normal que difiera la percepción
de un usuario respecto a un profesional de la seguridad.

Tener puntos de vistas diferentes suele ser complementario y
enriquecedor. Además, tradicionalmente las casas de seguridad han
realizado, en ocasiones o de forma puntual, un mal uso de las
estadísticas y las alertas, utilizándolas como herramienta de
marketing para provocar la necesidad de adquirir unos determinados
productos. No es de extrañar que el usuario de hoy mantenga cierta
actitud crítica, por otro lado recomendable, cuando se le habla de
los peligros que acechan en Internet.

Ahora bien, cuando uno lee en prensa que aparecen 2.000 nuevos virus
cada mes de boca de un reputado experto en seguridad, ya no es un
simple problema de percepción entre usuarios finales y profesionales
del sector. La brecha es mayor.


Algunos números

Un laboratorio antivirus puede recibir cada día una media de mil
nuevas muestras de malware para las que su solución no disponía de
firma de detección específica. No hay ninguna errata en los números,
hablamos de 1.000 en 24 horas, Y hay casos donde el volumen es mayor.

El phishing y el robo de credenciales de acceso a banca, al contrario
del malware, tal vez sea una actividad más visible. No en vano la
estrategia más común por parte de los atacantes es realizar un spam
masivo para hacer llegar la dirección falsa al mayor número de
víctimas potenciales. Todos hemos recibido varios mensajes de ese
tipo, y más o menos podemos hacernos una idea del volumen.

Ahora bien, cuando hablamos de troyanos bancarios o de phishing
segmentado entramos en un terreno mucho más oscuro. Como dato,
en el laboratorio de Hispasec analizamos más de 100 troyanos bancarios
cada día.


¿En qué se traducen estos números?

La situación es algo contradictoria. Vivimos la época con mayor número
de amenazas e incidentes en Internet, si bien la percepción general
sobre la inseguridad se ha relajado respecto a años anteriores.


Algunos culpables

El malware ha dejado de ser noticia. Antes solía aparecer regularmente
un gusano de propagación masiva que obtenía la atención de los medios
tradicionales y protagonizaba titulares.

Ahora la estrategia de los atacantes ha cambiado. En vez de un gusano
de propagación masiva que infecta miles de usuarios en poco tiempo,
pero que también provoca que los antivirus reaccionen en tiempo récord,
prefieren distribuir miles de variantes que infectan a más usuarios,
pasan más desapercibidas, y dificultan la labor de detección de los
antivirus.

Además el malware actual es menos perceptible por los usuarios
infectados. Atrás quedaron los virus que mostraban efectos en las
pantallas de los usuarios, eliminaban archivos, o los gusanos que
provocaban un aumento en el tráfico de red. Los troyanos y el
spyware, reyes indiscutibles de la escena actual, es software diseñado
para permanecer oculto en los sistemas y no dar señales de su
actividad.


La situación actual

A efectos prácticos, el disponer de un antivirus o no hacer caso a
los mensajes de phishing no garantiza a un usuario que su sistema
no esté infectado o sea víctima de una estafa.

De hecho, es muy común encontrarse sistemas con antivirus instalados
donde conviven varios troyanos y/o spyware. Con frecuencia los
usuarios nunca llegan a ser conscientes de las infecciones, más de
una vez habremos escuchado la frase: "parece que este Windows tiene
demasiado tiempo, va muy lento y con errores, toca formatearlo de
nuevo". Sí, en muchas ocasiones la responsabilidad no es del sistema
de Microsoft (comodín para todos los males), o al menos no en
exclusividad.

Tampoco faltan casos de usuarios que han sido víctimas de fraude a
través de la banca electrónica por Internet que además de disponer
de antivirus actualizado nunca han visitado una página de phishing.


Lo que hay que exigir

Los sistemas de seguridad totalmente reactivos no son suficientes,
tenemos que exigir prevención y proactividad.

Por ejemplo, las firmas tradicionales siguen siendo imprescindibles
para los antivirus en la actualidad, si bien debemos de adquirir
soluciones que complementen esa capa de detección con buena tecnología
heurística o basada en el comportamiento, capaces de detectar malware
nuevo y desconocido.

No existe antivirus infalible, pero a buen seguro conseguiremos un
mayor grado de protección.

En el caso del phishing debemos exigir a nuestras entidades sistemas
de autenticación más robustos, utilizar el típico usuario y contraseña
o PIN estático para el acceso y autorización de transacciones es a
todas luces insuficiente.

Aunque son muchos los factores en contra a los que se debe enfrentar
una entidad para implantar un sistema de autenticación multifactor y/o
multicanal, la mayoría ajenos a la tecnología, la experiencia
demuestra que cualquier avance, por pequeño que sea, es significativo
en la lucha contra el phishing.

Un ejemplo, las tarjetas de coordenadas no dejan de ser un pseudo
intento de OTP (One-Time Password) primitivo. A algunos le resultará
contradictorio que en pleno siglo XXI tengamos que mirar una tarjeta
de plástico y jugar a los barquitos para introducir una contraseña.
Pero las entidades que las han implantado han visto reducir
drásticamente su nivel de fraude por Internet.

Tampoco es, ni mucho menos, la solución definitiva. Sistemas más
robustos que las tarjetas de coordenadas (certificados, tokens,
canales alternativos vía móviles, etc.) pueden ser, y serán atacados,
con efectividad. De hecho algunos de ellos ya son objetivos puntuales
en la actualidad. Pero mientras existan entidades con sistemas más
débiles, basados en el usuario y contraseña tradicional, los atacantes
y el phishing se cebarán en ellos.


Resumiendo

Es una frase manida, pero no por ello le quita razón: la seguridad es
un proceso continuo. No vamos a encontrar la solución mágica contra
los ataques y el fraude, desconfié de quién le ofrezca el producto
definitivo y 100% seguro.

Tampoco es menos cierto que la seguridad es una responsabilidad
compartida. Aunque cada vez se tiende a hacer los sistemas de
seguridad más transparentes para el usuario, pocos pueden resistir
cuando no se hace un uso responsable de la tecnología.

Debemos de aprender a evolucionar en el tiempo. Como usuarios
tendremos que in/formarnos continuamente sobre las nuevas amenazas
que van surgiendo, no en vano la educación en materia de seguridad
es una las principales y más útiles barreras contra los ataques. Nos
tocará también adquirir nuevos hábitos y adaptarnos a nuevas
tecnologías.

Pero, sobre todo, debemos exigir a los proveedores unos niveles
mínimos de seguridad en todos los sistemas que nos rodean, desde la
solución antivirus de nuestro PC pasando por la banca electrónica de
nuestra entidad. A día de hoy muchos están por debajo de lo que exige
la situación actual.

Tú eres el usuario, tú mandas, ¿hora de cambiar?.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Barras antiphishing para navegadores
http://blog.hispasec.com/laboratorio/37

Antiphishing en Internet Explorer 7
http://blog.hispasec.com/laboratorio/167

(Sobre la robustez de las firmas antivirus tradicionales)
http://blog.hispasec.com/laboratorio/166

Troyano bancario contra entidades españolas y latinoamericanas
http://blog.hispasec.com/laboratorio/159

No hay comentarios:

Publicar un comentario en la entrada