sábado, 17 de noviembre de 2012

Cómo se veía el futuro del malware hace 10 años (I)

Han pasado más de 10 años desde un artículo titulado "The attack of the superworms" en el que, en 2002, varios representantes de compañías de seguridad pronosticaban hacia dónde podía ir el malware y cuáles serían las características del código malicioso de hoy. ¿Acertaron?

2002 es la prehistoria del malware actual. Nada tenían que ver con el malware actual aquellos gusanos que principalmente aprovechaban los agujeros en Outlook Express o la ingeniería social para propagarse. La banca por internet no estaba tan popularizada, y lo más parecido a redes sociales se podía resumir en el Messenger y los chats. Veamos algunas predicciones de entonces:

Stephen Trilling, director de investigación de Symantec, afirmó en aquel momento:

"Veremos gusanos con una mayor sofisticación... con nuevas formas de difusión... que se podrán replicar a través de la mensajería instantánea... robarán documentos e información privada de cada ordenador. Crearán nuevos agujeros de seguridad en el sistema, y una vez que mantengan el control total de la máquina, usarla como base para lanzar nuevos ataques".

Por supuesto que el malware es más sofisticado, y por supuesto que existen nuevas maneras de difusión. Quizás, en aquel momento se centraron demasiado en la mensajería instantánea, por ser lo más parecido a las redes sociales del momento. Sin embargo, hoy la difusión hoy está clara: la web. Atrás quedaron los clientes de correo vulnerables y hoy la difusión por web (bien en páginas comprometidas o directamente de los atacantes) es el vector más peligroso, junto con el correo y la ingeniería social.

Stephen Trilling
La afirmación "robarán documentos e información privada" es curiosa. Lo que hoy consigue el malware común principalmente es robar dinero de la cuenta del banco, realizando transacciones no deseadas. Aunque ha existido malware que ha robado documentos, o bien se han tratado de ataques dirigidos o no han tenido demasiado éxito. Como mucho, el resurgir del ramsonware actual secuestra el sistema o los documentos alegando que necesita un rescate para desbloquearlo, pero la mayoría de las veces realmente no roba nada ni le interesan los documentos o fotos más allá de que se realice el pago del rescate.

"Crearán nuevos agujeros de seguridad" puede ser ambiguo. Algunas muestras desactivan el cortafuegos o eliminan algunas características de seguridad del navegador, pero solo si lo necesitan para funcionar "cómodamente" en el sistema. Pocos son los troyanos que dejan la puerta abierta al paso de otros ni mucho menos se han visto gusanos que "creen" vulnerabilidades en sí... otra cosa es que solo las conozcan ellos (0-day).

"Una vez con el control del sistema, la usarán para lanzar nuevos ataques". Esto ya se hacía entonces: una gran cantidad de gusanos usaban el sistema afectado para instalar un pequeño MTA y enviar spam. Hoy se sigue usando, pero menos.

Veremos otras afirmaciones en la siguiente entrega.

Más información:

Coming Soon: Attack Of The Super Worms



Sergio de los Santos
Twitter: @ssantosv

No hay comentarios:

Publicar un comentario en la entrada