Dentro de los muchos aspectos que abarca la seguridad de la informacin, la seguridad a nivel de
host (o estacin de trabajo), es uno de los tpicos ms reconocidos por el comn de la gente.
Generalmente cuando a las personas se les habla de seguridad informtica, lo primero que se les
viene a la cabeza son los antivirus, gusanos, troyanos y otros conceptos muy tpicos del aspecto
anteriormente nombrado. Y no podemos hablar de seguridad de host sin nombrar a su principal
amenaza: El malware, un demonio que al igual que Hidra de Lerna parece tener cada da una
nueva variante (o cabeza, haciendo la analoga) a vencer.
Qu es el Malware?
Uno de los aspectos que ms comnmente se usan para clasificar el Malware es su nivel de
peligro o dao potencial para el equipo afectado. En la figura 1 se puede observar una clasificacin
del Malware.
El Malware, como se puede ver en la figura anterior, tiene variados comportamientos, que van
desde la simple publicidad no autorizada hasta la actividad claramente maliciosa, lo cual
compromete los tres principios de la seguridad de la informacin.
Entre las actividades tpicas que se pueden encontrar en un Malware, destacan las siguientes:
Microsoft est trabajando hace largo tiempo para combatir el Malware, basndose en un equipo
tecnolgico que trabaja codo a codo con el COSD (Core-OS-Division). Este equipo, que cuenta con
un excelente equipo de profesionales del equipo de seguridad de Microsoft (STU) ha generado un
conjunto de disciplinas estndares ms un equipo de respuesta especializado para combatir esta
amenaza. Haciendo un poco de historia, el trabajo antimalware de Microsoft est relacionado con
la adquisicin de GeCAD en Diciembre de 2004, aunque el ao anterior ya haba adquirido los
derechos de propiedad intelectual de esta compaa desarrolladora de Software. Desde ese
momento, los especialistas antimalware de Microsoft han estado trabajando continuamente en el
desarrollo de herramientas de software que sean capaces de detectar, analizar y neutralizar los
efectos de esta amenaza.
El ncleo
Toda esta informacin permite a Microsoft clasificar mediante un sistema de valoracin (o pesaje)
los nuevos malwares que son reportados por sus clientes. Esto generalmente se realiza gracias a
conceptos como:
La siguiente tabla indica las principales soluciones antimalware que Microsoft est entregando a
sus clientes.
Malicious Software Win2k and higher. Delivered via WU/MU/AU No AV only (partial)
Removal Tool
Internet Explorer V7 XPSP2 and Server 2K3 No AV only (partial)
installer
Windows Vista - Clean Consumers who upgrade XP PCs. Integrated No AV only (partial)
on upgrade to Vista with Dynamic Update
MSN Messenger V8 Consumers No AV only
Windows Live Safety Win2k and higher. Consumers No AV & AS
Center
Microsoft Forefront Server OSs. Corporate Customers No AV only
Antigen
Windows Defender Win2k SP4, XPSP2, Server 2k3 SP1. Yes AS only
Consumers
Windows Vista with Consumers. Yes AS only
Defender Technology
Windows Live OneCare Windows XPSP2. For fee offering. Yes AV & AS
Consumers
Microsoft Forefront Win2k and higher. Corporate customers Yes AV & AS
Client Security
Buenas prcticas de usuario
Una de las principales caractersticas que son comunes a casi todo tipo de malware es su bajo
perfil dentro de lo visible para el usuario. Mientras ms oculto y desapercibido pueda actuar un
malware, mayores son las posibilidades que este tiene para seguir atacando al sistema afectado. A
veces, un simple examen visual por parte del usuario puede ser una buena forma de detectar a
residentes no deseados en nuestro sistema.
Cambios en el inicio
Una de las primeras cosas que deberan poner en alerta a cualquier usuario comn y corriente son
los cambios en los procesos de inicio del sistema operativo. conos nuevos en la bandeja de
sistema, demoras fuera de lo comn en el arranque del SO o de alguno de sus programas, o
cambios en la pgina de inicio de un navegador de Internet (inclusive luego de deshacer dicho
cambio en la configuracin del sistema) son clara seal de la presencia de malware en el equipo.
Adems, los porn dialers generalmente lanzan una ventana de conexin a Internet apenas se inicia
el sistema.
Nota que su red anda considerablemente ms lenta? Malwares como los caballos de Troya o los
Backdoors hacen uso malicioso de la red. Este tipo de programas generalmente suele afectar
bastante el rendimiento de la misma, al hacer uso de puertos TCP para enviar informacin a un
usuario remoto. Una de las buenas maneras para detectar este tipo de anomalas, es hacer uso de
una herramienta de anlisis de trfico que viene dentro de DOS.
Figura 3. El comando Netstat permite ver las conexiones existentes en la red.
La lista es muy larga? Cuando las listas de trfico de red son muy extensas, esto se puede deber
a dos motivos:
a) El sistema est conectado a una red P2P
b) Algo est enviando informacin sin nuestro consentimiento
Para no caer en la paranoia, es bueno saber que muchos programas usan puertos caractersticos,
como por ejemplo:
Messenger usa el puerto 1863
Los navegadores de Internet usan el puerto 80
IRC usa el puerto 6667
Los clientes FTP usan los puertos 20 y 21
Los clientes de correo usan los puertos 110 y 25
Una buena herramienta que puede ser una excelente alternativa a NETSTAT es TCP View, un
programa de distribucin gratuita de Sysinternals. Este programa, que muestra en una versin
Win32 el equivalente al comando netstat ano de DOS, permite ver los programas que estn
asociados a las distintas conexiones de red. Este programa permite conocer el verdadero origen de
algunas conexiones. Este pequeo examen al funcionamiento de la red es conveniente hacerlo
apenas se encienda el equipo y se conecte a Internet. Si existen muchas conexiones extraas en
ese momento, lo ms probable es que algn programa que el usuario desconoce est haciendo
uso malintencionado de los recursos de red.
Figura 4. TCP View.
Correos de error
Para poder defenderse de manera efectiva del malware, es conveniente tener en cuenta los
siguientes consejos:
Hola, mi nombre es Manolo y soy el primer virus gallego. Este virus est basado en un sistema de
honor, as que por favor reenve este correo a toda su lista de usuarios y acto seguido borre
manualmente todo el contenido de C:\. Muchas gracias por su cooperacin, Manolo.
Dejando a un lado el lado humorstico, muchas de las amenazas de malware existentes hoy en da
todava requieren cierta interaccin con el usuario. Por lo tanto, un factor clave para derrotar a este
monstruo de mil cabezas es orientar al usuario y ensearle el uso correcto de sus herramientas
tecnolgicas de trabajo.
Enlaces de inters
Windows Defender
o Website: http://www.microsoft.com/antispyware
o Newsgroup: microsoft.private.security.spyware
o Discussion alias: spybuddy
MSRT
o Website: http://www.microsoft.com/malwareremove
o Newsgroup: microsoft.public.security.virus
o White paper: http://go.microsoft.com/fwlink/?linkid=67998
Windows Live Safety Center
o Website: http://safety.live.com
General
o Blog: http://blogs.msdn.com/antimalware
o PM Alias: ampt
Microsoft Technet Chile
o Website: http://www.microsoft.com/chile/technet/
o Seguridad: http://www.microsoft.com/latam/technet/seguridad/
o Newsletter Seguridad:
http://www.microsoft.com/latam/technet/seguridad/security_flash/default.asp
o Newsletter: http://www.microsoft.com/latam/technet/boletin/default.asp
o ALSI: http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp
Comunidades y grupos de usuarios
o Infoclan: http://groups.msn.com/infoclan