Suplemento de PC World Nº 218

Suplemento

Blinde
· Los fallos de seguridad más peligrosos · Qué hacer cuando todo falla · Reglas para
protegerse · Trucos para descubrir virus y troyanos · Olvídese del software espía · Proteja
a los niños en Internet

su PC
Blinde su PC
sistema operativo. Ahora que el uso de Internet se ha generalizado, la expansión de estos
problemas

odos los días oímos noticias

también lo ha hecho y parece que nuestro ordenador es cada día más vulnerable a pesar
de implementar cada vez más medidas de seguridad. Con este Suplemento que tiene en
sus manos podrá conocer cuáles son los principales problemas de seguridad a los que
nos enfrentamos y cómo podemos evitarlos. Aprenderá a detectar y evitar algunos de

sobre un nuevo y peligroso virus o un fallo de seguridad en alguna aplicación o

SEGURIDAD: EL ENEMIGO EN CASA BLINDE SU PC CONTRA VIRUS Y FALLOS LOS

20 FALLOS DE SEGURIDAD MÁS PELIGROSOS CÓMO DETECTAR HACKERS Y
TROYANOS DIGA ADIÓS AL SOFTWARE ESPÍA NIÑOS E INTERNET

5 14 20 26 30 33

los ataques más frecuentes y a proteger su PC contra el software espía. Además

conocerá los fallos más importantes de los principales sistemas operativos, que son los
que aprovechan los creadores de virus para introducirse en nuestros ordenadores. Pero
como no todos los peligros provienen del exterior, a los responsables de redes locales
también les orientamos sobre los problemas que pueden generar sus propios usuarios y
cómo hacerles frente. Esperamos que su lectura le permita estar un poco más tranquilo
cuando utilice su ordenador.

SUPLEMENTO PC WORLD

3
4

SUPLEMENTO PC WORLD
Blinde su PC

Seguridad: el enemigo en casa

JUAN BLÁZQUEZ MARTÍN jblazquez@pcw.idg.es

Si en algo coinciden todas las estadísticas e informes sobre incidentes de seguridad es

en destacar el alto porcentaje de sucesos que tienen como origen los propios empleados,
en activo o no. Poner todo el esfuerzo y recursos de seguridad en prevenir los ataques
externos deja la retaguardia completamente desguarnecida frente a la amenaza más
probable y posiblemente más dañina: el propio usuario.

Para propios y extraños, puede parecer que la seguridad está de moda en informática.
Sin embargo, lo que realmente sucede es que se está cubriendo otra etapa dentro de la
rápida evolución de esta tecnología. Hasta no hace mucho tiempo, en el mundo del
ordenador lo que realmente importaba era conseguir conectividad y se dejaban de lado
otros aspectos importantes en aras de su consecución. Ahora que la interconexión de
ordenadores es algo casi trivial, cuando el ordenador es omnipresente en cualquier
actividad, es el momento en el que se necesita hacerlo más seguro. Habitualmente se
identifica el peligro como una amenaza que procede del exterior y se olvida que

un empleado desleal, descontento o -por qué no- perturbado, puede causar mayor
estrago que cualquier ataque hacker proveniente de Internet. La ausencia de barreras y la
falta de control sobre su actividad puede dar alas a un empleado disgustado dispuesto a
cometer cualquier tropelía sobre el sistema informático para llamar la atención sobre su
despecho. No hay que descartar otras motivaciones más prosaicas, como obtener
beneficio personal económico o de cualquier otra índole, dentro de la propia compañía o
frente a terceros. Tampoco hay que perder de vista la posibilidad de sufrir un sabotaje
procedente del exterior con datos precisos proporcionados por personal propio a los
atacantes, para

saltar todas las medias de seguridad implantadas para impedir estos asaltos. Protegerse
de estas y otras amenazas pasa necesariamente por la definición y puesta en marcha de
un plan de seguridad que evalúe la realidad del sistema, detecte las necesidades y
aplique las medidas protectoras adecuadas al nivel de seguridad buscado. No se trata de
aplicar seguridad por aplicarla, sino de hacerla coherente y posible. Un plan de seguridad
debe ocuparse de definir medidas que protejan los recursos tanto frente a las amenazas
externas como internas, identificando claramente qué se protege, por qué y cómo, así
como recoger procedimientos y medidas correctoras

SUPLEMENTO PC WORLD

5
en caso de que se produzca algún incidente. Esta actitud de gestión no sólo forma parte
del "manual del buen administrador", sino que puede ser exigible desde el punto de vista
legal. Su ausencia puede acarrear consecuencias jurídicas, tanto si se producen
percances de seguridad como si no. La Ley de Protección de Datos en vigor es un claro
exponente de la responsabilidad que exige el mantenimiento de un sistema informático.
Para conseguir implantar un buen plan de seguridad es imprescindible crear una "cultura
de seguridad" entre los usuarios, que les haga partícipes y les implique en su efectiva
aplicación. Dar publicidad sobre normas de obligado cumplimiento, recomendaciones
sobre cómo llevar a cabo determinadas operaciones, consejos y todo tipo de información
relacionada, puede evitar que técnicas como la ingeniería social puedan afectar al
personal de la organización, puede revelar a los responsables informáticos posibles
fisuras inadvertidas o alertar sobre comportamientos y actitudes que puedan dar lugar a
incidentes si no se atajan a tiempo. Un ejemplo claro de la importancia de la colaboración
del usuario en el mantenimiento de la seguridad se encuentra en la lucha antivirus y
contra el spam. Es incuestionable que unos usuarios concienciados y bien aleccionados
son el primer filtro más efectivo para impedir la propagación de código malicioso de todo
tipo en la red interna. finalidad de la seguridad. Mantener la confidencialidad e integridad
de sus datos es una tarea crítica para la informática de la empresa, independientemente
de su actividad y dimensión. El personal interno no suele dar importancia a la información
que maneja, seguramente por la cotidianidad de su acceso, y normalmente se implantan
restricciones sólo a los datos que no "conviene" que sean ampliamente conocidos. Sin
embargo, la mayoría de los datos manejados por la compañía son fundamentales para su
actividad. La base de clientes, proveedores, informes de situación financiera, stock de
almacén, propuestas a clientes, programas propios y una larga retahíla de datos, resultan
bienes intangibles del patrimonio de la empresa que no figuran en ningún inventario, pero
su pérdida o menoscabo puede acarrear graves trastornos y perjuicios de toda índole. Y
no es sólo cuestión de permitir o no el acceso a los datos. También es importante el
momento en el que se puede acceder a la información. Como botón de muestra, si una
oferta se filtra antes de llegar al cliente puede hacer que la competencia reaccione y
presente una propuesta más atractiva por la que se decante el comprador. La facilidad
para obtener datos implica la misma facilidad para poder atentar contra ellos. La
seguridad en el acceso a la información básicamente está La función de encriptación
incorporada en Windows puede evitar que los archivos sean visualizados por otros
usuarios aunque tengan amplios privilegios sobre ellos, como muestra el detalle de la
imagen.

PERSEGUIR CUALQUIER DELITO

Cuando se sospecha o se tiene la certeza que se ha sufrido algún tipo de fraude en el
ordenador, la posibilidad de perseguir legalmente al autor de la acción dependerá de las
evidencias que se puedan conseguir de su perpetración. Es importante no realizar
ninguna operación que pueda acarrear el borrado o alteración del equipo y avisar a la
policía. Si se quiere realizar cualquier investigación por iniciativa propia, lo mejor es
utilizar una herramienta de clonación de disco, dejar el original tal cual y trabajar sobre el
clon obtenido.

Confidencialidad e integridad
Obviamente, que la información se difunda sólo entre aquellos usuarios que realmente
deben tener acceso a ella, en el momento adecuado y que los datos sean veraces, es la
principal

SUPLEMENTO PC WORLD
Blinde su PC
conformada por la asignación de privilegios mediante permisos y la encriptación. La
integridad de los datos tiene, además, como principal valedor la firma electrónica.
Mientras que la propuesta de los primeros mecanismos es impedir los accesos no
deseados, la validación digital se utiliza para confirmar que los documentos electrónicos
son originales y no han sufrido ningún tipo de modificación. Aquellos administradores que
basen sus sistemas en Microsoft Windows 200X, la plataforma más extendida, tienen
disponible este tipo de mecanismos como funciones incorporadas dentro del sistema
operativo, tanto en las los permisos que se otorgan desde el sistema operativo pueden
ser insuficientes para regular las necesidades de acceso a los datos o no aplicables,
como puede suceder en el acceso a los registros de una La tradicional seguridad
ofimática de acceso mediante contraseña, en la práctica no resulta eficaz y puede
volverse en contra si, por ejemplo, una persona despedida decide poner contraseña a
todos los archivos a los que puede acceder. En este caso, la facilidad para romper esta
protección dependerá del método utilizado por el programa en cuestión. Ahora bien, para
que los mecanismos de confidencialidad e integridad respondan a los objetivos
establecidos, conviene desterrar como práctica habitual la utilización de credenciales
genéricas, con palabra La gestión de permisos desde los programas y por los propios
usuarios resulta más conveniente. Office 2003 es un ejemplo de cómo están
evolucionando en este sentido las herramientas ofimáticas. ediciones de escritorio como
de servidor, de las que ya hablamos en PC World nº 210, de junio de 2004. Sin embargo,
aunque tradicionalmente la asignación de privilegios le ha correspondido al personal
informático, un buen plan de seguridad debe dejar esta tarea en manos de los usuarios,
los responsables de los contenidos, quienes mejor saben qué información hay, quiénes
pueden acceder a ella, cuándo y para qué. El informático conoce la información desde un
punto de vista técnico, como archivo, como base de datos o programa, y se preocupa de
ella desde esa perspectiva. Para que los usuarios puedan hacer un buen uso de los
privilegios, base de datos. La seguridad de acceso resulta mucho más flexible, completa y
fácil de utilizar cuando se establece desde los programas que tratan los datos a proteger.
Por ello interesa implantar programas que permitan establecer privilegios de paso, regular
las operaciones que se realizan y que sean los usuarios los responsables de su
asignación. Esta filosofía suele estar recogida en los programas de bases de datos y
hacia ella evolucionan los programas ofimáticos, donde Office 2003 puede ser una
muestra. En esta edición de la conocida suite de Microsoft, dentro de las propiedades de
los documentos puede incluirse una lista de control de acceso que facilita su vigilancia. de
paso conocida por gran parte del personal. Sólo interesa aprovechar las ventajas de este
tipo de cuentas para accesos de consulta. Para cualquier otra operación que pueda
acarrear la modificación de datos, los usuarios que puedan realizar estas operaciones
deben estar perfectamente identificados. Por ejemplo, es corriente que varias personas
utilicen el programa de contabilidad accediendo con una misma cuenta. En esta situación
un usuario tiene muchas oportunidades de introducir impunemente datos falsos o
erróneos que acarreen serios problemas administrativos dentro y fuera de la empresa.
Estas alteraciones pueden ser introducidas por activa o por pasiva, consecuencia de una
acción desleal premeditada o resultado del desconocimiento, de un error. En cualquier
caso, detectar el origen para
RESPONSABILIDAD JURÍDICA
La Ley de Protección de Datos LOPD, Ley Orgánica 15/1999, identifica la figura del
responsable de fichero, que no tiene por qué ser personal del área de informática.
Realmente el personal informático es quien tiene que encargarse de implementar las
medidas de seguridad que los responsables de la información consideren oportunas
respecto a su contenido. Sólo se puede exigir responsabilidad sobre seguridad al
personal informático, si recibe instrucciones de implementarla. Claro está, el responsable
de la información indicará cuál es el nivel de protección que se debe aplicar y será
responsabilidad del informático implementar los mecanismos que proporcionen dicha
seguridad.

SUPLEMENTO PC WORLD

7
emprender acciones sancionadoras /correctoras, resulta difícil y puede prolongar la
situación en el tiempo. Esta política de cuentas tiene que reforzarse con otras medidas
complementarias, como la implantación de una directiva de contraseñas que evite que los
usuarios puedan averiguar y utilizar fácilmente la de sus compañeros o superiores.
Tamaño, complejidad, posibilidad de repetición y tiempo de renovación, son algunos de
los aspectos importantes para desplegar un correcto control de las cuentas de usuario y,
por ende, de su actividad. Este tipo de política tiene fácil plasmación en el ordenador
dentro de la plataforma Microsoft en el Directorio Activo. Mediante la definición de
paquetes de directivas, GPO, los administradores cuentan con una potente herramienta
para forzar el establecimiento de reglas para contraseñas de usuario, acorde con sus
necesidades. Estos parámetros pueden definirse a nivel de equipo individual, con
directivas locales, o para grupos, con directivas de dominio. Esta última opción es mejor
para la gestión del sistema. servicios disponibles y la posibilidad de que se haga un uso
fraudulento del ordenador, son otras cuestiones de las que se debe preocupar la
seguridad informática. Las facilidades actuales para instalar y manejar programas, la
potencia de los ordenadores de sobremesa o portátiles y lo cotidiano del acceso a
Internet, son campo abonado para cualquier iniciativa del usuario, buena o perniciosa. La
adquisición a bajo coste o gratuita de programas para todo tipo de propósito, desde
Internet y otras fuentes, está al alcance de cualquier usuario. Montar un sitio web,
albergar un repositorio para archivos con cualquier formato de información o utilizar
herramientas que permiten realizar toda clase de acciones en red, es muy asequible sin
necesidad de tener amplios conocimientos sobre informática. Sin ir más lejos, los
programas de intercambio P2P bordean la legalidad y se necesita muy poco para
convertir un ordenador en nodo de estas redes. Aunque más rebuscado, no tiene más
complicación montar un sitio de descarga de pornografía, que tan pingües beneficios
reporta a sus promotores. Los usuarios con inquietudes "hacker" tampoco tienen que
superar grandes inconvenientes para hacerse con un amplio y potente En redes basadas
en Windows 200X los administradores cuentan con la posibilidad de restringir el software
que se ejecuta en los ordenadores cliente recurriendo a la aplicación de directivas.

Evitar fraudes
Si los datos albergados en el ordenador deben ser el bien más cuidado por el personal
informático, no representan su única preocupación en seguridad. Los riesgos en el
ordenador no están limitados a los atentados contra la información. El buen
funcionamiento de los distintos

PROTEGER CONFIGURACIONES
Cualquier dato sobre infraestructura de la red debe ser considerado como "secreto" y se
debe evitar que los usuarios lo conozcan. Datos como topología, tipo de firewall o
simplemente el esquema de direccionamiento IP, pueden ser aprovechados para asaltar
el sistema. Algo parecido a conocer la combinación de la caja fuerte. Este tipo de
información no es necesaria para el trabajo de los usuarios y debe ser totalmente
transparente para ellos.

arsenal de utilidades de fácil manejo que mal empleadas pueden resultar devastadoras,
en el sistema propio o contra el de otros. Son ejemplos verídicos que están a la orden del
día. Estas acciones, por otra parte, no tienen por qué ser consecuencia de una iniciativa
premeditada. Una nota sobre cómo cambiar el logotipo

SUPLEMENTO PC WORLD
Blinde su PC
estándar del navegador de Internet vista en cualquier sitio web, puede animar al usuario a
probar por simple curiosidad y sustituir el gráfico habitual por otro de mal gusto u
ofensivo. Una acción que puede resultar hasta jocosa, pero cuya solución puede ser un
verdadero quebradero de cabeza. No se verá con la misma simpatía que el usuario
decida experimentar otra clase de "truco" y dejar inutilizado el servidor de correo durante
varias horas. Los usuarios propios no sólo deben ser considerados como una amenaza
para la información albergada en la red. El buen funcionamiento de los servicios y la
posibilidad de que se utilicen los ordenadores como plataforma de acciones de dudosa
legalidad, fraudulentas o poco éticas, obligan a plantearse ejercer algún control sobre qué
pueden hacer con su ordenador y qué es lo que realmente hacen con él. Para poder
aplicar restricciones sobre las operaciones permitidas a los usuarios, es fundamental
contar con las facilidades que ofrezca el sistema operativo, verdadero motor del
ordenador. En el mundo Microsoft, mediante los paquetes de directivas se dispone de los
mecanismos adecuados para ejercer este control efectivo de una manera cómoda y
sencilla para los administradores. Los principales parámetros de configuración se pueden
localizar en distintos apartados del árbol de configuración de equipo y se pueden definir
individualmente para un ordenador o a nivel de dominio, para ser aplicados sobre varias
máquinas. Cabe destacar en este sentido las nuevas opciones disponibles en las
directivas de equipo para definir cuál es el software autorizado para ejecutar en un
ordenador. Esta funcionalidad, heredera de la tecnología de Terminal Server, ha mejorado
sustancialmente su filosofía de aplicación y según una definición previa. Aunque esta
última posibilidad no suele dar los resultados apetecidos por tener que resolver múltiples
inconvenientes de funcionalidad, puede ser en la práctica el único medio de establecer un
mínimo control sobre el uso que realiza el trabajador de su puesto informático. Como
perfeccionamiento de estas directivas, conviene escudriñar la funcionamiento,
convirtiéndola en una capacidad muy útil para el control del puesto de usuario. En
aquellos equipos que no disponen de los sistemas operativos de Microsoft de última
generación, queda como alternativa migrar a esas nuevas plataformas o recurrir a
programas que se encargan de controlar qué aplicaciones se ejecutan en el ordenador,
permitiéndolas o no, actividad que realizan los usuarios en la red propia y en su
navegación en Internet, con la finalidad de comprobar que los controles realmente están
funcionando y evitar sorpresas sobre las acciones que los usuarios realizan. Establecer
registros de actividad dependerá de los servicios implementados y del software utilizado
para ello. Lo habitual es que los servidores web, correo, proxys y demás, dispongan de
opciones para mantener un exhaustivo registro de su actividad. No se trata de monitorizar
constantemente los servicios, sino de establecer en la rutina de gestión la obligación de
revisar estos logs con cierta periodicidad para verificar que todo marcha según lo
esperado y poder anticiparse a eventos sospechosos, evitando males mayores.
Conviene, eso sí, tener claro qué interesa registrar para evitar someter a los servidores a
un trabajo extra y generar un exceso de información. Cada programa tiene su propia
forma de manejar estos logs. Tanto su activación como su configuración suelen ser
operaciones desprovistas de complejidad, por lo que no disponer de esta información es
difícil de excusar. El control en la actividad de los ordenadores debe complementarse con
medidas que impidan realizar manipulaciones sobre los equipos que permitan evitar las
restricciones
SINGLE SIGN-ON
La proliferación de programas que exigen la correspondiente introducción de nombre y
contraseña, añade seguridad pero complica la gestión y causa inconvenientes para los
usuarios, que acaban hartos de validarse a cada paso que dan. La solución pasa por
implantar programas que puedan relacionarse con los servicios de directorio, como el
Directorio Activo, o recurrir a programas intermedios que son capaces de realizar la
validación de forma transparente para el usuario. La mejor opción y más segura, es
buscar programas que puedan trabajar con la base de datos de usuarios del sistema
operativo, puesto que esto evita tener que duplicar la definición de usuarios y habilitar
procedimientos y mecanismos para sincronizar dichas cuentas. Etrust Single Sing On de
Computer Associates o Novell Nsure SecureLogin son algunos ejemplos de este tipo de
programas.

SUPLEMENTO PC WORLD

9
impuestas. Configurar el ordenador para que sólo pueda arrancar desde disco duro,
deshabilitar los puertos no utilizados y establecer una contraseña para acceder al menú
de configuración BIOS, son las medidas más sencillas e inmediatas que deben ser
aplicadas para los ordenadores de la red. Y no está de más, si es viable, colocar algún
mecanismo de cierre o sello que obstaculice la apertura fácil del ordenador y pueda evitar
la manipulación de sus componentes, para instalar otros o, simplemente, para dar el
"cambiazo".

VIRTUALIZACIÓN
La virtualización de servidores es una práctica habitual en cualquier entorno de
producción actual. Son dos los fabricantes que copan actualmente el mercado. Microsoft
con Virtual PC y VMware con el producto del mismo nombre. Mientras que el gigante de
Redmond (www.microsoft.com/spain/windowsxp/virtualpc) acaba de desembarcar en este
tipo de software y recientemente ha lanzado al mercado la versión de servidor, VMware
dispone de varias ediciones de servidor, GSX y ESX, además de una completa gama de
productos complementarios para la gestión de la plataforma virtualizada, como es Virtual
Center (www.vmware.com)

de estos parámetros permite identificar las necesidades que tiene la organización y cuál
puede ser la mejor solución para permitir la continuidad buscada y justificar la viabilidad
económica para implantar la solución. Así, por ejemplo, en un gabinete jurídico puede
tener consideración crítica un programa dietario en el que se registran los compromisos
de todos los abogados para juzgados, plazos de presentación de trámites y otras
efemérides. Para una empresa de distribución, el programa que genera las etiquetas
identificativas de los envíos es fundamental. En ambos casos, puede que el acceso a
Internet o el correo electrónico al que tanta importancia se da actualmente, no dejen de
ser pura anécdota para la actividad de estas organizaciones.

Disponibilidad
Ni la confidencialidad ni la integridad conseguida en el sistema tienen razón de ser si los
programas y datos no están disponibles en tiempo y lugar para los usuarios. La
disponibilidad es una de las máximas aspiraciones de cualquier sistema y uno de los
pilares en los que se asienta la seguridad. La disponibilidad debe ser una de las
prioridades de los administradores, dirigida a resolver dos aspectos cruciales que
garantizan la continuidad de la actividad de los usuarios: la tolerancia a fallos y la
recuperación frente a desastres. Hay que entender por tolerancia a fallos la capacidad del
sistema para seguir manteniendo un grado de operatividad aceptable, a pesar que se
hayan producido averías en ordenadores o fallos en los servicios. Sólo partiendo de esta
premisa puede ser abordado un despliegue realista de este tipo de medidas. Si bien el
paradigma de disponibilidad está en conseguir mantener la operatividad en todo momento
y situación, este objetivo para muchas organizaciones puede ser desmesurado y su
implantación de difícil justificación.

El primer paso para establecer un plan sensato de disponibilidad es identificar cuáles son
los servicios críticos para la organización y cuál es el impacto que su pérdida tiene en la
actividad de los usuarios. Además se debe evaluar cuánto tiempo puede estar ese
servicio caído sin que suponga un grave perjuicio económico, difícil de asumir. La
cuantificación

En el despacho profesional, los usuarios pueden pasar sin el dietario bastante más
tiempo que el que puede permitirse la empresa de distribución sin tener disponible su
programa de etiquetado. Mientras que para los primeros la tolerancia a fallos puede
implementarse perfectamente recurriendo a una simple restauración desde backup,
sobreponerse a una situación de fallo en el etiquetado con la misma respuesta, puede
suponer el colapso de la actividad y acarrear pérdidas económicas derivadas de la
imposibilidad de cumplir con los envíos comprometidos. En este escenario seguro que la
mejor recomendación es "duplicar" el etiquetado de envíos. Como se ve, no es posible
aplicar una regla generalista para implementar medidas de tolerancia a fallos y éstas
deben ser adoptadas después de analizar sensatamente las necesidades de cada
escenario. Indudablemente, con la mente puesta en conseguir disponibilidad, deben
articularse las actuaciones que se realicen en la adquisición de

10

SUPLEMENTO PC WORLD
Blinde su PC
equipos y programas. A la hora de evaluar el nuevo equipamiento hardware y software, se
debe tener en cuenta qué rol va a desempeñar y cómo puede adaptarse a las situaciones
de fallo. Hoy por hoy, la solución más extendida para lograr disponibilidad es la
configuración de equipos y programas en cluster, una disposición que permite que varios
elementos trabajen conjuntamente y en caso de producirse un fallo en cualquiera de ellos
otro puede asumir su trabajo, automáticamente o de forma manual. Existen en el
mercado distintas soluciones de cluster a nivel hardware y software, asequibles
económicamente, que cubren un amplio rango de situaciones. Pero no son las únicas
opciones posibles. La configuración de discos en RAID, duplicar la tarjeta de red, contar
con más de una fuente de alimentación o instalar sistemas de alimentación
ininterrumpida, pueden ser medidas suficientes para prevenir los fallos más habituales,
sin necesidad de abordar soluciones más complejas en instalación y dinero. rápidamente.
Sin embargo, si la informática no puede reactivarse con la misma celeridad esa vuelta a
la normalidad no se producirá y puede ser el fin de cualquier empresa por muy boyante
que fuera su actividad y alta su póliza del seguro. ¿Cuánto tiempo puede llevar regenerar
la contabilidad, el estado de compras y ventas, la base de clientes y proveedores...? Y
esto después de volver a recrear completamente el sistema, en hardware y software. Si
todo está instalado de manera convencional puede ser un tiempo aceptable. En el caso
de que existan configuraciones

Al mal tiempo, buena cara

Para la continuidad de la actividad de los usuarios, nunca puede descartarse que se
produzca un desastre que provoque la inutilización completa de todo el sistema. Se suele
minimizar la probabilidad de que ocurran y por ello, cuando suceden, rara vez se está
preparado para responder de manera rápida y eficaz. En nuestro país, la posibilidad de
que se produzca un terremoto que eche abajo la oficina es remota. No lo es que se
produzca un incendio, seguro que pavoroso. Ser víctima de un robo con o sin escalo o
que, sencillamente, reviente la conducción general de agua y queden todas las
dependencias anegadas de agua hasta la rodilla. Ante una de estas situaciones, las
medidas tolerantes a fallos sólo sirven para incrementar el inventario de reclamación a la
compañía de seguros. Cuando se produce una calamidad de esta envergadura, el centro
de trabajo, el mobiliario, los enseres y -por qué no- las mercancías pueden reponerse con
más o menos prontitud y retomar cierta normalidad muy personalizadas, programas
propios y otras particularidades, conseguir devolver el sistema al mismo punto en el que
se encontraba antes de la calamidad, puede ser, simplemente, imposible en tiempo,
medios y dinero. La necesidad de implementar una estrategia que dé respuesta a una de
estas hipotéticas situaciones críticas abarca a cualquier sistema, grande o pequeño. Al
igual que ocurre La política de contraseñas para equipos individuales o grupos de ellos
puede ser fácilmente gestionada mediante directivas.

SUPLEMENTO PC WORLD

11
con la tolerancia a fallos, el plan y los medios deben ser ajustados a las necesidades y
posibilidades de cada entorno. Si bien las grandes redes destinan recursos a mantener
ubicaciones físicas alternativas desde las que poder seguir operando su informática en
caso de que suceda un desastre, la imposibilidad de afrontar estas medidas de
contingencia no debe ser motivo para que las redes pequeñas deban resignarse a su
suerte y cruzar los dedos para que no ocurra ninguna calamidad. Simplemente incluir en
la estrategia de backup el mantenimiento y almacenamiento de una copia se seguridad
de todo el sistema en otra ubicación física distinta, puede ser suficiente para evitar la
ruina informática de la organización frente un desastre. Una alternativa que se está
revelando como ágil, flexible y de bajo coste para resolver esta preocupación, se puede
hallar en las máquinas virtuales. A los consabidos beneficios que aporta este tipo de
software para la explotación de servidores, se une la facilidad para guardar y la sencillez
para reponer servidores completos en tiempo record. Al residir toda la información de los
servidores en archivos, tanto datos como configuraciones, allá en donde se encuentren
estos ficheros, estará disponible el ordenador que representa. Por poner un ejemplo, un
servidor de correo completo virtualizado, configurado y operativo, puede guardarse
perfectamente en un DVD. Si ese servidor de correo queda inutilizado por cualquier
circunstancia, ponerlo en marcha en otro equipo lleva el tiempo que se invierte en copiar
el DVD. Infinitamente menor que el tiempo que lleva instalar el sistema operativo, el
software de mensajería y, por supuesto, aplicar la configuración que necesita. Una
alternativa que proporciona rapidez y elimina la rígida dependencia tradicional del
software de sistema operativo al hardware, una relación que se traslada al backup y a su
correspondiente restauración. Con máquinas virtuales, un equipamiento de ordenadores
mínimo y un plan sensato de copia de seguridad de las carpetas de los servidores
virtualizados, la recreación de un sistema completo, por muy complejo que resulte, puede
ser cuestión de horas y realizable con personal mínimamente formado. La misma
reconstrucción sobre máquinas físicas puede llevar semanas, con inversiones elevadas
en cuanto a equipamiento y dedicación de técnicos cualificados.
JUAN BLÁZQUEZ MARTÍN. MCSE (Microsoft Certified Systems Engineer). Consultor en
Danysoft Internacional.

Se puede evitar que los usuarios utilicen el ordenador para fines poco convenientes a
horas intempestivas, utilizando las propiedades del objeto usuario para controlar las horas
de inicio de sesión.

En resumidas cuentas, las amenazas a las que se enfrenta cualquier área informática no
provienen únicamente del exterior y los usuarios propios representan un riesgo frente al
que hay que estar convenientemente protegido. Un percance protagonizado por un
usuario del sistema puede causar mayor destrozo que cualquier otro ataque externo,
puesto que sabe dónde puede hacer más daño y tiene fácil acceso. Esta protección se
debe complementar con medidas tendentes a mantener la operativa del sistema en caso
de avería y conseguir recuperarlo lo mejor y más rápidamente posible en caso de que se
produzca algún desastre, intencionado o no. PCW

12
SUPLEMENTO PC WORLD
Seguridad informática

Blinde su pc contra virus y fallos

JORGE E. RODRÍGUEZ VEGA jrvega@pcw.idg.es

Si su PC está conectado a Internet está sometido a una serie de peligros conocidos y por
conocer. Descubra cómo mejorar la seguridad de su equipo ejecutando una serie de
sencillos pasos.

Lamentablemente, que aparezca un nuevo virus que se transmita a través del servicio de
correo electrónico de Internet ha dejado de ser una noticia impactante (aunque sigue
siendo preocupante), es un hecho al que comenzamos a estar habituados. A pesar de
esta reincidencia, las últimas variantes de este tipo de virus están produciendo daños y
pérdidas incalculables en empresas de todo el mundo. Virus como Netsky, Mydoom o
Bagle han conseguido cuotas de propagación enormes utilizando, simplemente, el
archiconocido mecanismo de difusión a través del correo electrónico mediante técnicas
de ingeniería social más o menos elaboradas y con el apoyo de los siempre poco fiables
anexos. Los gusanos Blaster y Sasser se aprovechan de una vulnerabilidad

existente en los sistemas operativos de Microsoft (en especial sus últimas versiones,
2000, XP y 2003) para infectar los equipos. En estos casos, la solución más adecuada
para impedir la infección es instalar los parches correspondientes desarrollados por
Microsoft. ¿No lo ha hecho todavía? Consulte la dirección www.microsoft.
com/spain/technet/seguridad/ boletines para ver lo que se está perdiendo. Pero, por si no
fuera suficiente con este peligro que nos acecha al abrir o previsualizar el contenido del
correo enviado por un amigo, en los últimos tiempos estamos sufriendo la amenaza de un
tipo de virus, más peligroso en potencia, que infecta nuestras máquinas por el simple
hecho de estar conectadas a Internet. Nos estamos refiriendo a virus tales como Blaster o

Sasser. Este mecanismo de infección no es nuevo (los virus originales no utilizaban el

correo electrónico de Internet porque, simplemente, este servicio no existía, sino que
necesitaban de la colaboración del usuario para ejecutar un determinado programa que
normalmente llegaba hasta nuestro ordenador en un disquete que alguien nos había
dejado), lo que sí es relativamente reciente es que con la inestimable colaboración de
Internet este mecanismo de propagación de los virus es ahora prácticamente imparable.
Ante esta situación de aparente indefensión la única acción que puede parecer adecuada
sería desconectar nuestros equipos de Internet. Sin embargo, en un mundo altamente
interconectado, donde la información fluye con gran rapidez,

14

SUPLEMENTO PC WORLD
pretender quedarse al margen sería un tremendo error. ¿Qué podemos hacer? ¿Cómo
podemos proteger nuestros sistemas ante estas amenazas? ¿Basta con utilizar un
antivirus y actualizarlo a diario para que nos encontremos plenamente protegidos? Un
problema al que se enfrentan actualmente las empresas que desarrollan antivirus y, por
consiguiente, los usuarios de este tipo de productos, es la rápida generación de nuevos
virus y su "mutación". En los últimos tiempos, algunas compañías de desarrollo de
antivirus han tenido que actualizar sus productos hasta tres veces en un día, cuando hace
un año esta frecuencia de actualización podía rondar la semana. Nadie le garantiza que
por el hecho de tener instalado un buen antivirus

y actualizarlo con frecuencia su PC se vaya a ver libre de toda amenaza. En general, los
nuevos virus no son detectados por los antivirus clásicos, por lo que entrarán con total
facilidad en su sistema. Normalmente, el tiempo de reacción de una compañía antivirus
para actualizar sus mecanismos de detección y frenar a los nuevos virus puede ser de
horas, si no de días. Pero unas horas puede ser mucho tiempo.

Mantenga actualizado su antivirus. No basta con instalarlo en su PC y olvidarse. Deberá

conectarse periódicamente con el fabricante a través de Internet para descargarse las
últimas actualizaciones del producto. Las últimas versiones de los antivirus suelen contar
con un año de actualizaciones gratuitas. Cuando expire el año no sea perezoso y solicite
una ampliación de este servicio de actualización. Piense que este dinero será una de las
mejores inversiones que puede realizar para garantizar un mínimo de seguridad en su
PC. Esté alerta sobre posibles síntomas de infección. Ralentización de su PC, aparición
de tareas o servicios sospechosos que no ejecute usted y que tampoco se encuentren
entre la lista de tareas o servicios que ejecuta automáticamente el sistema operativo.

Reglas de oro para protegerse

No existen reglas magistrales que le garanticen que su PC se vaya a ver libre de todos
estos peligros, aunque sí puede tomar algunas medidas para dificultar su labor a los
hackers malintencionados. Veamos algunas de carácter general.

SUPLEMENTO PC WORLD

15
Utilice siempre software de confianza. Evite las descargas de aplicaciones por Internet de
fuentes desconocidas (observe los certificados de los sitios web). Si quiere descargar una
aplicación desarrollada por un determinado fabricante conéctese a la página web de
dicho fabricante y evite descargarse el programa de otro sitio. No resulta demasiado
complicado anexar a un programa un caballo de Troya o un virus. Extreme las
precauciones cuando utilice servicios tales como chats, grupos de noticias o correo
electrónico. Elimine cualquier archivo que haya recibido sin solicitarlo. Figura 1. ¿Está
seguro de que lo que va a instalar es de total garantía?

LOS VIRUS MÁS DAÑINOS DE LOS ÚLTIMOS TIEMPOS

VIRUS DE PROPAGACIÓN BASADA EN CORREO Zafi : gusano que se propaga a
través del correo y las redes P2P y surge en su primera variante el 19 de abril de 2004.
Detiene los programas de seguridad y monitorización (cortafuegos, antivirus,
administrador de tareas y editor de registro), por lo que deja totalmente vulnerable el
ordenador infectado. Según la versión puede lanzar ataques de denegación de servicio a
algunas web, o abrir el puerto 8181. Netsky: es un gusano que se propaga a través del
correo electrónico, entre otros medios. Este gusano se activa sin más que visualizar el
mensaje a través de la vista previa de Outlook. Para ello utiliza una vulnerabilidad
existente en Internet Explorer que permite la ejecución automática de los archivos anexos
a los mensajes de correo electrónico. Apareció en el mes de marzo del año 2004. Existen
diferentes variedades, la más peligrosa es la mutación Netsky.P. El 9 de febrero de 2005
seguía siendo el segundo de la lista de los más extendidos. Mydoom: familia de gusanos
que se propagan utilizando el correo electrónico, cuyo objetivo era lanzar ataques de
denegación de servicio contra los sitios de las compañías SCO y Microsoft. Estos
gusanos abren varios puertos en el ordenador afectado, con lo que consiguen controlarlo
de forma remota. Las primeras variedades aparecieron a finales de enero del año 2004.
Para que este gusano entre en el sistema hace falta que el usuario abra el anexo al
mensaje de correo. Bagle: gusano con numerosas variantes que se propaga a través del
correo electrónico utilizando ingeniería social y un archivo anexado. Este gusano notifica
al usuario que su ordenador ha sido afectado y termina numerosos procesos entre los
que se encuentran algunos

correspondientes a programas antivirus y a otros gusanos. La primera variante de este

gusano apareció el 17 de febrero de 2004. Para su propagación necesita que el usuario
abra el archivo adjunto al correo electrónico. VIRUS DE PROPAGACIÓN BASADA EN
INTERNET Blaster: gusano que realiza ataques de denegación de servicio (DoS) contra
el sitio windowsupdate.com de Microsoft (los equipos basados en Windows utilizan este
sitio para descargarse actualizaciones del sistema operativo) entre los días 15 y 31 de
cada mes, y durante todos los días de los meses de septiembre a diciembre de cualquier
año. Reinicia el ordenador afectado. Este gusano tuvo diferentes variantes (Blaster.B,
Blaster.C, Blaster.Gen, etc.). Hizo su aparición el 11 de agosto de 2003. Blaster
aprovecha una vulnerabilidad conocida de los sistemas operativos Windows
(2003/XP/NT/2000), denominada Desbordamiento de búfer en Interfaz IRC para
propagarse. Para la infección no hace falta la intervención del usuario. Blaster se propaga
atacando direcciones IP generadas aleatoriamente desde el PC del atacante intentando
detectar algún equipo víctima que cuente con la vulnerabilidad mencionada
anteriormente. La mejor solución es instalar el parche desarrollado por Microsoft en el
boletín de seguridad MS03-026 en el mes de julio de 2003. Sasser: para propagarse
utiliza una vulnerabilidad conocida de algunas versiones del sistema operativo Windows
(2000, XP, etc.) provocando reinicios constantes del ordenador. La vulnerabilidad que
utiliza está basada en el servicio LSASS y fue resuelta por Microsoft el pasado mes de
abril en su boletín de seguridad MS04-011. Sasser no necesita la intervención del usuario
para propagarse, por ello resulta extremadamente peligroso. El mejor antídoto para evitar
la infección por este virus es aplicar el parche correspondiente desarrollado por Microsoft.

16

SUPLEMENTO PC WORLD
Blinde su PC
Atención especial merecen aquellos archivos que tengan doble extensión como, por
ejemplo, nombre_archivo. más peligrosos son aquellos que tienen extensiones .exe .scr
.pif, aunque puede haber muchas otras. Recuerde que antes de abrir o
pif.src.

Tampoco sería descabellado instalar en su PC algún tipo de cortafuegos, ya sea físico o

lógico. En la actualidad existen numerosos programas antivirus que incluyen esta función.
El cortafuegos protegerá su PC de aquellos atacantes que deseen

Si su sistema operativo está basado en Windows deberá instalar los parches que
periódicamente publica Microsoft. La mayoría de los virus y gusanos que no se transmiten
por correo electrónico utilizan vulnerabilidades existentes en los sistemas operativos y
aplicaciones

Los archivos potencialmente

Figura 2. Aspecto del servicio Windows Update de Microsoft. instalar un archivo en su PC

debe estar muy seguro de su contenido. Windows suele avisarle de la potencial
peligrosidad que supone instalar un archivo desconocido en nuestro sistema, no desdeñe
este consejo (vea la Figura 1). No abra nada directamente, es preferible que copie
primero el archivo en algún directorio temporal y que lo analice con su antivirus. tomar el
control de su equipo utilizando vías de entrada que usted pueda desconocer, por ejemplo,
puertos distintos de los utilizados para acceder a las páginas web o al correo. Si se
conecta asiduamente a Internet, especialmente utilizando un tipo de conexión fija, como
pueda ser una línea ADSL, instalar en su PC un cortafuegos no es una opción, es una
necesidad. (véase la descripción de los gusanos Blaster y Sasser). Pero lo más grave es
que estas vulnerabilidades suelen haber sido resueltas antes de que aparezca el virus de
turno. ¿Qué ocurre? El fabricante del sistema operativo (en general Microsoft) o de la
aplicación que tiene la vulnerabilidad suele publicar un parche que la corrige. El problema
es que los usuarios no suelen instalar este parche en sus

SUPLEMENTO PC WORLD

17
sistemas, por lo que siguen siendo vulnerables mucho tiempo después de descubierta la
solución. Sólo hay que esperar un tiempo prudencial para que aparezca el virus que se
aproveche de la vulnerabilidad y ¿a que no se imagina qué PC se verán afectados por
dicho virus? Instale todos los Service Pack que se encuentren disponibles para su
sistema operativo, aplicaciones, etc. Los Service Pack (o paquetes de servicio) son
recopilaciones de la mayor parte de parches, actualizaciones, etc. que hayan aparecido
hasta una determinada fecha para una determinada versión del sistema operativo o de
una aplicación (por ejemplo, Microsoft Office). En lugar de instalar parche a parche, podrá
instalar el último Service Pack correspondiente para tapar todos los agujeros de
seguridad existentes.

PARA SABER MÁS

Algunas direcciones útiles para mantenerse al día en seguridad informática y antivirus:
Panda: www.pandasoftware.es Zonavirus: www.zonavirus.com Centro de alerta temprana
de antivirus: alerta-antivirus.red.es Microsoft Technet España:
www.microsoft.com/spain/technet/homepage.asp Hispasec Sistemas: www.hispasec.com

todo lo que necesita para mantener su sistema Windows actualizado y razonablemente

libre de peligros. Podrá descargarse este documento en
download.microsoft.com/download/ e/2/0/e20d9d87-2de9-4f8d-
aee71f18bd8d5336/gestion_parches.pdf. Algunas de las herramientas que Microsoft pone
gratuitamente a su disposición para mejorar la seguridad de sus sistemas Windows son: -
Windows Update. Es un servicio bastante conocido al que podrá acceder en la dirección
windowsupdate.micro

si estos están basados en los sistemas operativos de Microsoft. Nos estamos refiriendo a
la gestión e instalación de parches. Por supuesto, realizar esta tarea sin ningún tipo de
ayuda resultaría extremadamente arduo a pesar de que Microsoft ha concentrado la
publicación de sus parches de seguridad y estos sólo aparecen una vez al mes
agrupados en boletines de seguridad (estos boletines se publican, en general, el segundo
martes de cada mes). Microsoft ha elaborado un excelente documento denominado
"Gestión de parches y actualizaciones en sistemas" que le permitirá conocer

soft.com. Este servicio le proporcionará todo tipo de actualizaciones críticas para su

sistema operativo y para diversas aplicaciones del mismo (por ejemplo, Internet Explorer
o DirectX). Está dirigido especialmente a equipos individuales y no a redes. Podrá
conectarse a este servicio de Microsoft por iniciativa propia o bien de manera automática.
En la Figura 2 puede ver el aspecto de la ventana de Windows Update tras haber
analizado un equipo basado en Windows 2000. Bastaría con pulsar el botón instalación
de todos los elementos de seguridad que necesitase el sistema. - Microsoft Software
Update Services. Si su problema es que tiene que administrar la seguridad de una red de
ordenadores, ir instalando todas las actualizaciones de seguridad que emita Microsoft en
cada uno de los PC de la red puede convertirse en una auténtica tortura.
Afortunadamente, Microsoft ha desarrollado la aplicación Microsoft Software Update
Services o SUS. Permite la descarga automática, distribución e instalación de
actualizaciones críticas y parches de seguridad para sistemas Windows 2000, Windows
XP y Windows Server 2003 (no podrá utilizarlos para los demás sistemas operativos de
Microsoft). El administrador deberá descargar todos los parches y actualizaciones en el
servidor de red
Instalar ahora para que comenzara la

Gestión de parches y actualizaciones

Tras la lectura de las recomendaciones anteriores hay un extremo que deberá tener
siempre en cuenta a la hora de proteger sus sistemas, especialmente

Figura 3. Resultados obtenidos con la herramienta Microsoft Baseline Security Analizer.

que tenga instalado Microsoft SUS.

18

SUPLEMENTO PC WORLD
Blinde su PC
Posteriormente, los demás PC de la red deberán conectarse a este servidor para instalar
estas descargas; este servidor de red se erigirá, por lo tanto, en nuestro servicio Windows
Update interno. Además, esta aplicación proporcionará al administrador de la red un
elevado control sobre la forma en que se actualizan los PC clientes, los parches que se
instalan, etc. Este servicio le permitirá actualizar el propio sistema operativo y sus
componentes básicos (Internet Explorer, DirectX, Windows Media, etc.). La administración
está basada en Web (este producto debe ir instalado sobre Internet Information Services
5.0 o superior). Encontrará amplia información sobre SUS en PC World nº 210, de junio
de 2004. - System Management Server Software Update Services (SMS SUS). El
problema de Microsoft SUS es que la labor del administrador sigue siendo pesada porque
todavía tiene que realizar muchas tareas de forma manual. Para automatizar
completamente esta labor en redes de gran tamaño Microsoft ha lanzado este servicio,
que permite gestionar íntegramente las actualizaciones de software en redes
corporativas. SMS Software Update Services (SUS) aprovecha el potencial de SMS para
conseguir el objetivo de la automatización casi plena. Podrá informarse sobre la descarga
de este paquete en la dirección: www.microsoft.com/spain/technet/
seguridad/herramientas/sus.asp. Con esta herramienta podrá actualizar los clientes de su
red con independencia del sistema operativo Windows que utilice (ya sean de la familia
Windows 9x o Windows NT). Las aplicaciones que podrá actualizar son muchas: los
propios sistemas operativos, Internet Explorer, Windows Media Player, IIS, SQL Server,
Exchange y Microsoft Office. El administrador deberá aprobar las actualizaciones antes
de que sean distribuidas a los equipos clientes. Se pueden definir reglas de aprobación
automática de actualizaciones. La es analizar la configuración de seguridad del equipo
con respecto a una línea base. Esto implica no sólo el análisis de la existencia o no de
lagunas de seguridad por la ausencia de determinados parches, sino que también
analizará y detectará las configuraciones inadecuadas de SQL Server o IIS, le
recomendará buenas prácticas de seguridad que no se estén cumpliendo y le advertirá
sobre configuraciones inapropiadas en las zonas de seguridad de Internet Explorer y
Microsoft Office. MBSA generará informes de seguridad en formato XML, indicando en
ellos todos los posibles defectos encontrados, además de ofrecerle todos los enlaces
necesarios para ampliar información
JORGE E. RODRÍGUEZ VEGA es responsable de Calidad y Seguridad del Centro de
Evaluación de la Seguridad de las Tecnologías de la Información del Instituto Nacional de
Técnica Aerospacial (INTA)

administración está basada en Microsoft Management Console (MMC). - Microsoft

Baseline Security Analizer (versión 1.2). Se trata de una herramienta gratuita que podrá
utilizarse tanto en PC aislados como en redes empresariales. Su objetivo

y resolver todos los problemas descubiertos. Lamentablemente, no podrá subsanar

automáticamente estos defectos encontrados, deberá efectuar a mano la descarga e
instalación de las actualizaciones necesarias. Podrá descargarse esta aplicación (en
inglés) desde la dirección www. microsoft.com/technet/security/tools/ mbsahome.mspx.
En la Figura 3 puede ver los resultados del análisis realizado con
la herramienta Microsoft Baseline Security Analizer sobre un equipo basado en Windows
2000. PCW

NO SÓLO VIRUS
Aunque los virus son los más extendidos, existen otros tipos de aplicaciones que pueden
ser aún más perjudiciales que ellos. Nos estamos refiriendo a los programas spyware,
adware y keyloggers, así como el spam y los dialers. En realidad, hace tiempo que están
ahí, pero es ahora cuando han empezado a tomar importancia al proliferar mucho más
rápidamente. Para referirse a todas estas aplicaciones se utiliza el término malware
(Malicious software). Por lo tanto, al plantear una estrategia de seguridad, no sólo hay
que cerrarle la puerta a los virus, sino, en general, a todo el malware. Para ello lo más
adecuado es contar en el equipo con un software antimalware y un firewall que bloquee
los puertos que no necesitemos y sean susceptibles de ser usados por estos programas.
Por ejemplo, Panda nos propone su suite de seguridad Platinum Internet Security 2005
que, además de antivirus, incorpora sistemas de detección y eliminación para las otras
amenazas de Internet. Además, incorpora un firewall personal y las nuevas Tecnologías
TruPrevent, capaces de detectar y bloquear virus desconocidos e intrusos.
www.pandasoftware.es

SUPLEMENTO PC WORLD

19
Los 20 fallos de seguridad más peligrosos
La mayoría de los virus, gusanos y demás ciberataques realizados con éxito son posibles
gracias a la explotación de unas pocas vulnerabilidades que afectan siempre a un
pequeño número de servicios o de componentes muy importantes de Windows, Linux y
UNIX.

JORGE E. RODRÍGUEZ VEGA jrvega@pcw.idg.es

En general, los atacantes suelen utilizar la filosofía del mínimo esfuerzo; siempre recorren
los caminos más fáciles y adecuados para sus propósitos, explotando los defectos mejor
conocidos y utilizando para sus malévolos propósitos las herramientas de ataque más
eficaces y difundidas. Los piratas informáticos siempre se valen del hecho de que la
mayoría de las empresas no tapan con diligencia los

agujeros de seguridad de sus sistemas, de tal forma que siempre aprovechan

vulnerabilidades descubiertas anteriormente y que todavía no han sido parcheadas. Su
forma de ataque suele ser indiscriminada, exploran Internet de forma masiva en busca de
los sistemas que sigan siendo vulnerables y les envían el exploit correspondiente para
hacerse con su control o para infligirles el máximo daño posible.

En el año 2000, el Instituto SANS y el Centro Nacional de Protección de la Infraestructura

(NIPC), departamento del FBI, emitieron un documento que resumía las diez
vulnerabilidades de seguridad más críticas de Internet. Desde entonces, con una
periodicidad anual estas instituciones vienen publicando conjuntamente la lista de las 20
vulnerabilidades o debilidades más utilizadas para atacar los sistemas

20

SUPLEMENTO PC WORLD
Blinde su PC
conectados a Internet (Top-20). Se trata de las vulnerabilidades que han utilizado la
mayoría de los gusanos más conocidos (por ejemplo, Blaster, Slammer, Code Red o
Nimda) para llevar a cabo su infame tarea. La lista del año 2004, publicada el mes de
octubre, está en realidad dividida en dos listas: los diez servicios o elementos de
Windows más atacados y los correspondientes diez servicios o componentes de
UNIX/Linux. En el presente artículo analizaremos brevemente las debilidades
correspondientes a Windows, dejando las de Linux, como ejercicio posterior para el lector,
resumidos en el cuadro de la página 25. Seguimos insistiendo en lo mismo: aunque en
los últimos meses han hecho su aparición cientos, tal vez miles, de ataques a la
seguridad de los equipos informáticos conectados a Internet, la mayoría han utilizado uno
o varios de los servicios o componentes vulnerables que SANS ha compendiado y que
nosotros analizaremos de forma resumida aquí. los parches, que no está utilizando la
configuración predeterminada de estos servidores (lo cual suele ser una fuente
importante de problemas) y que tiene desactivadas las aplicaciones de ejemplo incluidas
en algunos servidores (tal como IIS 5.0 y versiones anteriores). En general, sólo deberá
utilizar aquellos servicios y funciones que sean imprescindibles para su trabajo. Algunos
de los gusanos que han utilizado esta vulnerabilidad son: Nimda, Code Red y Code Red
2. Windows Workstation determina si el recurso se encuentra en el sistema local o si se
trata de un recurso compartido de red, y encamina la petición del usuario en la forma
apropiada. Por desgracia, este servicio puede sufrir un desbordamiento de búfer basado
en la pila de Windows que podrá provocar determinadas llamadas especialmente
preparadas. Este desbordamiento puede ser explotado por usuarios remotos no
autenticados que podrán ejecutar el código que deseen en la máquina vulnerable con los
privilegios de System, lo que permitirá un acceso ilimitado en el sistema atacado. Esta
vulnerabilidad de desbordamiento de búfer se encuentra presente en el servicio
Workstation de Windows 2000 (SP2, SP3 y SP4)

Workstation

2. Servicio Windows

Este servicio procesa las peticiones de los usuarios para acceder a determinados
recursos, tales como archivos o impresoras. El servicio

INSTITUTO SANS
Este organismo es uno de los más prestigiosos y activos, desde el punto de vista de la
seguridad informática, que existen actualmente en todo el mundo. Desarrolla, actualiza y
distribuye de forma gratuita un gran volumen de información y documentación relacionada
con distintos aspectos de la seguridad de la información y es responsable de la operación
de uno de los sistemas de vigilancia temprana de Internet más reconocidos: el Internet
Storm Center. El Instituto SANS, cuyo nombre es el acrónimo en inglés de
"Administración de Sistemas (SysAdmin), Auditoría, Redes (Network) y Seguridad, fue
fundado en 1989 como una institución de formación y de investigación. Sus programas de
formación llegan en la actualidad a más de 165.000 profesionales entre los que se
incluyen: auditores, administradores de sistemas, administradores de red, responsables
de seguridad de TI, etc. En el corazón de SANS se encuentran cientos de profesionales
que trabajan en agencias gubernamentales, empresas y universidades de todo el mundo.
Si desea conocer más detalles sobre esta prestigiosa institución o acceder a sus
numerosos trabajos desarrollados en el campo de la seguridad informática, no tendrá
más que conectarse a www.sans. org/aboutsans.php. Si desea acceder a la lista
exhaustiva de las 20 vulnerabilidades que analizamos en este artículo podrá hacerlo
desde www.sans.org/top20.

predeterminada de los servidores HTTP (web) y de sus servicios asociados

La instalación por defecto, con la configuración predeterminada, de los servidores web
incluidos en Windows puede provocar: ataques por denegación de servicio, riesgos para
sus archivos o datos sensibles, la ejecución de comandos arbitrarios en el servidor por
parte de un atacante o el compromiso total de su seguridad. Entre los servidores web que
han resultado vulnerables se encuentran IIS (Internet Information Server), Apache e
iPlanet (en la actualidad conocido como SunOne). Todos ellos presentan numerosos
agujeros de seguridad que se han ido sido parcheando a medida que se han detectado.
Compruebe que ha instalado todos

1. Instalación

SUPLEMENTO PC WORLD

21
y Windows XP (hasta SP1). Uno de los gusanos que utilizó con éxito esta vulnerabilidad
fue el denominado Phatbot/Gaobot, que infectó a millones de ordenadores. Una vez más,
la mejor forma de evitar esta vulnerabilidad es instalar los parches correspondientes de
Windows o instalar el SP 2 de XP si está utilizando este sistema operativo.

3. Configuración inapropiada de los recursos compartidos de red y de los protocolos de

acceso remoto
No hay duda de que la existencia de protocolos de comunicaciones, que permiten a un
usuario manipular archivos remotos como si estuvieran en su equipo local, es una función
de Windows de gran potencia y utilidad. Sin embargo, una inadecuada configuración de
los recursos compartidos de la red puede poner en peligro ciertos archivos críticos del
sistema o proporcionar a los atacantes un mecanismo para obtener un control total del
host. Algunas de las funciones potencialmente peligrosas son: Anonymous Logon (Inicio
de sesión anónima), Remote registry access (Acceso remoto al registro) y Remote
procedure calls (llamadas a los procedimientos remotos o RPC). Una de las formas en las
que los gusanos de la familia Klez y Nimda, o el virus Sircam se extendieron tan
rápidamente, fue la utilización de un recurso compartido de red no protegido. Esta familia
de vulnerabilidades afecta a todas las versiones del sistema operativo Windows, desde
Windows 95 hasta Windows 2003. El Service Pack 2 (SP2) de Windows XP ha resuelto
numerosos problemas asociados con las RPC. Una vez más, la mejor forma de
protegerse frente a estos problemas es instalar la última versión disponible del Service
Pack correspondiente y los últimos parches aparecidos para la versión del sistema
operativo. Figura 1. Un buen lugar para encontrar información sobre virus es la
"Enciclopedia de Virus" que podrá encontrar en los sitios web de las empresas de
antivirus.

4. Vulnerabilidades

asociadas a Microsoft SQL Server

Este sistema gestor de bases de datos desarrollado por Microsoft ha presentado desde
su aparición diversas y graves vulnerabilidades que permitían a los atacantes remotos
obtener información de importancia, modificar el contenido de las bases de datos, poner
en peligro los servidores SQL y, en determinados casos, hacerse con el control del
servidor. Todas estas vulnerabilidades son bien conocidas en el mundo hacker y han
servido de base para recientes ataques masivos en Internet protagonizados por los
gusanos SQLSnake, Spida y SQLSlammer. Por ejemplo, el ataque del gusano SQLSnake
se basaba en que la cuenta del administrador de la base de datos tuviera definida una
contraseña nula. Resulta de la máxima importancia asegurarse de que todas las cuentas,
especialmente si se trata de las cuentas administrativas, están protegidas mediante
contraseñas robustas. Por su parte, el gusano SQLSlammer basaba su ataque en un
desbordamiento

de búfer en el servicio SQL Server Resolution. En este caso, se podría haber evitado este
ataque instalando el parche que anulaba esta vulnerabilidad.

5. Autenticación
de Windows
Una de las causas más frecuentes de la falta de seguridad en los sistemas informáticos
de las empresas suele ser la no utilización de contraseñas para proteger cuentas de
usuario o sistemas informáticos, o el empleo de contraseñas débiles o fácilmente
adivinables. Si un atacante consigue detectar una cuenta o un recurso no protegido
mediante una contraseña podrá hacerse con el control del mismo y, tal vez, seguir
escalando privilegios hasta adueñarse por completo de la máquina o del sistema. Sin
embargo, a pesar de que esta amenaza es bien conocida, son muchos los sistemas y
empresas que carecen de una buena política de contraseñas. En otras ocasiones, los
algoritmos de cifrado utilizados para proteger las contraseñas definidas por los usuarios,
son débiles y fácilmente explotables.

22

SUPLEMENTO PC WORLD
Blinde su PC
Uno de los algoritmos de autenticación utilizado por Windows (LMLanManager) es débil y
sus contraseñas pueden ser descifradas en poco tiempo. Este algoritmo de autenticación
sigue siendo utilizado de forma predeterminada por las versiones NT, 2000 y XP de
Windows. Algunas de las herramientas software que podrá utilizar para detectar en su
sistema cuentas de usuario con contraseñas débiles o mal protegidas por el algoritmo LM
son LC6 (l0phtcrack versión 6) y John the Ripper. La mejor forma de defenderse contra
esta vulnerabilidad es utilizar una buena política (directiva) de contraseñas que incluya
instrucciones detalladas sobre cómo generar contraseñas robustas y difíciles de romper
(combinaciones de caracteres alfanuméricos, mayúsculas y minúsculas, y caracteres de
control). Para definirla en Windows puede abrir el Panel de Control, seleccionar
Herramientas administrativas, Directivas de seguridad local

Figura 2. Cómo definir una buena política de contraseñas en Windows. aplicaciones, los
usuarios no aplican los parches que permiten corregirlos, los controles ActiveX y Active
Scripting permiten que el atacante supere los mecanismos de seguridad instalados.
Además, con frecuencia, en el PC del usuario se instalan de forma inadvertida
aplicaciones spyware y adware que, en ocasiones, debilitan la seguridad de los sistemas,
etc. Los diseñadores web malintencionados pueden crear páginas web que saquen
partido a estas debilidades sin más que el usuario explore dichas páginas web (este fue
el caso de la vulnerabilidad denominada "Download.Ject"). Los ataques de este tipo
pueden incluir el revelado de las cookies y de archivos locales, la ejecución de
programas, la descarga y ejecución de código malévolo, o el control total del sistema
vulnerable. Para mejorar la seguridad de IE y, en general, de los demás exploradores
web, puede consultar el artículo aparecido en PC World nº 214, de noviembre de 2004,
"Cómo mejorar la protección de Internet Explorer" pero, como consejo habitual, utilice la
última versión disponible para el explorador e instale todos los parches existentes a
medida que vayan apareciendo. aplicaciones P2P (peer to peer o igual a igual) sigue
aumentando con rapidez. Estas aplicaciones son uno de los sistemas más sencillos para
descargar y distribuir numerosos tipos de datos, desde archivos de música hasta
películas, gráficos, código fuente, documentación, etc. Son muchos los empleos legítimos
de este servicio (por ejemplo, la distribución de código y librerías del tipo OpenSource o
GPL, demos de juegos o tráileres de películas). En la actualidad, la mayoría de los
programas P2P están basados en una red distribuida de clientes que comparten
directorios de archivos e, incluso, discos duros completos, y con ellos, gusanos, virus,
caballos de troya y todo tipo de malware. La clave de todo este sistema es la descarga de
archivos, donde cada usuario juega simultáneamente dos papeles, el de descargar
contenidos de otros equipos y el de actuar, además, como servidor de contenidos para
otros usuarios. En ocasiones, el tráfico provocado por este tipo de transacciones es tan
elevado que puede provocar la saturación de las redes. Este tipo de servicio presenta tres
tipos de vulnerabilidades: - Las técnicas, que son aquellas que podrán ser explotadas de
forma remota por un atacante (por ejemplo, denegaciones de servicios o acceso a
archivos no compartidos). También se

elegir y
definir las opciones relacionadas con las contraseñas (vea la Figura 2). Otro punto a tener
en cuenta será desactivar la autenticación LM en su red informática y proteger sus
archivos de contraseñas (SAM) para impedir su captura y análisis.

6. Exploradores web
Los exploradores o navegadores son las aplicaciones informáticas mediante las que los
usuarios acceden al servicio web de Internet. El explorador dominante en Windows es
Internet Explorer (IE), que es el explorador instalado de forma predeterminada en las
plataformas Windows, pero hay otros muchos exploradores web disponibles, entre ellos
Opera, Mozilla, Firefox y Netscape. Todos ellos presentan vulnerabilidades de seguridad,
en ocasiones críticas, que permitirán al atacante hacerse con el control del sistema. Los
problemas son múltiples: son muchas las vulnerabilidades existentes en estas

7. Programas

para compartir archivos

El número de usuarios de las

SUPLEMENTO PC WORLD

23
incluyen en este grupo la instalación de aplicaciones spyware o adware que pueden
proporcionar información sobre los hábitos de los usuarios a sus diseñadores. - Las
sociales, que son aquellas que se basan en la modificación o encubrimiento de un
programa malintencionado (virus, caballos de troya, gusanos, etc.) tras una apariencia
inocente. En general, la gran mayoría de este software malévolo se podrá detectar
utilizando un simple antivirus. - Las legales, que son aquellas que resultan de las
transgresiones en los derechos de copia y propiedad o de la compartición de material que
puede resultar ofensivo y legalmente reprochable. En la actualidad existen aplicaciones
P2P disponibles para todas las versiones del sistema operativo Windows (así como de
Linux y UNIX). Si está intentando proteger una red empresarial de este tipo de usos y
abusos no permita que sus usuarios instalen aplicaciones P2P en los PC corporativos. Su
empresa debería emitir una política que advirtiera a sus empleados de las infracciones en
que podrían incurrir en el caso de descargar ilícitamente material protegido por las leyes
de la propiedad intelectual o por utilizar de forma inaceptable la conexión a Internet de la
empresa. Utilice un servidor proxy para controlar el acceso a Internet de sus usuarios y
vigile. Utilice un buen antivirus empresarial.

Procedimiento Remoto (RPC) sobre los sistemas Windows indicados anteriormente,

aunque requiere privilegios administrativos para que este ataque sea eficaz. El servicio
LSAS juega un papel muy importante en el mecanismo de autenticación y en la
funcionalidad del Directorio Activo de Windows. Algunos de los gusanos que han utilizado
esta vulnerabilidad con gran éxito han sido los conocidos Sasser y Korgo. Los
administradores deberán parchear adecuadamente sus sistemas y aplicar todos los
controles de acceso que

de www.foundstone.com/resources/ proddesc/dsscan.htm. 3. Sasser Worm Scanner,

desarrollada por eEye, analiza si su sistema es vulnerable al ataque LSASS y al gusano
Sasser. Podrá descargar esta herramienta en www.eeye.com.

9. El programa cliente
del servicio de correo de Internet
Como ya sabe, Microsoft Outlook es el programa cliente de correo electrónico utilizado
con mayor frecuencia por los usuarios de Windows. Además

Figura 3. Descarga del programa Nessus desde Internet.

sean necesarios en su red para detener cualquier intento de abuso del servicio RPC de
Windows por parte de atacantes remotos. Existen tres herramientas gratuitas que pueden
detectar la existencia de esta vulnerabilidad en su sistema: 1. Nessus, herramienta de
análisis de vulnerabilidades basada en red (pruebe a descargarla en www.nessus.org). 2.
DSScan desarrollada por Foundstone, con la que podrá analizar toda su red y enviar
alertas a los sistemas vulnerables. Podrá descargarla

del servicio de correo, Outlook es un administrador de información personal que le

proporciona funciones tales como calendario y administración de contacto y tareas. Este
programa forma parte integrante de Windows desde las primeras versiones de este
sistema operativo (Windows 95). Por desgracia, la aplicación Microsoft Outlook, y su
versión reducida Outlook Express, introducen vulnerabilidades y puntos simples de fallo
que pueden llegar a comprometer todo el sistema. A través del correo

8. Los peligros

del servicio LSAS

El servicio LSAS (Local Security Authority Subsystem), que está presente en Windows
2000, Windows Server 2003 y Windows XP, contiene una vulnerabilidad crítica que
permite la ejecución de un desbordamiento de búfer que puede conducir al dominio total
del sistema. Este ataque puede realizarse de forma remota y anónima utilizando una
Llamada a

24

SUPLEMENTO PC WORLD
Blinde su PC
electrónico y de sus anexos, cualquier usuario puede recibir virus, gusanos, código
malicioso y muchas otras formas de ataque, así como la difusión y recepción masiva de
correo comercial no solicitado (Spam). Por fortuna, las últimas versiones de Outlook y
Outlook Express pueden proteger a los usuarios de las amenazas que acabamos de
comentar, siempre que hayan sido convenientemente configurados y parcheados. Instale
siempre los últimos Service Pack para la versión que esté utilizando de Outlook. Así, por
ejemplo, existen los siguientes Service Pack disponibles: * Outlook 2000 - Service Pack 3.
* Outlook XP (Outlook 2002) Service Pack 3. * Outlook 2003 - Service Pack 1. Entre otras
muchas medidas de seguridad que puede adoptar se encuentra la de extremar las
precauciones sobre todos aquellos anexos de correo que tengan las extensiones .exe,
.com o .vbs. Tenga siempre a mano un buen antivirus para analizar los anexos antes de
abrirlos. Rechace los correos que provengan de fuentes no conocidas y extreme las
precauciones cuando, aunque conozca al emisor del mensaje, le resulte extraño su
contenido. Incluso los archivos .DOC (documentos) o .XLS (hojas de cálculo Excel)
pueden contener macros VBA que pueden dañar su sistema. trabajo dispersos por todo el
país o, incluso, en diferentes países. La mayor parte de los sistemas basados en
Windows utilizan algunos de estos sistemas de mensajería, de los cuales los más
famosos son: Yahoo! Messenger (YM), AOL Instant Messenger (AIM), MSN Messenger
(MSN) y Windows Messenger (WM), este último integrado en diferentes versiones de
Windows. Por desgracia, estos programas cuentan con vulnerabilidades que son
explotables de forma remota y que constituyen una amenaza para la integridad y
seguridad de las redes. Estos ataques pueden ser de diferentes tipos (desbordamientos
de búfer, ataques basados en vínculos malévolos, vulnerabilidades en las transferencias
de archivo y ataques basados en ActiveX) y podrán proporcionar el control completo del
sistema al atacante. En muchas ocasiones, a nivel empresarial, estas aplicaciones no
sólo introducen este tipo de vulnerabilidades, sino que también implican la aparición de
ciertos riegos de pérdida de la propiedad intelectual, de la confidencialidad de la
información y de la productividad de los empleados. Una vez más, no sólo será necesario
mitigar el peligro de las debilidades
JORGE E. RODRÍGUEZ VEGA es responsable de Calidad y Seguridad del Centro de
Evaluación de la Seguridad de las Tecnologías de la Información. Instituto Nacional de
Técnica Aerospacial (INTA)

explotables de estos programas utilizando las últimas versiones e instalando los Service
Packs y los parches más actualizados, sino que habrá que desarrollar una política en la
empresa que defina el uso adecuado y permitido de este tipo de aplicaciones. A partir de
Windows 98, todas las versiones del sistema operativo Windows vienen con Microsoft
Instant Messenger y, por tanto, todas ellas resultarán vulnerables en alguna medida.
Todas las versiones anteriores a la 6.2 de Instant Messenger, deberán ser actualizadas
inmediatamente. En definitiva, aunque las vulnerabilidades detectadas y los ataques
ejecutados sobre las plataformas Windows parezcan infinitos, en realidad la mayor parte
podrían ser evitados prestando más atención a los diez puntos que acabamos de señalar
y, una vez más, estos diez se podrían resumir en sólo dos: actualiza tu sistema operativo
y aplicaciones con el último Service Pack que esté disponible e instala todos los parches
y actualizaciones que hayan aparecido posteriormente. PCW
10. Mensajería instantánea
Los programas de mensajería instantánea permiten a los usuarios estar en contacto con
sus amigos y familiares de forma sencilla y barata a través de Internet. En la actualidad,
el empleo de este tipo de aplicaciones ha dejado de ser un patrimonio exclusivo del
usuario doméstico para pasar al ámbito de las comunicaciones empresariales,
especialmente en aquellas compañías que disponen de varios centros de

LOS DIEZ SERVICIOS O ELEMENTOS MÁS EXPLOTADOS EN UNIX/LINUX

1. El sistema de nombres de dominio BIND. 2. Los servidores web (Apache y Sun Java
System Web Server, anteriormente iPlanet). 3. Los sistemas de autenticación (mal uso de
las contraseñas). 4. Los sistemas de control de versiones (vulnerabilidades en CVS). 5. El
servicio de transporte de correo. 6. El Protocolo Simple de Administración de Red
(SNMP). 7. La Biblioteca Open Secure Sockets Layer (OpenSSL). 8. Configuración
inadecuada de los Servicios NIS (Sistema de Archivos de Red) y NFS (Servicio de
Información de red) para compartir recursos de red.

9. Bases de datos. Compromiso de la integridad y confidencialidad de los datos

almacenados. 10. El núcleo (kernel) del sistema operativo. Existencia de múltiples
vulnerabilidades.

SUPLEMENTO PC WORLD

25
Cómo detectar hackers y troyanos
GONZALO ÁLVAREZ MARAÑÓN gonzalo@pcw.idg.es

Internet está infestada de peligros y molestias: hackers, virus, gusanos, programas

espía... En este artículo explicamos las mejores técnicas de seguridad para detectar los
ataques más frecuentes y dañinos procedentes de Internet.

Espiando el tráfico de red

¿Sabe qué información está circulando por su red en un momento dado? Aunque no
tenga una red local, sino un solo ordenador conectado a Internet, ¿sabe qué información
se está transmitiendo en todo momento desde su equipo hacia el exterior? Con la
cantidad de virus, gusanos, software espía y demás plagas que azotan Internet, la única
forma de estar seguro consiste en utilizar un sniffer, también conocido como analizador
de protocolos o monitor de red. Un sniffer es un programa que captura todo el tráfico que
circula desde/a un equipo conectado a una red de ordenadores. Los hay de todos los
tipos y para todos los sistemas operativos. Dependiendo de cuál sea la tipología de su
red, un sniffer le permitirá interceptar todo el tráfico que circula por su red, incluido el de
otros equipos, o solamente el tráfico que entra y sale de su ordenador. En las redes
Ethernet, en las que los distintos equipos se conectan a un concentrador o hub, cuando
un

26

SUPLEMENTO PC WORLD
Blinde su PC
equipo envía un paquete, éste llega a todos los ordenadores de la misma red. La
cabecera del paquete contiene la dirección MAC de la tarjeta de red a la que va dirigido,
de manera que sólo el equipo adecuado presta atención al paquete. Sin embargo, una
tarjeta puede configurarse en modo promiscuo, en cuyo caso aceptará todos los
paquetes, tanto si van dirigidos a ella como si no. Para entenderlo con claridad,
imagínese un largo pasillo, con despachos a cada lado. Abre la puerta del suyo y grita en
el pasillo a pleno pulmón: "¡Pepe! ¡Sal a la ventana!". Resulta evidente que no sólo Pepe,
sino también los ocupantes del resto de los despachos del pasillo habrán oído el
mensaje, pero lo ignoran puesto que no va dirigido a ellos. A pesar de todo, si quisieran
podrían salir también ellos a la ventana. Existen otras redes, como las redes conmutadas,
en las que el sniffer sólo puede ver el tráfico que entra y sale de la máquina en la que
está instalado. Aunque existen técnicas basadas en la falsificación ARP para interceptar
el tráfico de otras máquinas, no serán tratadas en estos trucos por su complejidad. En
definitiva, si quiere ver todo el tráfico que va y viene de su máquina, puede hacerlo con la
ayuda de un buen sniffer. Algunos sniffers que puede utilizar gratuitamente en plataformas
Windows son NG Sniff (www.nextgenss.com/products/ ngssniff.htm), daSniff (demosten.
com/dasniff), Ethereal (www. ethereal.com), NetworkActiv Sniffer (www.networkactiv.com),
GreedyDog (www.shadowpenguin. org/sc_toolbox/unix/gdd/index.html). Si tiene que
decantarse por uno, no lo dude y pruebe Ethereal, también disponible en plataformas
UNIX. Windows 2000 Server y Windows 2003 Server vienen con su propio sniffer de
serie, eufemísticamente pequeña red podrá ver qué es lo que están haciendo otros
usuarios de la LAN. De esta forma sabrá sin que nadie se entere por dónde navegan sus
hijos y qué uso hacen de la red. - Podrá detectar el funcionamiento subrepticio de
programas espía: verá a dónde se conectan, qué paquetes envían y reciben, etc. Pillará
in fraganti a cualquier programa adware o spyware. - Detectará la actividad de troyanos,
gusanos y otros virus, que intentan de puertos disponibles en Internet gratuitamente.
Como es de sobra conocido, TCP y UDP son dos de los protocolos más utilizados en las
comunicaciones a través de Internet. Los diferentes servicios de Internet se caracterizan
por basarse en estos protocolos para su funcionamiento, escuchando en un número de
puerto determinado. Por ejemplo, el servicio HTTP, utilizado para la navegación de
páginas web, escucha en el puerto TCP número llamado "Monitor de red". Por defecto no
está instalado, pero puede hacerlo desde el Panel de control, en Agregar
o quitar programas.

conectarse al exterior desde su equipo.

El usuario doméstico encontrará

¿Qué puertos tengo abiertos?

El inconveniente que puede presentar un sniffer para el usuario novel es que proporciona
cantidades ingentes de información sobre todos los paquetes que están circulando por la
red. Si simplemente desea saber de forma sencilla qué puertos tiene abiertos en todo
momento dentro de su máquina, no tiene más que utilizar una de las muchas
herramientas de exploración
los sniffers de especial utilidad en una gran variedad de aplicaciones: - Por encima de
todo, ¡aprender! Gracias al sniffer verá cómo funcionan los distintos protocolos de
Internet, cómo se establecen las conexiones, qué paquetes se intercambian, etc. Nada
como un sniffer para ver en la práctica cómo funciona la teoría. - Si en su casa tiene
instalada una

SUPLEMENTO PC WORLD

27
80; POP3, utilizado para leer el correo electrónico, escucha en el puerto TCP 110; etc. Es
decir, cada servicio que preste una máquina lo hará en un puerto bien definido. La IANA
mantiene un listado de estos puertos en www.iana.org/assignments/portnumbers. Los
números de puerto oscilan entre 1 y 65.535, ya que se expresan con números de 16 bits.
Las herramientas de exploración de

también aparecerán abiertos los puertos correspondientes. Por lo tanto, ejecutando un

programa de exploración de puertos contra el propio equipo o contra otros equipos de la
red local, se encontrará la lista de puertos a la escucha. Algunas de las mejores
herramientas para realizar esta exploración son Superscan (www.foundstone.com/
knowledge/proddesc/superscan.

corresponden con ningún servicio que usted haya instalado voluntariamente, anote el
número de puerto e intente averiguar a qué servicio corresponde. En www.simovits.
com/nyheter9902.html se ofrece un listado exhaustivo de troyanos y los puertos
comúnmente utilizados por ellos. Muchos de estos troyanos utilizan puertos asociados a
servicios comunes, por lo que no debería alarmarse si el puerto 80 ó 139 están abiertos.
Investigue si se trata del servicio legítimo o del troyano. Es posible que se trate de un
troyano o de una puerta trasera de un hacker, que está a la escucha en ese número de
puerto. En ese caso, posiblemente necesitará la cooperación de un buen antivirus para
limpiar su sistema.

Estado de las conexiones de red

Todos los sistemas Windows incorporan una herramienta que permite analizar el estado
de sus conexiones de red. Se trata de una utilidad de línea de comandos llamada Netstat.
A menudo puede resultar más práctica si lo que desea es saber puertos funcionan
enviando paquetes a la máquina destino secuencialmente en todos los puertos, desde 1
hasta 65.535, y esperando su respuesta. Si la máquina responde, entonces se sabe que
el puerto está abierto o a la escucha, lo que hace suponer que el servicio asociado a
dicho número de puerto se está prestando. En una máquina Windows convencional, es
típico encontrar abiertos puertos como 137, 138 y 139, asociados a NetBios. Si se tiene
activado el Universal Plug And Play (UPnP) entonces estará abierto el puerto 5.000. Si se
tiene activado el escritorio remoto, entonces también aparecerá abierto el puerto 3.389. Si
se utilizan programas de intercambio de archivos, como eMule, KaZaa, WinMx, SoulSeek,
etc., entonces html) o NScan (nscan.hypermart. net), ambas gratuitas. Se recomienda
que las ejecute contra su máquina o máquinas de su red y guarde para futuras
referencias en lugar seguro el informe resultado de su exploración para todo el rango de
puertos, desde el 1 hasta el 65.535. Esta exploración puede tardar muchos minutos. Sea
paciente. Una vez terminada, identifique cuidadosamente cada uno de los puertos
abiertos mencionados en el informe generado y verifique que se trata de puertos que
usted desea que estén abiertos. En el futuro, puede ejecutar periódicamente la
exploración y comparar el nuevo informe con el primero. Si encuentra puertos
sospechosos que no estaban en el primer informe y que no se no sólo los puertos que
tiene a la escucha, sino también las conexiones establecidas y con qué máquinas. Para
ejecutarla, abra una ventana de DOS y escriba netstat -a. Se listarán todas sus
conexiones activas, en qué puertos se han establecido y en qué estado se encuentran.
Puede agrupar las respuestas por protocolos si ejecuta netstat -s. Si de todos los
protocolos le interesa estadística para ese protocolo en concreto escribiendo netstat -s p
proto, tcp, udp

uno en particular, puede obtener la

nombre del protocolo, que puede ser ver exclusivamente los paquetes IP, se escribe
netstat -s -p ip. Si necesita consultar esta información cada pocos segundos, en vez de
escribir el o ip. Así, por ejemplo, para

donde proto representa el

28

SUPLEMENTO PC WORLD
Blinde su PC
comando de nuevo puede pulsar F3. al final del comando el número de segundos que
desea como frecuencia de refresco. Por ejemplo, si quiere que cada 10 segundos se
actualice la información sobre los paquetes UDP enviados y recibidos, escriba netstat
-s -p udp 10.

Y lo que es aún mejor, puede escribir

Para cancelar el listado,

pulse Ctrl+C. Para obtener un listado de todas las opciones de Netstat, escriba netstat -x.

¿Cómo debe interpretarse la salida

de la ejecución de netstat? En la primera columna (proto) se informa del protocolo

utilizado por la conexión. En la segunda columna se informa de la dirección IP o nombre
de máquina del equipo local, junto con el número de puerto en el que está a la escucha.
En la tercera columna se informa de la dirección IP o nombre de máquina del equipo
remoto, junto con el puerto utilizado para la conexión. Por último, en la cuarta columna se
informa del estado de la conexión. Valores típicos para el estado son LISTEN (el no se ha
establecido la conexión), puerto está a la escucha, pero todavía

Tests de seguridad
Existen varios sitios en Internet e incluso programas que puede ejecutar desde su propio
equipo que realizan un test de seguridad sobre su ordenador. Estos tests le informan de
los puertos que

bajo control o si se trata de un troyano o de un servicio del que usted no tenía noticia.
Puede probar tests de seguridad online en Security Scan de Sygate (scan.sygate.com),
Shields Up! de Gibson Research Corporation (grc. com/x/ne.dll?bh0bkyd2), o Basic
Security Audit de SecuritySpace (https://secure1.securityspace.
com/smysecure/basic_index.html). Como resultado de los tests se le informará de los
puertos abiertos y de las medidas que debe adoptar. En general, estos tests no
funcionarán si se encuentra detrás de un proxy, un cortafuegos corporativo o un router.
Para estos casos, puede

EJECUTANDO UN PROGRAMA DE EXPLORACIÓN DE PUERTOS CONTRA EL

PROPIO EQUIPO O CONTRA OTROS EQUIPOS DE LA RED LOCAL, SE
ENCONTRARÁ LA LISTA DE PUERTOS A LA ESCUCHA
ESTABLISHED

(la conexión está siendo

tiene abiertos y de otras posibles vulnerabilidades. Recuerde no obstante que un puerto

abierto no significa necesariamente ni que tenga un agujero de seguridad ni que tenga un
troyano. Simplemente informan de que existe un servicio a la escucha en ese número de
puerto. Deberá dilucidar si era su intención que ese servicio estuviera presente y por lo
tanto todo está

utilizar alguna herramienta que se ejecute en local en su propio equipo, como por ejemplo
Microsoft Baseline Security Analyzer (MBSA), que puede descargarse gratuitamente
desde www.microsoft.com/mbsa.
GONZALO ÁLVAREZ MARAÑÓN es autor del libro "Los mejores trucos para Internet" y
mantiene su propia web sobre criptografía y seguridad en Internet en www.iec.
csic.es/criptonomicon.

la conexión). Para una descripción detallada del resto de estados

utilizada), TIME_WAIT (se ha cerrado

posibles consulte support.microsoft. com/default.aspx?scid=kb;enus;q137984. Por defecto

Netstat intenta resolver el nombre de las máquinas y de los puertos. Si se utiliza el
parámetro -n muestra puertos y direcciones en formato numérico.

SUPLEMENTO PC WORLD

29
Diga adiós al software espía
La privacidad y seguridad de nuestro PC se ve amenazada cada vez que nos
conectamos a Internet, haciendo que la máxima de "un ordenador seguro es únicamente
aquel que está apagado" sea cada vez más cierta. Uno de los peligros más directos se
encuentra en los conocidos programas espía o "spyware", que violan nuestra privacidad y
por tanto deben ser eliminados

VÍCTOR GIMENO MARTÍNEZ vgimeno@pcw.idg.es

Eliminará de una vez por todas el spyware de su PC.

BENEFICIOS

La creciente práctica del adware como medio de financiación en programas gratuitos

hace que nuestros ordenadores se infecten con algo más que simples banners
publicitarios. En muchos casos este tipo de software instala otras

mientras navegamos. En el peor de los casos también podrían ser capaces de obtener
claves bancarias, contraseñas personales, etc. Por todo esto, y por el evidente consumo
no deseado de recursos del sistema y de ancho de banda que conlleva la ejecución de
estos programas en segundo plano, se trata de un software que debemos erradicar de
nuestro PC. Vamos a eliminar estos programas mediante una magnífica aplicación de
Lavasoft llamada Ad-aware 6 Standard Edition (versión gratuita), para sentirnos un poco
más seguros salvaguardando nuestra intimidad.

TIEMPO REQUERIDO 30 minutos

NIVEL DE EXPERIENCIA Bajo

aplicaciones ocultas con o sin nuestro consentimiento (trackware y spyware) cuyo fin
normalmente es recabar información sobre nuestros hábitos de navegación y
preferencias; datos que son utilizados para estudios de marketing y publicidad, y que
desembocan en que posteriormente seamos bombardeados con multitud de spam o pop-
ups publicitarios

COSTE 0

HERRAMIENTAS Ninguna

30

SUPLEMENTO PC WORLD
1
La continua aparición de software malicioso hace que la herramienta recién descargada
pueda no ser 100% eficaz. Una de las características que hacen tan potente esta
aplicación es la posibilidad de obtener gratuitamente actualizaciones con las últimas
referencias sobre spyware. Para actualizar Ad-aware pinchamos sobre el icono
Webupdate

Blinde su PC
Instalar Ad-aware 6 Standard Edition
Entraremos en la página del fabricante, www. lavasoftusa.com, para descargar Ad-aware
6 Standard Edition, el pack de idiomas o LanguagePack y sus Plug-ins (HexDump,
FileSpecs, LSP Explorer Messenger Control).

directorio donde se instaló y Ad-aware (por defecto, varias pantallas se mostrará una
ventana en la que debemos elegir los idiomas que deseamos que sean instalados.
Ejecutamos Ad-aware 6 Standard Edition y, para traducirlo al castellano, desde la pantalla
principal, seleccionamos el icono la parte superior de la ventana con forma de engranaje.
Desplegamos seleccionamos el idioma
Español; Settings, Yes)

Para comenzar la

y pulsamos Next. Tras

instalación hacemos doble clic sobre el archivo previamente hemos ejecutable aaw6.exe
que

descargado en el PC. Únicamente tendremos que elegir el directorio donde deseamos

instalar el programa. A continuación pasamos a instalar el paquete de idiomas aaw-lang-
pack. instalador nos pregunta si deseamos que se busque automáticamente el
exe.

situado en

En este caso el

la opción Language File y para terminar

Actualizaciones gratuitas
conectar se accederá a los servidores de Lavasoft y se descargarán automáticamente las
actualizaciones. En caso de problemas, habrá que revisar la configuración del proxy, en el
botón Configurar y establecer los valores acordes a la conexión. Le recomendamos que
compruebe la existencia de nuevas actualizaciones antes de cada búsqueda de spyware
para garantizar la eficacia de la misma.

2
SUPLEMENTO PC WORLD 31

(globo terráqueo)

situado en la parte superior derecha del programa o en

Buscar Actualizaciones.

Con ambos métodos le aparecerá una ventana, donde pulsando en

3
Primero ejecutamos cada uno de los archivos que hemos descargado. Al igual que con el
pack de idiomas, se ofrece la posibilidad de una busquede automática del directorio de
Plug-ins; seleccionamos Yes y pulsamos Next hasta que

Búsqueda, identificación y eliminación de spyware

Para empezar la búsqueda de software sospechoso, deberemos pulsar sobre
Examinar ahora o Iniciar.

Para eliminar los elementos solamente tenemos que y pulsar sobre Siguiente. marcarlos
en la columna Obj.

registro, donde se describen todas las incidencias durante la búsqueda, pulsando sobre el
botón Mostrar logfile, aunque la revisión de esta información no es del todo

Si dudamos podemos

marcarlo y pulsar sobre el botón Cuarentena. Con ello, lo que conseguimos es

desactivarlo temporalmente hasta comprobar su verdadero funcionamiento. Accediendo
al tercer icono situado en la parte superior derecha (caja). Nos aparecerá una lista de
todos los paquetes de archivos puestos en cuarentena. Pinchando sobre cada uno de
ellos con el botón derecho se nos ofrecen las diferentes acciones a realizar:
Detalles del Artículo

En la siguiente pantalla podemos modificar las

opciones de búsqueda entre las que destacan la selección de las unidades a escanear.
iniciar el proceso de rastreo. Una vez terminado el escaneo del equipo podremos acceder
a un archivo de Pulsamos en Siguiente para

relevante para alcanzar nuestro fin. Si pulsamos en ventana en la que se nos mostrarán
los resultados de la búsqueda junto con información detallada de cada objeto.
Siguiente aparecerá una

(información sobre el archivo),

operativo el archivo), Borrar

Reinstalar (volver a dejar

los archivos (eliminar todos Ayuda (ayuda de Ad-aware).

seleccionado), Borrar todos

archivo (eliminar el elemento

los paquetes en cuarentena) o

Uso de Plug-ins
y activarlo o desactivarlo. Para
Control y a continuación, Ejecutar Plugin.

LSP Explorer: con este plug-in es posible explorar nuestra lista de LSP (proveedores de
servicios por capas) instalados en el controlador TCP/IP de Windows y obtener
información detallada sobre ellos. En ocasiones estas pequeñas aplicaciones pueden
desviar el tráfico de datos que enviamos a Internet a otros sitios no deseados con fines
maliciosos. Para ejecutarlo basta con seleccionarlo desde la lista de plug-ins instalados y
pulsar sobre Ejecutar Plugin.

ello seleccionamos Messenger

HexDump: se utiliza para obtener información extra sobre los archivos encontrados
durante el escaneo del sistema. Muestra una ventana con el código hexadecimal en el
que se pueden desvelar datos de interés, como la URL del fabricante. Para ejecutarlo nos
situamos sobre el archivo y hacemos clic con el botón derecho, seleccionando

concluya la instalación.

Messenger control: para ejecutar este plug-in debemos dirigirnos a la sección Plugins en
la pantalla principal del el estado del servicio de mensajería de las versiones de Windows
NT, 2000 y XP, programa. Permite comprobar

Extensions » Create hexdump of object.

32

SUPLEMENTO PC WORLD
Blinde su PC

Niños e Internet
En el enorme entresijo de páginas que es Internet se puede encontrar todo tipo de
información. Cualquier persona desde cualquier lugar y de forma prácticamente anónima
puede conectarse a la red y consultar libremente sus contenidos. Tal libertad de acceso
puede convertirse en un inconveniente si los receptores son niños, ya que tienen a su
disposición información no apta para esas edades tan tempranas. Y al igual que todos
nos preocupamos por sus actividades físicas conviene también hacerlo por las virtuales.
ÁNGEL GONZALO agonzalo@idg.es

La campaña "Niños e Internet" de Panda software pretende ayudarnos a librar a los más
pequeños de los peligros de Internet mediante el sitio www.menorenlared.com que han
habilitado a tal efecto. En el CD-ROM de este mes incluimos una pequeña aplicación que
contiene la misma información que la página de Panda Software pero que nos permite
consultarla de forma offline. Podrá encontrarla en la carpeta 1 - Especial\
Niños e Internet

a contenidos web, en relación directa con el tema de la campaña. Aunque su instalación

es sumamente sencilla, le indicamos aquí los pasos principales a seguir para activar este
filtrado. 1- Instalación de PIS 2005: ejecute el archivo childrenPIS05esp.
exe que encontrará en la carpeta 1 - Especial\Panda Platinum 2005 Internet Security del
CD-ROM.

2 - Instalación del filtrado de

contenidos web: tras un análisis de la memoria y casi al finalizar la instalación se le

preguntará si quiere instalar ahora el filtrado de contenidos web. Tanto si lo hace ahora
durante la instalación como si lo hace luego, dentro de la propia aplicación, los pasos a
seguir son los mismos.

3 Contraseña del supervisor: el supervisor que activa el filtrado es el único que puede
modificar los filtros. En este paso indicaremos la contraseña (deberemos confirmarla) que
impedirá que los menores, o cualquier otra persona no autorizada, pueda modificarlos.

del CD-ROM.

Además, incluimos una versión

promocional de Panda Platinum 2005 Internet Security con la que podrá proteger su
ordenador de los virus que amenazan el ciberespacio así como aplicar filtros que
restringen el acceso

SUPLEMENTO PC WORLD

33
aunque podemos importar otros, que podemos configurar individualmente.

opción de registro online, para lo cual, evidentemente, es necesario tener conexión a

Internet. Una vez acabado

4 Usuarios: se pueden activar los filtros tanto de forma general como para usuarios
particulares, en cuyo caso deberemos indicarlos aquí.

6 Activación / Desactivación: la última de las opciones del interfaz principal de Platinum

Internet Security permite activar o desactivar el filtrado web (o instalarlo si no se ha hecho
durante la instalación del antivirus). 5 Configurar los filtros: Platinum Internet Security trae
unos cuantos filtros predefinidos, 7 Registrar Panda Platinum 2005 Internet Security:
para poder disfrutar de los 3 meses (90 días) de soporte y actualizaciones que ofrece
Panda Software con esta versión promocional de su producto es necesario registrarse en
la web de Panda mediante la

el proceso anote los datos de usuario y contraseña, que necesitará para activar las
actualizaciones.

34

SUPLEMENTO PC WORLD