“Los troyanos actuales son cada vez más peligrosos, por lo que los ataques resultan más devastadores”

Internet es hoy por hoy un instrumento básico en el desarrollo de nuestra vida cotidiana; un elemento que nos permite comunicarnos con otras personas, realizar negocios o ejercer una profesión. Sin embargo, las posibilidades que ofrece Internet son también una puerta abierta a la intimidad, al acceso a datos bancarios o a detalles profesionales que nos hacen tremendamente vulnerables. Así, a finales de 1998, con el lanzamiento de "una-al-día", el primer servicio diario de información técnica en español sobre seguridad informática, nace Hispasec con el propósito de divulgar y concienciar a los usuarios de la importancia de la seguridad informática en el campo de las nuevas tecnologías.

El éxito cosechado por "una-al-día" originó una creciente demanda de servicios por parte de profesionales y empresas lo que originó la creación del laboratorio de seguridad informática, Hispasec Sistemas, en el año 2000. Sergio de los Santos es consultor de seguridad de Hispasec.

diarioDirecto: Uno de sus servicios principales es la realización de auditorias que estudian los sistemas informáticos para identificar vulnerabilidades y proponer soluciones ¿Qué niveles de seguridad tienen los sistemas informáticos en España?

Respuesta: En general la situación es más grave de lo que realmente pueda parecer. Habría que distinguir a varios niveles.

- Con respecto a los usuarios domésticos que usan Windows, los niveles de infección vírica son los más elevados de la historia. En España, según un estudio realizado con la colaboración de Hispasec sobre 3500 usuarios, el 70 por ciento estaba infectado por algún tipo de malware. Aunque ya no existen infecciones masivas como hace cuatro años, los troyanos de hoy en día son mucho más silenciosos y persistentes. Además están destinados a robar las credenciales de la banca online, con lo que el daño que pueden infligir es más que real.

- Con respecto a las empresas, los niveles de seguridad de sus redes internas se han elevado de forma notable en los últimos años, aunque todavía tienen muchas asignaturas pendientes. Si hablamos de seguridad de los servidores de las compañías, aquí suspenden la inmensa mayoría. De hecho, uno de los métodos de infección “de moda” en los últimos tiempos, consiste en conseguir comprometer o manipular una web de una empresa legítima para que sea foco de infección de malware. El atacante manipula la página y hace que todo el que la visite, quede infectado.

dD: A nivel nacional y creando un mapa de estado ¿cuáles son las comunidades autónomas que están a la cola en este sentido (Andalucía, Extremadura…)?

R: No tenemos datos al respecto. Comunidades como Andalucía han apostado por el software libre en sus administraciones, y eso en cierta manera los libra del ataque de malware “industrial” actual, aunque no de los problemas de seguridad de configuración o propios de las distribuciones que usen. Los usuarios usan por igual Windows, la mayoría en cualquier comunidad.

dD: Y en un contexto internacional ¿cómo nos situamos?

R: España es el quinto país por número de sistemas infectados que pertenecen a una Botnet. Una botnet es un pequeño ejército de sistemas infectados que están a las órdenes del creador de la red, y lo utilizan como infraestructura para enviar malware, spam, realizar ataques de denegación de servicio... Madrid, de hecho, era una de las ciudades con más sistemas infectados (pertenecientes a una botnet) del mundo. En general no hemos asimilado los problemas del malware actual. Ni en el mundo en general ni en España en particular.

dD: ¿Las empresas dan a la seguridad informática el papel que merece o es sólo una acción secundaria que desarrollan dentro de su actividad?

R: Actualmente se le da mayor importancia. Se depende mucho de los sistemas informáticos y las infecciones pueden realmente llegar a paralizar la actividad. Lo malo es que normalmente tienen que pasar por una situación traumática para poner en marcha un sistema de prevención.

dD: Los inicios de Hispasec se remontan a una iniciativa llamada ‘Una al día’, un servicio de información técnica con las últimas novedades. Actualmente, la entidad dispone de una de las más completas bases de datos de vulnerabilidades y virus del mundo ¿realmente es posible detectar la cantidad de virus que a diario nos amenazan?¿Qué virus son los más peligrosos?¿Cómo se puede luchar contra ellos?

R: En virustotal.com recibimos 30000 archivos diarios para que sean comprobados por 33 motores antivirus distintos. De esos, unos 15000 son realmente malware, o al menos es detectado por los antivirus. Las casas antivirus están teniendo serios problemas para asimilar la avalancha de malware que se produce hoy en día. Tanto en cantidad como por calidad. Si hace cinco años se conocían 70000 muestras de virus, hoy en día pasa del millón y medio. Han tenido que investigar mucho más en los últimos cuatro años que en los 15 anteriores. Los niveles de detección son aceptables todavía, pero a costa de muchos falsos positivos (detección heurística paranoide) que hace que la sensación del usuario usando el antivirus no sea la más adecuada.

De los 15000 positivos que recibimos diariamente, el 30 por ciento de ellos pertenecen a los llamados troyanos bancarios. Estos son sin duda los más peligrosos. Existe toda una industria del malware dedicada a crear este tipo de troyanos, que roba las contraseñas de la banca online. En estos casos el daño del troyano al infectado es real, pues puede, literalmente, robarle del banco, realizando transferencias a otras cuentas una vez que ha obtenido las contraseñas adecuadas que utiliza el usuario para operar online.

dD: ¿A quién le interesa más crear un virus y por qué? ¿Qué motiva la creación de un virus (causar problemas, intereses económicos…)?

R: Hoy en día sólo se tienen intereses económicos. Poco queda de la época romántica (anterior a 2004) en la que se creaban virus por ego, investigación... prácticamente sólo queda el interés comercial, el robo y el lucro. No hay interés en crear malware que no sea para un fin económico concreto. La gran mayoría se decanta por el “adware” (mostrar publicidad no deseada) y el resto al robo de información sensible del sistema. Lo hacen mafias organizadas específicamente dedicadas a la creación en masa de malware, de manera que funcionan como cualquier otra empresa (clandestina).

dD: ¿Qué tipos de empresas son las que más se hackean? (bancos, multinacionales…)

R: En general les sirve cualquiera. Les interesa más los recursos de ese sistema (la capacidad del ordenador del que puedan obtener el control) que los datos en sí. Los datos los obtienen de forma mucho más sencilla de los sistemas de los usuarios. No es necesario asaltar un servidor muy protegido de un banco, cuando puedes robar los datos directamente de los usuarios. Para ellos, prácticamente, es como robar un caramelo a un niño.

dD: ¿Cuál es el perfil de su principal cliente?

R: Trabajamos principalmente con empresas que necesitan auditar sistemas o código y con banca. Con la banca trabajamos para prevenir phishing y troyanos que puedan afectarles. Al disponer de Virustotal.com, tenemos una posición privilegiada para conocer qué se mueve en el mundo del malware, a quién están atacando y cómo. Esto les permite protegerse de una manera más adecuada.

dD: De los navegadores que existen actualmente en la red ¿Cuál ofrece más seguridad al usuario (Microsoft, Firefox)?

R: La seguridad la marca los hábitos del usuario, no tanto la tecnología usada como se cree. Sí es cierto que los atacantes prefieren Internet Explorer. En general, cuanto menos usado (un porcentaje menor de usuarios) más “seguro” es su uso, puesto que no se convierte en objetivo preferente para los atacantes.

dD: ¿Qué cinco consejos básicos se podrían dar a los usuarios para tener el ordenador protegido?

R: - No usar la cuenta de administrador en Windows. Usar la cuenta de un usuario sin privilegios.

- Actualizar el sistema. No sólo Windows, sino todos los programas que tengamos instalados.

- Mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red.

Estos tres consejos anteriores, sin lugar a dudas, son los más importantes. Por desgracia no son los que se dan habitualmente en los medios no especializados. Además:

- Utilizar un antivirus actualizado a diario. No confiar en él totalmente.

- Utilizar un antispyware y cortafuegos. Informarse sobre su uso en lo posible. Si no se saben manejar, se vuelven inútiles.

dD: ¿Hacia dónde se dirige el futuro del sector?

R: Hacia troyanos cada vez más específicos, peligrosos y complicados de analizar. Últimamente utilizan cada vez técnicas más complejas para impedir que sean estudiados por empresas como Hispasec, ofuscando y complicando el código para que pasen desapercibidos la mayor cantidad de tiempo posible. Con respecto a los ataques, están cada vez más automatizados, tienen mayor efectividad y resultan más devastadores.