SEGURIDAD INFORMÁTICA

1.Herramientas de protección de equipos

En la seguridad de las tecnologías de información debemos de conocer las herramientas para combatir
las amenazas a las que están expuestos los diferentes dispositivos electrónicos, de tal manera que se
encuentre el equilibrio entre funcionalidad y seguridad. Las herramientas pueden ser definidas como
los útiles que pueden ser de utilidad para prevenir ataques e infecciones en nuestro PC.

Las herramientas pueden clasificarse en:

– Funcionalidad.
– Sistema operativo.
– Público objetivo.

A continuación, estas son algunas de las herramientas que pueden servirnos :

Las herramientas contra amenazas pueden estar dedicadas a dos colectivos distintos, algunos
ejemplos gratuitos de estos son :
– Entidades: ActiveScan 2.0., AVG Anti-Virus, Avast 5 free...
– Usuarios: Ad-Aware free, Antivirus scanner, ashampoo firewall...

Otras medidas son:

- Actualizaciones SW: la mayoría de las aplicaciones instaladas en nuestros equpios necesitan

actualizarse por diversas razones: corregir vulnerabilidades, añadir funcionalidades, etc.

Razones por las que debemos actualizar nuestro sistema operativo y aplicaciones:
– Los ciberdelincuentes con el uso de Internet desarrollan virus y malwares para aprovechar la
vulnerabilidad del sistema, y suelen aprovechar las vulnerabilidades recientes que requieren una
actualización rápida.
– Cuanto mas tiempo tardamos en actualizar, más tiempo tendrán los ciberdelincuentes de entrar en
nuestro ordenador, por lo que conviene actualizar automáticamente.
Además, proporcionan las siguientes ventajas:

– Reparar vulnerabilidades detectadas.

– Proporcionar nuevas funcionalidades o mejoras respecto a las versiones anteriores.

-Formas de recuperación de datos:

– Restaurar sistema: si se produce un problema de sistema, puedes restaurar el equipo a su estado

anterior sin perder archivos personales. Crea automáticamente puntos de restauración
periódicamente para poder utilizar esta opción.
– Inicio a prueba de fallos: para resolver problemas puntuales o borrar virus manualmente.
– Configuraciones seguras: una serie de pautas con las que elevar la seguridad de nuestro sistema,
aunque pueden reducir las funcionalidades ya disponibles en una aplicación.

-Contraseñas: para generar contraseñas seguras, es adecuado seguir algunas pautas:

– La longitud de las contraseñas no debe ser menor a los 8 caracteres.

– Se deben mezclar caracteres alfabéticos (mayúsculas y minúsculas), dígitos y carateres
especiales.
– Se deben de cambiar las contraseñas de forma regular.

-Certificados Web: documentos que garantizan la identidad de un usuario.

2. Virus

2.1 I love you

Definición: Gusano que se propaga por la red social Facebook, recopilando los datos de la cuenta de
dicha red del usuario infectado para enviar mensajes en su nombre

Nombre completo del virus: Worm.W32/Spacefam@RS

• Tipo de código: Worm Programa que se replica copiándose entero en un ordenador, y a
través de redes.
• Plataformas afectadas: Microsoft Windows de 32 bits.
• Mecanismo principal de difusión: Red Social.
• Capacidad de residencia permanente: se ejecuta cada vez que se reinicia.
• Tamaño (bytes): 251.730
• Alias: W32.Spacefam (Symantec)

Propagación:
– Red social:
- Crea una serie de ficheros y carpetas para monitorizar las ventanas que se abran en Firefox e
Internet Explorer.
1. Crea la siguiente entrada del registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Resto de acciones
1. Se conecta a las siguientes direcciones de Internet
• [http://]77.78.240.44/~search/11/setu[-eliminado-]
2. Crea el siguiente mutex (objeto para controlar el acceso a recursos) para impedir que se ejcute
múltiples veces
3. systemsmssrvc
Otros detalles:
Está diseñado para robar información a Facebook. Cuando se instala, cierra las ventanas del
explorador y elimina las cookies, para forzar al usuario a volver a introducir sus datos de usuario y su
contraseña. Cuando tiene los datos se introduce en facebook y envía mensajes spam que al ser
abiertos por otro usuario lo infectarán.
Desinfección:
– Si se utiliza Windows Me, XP o Vista y se sabe cuando ocurrió la infección se puede utilizar la
“Restauración del Sistema” y volver así a un punto de restauración anterior.
– Si no se puede volver a un punto de restauración, se debe desactivar la Restauración del Sistema,
por que se podría haber creado una copia de seguridad del virus.
– Debido a que el virus sirve para recopilar información, se debe cambiar las contraseñas
recientemente utilizadas.
2.2. Zone H
Definición: Troyano para la plataforma Windows que descarga otros archivos maliciosos que, a su
vez, descargan otros archivos maliciosos.

Detalles técnicos
• Peligrosidad: Media
• Difusión: Baja
• Daño: Medio
• Dispersibilidad: Baja
• Última actualización: 09/11/2010
• Nombre completo del virus: Trojan.Multi/Zone.H
• Tipo de código: Trojan Caballo de Troya: programa que parece beneficioso o útil pero resulta
ser malicioso en algún momento. No se propaga por si mismo.
• Plataformas afectadas: Microsoft Windows de 32 bits y Microsoft Windows de 64 bits.
• Capacidad de residencia permanente: Se ejecuta automáticamente en cada reinicio del
sistema
• Alias: TrojanDowmloader.Zone.h

Propagación
Capacidad de autopropagación: No
Cuando Zone.H se ejecuta, crea el siguiente fichero
"%UserProfile%\Application Data\lsass.exe"

Otros detalles:
Descarga ficheros maliciosos que guarda con nombres aleatorios en la carpeta de archivos
temporales.
Crea a continuación entradas del registro de Windows para que los ficheros se ejecuten con cada
reinicio.

Desinfección:

Con Windows XP, Vista o 7, sabiendo cuándo se produjo la infección, se puede usar la característica
de Restauración del Sistema.En caso de que no pueda volver a un punto de Restauración, es
recomendable desactivar la Restauración del Sistema antes de eliminar el virus por otros medios, ya
que podría haberse creado una copia de seguridad del virus.
2.3. Sasser.b
Definición: es un gusano que se propaga a través de Internet y explota la vulnerabilidad LSASS, que
sobretodo afecta en los sistemas operativos Windows XP, en este se propaga automáticamente, y
también afecta a las demás versiones de Windows aunque en estas no se seguirá propagando.
Síntomas: provoca el reinicio del sistema en Windows.
Método de Propagación
Sasser.B se propaga a través de Internet, atacando ordenadores remotos. Para ello, realiza el
siguiente proceso:
• Sasser.B lanza 128 procesos simultáneos, con los que genera direcciones IP aleatorias.
• Intenta acceder a dichas direcciones IP a través de un puerto específico.
• Al conseguirlo, comprueba si el ordenador remoto presenta la vulnerabilidad LSASS. Esta
vulnerabilidad es crítica en Windows XP/2000 que no han sido actualizados.
• En caso afirmativo, abre una via en el puerto, con el que crea y ejecuta el script que descarga
el gusano al sistema vulnerable.
• La copia de sí mismo descargada tendrá un nombre variable.

2.4. Blaster
Definición: es un gusano que solo afecta a Windows 2003/XP/2000/NT, y aprovecha una vulnerabilidad
del búffer para propagarse al mayor número de ordenadores posible.
Se propaga atacando direcciones IP aleatorias, aprovechando la vulnerabilidad para descargar una
copia de sí mismo en el ordenador atacado.
Síntomas: dos claros síntomas son:
– Un gran aumento del tráfico de red.
– El bloqueo y el reinicio del ordenador debido a errores de codificación.
5. STUXNET
5.1. Los antecedentes
Fue detectado por primera vez el 17 de junio de 2010 por VirusBlokAda. Se le considera un gusano
ya que aprovecha vulnerabilidades para propagarse e infectar máquinas, aunque cuenta también
con propiedades rootkit ya que puede modificiar el comportamientos de los componentes del
sistema.
Existen dos variantes básicas, Stuxnet A/B, firmada por RealTek y otra firmada por un certificado
de Jmicron.

5.2. Propagación

Infecta sobre todo a través de los USB. Otras vías son a través de redes de recursos compartidos y
la vulnerabilidad de RPC.

5.3. Instalación y rastros

Stuxnet crea una serie de ficheros que son visibles con Windows Explorer. Pero una vez que se
infecta la máquina, los ficheros .tmp y .lnk de las llaves USB quedan ocultos a Windows Explorer.

5.4. Síntomas

Una vez infecta la máquina, Stuxnet contacta con su C&C y envía información básica sobre el host:
• Información de la versión de Windows
• Nombre del host
• Nombre del grupo de trabajo
• Un flag indicativo de si el software de WinCC está o no instalado
• Direcciones IP de todas las interfaces de red.

5.5. Soluciones a día de hoy

La medida más efectiva es minimizar el uso de dispositivos USB en nuestros equipos y repasar
las soluciones que van apareciendo.Las principales marcas de antivirus cuentan con firmas
para detectar Stuxnet, como por ejemplo Microsoft. Que deshabilita la visualización de iconos
de acceso directo. O por ejemplo Siemens que mejoró algunos parámetros en la seguridad de
configuración del servidor.
En lo referente a los infectados Siemens publicó instrucciones de un programa que elimina
Stuxnet de forma exitosa.