¿Qué es un Malware?

El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. 

El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos.

El software se considera malware en función de los efectos que, pensados por el creador, provoque en un computador. El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables. 

Malware no es lo mismo que software defectuoso; este último contiene bugs peligrosos, pero no de forma intencionada.

PROPOSITO

El software diseñado para causar daños o pérdida de datos suele estar relacionado con actos de vandalismo. Muchos virus son diseñados para destruir archivos en discos duros o para corromper el sistema de archivos escribiendo datos inválidos. Algunos gusanos son diseñados para vandalizar páginas web dejando escrito el alias del autor o del grupo por todos los sitios por donde pasan. Estos gusanos pueden parecer el equivalente informático del graffiti.

Sin embargo, debido al aumento de usuarios de Internet, el software malicioso ha llegado a ser diseñado para sacar beneficio de él, ya sea legal o ilegalmente. Desde hace ya más de una década, la mayor parte de los virus y gusanos han sido diseñados para tomar control de computadoras para su explotación en el mercado negro y para el robo de datos y perfiles personales. Estas computadoras infectadas ("computadoras zombie") son usadas para el envío masivo de spam por email, para alojar datos ilegales como pornografía infantil, o para unirse en ataques DDoS como forma de extorsión entre otras cosas.

MALWARE INFECCIOSO: VIRUS Y GUSANOS
Los tipos más conocidos de malware, virus, gusanos y troyanos, se distinguen por la manera en que se propagan, más que por otro comportamiento particular. 

El término virus informático se usa para designar un programa que, al ejecutarse, se propaga infectando otros softwares ejecutables dentro de la misma computadora. Los virus también pueden tener un payload que realice otras acciones a menudo maliciosas, por ejemplo, borrar archivos.

Por otra parte, un gusano es un programa que se transmite a sí mismo, explotando vulnerabilidades en una red de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad posible de usuarios, y también puede contener instrucciones dañinas al igual que los virus.

Nótese que un virus necesita de la intervención del usuario para propagarse mientras que un gusano se propaga automáticamente. Teniendo en cuenta esta distinción, las infecciones transmitidas por e-mail o documentos de Microsoft Word, que dependen de su apertura por parte del destinatario para infectar su sistema, deberían ser clasificadas más como virus que como gusanos.

MALWARE OCULTO: BACKDOOR O PUERTA TRASERA, DRIVE-BY DOWNLOADS, ROOTKITS Y TROYANOS
Para que un software malicioso pueda completar sus objetivos, es esencial que permanezca oculto al usuario. Por ejemplo, si un usuario experimentado detecta un programa malicioso, terminaría el proceso y borraría el malware antes de que este pudiera completar sus objetivos. El ocultamiento también puede ayudar a que el malware se instale por primera vez en la computadora.

PUERTAS TRASERAS O BACKDOORS
Un backdoor o puerta trasera es un método para eludir los procedimientos habituales de autenticación al conectarse a una computadora. Una vez que el sistema ha sido comprometido (por uno de los anteriores métodos o de alguna otra forma), puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden instalarse previamente al software malicioso para permitir la entrada de los atacantes.

ATAQUES DISTRIBUIDOS: BOTNETS
(Ver también documento ampliado sobre Botnets)
Las botnets son redes de computadoras infectadas, también llamadas "zombies", que pueden ser controladas a la vez por un individuo y realizan distintas tareas.

Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsión o para impedir su correcto funcionamiento.

La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecución policial.

En una botnet cada computadora infectada por el malware se loguea en un canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultáneamente.

Las botnets también pueden ser usadas para actualizar el malware en los sistemas infectados manteniéndolos así resistentes ante antivirus u otras medidas de seguridad.

¿Qué es el Análisis Forense?

El Análisis forense digital o examinación forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

El análisis forense informático permite obtener evidencias informáticas de un fraude garantizando que la fuente original de la información, el móvil, el ordenador, el disco, etc... no se altera durante el proceso

La informática forense ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats.

IMPORTANCIA

La importancia de éstos y el poder mantener su integridad se basa en que la evidencia digital o electrónica es sumamente frágil. El simple hecho de darle doble clic a un archivo modificaría la última fecha de acceso del mismo.

Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo.

Es muy importante mencionar que la informática forense o cómputo forense no tiene parte preventiva, es decir, la informática forense no se encarga de prevenir delitos, para ello que encarga la seguridad informática, es importante tener claro el marco de actuación entre la informática forense, la seguridad informática y la auditoría informática.

Procesos técnicos de la informática forense

Identificación y preservación de los datos con el fin de crear un duplicado forense, es decir, una copia exacta de los datos de un soporte digital, sin modificar los datos originales.

Análisis de los datos así protegidos por medio de un software especial y de métodos para la recopilación de pruebas. Medidas típicas son, por ejemplo, la búsqueda de contraseñas, la recuperación de archivos borrados, la obtención de información del registro de Windows (base de datos de registro), etc.

Elaboración de un informe por escrito sobre las evidencias descubiertas en el análisis y en el que se incluyan también las conclusiones extraídas del estudio de los datos y de la reconstrucción de los hechos o incidentes.

Procedimientos correctos

Todo el procedimiento debe hacerse tenido en cuenta los requerimientos legales para no vulnerar en ningún momento los derechos de terceros que puedan verse afectados. Ello para que, llegado el caso, las evidencias sean aceptadas por los tribunales y puedan constituir un elemento de prueba fundamental, si se plantea un litigio, para alcanzar un resultado favorable.
En resumen, estamos hablando de la utilización de la informática con una finalidad preventiva, en primer término. Como medida preventiva sirve a las empresas para auditar, mediante la práctica de diversas pruebas técnicas, que los mecanismos de protección instalados y las condiciones de seguridad aplicadas a los sistemas de información son suficientes.

Asimismo, permite detectar las vulnerabilidades de seguridad con el fin de corregirlas. Cuestión que pasa por redactar y elaborar las oportunas políticas sobre uso de los sistemas de información facilitados a los empleados para no atentar contra el derecho a la intimidad de esas personas.

Por otro lado, cuando la seguridad de la empresa ya ha sido vulnerada, la informática forense permite recoger rastros probatorios para averiguar, siguiendo las evidencias electrónicas, el origen del ataque (si es una vulneración externa de la seguridad) o las posibles alteraciones, manipulaciones, fugas o destrucciones de datos a nivel interno de la empresa para determinar las actividades realizadas desde uno o varios equipos concretos.

Peritaje Informático, Dirección IP, la huella digital telemática del criminal.

En la Sentencia de Tribunal Supremo STS 8316/2012 resultaron absueltos dos acusados por delitos de estafa realizada por medios telemáticos. Lo interesante de esta sentencia desde el punto de vista de peritaje informático es que se pone en clara duda que el hecho de que se pueda relacionar una operación fraudulenta a una dirección IP, por ello el propietario o usuario asignado a la misma deba ser inequívocamente el delincuente y autor de la operación.

Esta relación unívoca aparentemente rotunda entre la dirección IP y el usuario de la misma, puede presentar dudas razonables sobre la veracidad y certeza a la hora de imputar la culpabilidad a un individuo (el propietario del dispositivo). Para establecer esta duda razonable sería necesario actuar en dos frentes en paralelo, por un lado en el aspecto tecnológico, por el otro lado, en el perfil y los aspectos circunstanciales del propio individuo.
Considerando los aspectos meramente tecnológicos, se ha de ser consciente que los delincuentes cibernéticos poseen un repertorio de herramientas y métodos para hacerse con la identificación y el uso de direcciones IP de terceros y operar a través de ellas, tales como:

- Sistemas Desactualizados o no protegidos.
- Puertos accesibles, vulnerabilidades del Sistema.
- Redes Wifis abiertas o protecciones WAP o WEP poco seguras.
- Malwares, Troyanos, backdoors, botnets, etc.

Por lo tanto para poder establecer una duda razonable sobre el propietario de la IP como presunto delincuente, se ha de analizar el PC y los dispositivos en búsqueda de estas vulnerabilidades que permitirían al ciberdelincuente la usurpación y utilización ilegítima de la dirección IP para cometer el delito.

El equipo forense redactará, después del análisis de las evidencias, un informe técnico y un informe ejecutivo. En el informe técnico se detallará el proceso de análisis con los resultados obtenidos desde el punto de vista técnico mientras que en el informe ejecutivo se mostrará un análisis no técnico que pueda ser empleado por un tribunal.

El análisis forense informático es una prueba clave en numerosas ocasiones, como por ejemplo:

- Revelación de secretos, espionaje industrial y confidencialidad

- Delitos económicos, societarios o contra el mercado o los consumidores

- Delitos contra la propiedad intelectual e industrial

- Vulneración de la intimidad

- Sabotaje

- Uso indebido de equipos

- Amenazas, calumnias e injurias

- Cumplimiento de obligaciones y contratos

MÉTODOS DE PROTECCIÓN
Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son:

• Protección a través del número de cliente y la del generador de claves dinámicas

• Tener el sistema operativo y el navegador web actualizados.

• Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automáticamente de forma regular ya que cada día aparecen nuevas amenazas.

• Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cuándo sea necesario cambiar la configuración o instalar un nuevo software.

• Tener precaución al ejecutar software procedente de Internet o de medios extraíbles como CD o memorias USB. Es importante asegurarse de que proceden de algún sitio de confianza.

• Una recomendación en tablet, celulares y otros dispositivos móviles es instalar aplicaciones de tiendas reconocidas como App Store, Google Play o Nokia Store, pues esto garantiza que no tendrán malware.

• Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia.

• Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies sólo en páginas web de confianza.

• Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.

• Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extraíbles como CD o DVD para poderlos recuperar en caso de infección por parte de algún malware.