Mi ordenador es un zombi

Imagen cortesía de Android Foundry
Imagen cortesía de Android Foundry
  • Seguro que alguna vez te has topado con un virus informático. La Escuela de Ciberseguridad del IES Alisal te explica cómo funcionan, qué destrozos causan y cómo prevenirlos

Hablamos en el capítulo anterior sobre las amenazas que suponía conectarse a una red WiFi pública y sobre la posibilidad de que un usuario malicioso nos dejase un “regalito” en el ordenador. En esta ocasión vamos a hablar precisamente de esos bichos.

El ecosistema digital

Si tu relación con los ordenadores tiene ya unos años, seguro que si te digo "Viernes 13", "I love you", "Sasser" o "Code-Red" te sonarán. Puede que incluso los hayas sufrido. En efecto, estoy hablando de virus, gusanos y troyanos; lo que en informática denominamos de forma genérica malware.

Lo típico es llamarlos "virus", pero la realidad es que los virus, como tales, apenas existen y casi todo el malware famoso (por su capacidad de hacer daño) han sido gusanos y troyanos.

El gusano es un elemento que se introduce en el ordenador y su única misión es propagarse: se repite y se repite sin necesidad de interacción del usuario. Lo hace en el propio ordenador pero como le gusta conocer mundo también busca la forma de difundirse, así que se sirve de tus herramientas de comunicación (típicamente, el correo electrónico) y las usa a su antojo para presentarse a tus contactos.

El troyano también busca introducirse en el ordenador, pero una vez que llega, se queda en el equipo tan tranquilo y, cuando le apetece, llama a su casa.

¿Qué me pasa, doctor?

Saber que tenemos un gusano en el ordenador es relativamente sencillo. Son dos los síntomas que lo delatan:

1) Notarás que el ordenador va más lento de lo habitual y, no, la culpa no es de Windows ni del antivirus.

2) Últimamente recibes correos sin sentido y algunos de tus familiares los reciben de ti. No, el gestor de correo no se ha vuelto loco.

Sin embargo, saber que tenemos un troyano no es tan sencillo. Algunos están tan bien diseñados que son realmente escurridizos y transparentes para el usuario. Prácticamente la única opción de saber que lo tenemos es analizar los procesos activos y el tráfico de nuestra red en busca de conexiones sospechosas, lo cual no suele ser factible para el usuario de andar por casa.

Así que la opción más común suele ser delegar la responsabilidad en esos programas llamados antivirus. Voy a intentar dejar la eterna batalla de los antivirus para otra ocasión. Aquí me voy a limitar a decir que, igual que no hay medicamento infalible, tampoco hay antivirus infalible. De hecho, muchos antivirus (sobre todo los gratuitos) no son más que un placebo. En otro artículo os demostraré cómo saltárselos sin apenas conocimientos.

Si alguien interpreta de lo anterior que los antivirus no sirven, se equivoca. Sirven, pero no debemos delegar por completo la seguridad de nuestro equipo en ellos, porque fallan (e, insisto, algunos mucho).

No, no he leído 'La Odisea'. Estoy esperando a que salga la peli

El malware troyano recibe este nombre por el comportamiento que tiene. Como sabrás, el caballo de Troya (que aparece en 'La Odisea', de Homero) fue una herramienta en forma de regalo que los griegos utilizaron para entrar en Troya. Una vez dentro de la ciudad, esperaron su momento y atacaron por sorpresa a los troyanos cayendo la ciudad en manos de los griegos.

Si trasladamos esto a nuestros equipos informáticos, la secuencia de los actos es la siguiente:

Acto 1

Vamos en busca del presente. Este regalo tiene varias formas de llegar a nosotros. Vamos a ilustrar algunos de los casos más frecuentes:

El sujeto A se descarga determinado archivo de Internet que, digámoslo de una manera sutil, evita que me gaste un dinerillo en la licencia de un programa que acabo de instalar. Y es que, como dicen los amigos de ese hipermercado de tecnología "Yo no soy tonto".

El sujeto B es más de pelis y música, así que le da bastante a los programitas de P2P tipo eMule, eDonkey, uTorrent, etc…

El sujeto C pasa de programas y de multimedia. Lo suyo son los deportes, así que cada vez que hay partido se lía la manta a la cabeza y se pone a buscar páginas donde pueda verlo.

El sujeto D es aficionado a navegar por Internet, sin más. Suele hacerlo, sobre todo, en páginas donde las personas aparecen con poca ropa.

Acto 2

Recibimos el regalo. No siempre, pero con mucha probabilidad intentarán dárnoslo. Las dos formas en las que nos lo entregan son:

a) Viene acompañando el archivo que nos descargamos.

b ) Aparece en forma de aviso en la web para que lo ejecutemos: un complemento que necesitamos para visualizar la página, un aviso de que hemos resultado ganadores de algo, una alerta de que tenemos virus y hay que ejecutar lo que nos dan para quitarlo. El modus operandi es siempre el mismo: "descárgate y ejecuta esto".

Acto 3

Ejecutamos el archivo descargado y no pasa nada. De hecho el programita ha quedado parcheado, la peli se ve,….Ahora piensas que no ha sido para tanto. El ordenador no ha explotado ni tampoco parece que funcione mal. Felicidades: acabas de recibir un "caballo de Troya.

Acto 4

Con el troyano en el equipo el abanico de posibilidades es inmenso. Este pequeño "programita" (que no llegará a ocupar ni 1 MB) puede tener un comportamiento muy variopinto. Puede aletargarse esperando a que pase algo (como, por ejemplo, que tengas conexión activa a Internet) pero una vez que entra en acción lo primero que hace es lo mismo que el niño que va por primera vez de campamento: llamar a mamá.

En efecto, el troyano típicamente realiza lo que llamamos en informática una "conexión reversa", que no es otra cosa que en lugar de que el equipo atacante busque al equipo de la víctima, el troyano hace que el equipo de la víctima se conecte al atacante para decirle "aquí me tienes, estoy a tu entera disposición. Haz conmigo lo que quieras".

De los creadores de 'The Walking Dead'…

En el momento que el troyano “se activa” el equipo se convierte en un zombi. Desde luego, el usuario puede seguir trabajando tranquilamente. Muy posiblemente no notará ningún cambio. Sin embargo, el usuario malicioso tiene control total sobre el equipo de la víctima. De hecho, llega a tener más control del que podría tener habitualmente la víctima. Para que seáis conscientes de ello, voy a enumerar algunas de las acciones que el atacante puede hacer sin que la víctima sospeche lo más mínimo:

a) Acceder a cualquier archivo (documento, imagen, vídeo,…) de cualquier unidad del equipo y descargarlo.

b) Recibir todas las pulsaciones de teclado que esté ejecutando. Esto incluye las contraseñas, lo que escribe en las páginas (aunque sean seguras), lo que abre, cierra, modifica o elimina.

c) Grabar todo lo que capte el micrófono de la víctima. Para esto, claro está, el equipo debe tener micrófono integrado o enchufado. No hace falta que esté encendido. El atacante lo enciende y apaga cuando quiera; no va a molestar a la víctima.

d) Grabar todo lo que capte la cámara. Como antes, será necesario que el equipo la tenga integrada o enchufada. Tampoco hace falta que esté encendida. A esto le dedicaremos un artículo más adelante, porque lo merece.

e) Recibir capturas de pantalla de la victima de forma periódica.

f) Por supuesto, también puede hacer cualquier operación administrativa sobre el equipo, porque tiene permisos máximos (crear usuarios, cambiar contraseñas…).

En este punto se pueden tomar varios caminos. Dependerá de los intereses del atacante: si su objetivo era ese equipo, los más probable es que recopile toda la información que pueda y que o la venda o te extorsione (depende de lo que encuentre).

Cuando cuento estas cosas, la respuesta más común que recibo es "¡Bah!, ¿y para qué va a querer alguien entrar en mi ordenador?". A lo que yo respondo: ”Tus contraseñas, las fotos de los niños, tu recopilación de favoritos, tu historial de navegación, tus contactos, tus documentos del trabajo”. Y es que toda esta información se paga muy bien en los rincones oscuros de Internet.

Si las intenciones del atacante son más ambiciosas, es posible que nos libremos de lo anterior y nuestro equipo pasará a formar parte de su "ejército particular". Esta recopilación de ordenadores zombis recibe el nombre de botnet.

La unión hace la fuerza

Cuando un atacante está creando un botnet, es que algo bueno no trama. En el mejor de los casos puede utilizarse para mandar correo no deseado (spam) a diestro y siniestro. Pero lo más seguro es que, sin ser conscientes, acabemos siendo partícipes de uno de los ataques más frecuentes en Internet: el ataque de denegación de servicio (DDoS, Distribute Denial of Service).

Este ataque, de forma muy simplificada consiste en lo siguiente: el equipo que aloja una página web o, en general, un servicio, está preparado para que yo le pida que me muestre esa página o ese servicio, y él lo muestre.

Sin embargo, la capacidad de este equipo servidor es limitada (según sus prestaciones, los límites son más o menos elevados). Si varios usuarios se ponen de acuerdo para hacer a la vez esas peticiones, el servidor tiene que esforzarse más y, si logramos poner de acuerdo a muchos equipos (por ejemplo, equipos de una botnet que hayamos creado) y lanzar muchas peticiones continuamente contra ese servidor, llegará un momento en el que no dé más de sí y se bloquee.

Ese momento es lo que vulgarmente se llama "caída del servidor". ¿Qué provoca? Pues que deje de estar operativo para todo el mundo. ¿Y con eso qué se consigue? Fundamentalmente, provocar un perjuicio económico y/o de imagen muy grave a quien presta ese servicio.

Si este ataque se hace contra servicios importantes, el daño puede ser aún mayor. Por ejemplo, contra proveedores de Internet, servicios bancarios y bursátiles, etc…

No necesitas ser especial para ser utilizado

Si tienes que quedarte con algo en claro de este artículo, quizás puedes optar por esta frase.

El pasado 21 de octubre se produjo el mayor ataque en la historia de Internet: fue un ataque DDoS. Lo particular de este ataque es que la botnet (bautizada como Mirai) estaba formada, en su inmensa mayoría, por equipos que no eran PCs, portátiles ni tablets, sino por equipos de lo que se conoce como "el Internet de las cosas" (aparatos domésticos inteligentes, sensores y medidores, …).

Cualquier equipo que esté conectado a Internet es candidato a formar parte de una botnet. No hace falta que tengamos equipos potentes ni que seamos personas importantes. A fin de cuentas, vamos a ser un zombi más de su cuadrilla.

Es cierto que en la mayoría de los ataques DDoS los propietarios de los equipos de la botnet se han considerado víctimas y no se les exige ninguna responsabilidad penal. Sin embargo, en el uso de una botnet más reducida con otros fines (robos, extorsión, pederastia,…) puede ser más complicado demostrar que estábamos infectados, y sí podemos vernos envueltos en lios importantes.

¿Cómo nos protegemos ante esto?

No hay una fórmula maestra que evite que caigamos víctimas de un atacante. Sin embargo, la principal puerta de entrada del troyano al equipo es tu inocencia. Intentarán engañarte y convencerte (esto se llama "ingeniería social" y, créeme, funciona más de lo que piensas). Por ello, tendrás que empezar por adoptar ciertos hábitos que minimicen esa situación

1) Mantén tanto tu equipo siempre actualizado. Esto incluye el sistema operativo, el antivirus, el navegador, los complementos que utilices en el mismo y, por supuesto, el resto de aplicaciones que tengas instaladas.

2) No confíes toda la seguridad del equipo al antivirus. Hay software dedicado a la detección de malware (por ejemplo, Malwarebytes).

3) Aléjate de las páginas que mencionábamos como casos más frecuentes de infección.

4) Nunca aceptes descargas de páginas que no sean oficiales o que no supongan confianza. Ante la duda, recházalo.

5) Olvídate de los cracks, generadores de números de serie y todo eso. El 99,99% vienen con un troyano integrado.

6) Acostúmbrate a pasar todo lo que descargues por las herramientas que tengas para protegerte. Una buena opción, como complemento, es revisarla en la web Virus Total, que lo pasa por un montón de antivirus.

7) Por si hasta ahora no habías caído, todo esto es de aplicación no sólo a los ordenadores y portátiles sino también a las tablets, los teléfonos móviles y todo lo que esté conectado a Internet (relojes, televisores, termostatos …).

8) Hay troyanos para Windows, Linux, MacOS, iOS, Android y, en general, para prácticamente cualquier sistema operativo. Así que, a partir de ahora, el seguir creyendo que todo esto solo les pasa a los de Windows es decisión tuya.

Para finalizar este artículo, me gustaría comentaros que hemos habilitado la dirección de correo electrónico peticiones@ciberalisal.es para que nos hagáis llegar todas las peticiones de temas que queráis que tratemos. Intentaremos darlas respuesta en la medida de lo posible.