Juan Ochoa estaba sentado en su oficina revisando el correo electrónico en su bandeja de entrada cuando notó que había un correo con el siguiente título:  Mail delivery failed: returning message to sender

Entonces pensó “¿acaso no se pudo entregar el correo que acabo de enviar? ¿Será que el correo que le mandé a mis amigos fue bloqueado?” Entonces procedió a abrir el correo en cuestión y tristemente vio que se trataba de un mensaje de spam relacionado con productos farmacéuticos, lo interesante es que supuestamente él lo había enviado. Esto confundió más a Juan porque él nunca realizó dicho envío.

Tras investigar un poco, Juan se dio cuenta que el mensaje es un ejemplo de lo que llamamos spam NDR (non-delivery receipt).

En las últimas semanas, Symantec ha observado una oleada de ataques de spam NDR. Si bien es cierto que esta técnica ya había sido utilizada, el aumento en la cantidad de este tipo de correos ha llamado la atención, pues mucha gente se muestra confundida sobre estos mensajes y lo que es peor, los abren. Pero, ¿de dónde vienen? ¿Cuál es su intención?

Este tipo de spam utiliza una técnica un tanto laboriosa pues en lugar de poner la dirección de correo de la víctima en el espacio “Para”, los spammers NDR colocan la dirección en el apartado “De”. Una vez hecho esto, el spammer envía el correo a un servidor con una dirección aleatoria y muchas veces ficticia. De esta manera, el mensaje viaja a su destino, pero solo para ser rebotado por el servidor y devuelto al “remitente original” porque la cuenta de correo a la que se envió no existe.

Dado que el spammer colocó la dirección válida en el apartado “De”, automáticamente la víctima recibe un mensaje en su bandeja de entrada diciendo que no se pudo entregar el correo. Como algunos servidores de correo están configurados para incluir el mensaje original cuando un envío se rebota, esto hace que al abrir el correo titulado “Mail delivery failed: returning message to sender”, la víctima encuentre el mensaje de spam y este es precisamente el resultado que buscan los atacantes.

Al usar esta técnica, el spammer está apostando a que el receptor del mensaje tendrá mayores posibilidades de abrirlo, pues el título del correo es bastante común como para sospechar que se trata de spam o correo no deseado. De hecho, muchas personas utilizan sus cuentas de correo diariamente y cuando ven un correo rebotado o devuelto, el instinto natural los lleva a abrirlo y revisar cuál de los mensajes que mandó no pudo llegar a su destino. Por supuesto que, si la persona no ha mandado un correo recientemente y recibe un mensaje de que algo no se entregó o se rebotó, muy probablemente se tratará de spam NDR y las posibilidades de abrirlo, serán menores.

Este método parece ser hoy día uno de los preferidos por los spammers, por ello Symantec recomienda no abrir mensajes con el título “Mail delivery failed: returning message to sender” sobretodo si no se ha enviado algún correo recientemente.

Fuente: www.symantec.com

NOTA del redactor:  Para todos aquellos los que como un servidor en que más del 80% de su trabajo radica dentro de los mensajes vía e-mail, es más que prioritario para evitar contingencias con spam así como los problemas de phishing,  el de contar con un sistema de filtrado anti-spam en nuestro servidor de correo el cual nos brinde protección perimetral (este lo debe proveer el ISP al que le rentamos el servicio de hosting, en caso de que nuestra organización no cuente con el propio servidor de correo). Así también como el contar con una herramienta anti-spam de escritorio instalada en nuestro cliente (programa con el que leemos) de correo; mientras más critica sea la información que manejemos vía e-mail, más importancia toman estas medidas de filtros de seguridad TI.

Cuando esto nos ocurre el mensaje para la descarga de las “fotos” de nuestro contacto aparece muchas veces en español, inglés e incluso en otros idiomas. Esta situación para los que no lo saben en realidad se trata de contactos infectados con Malware o virus que han proliferado en los sistemas de mensajería como el Messenger (sea el Windows Live o el MSN Messenger).

Como Funciona: Normalmente te aparece una ventana de conversación pidiendo que te descargues un archivo (generalmente un comprimido ZIP) con fotos de MySpace, un programa gracioso, una presentación de PowerPoint, etc.

Cuando uno acepta el envío, y posterior a ello hace Click en el archivo que te pasaron; ya estás infectado. El programa de malware se hará cargo de automáticamente de enviar el mismo mensaje a todos tus contactos, variando el texto y poco más y el ciclo de infección vuelve a repetirse con el contacto que acepte la transferencia que el virus envia usando tu cuenta de Messenger.

Como Prevenir: Por defecto nunca admitas un archivo que no hayas pedido, así de claro. Nadie te va a enviar sus últimas fotos personales porque sí.

Lo primero que debe hacer uno cuando alguien le envía un archivo es confirmar que realmente su interlocutor lo está haciendo. Basta con preguntar al contacto si está enviando un archivo. Si la respuesta es NO, está claro que es otra cosa.

Si lo descargaste sin querer o no pensaste a tiempo y por reflejo aceptaste la transferencia; una vez descargado el archivo transferido dale una escaneada con tu antivirus (no creo no cuentes con uno actualizado en tu PC). Si haces esto, seguro brotaran algunos bichos que contenía la descarga y son suprimidos en su totalidad.

Para reducir el riesgo mantén tu PC actualizada con Windows Update. Mucho malware del Messenger no infecta cuando uno tiene todos los parches críticos de seguridad de Windows instalados.

Un Ultimo Recurso: Si ya estás infectado existe una herramienta auxiliar a nuestra disposición. Se llama MSNCleaner y se mantiene y descarga en este foro: MSNCleaner by InfoSpyware.

O también de:  http://msncleaner.softonic.com/

Según cierta información que me hicieron llegar  la gente de ESET (los fabricantes del antivirus NOD32), comentan lo siguiente: Durante los últimos días se ha propagado un exploit para el Kernel de Linux (versiones de 2.6.17 hasta 2.6.24.1) y su explotación permite elevación de privilegios y ejecución de código como Root. ¿Y eso que tiene que ver con el malware? Todo. La ejecución del exploit podría por ejemplo permitir instalar aplicaciones modificadas en el sistema Linux, con todo el daño y peligro que implica tener un sistema troyanizado. Poco después de la publicación del exploit, ya se encuentra disponible la solución para esta vulnerabilidad y la actualización al Kernel de Linux 2.6.24.2. Pero la respuesta no fue inmediata, tardo un poco en llegar; y mientras esto ocurrio, el riesgo estuvo presente.

Si bien hasta el momento y por el número de usuarios (especialmente del tipo empresarial) que usan Linux como plataforma operativa a nivel mundial no es tanto comparándolo con Windows, muchos atribuyen ello a que los ataques de malware para Linux son casi nulos, pero la realidad es que si existe el riesgo. En lo particular considero que si Linux sigue ganando terreno poco a poco, este operativo será cada vez mas atractivo para los creadores de malware y spam y será atacado cada vez con mayor frecuencia.

¿Que es lo que este escenario nos plantea? Les diré lo que yo creo puede ocurrir a futuro si los ataques informáticos a Linux comienzan a disparase.

Ello implicara que vayan surgiendo soluciones de seguridad que refuercen al operativo, tal cual como sucede en Windows y Mac OS; aquí la cuestión es si estas herramientas de seguridad serán desarrolladas por las DISTROS Linux (SUSE, Red Hat, Ubuntu, etc) o por organizaciones sin fines lucrativos (como las que desarrollan la mayor parte del software en Linux).

Si esto ultimo ocurre, no sé qué tan efectivo seria, ya que quieran o no, los fabricantes de aplicaciones de seguridad ya cuentan con infraestructura mundial para la detección de los ataques y laboratorios especializados para el desarrollo de la solución correspondiente.

Si los fabricantes de software de seguridad publican aplicaciones bajo pago para Linux así como ocurre en Windows, tal vez ciertas organizaciones empresariales que tienen sus servidores críticos en la plataforma registren un licenciamiento bajo pago para protegerse, pero no creo eso ocurra con las entidades gubernamentales e instituciones académicas que usan Linux por cuestiones de economía; mucho menos con el usuario promedio de Linux que lo que más alaba de su software es que es libre de todo pago.  A todo esto yo imagino que saldrá un nuevo tipo de propuesta, que sería algo más o menos así.

Alianzas por parte de las principales DISTROS con los principales fabricantes de aplicaciones de seguridad; mismos que produzcan aplicaciones de seguridad gratuitas auspiciadas por publicidad. Para eso me gusta el escenario a futuro.

Por dar un ejemplo ficticio: Me imagino una versión de NOD32 Linux Security for SUSE; desarrollada por ESET especialmente para los usuarios del Linux de Novell, y distribuida por el sistema de actualizaciones de la misma DISTRO. En el caso de OpenSUSE mantenido vía publicidad, justo como Yahoo! Mail o Windows Live Messenger. Y para el caso de usuarios SUSE (que si pagan una licencia a Novell), con la versión libre de  publicidad.

Cierto es que algunos fabricantes como PANDA (a costo gratuito), y Symantec, ESET y McAfee (bajo pago pero a nivel corporativo) ofrecen ya aplicaciones AV para Linux; pero ello aun dista mucho de ser un entorno tan competido y completo como lo es en Windows o incluso en Mac OS.

¿Sera ese el futuro de la seguridad en Linux?, ¿Ocuparemos protegerlo y blindarlo del malware justo como tenemos que hacerlo actualmente con Windows o Mac OS? Solo el tiempo lo dirá,.. ¿Y usted qué opina?

A principios de Febrero, la compañía Adobe lanzó una actualización para su lector de PDF que corregía una serie de 26 fallos dentro de los que se encuentra una vulnerabilidad crítica que permite la ejecucción de código en el equipo del usuario.  Aprovechándose de esta vulnerabilidad, en sistemas no actualizados, es posible la descarga y ejecución de código dañino. Al abrir un archivo PDF especialmente modificado, el mismo es capaz de descargar y ejecutar diversos tipos de malware entre los que se desctacan KillAV o Zonebac o gusanos de la vieja familia Bagle.
 
La etapa de infección comienza cuando un usuario ejecuta un PDF modificado maliciosamente y se descarga cualquier tipo de malware sin que el usuario lo note, ya que a simple vista se abrió el PDF en cuestión en forma normal, sin importar su contenido real. Generalmente, en los casos analizados, el PDF suele estar vacio sin ningún contenido.

Las versiones de Adobe Reader atacadas son las anteriores a la 8.1.2 y la forma de solucionar la vulnerabilidad es descargando la nueva versión disponible desde el sitio oficial de Adobe. La importancia de contar con un sistema operativo y sus aplicaciones siempre actualizados permite la prevención contra este tipo de amenazas, ya que siempre será la primera opción para no ser víctima de los  ataques que aprovechan vulnerabilidades.
 
Mayor información en el blog de ESET Latinoamérica:
http://blogs.eset-la.com/laboratorio/2008/02/12/vulnerabilidad-adobe-reader-permite-descargar-malware/

F-Secure y Symantec han confirmado que han detectado el primer Troyano programado específicamente para atacar a los iPhone. Conocido con el nombre de ‘iPhone firmware 1.1.3 prep’, una vez es instalado en el móvil muestra en pantalla la palabra “shoes”. En caso de que se intente desinstalar, la aplicación borra los archivos alojados en el directorio /bin.

Su amenaza es relativamente baja, ya que para devolver el sistema a la normalidad basta con reinstalar los ficheros que se hayan visto afectados durante el proceso de eliminación del troyano. Aún así, lo verdaderamente destacable no es ya la peligrosidad del gusano sino el hecho de que alguien haya sido capaz de crearlo y hacerlo funcionar en un iPhone.

Dependiendo de la popularidad mundial del dispositivo iPhone es muy probable que si este malware nativo para esta plataforma de comunicación comience a masificarse; los principales fabricantes de software de seguridad comiencen a ofrecer soluciones antivirus y antispyware para iPhone. Eso, solo el tiempo lo dirá.

Fuente: ZDNet http://news.zdnet.com/2424-9595_22-182554.html

P.D. Como bono del día, anexo un comentario humorístico que me acaban de pasar vía MSN un colaborador:

* Un geek le dice a otro:

          -Te has enterado que poniendo los CDs de Microsoft al revés puedes escuchar un mensaje Satánico.

* Y el otro le contesta:

          -Eso no es lo peor. Al derecho te instalan Windows Vista.

1. Los ataques continuarán siendo motivados por razones financieras y se volverán más “profesionales” en su naturaleza.

Desde finales del 2004, hemos estado observando una motivación detrás de los ataques enfocándose a las ganancias financieras. Creemos que esta tendencia continuará en el 2008, con técnicas avanzadas más “profesionales” por los autores de malware a través de módulos y reutilización de componentes de código malicioso. Por ejemplo, el grupo detrás de Zlob, proveyó una pista de las tendencias que se observarán – ellos fueron muy profesionales y pusieron un esfuerzo significativo en asegurar que no fueran detectados por AV-software el mayor tiempo posible, lo cual creemos, indica que fue creado manualmente por varias personas.

Un posible cambio se observará en cómo las diferentes familias de códigos maliciosos empezarán a trabajar combinadas, como un sistema de infraestructura plug-in, en lugar de estar peleándose unas contra las otras (como está ocurriendo actualmente).

Otras técnicas en esta área serán las alteraciones en el contenido malicioso del lado del servidor por cada requerimiento, así como el envío de contenido malicioso solo una vez por dirección IP y entonces entregar contenido seguro en los subsecuentes requerimientos que se hagan hacia dicha dirección IP.

Del mismo modo, las explotaciones basadas en Web, se están volviendo más estables. En el pasado, los sitios maliciosos, probaban todos los ataques que tenían, uno después del otro, con la esperanza que uno de ellos tuviera éxito. En el futuro, veremos más y más sitios maliciosos que estarán confirmando, si su cliente (la víctima), tiene los últimos parches de seguridad instalados, y solamente si es vulnerable, el ataque se enviará.

La naturaleza del profesionalismo se ve confirmada por la disponibilidad creciente de “mercados negros”, que venden las bases de datos robadas, tales como tarjetas de crédito, cuentas bancarias, etc.

2. Los vectores de ataque se volverán todavía más indirectos.

Un cambio significativo en cómo los ataques son llevados a cabo, esta saliendo a flote, y será, sin lugar a dudas, más prominente en el 2008. Estaremos viendo ataques “indirectos” de escenarios múltiples, con un declive significativo en infecciones directas donde un malware, maneja las múltiples partes de un ataque.

Veremos un incremento en los ataques que ocultan el código malicioso en archivos multimedia distribuidos sobre servicios Web confiables. Esto se está volviendo más popular mientras se mantienen debajo del radar de los vendedores de seguridad por un largo tiempo.

Dependiendo de cómo Microsoft empuje agresivamente su tecnología Silverlight, podría convertirse en una nueva plataforma vulnerable para esconder el contenido malicioso y los ataques de desempeño Cross-Site-Scripting (solamente el Adobe Flash’s ActionScript es usado para esos propósitos actualmente). Pero esto solamente ocurrirá si Microsoft presiona fuerte; de otra manera Flash seguirá siendo el estándar de facto, que es hoy en día.

De la misma manera, sitios Proxy confiables de servicios, como los de traducción, pueden comenzar a utilizarse indebidamente para correr códigos maliciosos en el contexto de un sitio confiable. En el 2007, vimos el hospedaje de contenido sospechoso – en primera instancia pornográfico – encaminado a comprometer la educación e incluso algunos sitios gubernamentales. Debido a la falta de presupuestos y la implementación de seguridad en estos sectores, esta tendencia probablemente continuará.

De forma similar, el generalizado ataque basado en MPack, en el sur de Europa ocurrido durante la primavera y el verano pasado, siguió una conducta lógica similar de infectar “silenciosamente” sitios confiables redirigiéndolos hacia un sitio malicioso. Los atacantes pudieron haber hospedado más códigos maliciosos directamente en los Sites comprometidos, en lugar de solamente redirigirlos con un IFRAME, y continuarán haciéndolo en el futuro.

Los ataques dirigidos hacia redes corporativas, podrían incrementarse, en forma de computadoras botnet, corriendo en redes confiables y permitiendo a los atacantes, indirectamente, lanzar ataques de phishing en contra de sus victimas actuales desde una red confiable.

3. Las plataformas de software alternativo, serán atacadas en forma más frecuente.

Las vulnerabilidades día cero en componentes principales, por ejemplo en sistemas operativos y browsers de Internet, son cada vez menos importantes y el resto de las vulnerabilidades se vuelven más difíciles de explotar. En marzo del 2007, la vulnerabilidad ANI-header, fue la única verdaderamente crítica, basada en el buffer. En contraste, las últimas vulnerabilidades VML (heap buffer-based), necesitarán un ataque de dos fases con archivos gráficos VML malformados, para poder explotar. La característica Windows Vista"s Address Space Layout Randomization (ASLR) seguramente será otra razón de porqué las vulnerabilidades “simples” serán menos en el 2008.

Esto puede atraer la atención del atacante hacia software de terceros instalado típicamente en la computadora del usuario. Desde luego, un significativo número de explotaciones en contra de browsers alternativos o media players, ya existen en su naturaleza, pero la proporción entre este grupo, comparado contra las explotaciones de los productos de Microsoft, probablemente vaya creciendo a favor del grupo de software alternativo.

Los usuarios a menudo no están conscientes del software no-Microsoft que tienen instalado, y sin un conveniente mecanismo de actualizaciones, no saben cómo mantener su protección actual.

Otro cuestionamiento en esta área, es que tan fuerte será la adopción del browser Safari de Apple en la plataforma Windows. Y si Apple lo pondrá en paquete con el iTunes, su instalación generalizada podría dar lugar a más ataques en contra de esta nueva alternativa de browser en 2008.

Esperamos un futuro crecimiento en vulnerabilidades Cross-Site-Scripting en 2008, debido a la creciente adopción de ricas tecnologías para el cliente, también conocido como AJAX en los sitios más populares de la Web. Esta creciente interactividad entre la interpretación del browser de estos sitios y las aplicaciones del Web serán probablemente mal empleados para ocultar la fuga de datos.

Las compañías con planes de cambiar a Vista, probablemente lo harán cuando se de la disponibilidad de SP1 (planeada para el primer trimestre del 2008). Vista se convertirá en la versión predeterminada de Windows, el próximo año (en lugar de Windows XP), lo que seguramente ocurrirá, su incrementada base de usuarios, llevará a los autores de malware a adaptarse a las nuevas características específicas de Vista. Por ejemplo si es la primera versión de Windows, que se envía con el soporte. Entonces el malware para la plataforma .NET puede pasar de su actual estado de Prueba de Concepto, a producción. Del mismo modo, la tecnología de 64-bit, está ya disponible en todos los CPUs de las PCs (tanto Intel como AMD), y dependiendo del soporte Vista para 64-bit (el cual es mejor que el de Windows XPs), más aplicaciones de terceros, serán direccionadas a los 64-bit, haciéndola una plataforma más atractiva para el usuario final. Tan pronto como esto suceda, el malware de 64-bit pasará de su estado PoC a su producción.

Cuando los usuarios caseros adopten significativamente Windows Vista en 2008, los atacantes tornarán su atención hacia los usuarios corporativos, buscando una víctima que esté corriendo un sistema menos seguro (posibilidad de derechos administrativos en lugar de  UAC, no ASLR, etc.). Si esto sucede, sólo será un cambio temporal y pequeño.

4. Los malware de tipo repetitivo desaparecerán, las botnets podrían disminuir substancialmente.

Los Troyanos, keyloggers y spyware de robo de datos/identidad seguirán existiendo y serán el tipo de malware más prevaleciente.

Un objetivo importante para el spyware son las cuentas de juegos en línea. World of Warcraft, Lineage y Second Life permiten volver logros virtuales en dinero real. El Mercado de las apuestas en línea está creciendo fuertemente, especialmente en China (paralelamente a la disponibilidad del acceso a Internet de banda ancha) – y los ataques de malware hacia los jugadores crecerá también.

Virus y gusanos continuarán muriendo, debido a la propagación de los métodos de detección like-radar. Estos métodos de distribución para estos tipos de ataques son muy ruidosos y están empezando a ser remplazados por troyanos.

Bots y backdoors empezarán a decrecer en presencia – probablemente debido al incremento de uso de firewalls de escritorio. El mejorado firewall de Vista, posiblemente contribuya a su decrecimiento. A través del uso del protocolo IRC, que es todavía fuerte entre los bots de hoy en día, el creciente uso de firewalls de escritorio y quizá el movimiento hacia usuarios corporativos, podría guiar a un uso más prevaleciente del http. La disponibilidad de Windows Server 2008 el próximo año, el cual será enviado con Network Access Protection (NAP) incluido, decrecerá la ya baja prevalencia de los bots en los espacios corporativos.

Autor: Paul A. Henry (*)  Fuente: www.infochannel.com.mx 

* El autor es Vicepresidente de Evangelización de Tecnología de Secure Computing.

Evolución de bots – Esperamos que los bots evolucionen y se diversifiquen en su manera de operar. Quizá, por ejemplo, podríamos llegar a ver situaciones como sitios de phishing hospedados por computadoras con bots.

Plataformas móviles – El interés en seguridad móvil está en su punto más alto. A medida que los teléfonos se vuelven más complejos, más interesantes y más conectados, se espera que los atacantes tomen ventaja de ello.

Evolución del Spam – Se espera que el spam siga evolucionando para evadir los sistemas tradicionales de bloqueo y hacer que los usuarios abran los correos no deseados.

Mundos virtuales – Se considera que mientras continúe aumentando el uso de mundos virtuales y los juegos en línea que involucran a múltiples jugadores se hagan más populares, se crearán nuevas amenazas ya que los criminales, phishers, spammers y otros delincuentes digitales pondrán su atención en estas nuevas comunidades.

Amenazas avanzadas de Web – A medida que el número de servicios Web aumenta y los navegadores interpretan de manera uniforme del lenguaje de códigos como JavaScript; se espera que el número de amenazas basadas en Web se incremente.

Campañas electorales – Especialmente en Estados Unidos, a medida que los candidatos políticos utilicen Internet como parte de sus campañas no deben perder de vista que existen diversos riesgos de seguridad asociados a las TI. Estos riesgos incluyen, entre otros, la difusión de donaciones en línea para las campañas; el envío de información errónea; fraude; phishing; y la invasión de la privacidad.

¿Falto alguno?, ¿Cuál agregaría usted?

Si desea ver este boletín completo, puede descargarlo en PDF de:

http://www.symantec-mexico-norte.com/pdfs/SymantecNewsletterDic07-10PuntosClaves.pdf

Otros videos y presentaciones en:

http://www.symantec-mexico-norte.com/info.htm

En menor o mayor medida, muchos desconocen conceptos esenciales que implica la seguridad básica. Incluso yo me he encontrado con administradores de sistemas y TI que ignoran casi en su totalidad la temática. Si eres un usuario promedio, hasta cierto punto se entiende la ignorancia, pero cuando se trata de un profesional, caray,.. Deja mucho que desear,…

Para todo lo referente a conceptos básicos e información y tips sobre seguridad básica; les comparto este portal web implementado por la UNAM en donde se recopila la información más esencial en lo que refiere a seguridad informática; aun mejor, se explica en términos de lo más sencillo.

¿Qué es un troyano? ¿Cómo funciona el pharming? Muchas respuestas a las preguntas cotidianas sobre seguridad pueden encontrarse en este sitio mantenido por la Dirección General de Servicios de Cómputo Académico (mejor conocida como la DGSCA) de la UNAM.

Portal USUARIO CASERO: http://www.seguridad.unam.mx/usuario-casero/

ESET, proveedor global de protección antivirus de última generación, advirtió hoy sobre la creciente tendencia del malware y otras amenazas informáticas orientadas específicamente a los usuarios de Internet de habla hispana.

 Además de ataques de phishing que tienen como objetivo a clientes de bancos y entidades bancarios latinoamericanas, se esta haciendo costumbre encontrarnos con malware que utiliza el Windows Live Messenger, antes conocido como MSN Messenger, para propagarse en mensajes instantáneos en idioma español.

 Tal es el caso del último reporte de nuestro laboratorio latinoamericano acerca del código malicioso detectado por ESET NOD32 Antivirus como Win32/Delf.NEH, disponible en:

 http://blogs.eset-la.com/laboratorio/2007/11/17/mas-malware-de-windows-live-messenger-en-espanol/

 Este último malware no difiere demasiado en su forma de propagación respecto a otros ejemplos de códigos maliciosos que aprovechan el mensajero instantáneo de Microsoft para propagarse, pero remarca la tendencia del malware orientado a este medio de comunicación e idioma.

 Otras firmas de seguridad consolidadas como Symantec y McAfee ofrecen de igual forma aplicaciones con protección proactiva para este tipo de amenazas.

Recuerde que en materia de seguridad informática existe un facto: “Si estamos conectados a internet, y compartimos información a través de la red; un ataque informático (por un malware o cracker) no es cuestión de si ocurrirá o no, sino de cuándo ocurrirá, ya que es un hecho pasara; y cuando esto pase, el daño y éxito del mismo será inversamente proporcional al tipo de protección y seguridad informática con el que contemos”.

Durante el periodo del informe (del 1 de Enero de 2007 al  30 de Junio de 2007), Symantec tambien detecto un incremento de delincuentes en la Red que obtienen el maximo provecho de toolkits o paquetes de herramientas sofisticados para llevar a cabo ataques maliciosos. Otros aspectos destacados del informe son los siguientes:

·  Las tarjetas de crédito fueron los artículos más anunciados en servidores del mercado negro (22%), seguidas por las cuentas bancarias (21%)

·  Durante el primer semestre de 2007, se conocieron 237 vulnerabilidades que afectaban plug-ins del navegador, un importante aumento frente a las 74 registradas en la segunda mitad de 2006 y 34 en el primer semestre de 2006

·  Los códigos maliciosos que intentaron robar información de cuentas de juegos en la Red representaron el 5% de las principales 50 muestras de códigos maliciosos con capacidad para producir una infección potencial.

·  Los juegos en línea se están convirtiendo en una de las actividades más populares y, a menudo, ofrecen artículos que pueden ser adquiriros mediante dinero, lo que proporciona una oportunidad potencial para que los atacantes obtengan beneficios económicos

·  El spam representó el 61% de todo el tráfico de correo electrónico monitorizado, lo que supone un ligero aumento frente a lo registrado el último semestre de 2006, cuando el 59% de los correos electrónicos fue clasificado como spam

·  La pérdida o robo de equipos o de otro medio para almacenamiento de datos representó un 46% de todas las fugas de datos que pueden generar suplantaciones de identidad. Symantec’s IT Risk Management Report mostró que el 58% de las empresas esperan una importante pérdida de datos, al menos una vez cada cinco años

Si desea mayor información, visite la página web de Symantec sobre dicho informe en el siguiente link: Informe sobre Amenazas a la Seguridad en Internet  

Hasta no hace un par de semanas atrás AOL (America on Line www.aol.com) estaba patrocinando una versión gratuita y 100% funcional del Kaspersky Antivirus bajo el nombre de Active Virus Shield en www.activevirusshield.com, la cual podías utilizar después de registrar tu dirección de e-mail a donde te enviaban el serial de activación correspondiente.

Los que conocemos de seguridad TI sabemos que Kaspersky es un excelente antivirus y el que AOL te regalara una edición gratuita del mismo era más que fabuloso para usuarios caseros, estudiantes, y profesionistas independientes que requirieran de un programa profesional de seguridad informática a costo cero. Sin embargo AOL en días pasados finalizo el servicio con Kaspersky y por ende el Active Virus Shield dejo de ofrecerse. Lo bueno fue que a los pocos dias de esto AOL reinicio esta iniciativa nuevamente solo que esta vez utilizando tecnología de McAfee mediante una edición especial de McAfee VirusScan Plus.

Lo único que requieres para acceder a esta aplicación McAfee gratuita es contar con un correo en AOL (Screen Name) con el cual puedes descargar el VirusScan Plus edición especial de AOL. Y claro, estar dentro del marco legal que contempla la licencia de este programa (solo usuarios caseros, estudiantes y profesionistas independientes). Pueden acceder a mayores detalles, la descarga de la aplicación, o la activación de una cuenta de AOL gratuita en la dirección web de Active Virus Shield www.activevirusshield.com.

Aplaudo de pie esta iniciativa de AOL en ofrecer este tipo de aplicaciones gratuitas con tecnología de proveedores líderes como McAfee y Kaspersky. Espero otros grandes del Internet como Yahoo!, Google o MSN (Microsoft Windows Live) sigan su ejemplo con iniciativas similares.

El más reciente Reporte de Spam de Symantec de Julio 2007, revela que el SPAM representa 66% de todo el correo electrónico en Internet. Adicionalmente el reporte señala que los spammers están empleando nuevas tácticas para realizar sus envíos y que el spam de imágenes va en decremento (representando 8% de todo el spam vs. 52% que representaba en el mes de Enero 2007) y el uso de documentos adjuntos como PDF se ha incrementado.

“Atribuimos la disminución dramática del spam de imágenes al hecho de que los fabricantes de antispam han sido más exitosos en bloquear este tipo de ataques, lo que ha forzado a los spammers a mirar hacia otras técnicas”, señaló Doug Bowers, Director Senior de Ingeniería Anti-Fraude (Phishing) para Symantec.

La nota interesante dentro del reporte es que durante julio, Symantec detectó la primera muestra de un spam que imita las alertas de blogs enviadas por Google, siendo ésta una nueva modalidad de envío de SPAM.

Otros aspectos destacados del reporte: 

• Los archivos de Excel y Zip se están usando como receptores de spam: “La tendencia es que se trata de spam de archivos adjuntos. Por ello es probable que veamos un incremento en MS Excel, MS Word, archivos zip y otros formatos de documentos empleados como parte del spam en los próximos meses ”, señaló Bowers.
• El spam que usa tarjetas electrónicas de felicitación sigue siendo una táctica favorita de los spammers. Symantec detectó más de 250 millones de este tipo de SPAM dirigidos a una muestra de clientes durante el mes de Julio.
• El SPAM que contiene dominios de origen chino se ha incrementado.

El informe completo puede descargarse desde la siguiente liga: Reporte Mensual de Spam, Symantec Agosto 2007

Recuerde que un buen antivirus y antispyware, no puede protegerlo de este tipo de amenazas. Es necesario contar con defensas antispam de multinivel, aun mas si estamos hablando del manejo y protección de información corporativa. Si le interesa ver que es una protección multinivel, puede consultar el artículo Antispam Wars en:  http://www.ehui.com/?c=59&a=78092

En el mundo del cyber-crimen, donde información relacionada con tarjetas de crédito es vendida y comprada, los ladrones necesitan saber si las tarjetas que compran o venden están vigentes y pueden ser usadas. Pero en ocasiones, resulta difícil para ellos verificar esto sin generar señales de alerta y sin hacer que las tarjetas de crédito que tienen sean identificadas como robadas y posteriormente sean desactivadas por los bancos o los usuarios. Como consecuencia de esto, ha aparecido una nueva tendencia.

Los ladrones de tarjetas que quieren verificar que una tarjeta de crédito es legítima y está activa, han empezado a donar dinero a obras de caridad. Al pagar pequeñas cantidades de dinero a varias organizaciones de caridad, incluyendo grupos como la Cruz Roja, los delincuentes pueden determinar si una tarjeta robada es válida, dependiendo en el éxito o fracaso de dicha transacción.

Hay numerosas razones por las que este método podría volverse más popular. Por ejemplo, los monitoreos bancarios pueden tener menos posibilidades de fijarse en donaciones hacia caridad como una actividad fuera de lo normal. Esto puede deberse a que las donaciones caritativas legítimas no son actividades que se realicen diariamente por los usuarios de tarjetas de crédito por lo que sería difícil determinar si salen fuera del patrón de uso. Por ello, no sería raro ver que esta tendencia se incremente poco a poco.

Algunos datos adicionales relacionados con los fraudes de tarjetas de crédito son:

• De acuerdo con Symantec, durante el segundo semestre de 2006, las tarjetas de crédito basadas en Estados Unidos con dígito verificador se vendían en servidores de economía informal a un precio que variaba entre uno y seis dólares 
• Durante el mismo periodo, 51 por ciento de todos los servidores de economía informal detectados por Symantec estaban ubicados en Estados Unidos, siendo el país con más servidores de este tipo. 

Fuente: Symantec Security Response Weblog

http://www.symantec.com/enterprise/security_response/weblog

Según un estudio realizado en España, el 72% de los PC (caseros y empresariales) cuentan con malware o software malicioso (virus, spyware, gusanos, troyanos, rootkits, etc).   En esta misma proporción se concentra Latinoamérica.

Según Intelco (Instituto Nacional de Tecnología de la Comunicación) quien realizo dicho estudio, los usuarios deberían servirse de más y mejores herramientas de seguridad informática acordes al  tipo de infraestructura con que cuenten (empresarial o casera), pero ante la falta de información y sobre todo de interés, son muy pocos los que deciden instalar en sus PC las medidas de protección adecuadas a sus requerimientos de computación e interconectividad. Esto a tal punto que un 72% de los usuarios tiene algún tipo de código malicioso en su PC y de esa cifra, el 52% de los casos es de alto riesgo.

Como siempre digo en lo referente a seguridad informática;  debemos estar consientes que la información en nuestras PC, es información que en la gran mayoría de los casos (al menos en las computadoras de las empresas y profesionistas) representa activos que no son otra cosa sino dinero y recursos de trabajo; y como tal debemos protegerlos.

Si desean mayor detalle de este informe visiten: http://inteco.red.es/frontinteco/es/studyCategory.do?action=viewCategory&id=5036&publicationID=47187

Esta información me ha sido facilitada por mis amigos de ESET Latinoamérica con sede en Buenos Aires.  Los datos de propagación son generados por ThreatSense.Net ©, el servicio estadístico de la compañía ESET.

ThreatSense.Net es el servicio de Alerta Temprana de ESET el cual indica el porcentaje de propagación de todos los códigos maliciosos que han sido detectados a nivel mundial. Los datos son enviados desde más de 10 millones de sensores únicos, que recolectan estadísticas sobre más de veinte mil distintos tipos y familias de códigos maliciosos activos durante el último mes. Mas informacion en: http://www.eset-la.com/threatsense.net

Si desea ver una tabla con las estadisticas de propagacion de malware (virus, gusanos, troyanos, spyware, spam, etc) en algunos paises de Hispanoamérica, de click en la imagen de la derecha.