¿Cuáles serán las amenazas informáticas del 2007?

l spam, en particular con imágenes, está aumentando

En noviembre de 2006, el spam con imágenes representaba hasta un 40 por ciento del spam total recibido, en comparación con menos de un 10 por ciento un año atrás. El spam con imágenes ha aumentado considerablemente durante los últimos meses y ahora se envían varios tipos de spam, por lo general spam anunciando acciones, productos farmacéuticos y grados del tipo "Inflar y vender", en forma de imágenes en lugar de texto. El spam con imágenes comúnmente triplica el tamaño del spam de texto, por lo tanto representan un aumento considerable en el ancho de banda utilizado por los mensajes de spam.

La popularidad del video en la Web será un objetivo para los hackers

El incremento en el uso de formatos de video en sitios de redes sociales como MySpace, YouTube y VideoCodeZone atraerá a los desarrolladores de malware que buscan penetrar con facilidad una red amplia. A diferencia de las situaciones que involucran archivos adjuntos de correo electrónico, la mayoría de los usuarios abrirán archivos de medios sin dudar. Además, como el video es un formato fácil de usar, la funcionalidad como padding (relleno), anuncios en ventanas emergentes y el redireccionamiento de URL se convierten en herramientas ideales de destrucción para los desarrolladores de malware. En combinación, estos aspectos facilitan que los codificadores maliciosos alcancen un alto grado de efectividad con el malware de medios.

El gusano W32/Realor, descubierto a principios de noviembre de 2006 por McAfee Avert Labs, es un incidente reciente de malware de medios. El gusano podría lanzar sitios Web maliciosos sin que el usuario se percate, con lo cual expone potencialmente a los usuarios a bots y ladrones de contraseñas cargados en estos sitios. Otro malware de medios como Exploit-WinAmpPLS puede instalar silenciosamente programas espía con muy poca interacción del usuario. Como en la Web proliferan las redes para compartir videos, la captura potencial de una gran audiencia incitará a los desarrolladores de malware a explotar estos canales en busca de recompensas económicas.

Más ataques a dispositivos móviles

Las amenazas a dispositivos móviles siguen incrementándose a medida que se fortalece la convergencia de las plataformas. El uso de tecnología de teléfonos inteligentes ha desempeñado un rol esencial en la transición de las amenazas desde PC de varias funciones y semifijos a dispositivos "portátiles" del tamaño de un dispositivo Palm. Con el aumento de la conectividad mediante tecnología BlueTooth, SMS, mensajería instantánea, correo electrónico, WiFi, USB, audio, video y Web, existen más posibilidades para la contaminación cruzada de los dispositivos.

En el año 2006 se han observado varios esfuerzos de los autores de malware móvil para lograr vectores de infección de PC a teléfono y de teléfono a PC. El vector de PC a teléfono se logró mediante la creación de MSIL/Xrove.A, un malware .NET que puede infectar un teléfono inteligente mediante ActiveSync Los vectores actuales de Teléfono a PC siguen siendo primitivos en naturaleza en estos momentos, como las infecciones mediante tarjetas de memoria portátiles. Sin embargo, McAfee espera que se llegue a esta nueva etapa en 2007.

En agosto de 2006, McAfee Avert Labs recibió su primera muestra de un ataque de SMiShing con VBS/Eliles, un gusano de correo electrónico masivo que también envía mensajes de servicio de mensajería corta (SMS) a teléfonos móviles. Hacia fines de septiembre de 2006, se había descubierto cuatro variantes del gusano.

Además, se espera que el malware móvil para obtener lucro aumente en el año 2007. Mientras que la mayoría del malware que inspecciona Avert Labs incluye caballos de troya relativamente simples, el panorama ha cambiado con el troyano J2ME/Redbrowser. J2ME/Redbrowser es un programa caballo de Troya que intenta acceder a páginas Web mediante Wireless Access Protocol (WAP) con mensajes SMS. En realidad, en lugar de recuperar páginas WAP, envía mensajes SMS a números de Transferencia Premium, lo cual implica mayores gastos de los previstos para un usuario. Un segundo J2ME, Wesber, que apareció a fines de 2006, también envía mensajes a un número SMS Premium.

En los últimos meses de 2006 se ha observado un gran flujo de ofertas de programas espía en el mundo de los dispositivos móviles. La mayoría están diseñados para monitorear números de teléfono y registros de llamadas SMS o para robar mensajes SMS al reenviar una copia a otro teléfono. Un programa espía en particular, SymbOS/Flexispy.B, puede activar remotamente el micrófono del dispositivo de la víctima, lo que permite escuchar a esa persona. Otro programa espía puede activar la cámara. McAfee espera que en el año 2007 aumente la oferta de programas espía comerciales que atacarán dispositivos móviles.

Los programas publicitarios fortalecerán su dominio

En 2006, McAfee Avert Labs presenció un aumento en los Posibles programas no deseados (PUP) comerciales e incluso un mayor incremento en tipos relacionados de troyanos maliciosos, en particular capturadores de teclado, ladrones de contraseñas, bots y backdoors. Además, se ha intensificado el mal uso de software comercial a través de malware con implementaciones de programas publicitarios remotamente controlados, capturadores de teclado y software de control remoto. No obstante, a pesar de los desafíos sociales, legales y técnicos, existe bastante interés comercial en publicitar modelos de ingresos, por lo tanto McAfee prevé que más empresas legítimas usen o intenten usar software de publicidad de formas (esperemos) menos ofensivas para los consumidores que la mayoría de los actuales programas publicitarios.

El robo de identidad y la pérdida de datos seguirán siendo un tema público

De acuerdo con la Comisión Federal de Comercio de Estados Unidos, aproximadamente 10 millones de norteamericanos son víctimas de fraude electrónico cada año. El origen de estos crímenes a menudo se encuentra en el robo de computadores, la pérdida de respaldos o el compromiso de sistemas de información.

Mientras que McAfee espera que el número de víctimas se mantenga relativamente estable, la divulgación de datos perdidos o robados de una empresa, el aumento de los incidentes de robos cibernéticos y el hackeo en sistemas de comerciantes minoristas, procesadores y cajeros automáticos, sumado a los informes de robo de equipos portátiles que contienen datos confidenciales, continuarán manteniendo este tema como una preocupación pública.

McAfee Avert Labs también prevé que la transmisión no autorizada de información se convertirá en un riesgo para las empresas en el área de pérdida de datos e incumplimiento de normas. Esto incluye la pérdida de datos de los clientes, información personal de sus empleados y propiedad intelectual a través de todos los posibles canales de fuga de datos: aplicaciones, redes e incluso canales físicos como dispositivos USB, impresoras, fax y almacenamiento portátil. McAfee también proyecta observar un aumento en los sistemas de archivo y encriptación a medida que madure el mercado de prevención de pérdida de datos (DLP, Data loss prevention).

Habrá un aumento de los bots

Los bots, programas computacionales que realizan tareas automatizadas, están aumentando, pero empezarán a abandonar los mecanismos de comunicación basados en Internet Relay Chat (IRC) y se abocarán a sistemas menos intrusivos. En los últimos años, se ha gestado un creciente interés dentro de la comunidad de desarrollo de virus en amenazas de IRC. Esto se debe al poder que otorga el lenguaje de encriptación IRC y a la facilidad para coordinar máquinas infectadas desde un tipo de estructura de sala de Chat.

Las "mulas" también seguirán siendo un aspecto importante en los esquemas de obtención de ingresos relacionados con bots. Estos son trabajos del tipo "trabaje en casa" que a menudo son ofrecidos por sitios Web que parecen muy profesionales, mediante anuncios clasificados, e incluso con mensajería instantánea (IM). Esta es una parte crucial de la razón por la cual muchos bots pueden ejecutarse desde varios lugares en el globo. Para obtener la mercadería (a menudo para reventa) o conseguir dinero con credenciales de tarjetas de crédito robadas, los ladrones tienen que pasar regulaciones más estrictas si los artículos viajan a otros países. Para cumplir estas regulaciones, utilizan "mulas" dentro de los países de origen.

Reaparecerá el malware parasitario

Pese a que el malware parasitario representa menos de un 10 por ciento de todo el malware (el 90 por ciento del malware es estático), parece que está reapareciendo. Las infecciones parasitarias son virus que modifican los archivos actuales en un disco, inyectando código en el archivo donde residen. Cuando un usuario ejecuta el archivo infectado, también se ejecuta el virus. W32/Bacalid, W32/Polip y W32Detnat son tres agentes de infecciones de archivos parasitarios, polimórficos populares identificados en el año 2006 que poseen capacidades furtivas e intentan descargar troyanos desde sitios Web involucrados.

También es importante destacar que el 80 por ciento de todo el malware se organiza en paquetes, encripta o disfraza, en un intento por ocultar su propósito malicioso. Entre los ejemplos de agentes de infecciones parasitarias disfrazados se encuentran w32/Bacalid y w32/Polip.

A principios de este mes, McAfee Avert Labs también dio seguimiento y monitoreó la carga implementada por W32/Kibik.a, un exploit parásito de día cero que incluye heurística de rootkit, detección de comportamiento y listas negras de IP que han sido tema de conversación (en seguridad) durante los últimos años; W32/Kibik.a hace un intento bastante interesante de sobrevivir en la matriz competitiva de hoy. Desde la instalación silenciosa mediante un exploit de día cero, hasta la residencia y operaciones silenciosas y una búsqueda en Google que parece inocente y casi silenciosa: W32/Kibik.a podría ser el comienzo de una amenaza para el año 2007 en malware escalable controlado remotamente (también conocido como botnet). No es de extrañar que con sus elementos furtivos, pocos proveedores de servicios de seguridad hasta la fecha hayan detectado o reparado W32/Kibik.a.

Los rootkits aumentarán en plataformas de 32 bits; sin embargo, también aumentarán las capacidades de protección y reparación. En plataformas de 64 bits, particularmente Vista, es difícil predecir las tendencias del malware si se considera que están pendientes las tasas de respuesta para la plataforma de 64 bits, pero en general McAfee Avert Labs espera:

Una reducción en los rootkits de modo kernel, al menos a corto plazo, mientras que los autores de malware inventan nuevas técnicas diseñadas para perjudicar PatchGuard

Un aumento en los rootkits de modo usuario y malware de modo usuario en general, o al menos un mayor impacto de malware de 64 bits, a medida que software de seguridad de vanguardia ofrece técnicas heurísticas y de comportamiento más avanzadas, se verá obstaculizado por PatchGuard. Este estado se mantendrá al menos hasta el Service Pack 1 de Vista, cuando Microsoft introduzca nuevas API y, probablemente después de eso, dependiendo de la cantidad de reingeniería que requieran los proveedores de seguridad y la tasa de respuesta de SP1.

Las vulnerabilidades seguirán causando preocupaciones

En el año 2007 se espera un aumento de la cantidad de vulnerabilidades descubiertas. En lo que va de 2006, Microsoft ha anunciado 140 vulnerabilidades mediante su programa de parches mensuales. McAfee Avert Labs prevé que esta cifra aumentará debido al incremento en el uso de programas fuzzers, que permiten probar aplicaciones a gran escala, y debido al programa de recompensas que premia a los investigadores por encontrar vulnerabilidades. Este año, Microsoft ya ha lanzado parches para más vulnerabilidades críticas que en los años 2004 y 2005 combinados. Ya en septiembre de 2006, se había superado el total combinado de los años 2004 y 2005, es decir 62 vulnerabilidades críticas.

McAfee Avert Labs también ha advertido una tendencia en ataques de día cero posteriormente al ciclo de parches mensuales de Microsoft. Dado que los parches se emiten sólo una vez al mes, esto fomenta la escritura de exploits con el objetivo de lanzar exploits de Microsoft de día cero luego del parche mensual del día martes para maximizar la ventana de exposición a la vulnerabilidad.