Skype, gusanos, troyanos, y el enemigo de siempre

in embargo, en algunos casos se ha creado alguna confusión respecto a la naturaleza de la amenaza, ya que específicamente no se trata de un malware que se propague utilizando vulnerabilidades o características específicas de Skype, al menos no de forma automática.

Algunos investigadores incluso han preferido catalogarlo como troyano en lugar de gusano, justamente por su falta de "auto propagación".

El tema es que el gusano (detectado como Win32/Skyperise.A desde octubre de 2006 por ESET NOD32 y otros productos antivirus), requiere la acción específica del usuario para poder realizar su acción.

Su comportamiento es muy similar al de otros gusanos o troyanos que se aprovechan de programas de mensajería instantánea, como los famosos Banker (entre otros), que se presentan como enlaces en mensajes que llegan a esas aplicaciones (Messenger, AOL y otros). Hasta que el usuario no haga clic sobre el enlace y descargue y ejecute el archivo ofrecido, no se produce la infección.

En el caso del gusano de Skype, la confusión se originó por una alerta de la empresa de seguridad Websense, donde se especificaba que el malware utilizaba el chat de la aplicación para propagarse automáticamente. Se aconsejaba a los usuarios a ser cuidadosos con los mensajes recibidos, ya que podían descargar un archivo llamado SP.EXE (este es el primer nombre reportado). SP.EXE es detectado como Win32/Elife.A por NOD32, aunque el sitio de descarga ya ha sido clausurado.

Esta noticia fue ampliada por otros medios, donde se llegó a aventurar que se trataba de un gusano que utilizaba las características de Skype para propagarse automáticamente.

El propio Websense corrigió su alerta poco después, catalogando la amenaza como troyano, y no como gusano.

El nuevo aviso especifica que luego de consultas con el equipo de seguridad de Skype, se llegó a la conclusión que el malware en realidad no utiliza ninguna vulnerabilidad o característica no deseada del programa para propagarse. El usuario final recibe la notificación de que un ejecutable está solicitando acceso, y por lo tanto debe ser específicamente autorizado para ejecutarse.

Claramente, es un clásico problema de usuario, uno grande por cierto, pero que afecta no solo a un programa sino a toda la informática. Por más barreras de seguridad que se coloquen, si el usuario acepta una solicitud para recibir o ejecutar un archivo (sea un adjunto o un enlace no solicitado), está dejando poco o ningún margen para que su software de seguridad lo proteja.

De todos modos, es importante recordar que la tecnología de "Voz sobre IP", que permite la transmisión de la voz a través de redes IP (Internet Protocol), utilizando paquetes de datos, tiene las mismas probabilidades que otros medios más tradicionales (como el correo electrónico), para ser afectada por ataques específicos. De hecho, tiene las mismos problemas de seguridad que presenta la mensajería instantánea, sobre todo en entornos corporativos, y esto es muy importante recordarlo.

Es en esos escenarios, en que la educación al usuario debe ser una de las estrategias más importantes a tener en cuenta, a la hora de planificar las políticas de seguridad más eficientes.

Y la primera regla de esas políticas, debería ser la de no abrir adjuntos no solicitados, ni hacer clic sobre enlaces que no han sido pedidos, sin importar en ningún caso el remitente.