El Guardián

En 2002 sonó la primera alarma “seria”, con el Mobile Phone Virus Hoax, un mensaje de correo electrónico masivo que contenía información falsa. Sin embargo, podríamos fechar en 2004, concretamente en junio, el inicio de la epidemia vírica sobre los móviles.

Cabir fue el primer virus para móviles con nombre propio y se expandió rápidamente por miles de terminales a través de uno de los inventos estrella, el Bluetooth. Sus consecuencias no eran letales, un simple agotamiento de las baterías, pero su nacimiento puso sobre el tablero un peligro evidente: los programas maliciosos también afectaban a la telefonía móvil. A finales de ese año, el número de virus ya ascendía a 27 y las anécdotas sobre invasiones móviles se multiplicaban en el mundo entero.

Los que somos menos jóvenes (o más viejos) recordaremos a virus como
Viernes 13, Brain, Ping-Pong, Barrotes, etc. Además de por ser los
primeros con los que nos topamos, perduran en nuestra memoria porque
estuvieron con nosotros mucho tiempo.

Cuando los virus eran virus, es decir, cuando se autoreplicaban de
archivo en archivo o de disco en disco, las epidemias eran más
similares a la de los virus biológicos. Un virus aparecía en una zona
geográfica concreta, por ejemplo en una universidad, y su área de
influencia iba propagándose de forma lenta a través de los usuarios
que compartían disquetes y archivos infectados. Tenía que transcurrir
varios meses para llegar a ser una epidemia de ámbito internacional.

No había forma de erradicarlos completamente. El virus era
autosuficiente, así que en cualquier momento y lugar podía aparecer
un nuevo brote si los ordenadores que tenían contacto con el virus no
contaban con un antivirus actualizado.

Con la explosión de Internet aparecieron los gusanos de propagación
masiva por correo electrónico. La distribución de éstos era mucho más
explosiva, en apenas unas horas podían dar la vuelta al mundo y llegar
a cientos de miles de sistemas. También perduraban en el tiempo,
algunas variantes de Netsky han dado la lata durante muchos meses en
los Tops de clasificación de malware.

Ahora que vivimos la época de los troyanos con fines lucrativos, nos
topamos con un malware mucho menos perenne, de usar y tirar, que
necesita reciclarse constantemente con nuevas variantes, y que da
lugar a gran cantidad de especímenes caducados.

Por un lado tenemos que los troyanos no son autosuficientes en su
distribución/replicación, a diferencia de los virus y gusanos que ellos
mismos se encargan de llegar a otros PCs. Hoy día los troyanos se
distribuyen en alguna campaña puntual de spam, o a través de la web.
Pasado ese primer envío masivo y manual, o desactivada la web desde
la que se distribuye, esa variante del troyano es probable que nunca
más vuelva a distribuirse.

Además, los propios troyanos suelen tener una dependencia de
infraestructura externa. Imaginemos un troyano "downloader" que se
encarga de descargar otros componentes. En el momento que se desactiva
el servidor desde donde realiza las descargas, ya no podrá llevar a
cabo su acción.

Pensemos ahora en el autor del troyano Gpcode. Lo distribuye a través
de spam. En las máquinas que se ejecuta, el troyano cifra los
archivos sensibles del ordenador (documentos, imágenes, y un largo
etcétera de extensiones), y pide un rescate al usuario para descifrar
y volver a recuperar esos archivos. La forma de contacto es una
dirección de e-mail en un servidor de correo público de Rusia. Cuando
las autoridades consiguen que el proveedor del servicio de correo
desactive esa dirección de e-mail, esa versión del troyano será

inútil para el autor ya que no puede ponerse en contacto con sus
víctimas para llevar a cabo el chantaje y, por tanto, no volverá a
utilizarla ni distribuirla. Deberá crear una nueva versión.

Situaciones similares se pueden dar con muchos otros tipos de
troyanos, por ejemplo, un malware dedicado a hacer pharming local para
redirigir a los usuarios infectados a páginas de phishing cuando
visiten determinados bancos. Lo que hace el troyano es modificar el
archivo hosts de Windows para redirigir los dominios de un determinado
banco a la IP del servidor web que hospeda las páginas falsas. Cuando
el banco tiene conocimiento de este tipo de fraude inicia una
actuación para desactivar las páginas de phishing. En el momento que
lo logra, que suele ser cuestión de horas, a lo sumo días, el troyano
será inútil, nunca más se distribuirá de nuevo. El autor se verá
obligado a crear nuevas versiones.

La realidad es que un porcentaje del malware específico que detecta
un antivirus ya está "fuera de mercado", no nos afectará. Si los
antivirus deben detectar ese "malware caducado" es una cuestión que
no sólo depende de ellos, ya que las evaluaciones antivirus actuales
fomentan lo contrario: que se detecte de todo, incluso muestras que
no son dañinas. Si los antivirus tienen problemas para diferenciar
el malware, del grayware y el goodware, los evaluadores y
comparativas antivirus sencillamente no saben.

Esta nueva estrategia del cambio de extensión, en su lucha sin final
de burlar a los filtros antispam, aprovecha que la extensión .FDF está
también asociada a Acrobat Reader y los abre automáticamente.

Para interpretar el formato, Acrobat Reader no se deja llevar por la
extensión, sino por la cabecera que aparece en la primera línea del
archivo. El spam que está llegando, en vez de tener la cabecera del
formato Forms Data Format, que sería %FDF-1.2, contiene la cabecera
%PDF-1.5 que indica al lector que debe procesarlo como un archivo PDF.

Sin embargo, W32.Deletemusic (“w32.borrarmúsica") parece ser de la antigua escuela.

El virus en cuestión no borra formatos con protección anticopia, sinoexclusivamente los archivos MP3 que encuentre en el sistema.

El gusano en cuestión no es especialmente peligroso. Symantec indicaque su grado de propagación es mínimo y que sólo infecta a los sistemasmediante los procedimientos “antiguos"; es decir, mediante memorias USBo CD.

Por primera vez, un estudio muestra qué es lo que hacemos mal los internautas. Nos informan de ello, desde noticias.com.

Si usted abre correos de remitentes desconocidos; desactiva las medidas de seguridad de los equipos porque le parece que entorpecen el funcionamiento de su ordenador; comparte archivos y software no verificado a través de redes P2P como Emule; o acepta la invitación de contactos de mensajería instantánea sin saber quién hay detrás de ellos; usted está haciendo todo lo posible para que un virus infecte su ordenador.

Toda prevención es poca. A pesar de que el 87% de los hogares españoles tienen instalado algún tipo de antivirus en sus equipos informáticos, más de la mitad están infectados por código malicioso de riesgo alto, según la Primera Oleada del Estudio sobre la Seguridad de la Información realizado por el Instituto Nacional de Tecnologías de la Comunicación (INTECO).

La tecnología no puede garantizar, por sí sola, la seguridad de nuestros ordenadores, que depende también del comportamiento de los usuarios. Pero los españoles parecemos no estar dispuestos a hacer nada más que instalar, uno tras otro, programas antivirus o cortafuegos.

La consecuencia es que un tercio de las computadoras con acceso a Internet en España presentan una protección deficiente, ya que no cuentan con sistemas automáticos ni mucho menos con usuarios proactivos en temas de seguridad.

La buena noticia es que los internautas “temerarios” sólo representan al 8% de los usuarios, pero “en ellos se concentra gran parte del riesgo total del sistema”, según Inteco. Es decir, son pocos, pero las consecuencias de sus actos son muy peligrosos, ya que sus ordenadores actúan como dispersores de amenazas informáticas.

Todo esto viene a raíz de que Kasperski haya confirmado la epidemia del virus Comwarrior, que apareció por primera vez en el 2005, y ahora rebrota con fuerza. En lo que va de julio ya se han producido 115.000 infecciones.

Si algún iluso pensaba que los smartphones se librarían de los problemas de aquellos mismos ordenadores a los que trataban de imitar, que vaya desechando la idea. De hecho, sorprende que hasta ahora los virus para móvil no sean más destructivos. Algunos afectan a la velocidad y al rendimiento, otros hacen que el móvil consuma mayor batería, y el peor problema experimentado hasta ahora es el que presenta el ComWarrior, que se reenvía por mensaje a todos los contactos de la agenda.

Según declaraciones de un funcionario local de seguridad a la agencia oficial china Xinhua News, citadas por Associated Press (AP), el obrero murió debido a las heridas sufridas al explotarle el teléfono móvil Motorola que llevaba en el bolsillo; algunos fragmentos de costilla perforaron el corazón de la víctima, que falleció en el servicio de urgencias del hospital al que había sido trasladado.

El suceso ocurrió el día 19 de junio, pero se ha conocido ahora, junto con las declaraciones de portavoces de Motorola desplazados al lugar del incidente, y que califican de 'sumamente improbable que el accidente fuera causado por un teléfono móvil', aunque apuntan la posibilidad de que se tratase de un terminal o una batería falsos.

La información de AP cita también a compañeros de trabajo de la víctima, que aseguran que el terminal explotó tras ser expuesto a temperaturas elevadas.