Informe de inteligencia de seguridad de Microsoft: Los 5 puntos principales

Microsoft dará a conocer el miércoles su sexto Informe de Inteligencia de Seguridad y el libro -las 184 páginas del mismo- tienen muchos puntos interesantes extraídos de las aplicaciones antivirus del gigante del software. Microsoft concluye que los programas falsos (rogue) de seguridad son una gran amenaza, los equipos perdidos y robados son un problema mayor que los ataques y que las extensiones de Office y PDF son los principales vectores.

Pero ya sabíamos mucho de esto. También sabemos que la monocultura de Adobe y el ciclo de parches son menos que perfectos.

He aquí un vistazo de mis cinco puntos principales del Informe de Inteligencia de Seguridad completo.

1. Las vulnerabilidades (y las reacciones hacia las mismas) varían dependiendo si están dirigidas al trabajo o al hogar. Basados en la información provista por su software empresarial Forefront Client Security y el de usuario final Windows Live OneCare, Microsoft halló que las vulnerabilidades son muy diferentes. ¿Porqué? Un usuario corporativo es posible que tenga limitaciones en el correo electrónico e Internet que reducen la superficie de ataque. Un usuario hogareño tiene más herramientas de software para ser infectadas.

Puesto de forma simple, un usuario hogareño es probable que sea golpeado por un ataque de troyano. En la empresa, el arma de elección es el ataque con gusanos.

La mayor diferencia entre las vulnerabilidades en ámbito de empresa y el hogareño es la ingeniería social. Microsoft explica:

La lista de Windows Live OneCare también incluye varias familias asociadas con programas de seguridad falsos, tales como Win32/Renos, Win32/FakeXPA, y Win32/Antivirus2008. Los mensajes de ingeniería social usados en conexión con los programas de seguridad falsos pueden resultar menos efectivos en un entorno empresarial, donde la protección contra malware típicamente está a cargo del departamento de TI…En contraste, la lista del Forefront Client Security está dominada por gusanos, como Win32/Autorun, Win32/Hamweq, y Win32/Taterf. Los gusanos dependen menos de la ingeniería social para propagarse que las categorías de los troyanos y los de descarga (downloaders), que lo hacen más en el acceso a carpetas compartidas inseguras y dispositivos de almacenamiento removibles, los cuales suelen abundar en los entornos empresariales.

2. Los usuarios no siempre quitan el software no deseado: Hay una atracción por el botón “Ignorar”. Microsoft explica un matiz en el asunto del malware:

El software no puede clasificarse siempre en términos binarios como “bueno” o “malo”. Algunos programas habitan en una zona gris donde la combinación de comportamientos y los valores propuestos presentados por el programa no son ni aceptados ni rechazados universalmente. Esta zona gris incluye una cantidad de programas que hacen cosas como mostrar publicidades al usuario que pueden aparecer fuera de contexto en el navegador Web u otra aplicación los cuales pueden ser difíciles o imposibles de controlar.

Los escaneos de Microsoft le permiten a los usuarios ignorar un alerta de seguridad, permiten que ese software permanezca, le pida confirmación, lo ponga en cuarentena o lo elimine.

Si el programa realmente es malicioso entonces es eliminado sin pedido de confirmación al usuario. Las zonas grises aparecen cuando se les da a los usuarios una opción. Microsoft agrega:

Estas decisiones son influenciadas por un número de factores, tales como la habilidad del usuario, cuan seguro se siente respecto de su juicio respecto de el programa en cuestión, el contexto en el cual el programa fue obtenido, consideraciones sociales, y el beneficio (si existe) que da el programa o por otro programa que venia junto a él. Los usuarios toman decisiones acerca de que hacer con una pieza de software potencialmente no deseado por diferentes razones, así que es importante no llegar a conclusiones que no se pueden garantizar acerca de sus propósitos.

La amenazas denominadas moderadas o bajas a menudo son ignoradas por los usuarios, que piensan que hay algún valor en el software. Estas amenazas son conservadoras basadas en el comportamiento del usuario:

3. El software de seguridad rogue cobra velocidad. El concepto de software de seguridad rogue es genial. Los hackers maliciosos explotan el miedo de los usuarios, preparan programas de seguridad falsos y les extraen pagos para mantener funcionando sus PC. Microsoft señala que los falsos programas de seguridad se están volviendo una categoría importante. Microsoft informa:

Los autores de software de seguridad rogue han intentado explotar esta confianza dándole a sus programas nombres genéricos, anodinos, tales como “Antivirus 2009,” y haciéndolos parecer programas de seguridad genuinos de muchas maneras. Recientemente, varias amenazas llevaron este método un paso más allá, haciendose pasar por comonentes del propio sistema operativo o por un motor de búsquedas conocido. Una de las primeras familias observadas que manifiestan este comportamiento fue Win32/FakeSecSen, la cual fue agregada al MSRT en noviembre de 2008 y fue la octava familia más frecuente en toda la segunda mitad de 2008. Win32/FakeSecSen agrega un ícono en el Panel de Control denominado Vista AV o MS AV y de forma fraudulenta usa el mismo ícono con forma de escudo de 4 colores que usa el Centro de Seguridad de Windows. Al hacer doble clic en el ícono se pone en marcha el programa rogue, que dice detectar una gran cantidad de amenazas inexistentes y urge al usuario para “activar” el programa pagando por eso.

Win32/Renos es una amenaza de larga data que lanza software de seguridad rogue y fue la amenaza más frecuente vista en la segunda mitad de 2008. Dos nuevo troyanos, Win32/FakeXPA y Win32/FakeSecSen fueron las familias séptima y octavas más frecuentes de su clase.

4. Los ataques de phishing en redes sociales representaron menos del 1 por ciento de los ataques, pero produjeron una gran parte de la impresión del phishing. Traducción: Los sitios de redes sociales siguen siendo un gran blanco de los ataques de phishing.

Microsoft lo explica:

Un phish típico de red social es probable que engañe en un mayor orden de magnitud a más usuarios que un típico phish financiero. Hay cierto número de explicaciones para esta discrepancia. En tanto las instituciones financieras atacadas por phishers se puede contar por cientos, sólo un puñado de sitios populares cuentan con el grueso del uso de redes sociales en Internet, de modo que los phishers pueden efectivamente atacar a mucha más gente por sitio. Además, los phishers a menudo usan las características de la mensajería de los propios sitios para distribuir sus ataques, típicamente mediante el control que ganan de alguna cuenta de un usuario y usándola para enviar mensajes de phishing a los amigos de la víctima. Estos ataques pueden ser mucho más efectivos que los ataques basados en correo electrónico, porque explotan un considerable nivel de confianza que los usuarios ponen en sus amigos.

Heche un vistazo a:

y a:


5. El malware es dominante en los EEUU y registra un 67 por ciento de todas las computadoras infectadas. Los troyanos—la variedad heterogénea–fueron detectados en el 29,4 por ciento de las computadoras infectadas. Entre otras cosas:

Cinco de las 20 familias principales detectadas en los Estados Unidos en el segundo semestre de 2008 (Win32/Renos, Win32/FakeXPA, Win32/FakeSecSen, Win32/Antivirus2008, y Win32/Winfixer) descargan software de seguridad rogue o muestran mensajes de advertencia engañosos para convencer a los usuarios a comprar un programa que supuestamente elimina software espía (spyware).

Aquí están las cinco amenazas principales:

Troyanos que hacen descargas o dejan otro malware fueron detectados en el 24,4 porciento de las computadoras imfectadas.

Informe en castellano, Resumen.
"Volumen 6 del informe de inteligencia sobre seguridad de Microsoft (de julio a diciembre de 2008)"

Traducción exclusiva de Segu-info: Raúl Batista
Autor: Larry Dignan
Fuente: Blogs ZDNet

Suscríbete a nuestro Boletín