La criminalidad informática se traslada a la web

12/09/06 10:28:24

LA CRIMINALIDAD INFORMÁTICA SE TRASLADA A LA WEB

Mercè Molist
El correo electrónico está perdiendo fuelle como medio de transmisión de virus y robo de información personal. Los criminales lo siguen usando, pero mezclan cada vez más técnicas y apuestan fuerte por la web. Primero fueron las páginas fraudulentas del "phishing" y, ahora, el aumento sin precedentes de infecciones por virus al visitar un sitio web.

Bernardo Quintero, responsable del servicio VirusTotal de Hispasec, no podía dar crédito cuando, al visitar su tira cómica favorita, Dilbert, un virus intentó colarse en su ordenador: "Una ventana emergente me informó de que había errores en mi sistema y me recomendó que instalase el programa gratuito WinFixer". Quintero pinchó el botón "Cancelar" sin éxito: "Se abrió otra ventana que intentó instalarlo. Me negué, pero insistió".

El experto consiguió zafarse y comprobó después que era un virus de los llamados "adware" (virus publicitarios). Si hubiese entrado en su ordenador, le habría mostrado continuamente ventanas emergentes, avisando sobre errores inexistentes, hasta que hubiese comprado el famoso WinFixer, por 39,95 dólares.

El virus no procedía del sitio web de Dilbert sinó del anuncio que aparecía en la página, suministrado por una agencia de publicidad dinámica. Semanas después, un anuncio parecido en MySpace infectaba a más de un millón de usuarios. En esta ocasión, no había forma de negarse, pues el virus aprovechaba un fallo del navegador Internet Explorer para entrar sin preguntar.

No son los primeros casos de virus en anuncios, aunque nunca se habían visto en webs tan populares. El primero apareció en 2001, en el sitio de seguridad Securityfocus, pero la invasión empezó en 2003, con el troyano Qhost, que viajaba en un "banner" de Fortunecity, y en 2004, con diversos troyanos que robaban datos bancarios.

"El problema es que no hay suficiente control por parte de las agencias de publicidad. Por ejemplo, uno de los servicios de publicidad más difundido de Internet, AdSense de Google, lo puede contratar cualquiera", critica Quintero.

Álvaro Andoin, director de la agencia de publicidad Media Contacts en Bilbao, explica: "Normalmente, somos nosotros y no el sitio quienes servimos los "banners": recibimos la creatividad del cliente, la aprobamos y la subimos a nuestro servidor en DoubleClick. Cuando descargas una página de esta web, su servidor de publicidad llama a nuestra creatividad alojada en DoubleClick. Pero si un sitio web permite que esto lo haga un tercero de dudosa reputación, pasa lo que pasa".

La publicidad no es el único peligro de la web. Se usan otras técnicas para introducir código malicioso en sitios web de confianza, por ejemplo asaltarlos. Así sucedía la semana pasada con el sitio de Samsung Electronics en Estados Unidos, que amaneció con un troyano que infectaba a los visitantes y les robaba los códigos de acceso a sus cuentas bancarias.

En junio, un mensaje en un foro de la comunidad Orkut contenía un enlace que, si se pinchaba, descargaba un troyano parecido. Por las mismas fechas, los usuarios del correo por web Yahoo! recibían peligrosas cartas electrónicas: no era preciso pinchar ningún adjunto, abrir el mensaje era suficiente para infectarse.

Estos virus que se ceban en sitios populares son el colofón de una evolución que empezó con el primer gusano para la web, "Jer", descubierto en el año 2000, explica Quintero: "Estaba hospedado en una página gratuita de Geocities, con el título "Las 40 formas de llevarte a las mujeres a la cama". Su autor publicitó la página en el chat y tuvo éxito de audiencia e infectados".

Hoy sigue funcionando incitar, por chat, mensajería o correo, a que se visite una web, pero destacan otras tácticas, como posicionar una página fraudulenta en los primeros puestos de un buscador, relacionándola con un término popular. Según un estudio de McAfee, búsquedas como "kazaa", "free games" o "weight loss" dan hasta un 72% de resultados maliciosos y los enlaces patrocinados contienen del 200 al 400% más de sitios con contenido peligroso que los normales.

Los navegadores juegan un papel crucial en este nuevo escenario, señala Quintero: "Es preciso tenerlos siempre actualizados. La explotación de sus vulnerabilidades puede permitir, en el caso del navegador más utilizado, Internet Explorer, la infección automática con sólo visualizar una página".

Sami Jourdain, director de marketing de la compañía especialista en seguridad web, Deny All, achaca el problema a "las aplicaciones web interactivas, que marcaron el inicio de esta inseguridad en 1997, al abrir la posibilidad de que los usuarios interactuasen con ellas y permitirles así manipular las peticiones HTTP".

Estas aplicaciones web, según Jourdain, son cada vez más complejas y, por tanto, vulnerables: "Los ataques a través de HTTP y HTTPS, para acceder a datos no autorizados o robar la identidad del usuario, van en aumento, con crecimientos del 90% respecto al año pasado".

Como muestra, la sofisticación a que ha llegado el "phishing", que consiste en engañar al usuario para que visite una página y escriba sus datos bancarios. En los primeros ataques, estas páginas eran copias de las del banco. Hoy, como se ha visto con Paypal, Suntrust, Visa o Mastercard, mandan a las víctimas al sitio auténtico, donde los criminales han explotado un fallo para robar la información.

Jourdain atribuye esta situación a la falta de educación de los usuarios y al hecho de que "todos queremos mayor conectividad y funcionalidades, las empresas implantan cada vez más servicios web, pero para usar todo esto nos valemos del protocolo HTTP, que no es seguro. Además, tecnologías como ActiveX o Javascript implican cada vez menos seguridad, ya que ayudan a los criminales a saltarse los controles y ejecutar programas en nuestros PCs, sin que lo sepamos".

Dilbert intenta infectarme
http://blog.hispasec.com/laboratorio/43
¿Confiar en sitios confiables?
http://www.vsantivirus.com/eb-11-09-06.htm
Los motores de búsqueda como medio de difusión de contenidos fraudulentos
http://www.hispasec.com/unaaldia/2775
The Safety of Internet Search Engines
http://www.siteadvisor.com/studies/search_safety_may2006.html#keywordsc
Páginas "de confianza" como fuente de troyanos
http://www.hispasec.com/unaaldia/2829
Web Services Increasingly Under Attack
http://www.quote.com/home/news/story.asp?story=59357772
Deny All
http://www.denyall.com

Copyright 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.

<<