Imagen royalty free obtenida de www.pixabay.com (FotoArt-Treu)

Por: Eloy Béliz, estudiante de Relaciones Internacionales, Universidad de Panamá.

A medida que avanza el tiempo, se hace cada vez más evidente la dependencia que tiene el ser humano en los diversos activos de la información tales como los servidores, las bases de datos; las redes sociales, corporativas o gubernamentales, las plataformas de telecomunicación y similares. Precisamente por esta dependencia, es necesario que cada persona adquiera conocimientos básicos de programación y tecnología en general, aún cuando estas áreas no representen un interés profesional o académico.

Con mayor razón, los internacionalistas deben estar al tanto de estos temas justamente por la naturaleza de su profesión, ya que el mundo que observan y analizan está en constante cambio y eso implica precisamente, observar la transformación de los Estados y la aparición de actores atípicos o no estatales.

Hoy en día, los ciber-ataques se están haciendo más frecuentes y han aumentado en gran medida debido a los efectos que ha generado la pandemia tales como la imperiosa necesidad de realizar teletrabajo, la trascendencia de la educación virtual a un primer plano y el aumento de los tráficos de las páginas web tanto gubernamentales como corporativas.

Es necesario aclarar que en este ensayo se hace referencia a los ciber-ataques y/o ciber-delitos y no al ciber-terrorismo en su pleno significado porque todavía no se han registrado guerras informáticas de una forma abierta y consistente.  Los ciber-ataques tienen diversos objetivos y regularmente están orientados hacia el robo de activos financieros, al espionaje o al activismo general.

En un futuro ensayo, se abordarà el tema de la ciberseguridad desde la perspectiva estatal pero por el momento, el propósito de este escrito es hacer una pequeña introducción a la ciberdelincuencia en general.

En estos tiempos de pandemia, cuando se trata del teletrabajo, los ciber delincuentes aprovechan las diversas vulnerabilidades que se generan en el sistema de seguridad de las redes corporativas para poder hacer sus fechorías. Antes de la pandemia, dichas vulnerabilidades no se daban con tanta facilidad y frecuencia pero actualmente los trabajadores tienen que acceder al intranet de las empresas desde sus computadoras personales y las mismas no cuentan con el software y monitoreo de seguridad directa que maneja el personal de IT (Information and Tecnology/Soporte técnico).

Los ciberdelincuentes que explotan tales vulnerabilidades generalmente son contratados por individuos o colectivos para robar secretos corporativos tales como planos, fórmulas y estrategias etc. o simplemente acceden a la información bancaria para robar dinero en beneficio propio.

Imagen royalty free obtenida de www.pixabay.com  (Tumisu)

Por otro lado existen ciberdelincuentes que escogen a sus víctimas de manera “random” o casual, con el objetivo de robarles activos financieros mediante de prácticas de “phishing” (estafa virtual), mediante la creación y envío archivos “malware” (software malicioso), o a veces, escojen a sus víctimas para infectar sus dispositivos como broma para pasar el rato.

Para entender mejor los diferentes tipos de amenazas informáticas programadas por los ciber delincuentes, es necesario abordar el concepto de malware.

La palabra malware proviene del inglés “Malicious Software” que significa programa malicioso. El malware es un tipo de software que tiene por objetivo infiltrarse para poder espiar o dañar una computadora o sistema de información.

Existen diversos tipos malware; sin embargo, los más comunes hoy en día son los siguientes:

  • Virus
  • Troyanos
  • Gusano informático
  • Adware
  • Spyware
  • Ransomware

EL VIRUS

El virus es un tipo de malware que tiene por objetivo alterar los equipos informáticos ya sean laptops, computadoras de escritorios, tablets etc. En el peor de los casos, un virus puede dañar permanentemente una computadora al borrar los archivos fundamentales para su funcionamiento.

El virus necesita ser ejecutado por el usuario sin que este se de cuenta y para ello, los ciberdelincuentes asignan al virus nombres de programas confiables, como por ejemplo: “Softonic.exe”, un archivo ejecutable necesario para la instalación de un programa de Softonic. Además, los ciber delincuentes programan el virus para que se mezcle con programas ejecutables propios de la computadora.

A pesar de todo esto, un usuario puede resolver este problema con un antivirus actualizado o mejor aún con un antimalware tal como lo es “Malwarebytes”. Si el usuario es lo suficientemente experimentado, puede encontrar el virus de manera manual mediante la consola de Windows (Windows Powershell) en su credencial de administrador.


EL TROYANO

El troyano es un tipo de malware parecido al virus pero más discreto. El nombre de este tipo de malware hace analogía al caballo de Troya propia de las historias de la mitología griega. Una persona no podría detectar un troyano ya que este se camufla de cierta forma con archivos no dañinos o con archivos ejecutables de un software que se desea instalar. Este malware opera en un segundo plano junto con otros procesos propios del sistema operativo (casi siempre Windows) y genera una vulnerabilidad para que otros tipos de malware puedan tomar control del computador y robar información personal.


EL GUSANO INFORMÀTICO

A diferencia del virus informático y del troyano, el gusano informático no necesita la intervención del usuario (descarga) y es aún más difícil de detectar ya que no altera el funcionamiento de una computadora. Su principal función es acceder a la lista de contactos de un correo electrónico para obtener las direcciones IP y las redes de las computadoras de las personas que forman parte de dicha lista de contactos. El gusano permite la entrada de otros tipos de malware, cantidades masivas de spam y botnets (robot virtuales) para tomar control de los ordenadores y responder de manera conjunta a los comandos del ciber delincuente.


EL ADWARE

El adware es un tipo de malware que podría considerarse no malicioso ya que no causa daños al software y hardware de la computadora, y su finalidad es la de mostrar cantidades exageradas de anuncios publicitarios mientras recolecta los datos (preferencias) del usuario, de manera que el ciberdelincuente pueda generar ingresos por publicidad. Las propagandas del adware aparecen en los programas y en los navegadores de internet en forma de ventanas emergentes.

La descarga inconsciente de un adware generalmente ocurre cuando un usuario visita las páginas web dedicadas a la pornografía o cuando navega en las páginas web que contienen catálogos de productos de dudosa procedencia, los cuales regularmente terminan siendo estafas.


EL SPYWARE

Por otro lado está el spyware que significa “software de espionaje” y su objetivo es recolectar información del usuario o dueño de la computadora. El spyware es casi indetectable, no deja rastros de actividad y recolecta los datos del usuario tanto localmente (por el disco duro) como externamente (por el internet).


Imagen royalty free obtenida de www.pixabay.com  (Boskampi)

EL RANSOMWARE

El ransomware deriva del inglés ransom (rescate) y ware (software). Este tipo de malware es un software de encriptación de datos que generalmente se instala de maneja adjunta a otros tipos de malware. 

El ransomware encripta los datos de la computadora infectada, es decir, bloquea toda la información personal y de esa forma impide que la víctima pueda acceder sus propios datos. Cuando el ransomware toma el control total, la víctima no puede usar su computadora y lo único que ve en la pantalla es un mensaje de rescate en el que el ciberdelincuente pide dinero a la víctima a cambio de desbloquear la información que había sido encriptada.

En otras palabras, el ransomware es un software de secuestro de la información que cada vez se hace más común y ahora más en estos tiempos de pandemia en el que la extorsión y el robo de información están a la orden del día.

Ciertamente, existen otros tipos de malware además del ransomware; sin embargo, el propósito de este artículo fue dar una idea general sobre la ciberseguridad. En un futuro artículo abordaré el tema de la seguridad informática desde la perspectiva estatal, del “hacktivismo” y el hackeo ètico.



ALGUNOS CONSEJOS PARA ENCONTRAR UN VIRUS SIN UN ANTIMALWARE

Tanto los antimalware como los antivirus operan mediante el escaneo de directorios (carpetas de archivos) en la computadora para comprobar si existe algún programa malicioso alojado en el disco duro y así poder borrarlo. Cada programa malicioso tiene un nombre específico con el que se le identifica y para nuestra fortuna, los programadores expertos en ciberseguridad siguen creando bases de datos para registrar tales nombres. Los anti malwares y los antivirus consultan esas bases de datos para conocer si el archivo encontrado en alguno de los directorios es un programa sospechoso alojado en nuestra computadora. Si la base de datos muestra el nombre de un virus que coincide con el nombre del archivo sospechoso, los antimalware proceden a borrarlo.

Cada antimalware y/o antivirus tiene una base de datos propia y solo puede ser vista por los programadores que la crearon; es decir, los técnicos de Norton hicieron su lista de malware basado en sus investigaciones y la misma es diferente a la lista que hicieron los técnicos de AVG o Avast. Pese a lo que he mencionado sobre las bases de datos privadas o no accesibles, existe una página web desarrollada por filántropos especialistas en ciberseguridad que permite la consulta a una base de datos pública desarrollada por ellos mismos y que además es tan grande como la combinación de todas las bases de datos de todos los antimalware y/o antivirus que encontramos hoy en día.

Dicha página es https://www.virustotal.com/gui/ y es totalmente gratis. Es una herramienta que nos permite copiar y pegar en su barra de búsqueda, el nombre del archivo sospechoso o de una página web que no es confiable. Con Virus Total podremos comprobar de forma manual y directa lo que generalmente haría un antivirus o antimalware.

Método para encontrar y eliminar archivos maliciosos que operan remotamente.
(Solo Windows)

Para este método se debe abrir el Powershell o consola haciendo click izquierdo en el botón con el símbolo de Windows o simplemente escribiéndolo en la barra de búsqueda de “Inicio” y seleccionarlo. Es importante que el Powershell o consola de Windows se ejecute como administrador para tener todos los permisos necesarios para activar los comandos que se vayan a realizar.

Se debe escribir el comando “cd..” varias veces hasta que solo quede en pantalla C:\> el directorio principal del sistema operativo.

1.1 Imagen demostrativa capturada de mi pantalla.

Una vez se visualice el directorio principal C:\> que contiene los archivos importantes de nuestra computadora, se procede a escribir el comando de consola netstat -anob que permite mostrar las conexiones que están activas y de las cuales alguna de ellas sea probablemente un virus o un spyware controlado desde la computadora del ciberdelincuente. Cuando se despliegue la información en la consola hay que tener mucho cuidado al sospechar porque allí se muestran muchos de los archivos y procesos indispensables para el funcionamiento del sistema operativo.

Además de la consola, se recomienda abrir simultáneamente el administrador de tareas para consultar en la pestaña de “detalles” y verificar si uno de los nombres que aparece es realmente desconocido o poco confiable.


1.2 Imagen demostrativa capturada de mi pantalla.


1.3 Imagen demostrativa capturada de mi pantalla.


1.4 Imagen demostrativa capturada de mi pantalla.

Otra cosa que hay que tener en cuenta al momento de buscar las conexiones que sean consideradas sospechosas es que solo deben examinarse las que tienen un estado de ESTABLISHED, ya que las otras que aparecen como LISTENING operan en un segundo plano y no representan una amenaza. Si el nombre de una conexión ESTABLISHED no logra verse en la consola o Powershell, todavía puede identificarse mediante el PID (Número de Identidad del proceso) y compararse con el PID que aparece en el administrador de tareas en la pestaña llamada “detalles”. Cuando se tenga la completa seguridad de que el archivo y/o conexión sospechosa no es un archivo benigno del sistema y que el mismo aparece en el listado de malware de Virustotal.com, entonces se procede a borrarlo mediante el comando taskkill / pid más el número PID del archivo sospechoso mostrado en Powershell. Cabe destacar que la eliminación del archivo también será reflejada a través del administrador de tareas mencionado anteriormente.


Método para encontrar y eliminar archivos maliciosos que operan localmente.
(Solo Windows)

Todo el procedimiento que se ha explicado hasta ahora es aplicable para los malware que se encuentran alojados en una computadora con sistema operativo Windows y que operan de manera remota a través de internet; sin embargo, también existen con mucha frecuencia los archivos maliciosos creados como archivos .bat o archivos creados como blog de notas .txt. Estos operan de manera oculta desde las mismas carpetas en las que están instalados. Un archivo malicioso creado por bloc de notas puede estar alojado en la carpeta de imágenes o de videos y no serà visible debido a su propiedad H que le permite mantenerse oculto al usuario.

Para identificar y eliminar el malware o archivo sospechoso que fue creado de esta manera se utiliza nuevamente la consola y se inicia desde la dirección o raíz del disco duro C:\>  (Veàse imagen 1.1).

Una vez se localiza el directorio raíz del disco duro C:\> se procede a escribir el comando attrib (atributo) que desplegará una lista de archivos y carpetas tanto visibles como no visibles. Es necesario entender que cada archivo tiene atributos y que los mismos pueden ser S (archivo del sistema) o H (archivo oculto) o R (archivo de solo lectura) o SHR todas juntas. 

Generalmente la mayoría de los archivos tienen los 3 atributos pero en cualquier caso es indispensable no afectar los archivos con el atributo S ya que son vitales para el sistema operativo y por lo tanto deben ser descartados como amenazas. Los archivos con el atributo H que no sean “S del sistema pueden ser archivos sospechosos y para poder eliminarlos es necesario remover ese atributo.


2.1 Imagen demostrativa capturada de mi pantalla.

Supongamos que en esta imagen el archivo UKLog.dat es un archivo malicioso. Como se puede apreciar, el nombre de este archivo está oculto cuando navegamos desde nuestro explorador de archivos. 


2.2 Imagen demostrativa capturada de mi pantalla.

Para que se pueda eliminar el archivo UKLog.dat es necesario remover su atributo de oculto y para ello se escribe el comando attrib -h UKLog.dat . Una vez se ejecute ese comando, el archivo UKLog.dat que sirve como ejemplo, podrá ser visible.

2.3 Imagen demostrativa capturada de mi pantalla.

2.4 Imagen demostrativa capturada de mi pantalla.

Ya cuando sea visible el archivo malicioso o el archivo que genera sospechas, se procede a eliminar mediante el comando del que significa “delete” o “borrar”. Como en este ensayo se utiliza de ejemplo el archivo UKLog.dat , el comando completo sería del UKLog.dat .

2.5 Imagen demostrativa capturada de mi pantalla.

Es necesario recalcar que estas operaciones deben realizarse solo si existen fuertes sospechas de que un archivo en particular es un programa potencialmente malicioso. De todas maneras expliqué en párrafos anteriores que la página web https://www.virustotal.com/gui/ es una herramienta creada por programadores especializados en ciberseguridad que nos permite verificar los nombres de los archivos maliciosos y mucho más.

Si por alguna razón estos procedimientos parecen tediosos, a continuación dejo mis recomendaciones para su propia ciberseguridad mediante el uso de software.

 

Recomendaciones para su ciberseguridad (Uso de software).

Anteriormente mencioné que los malware son programas maliciosos que abarcan tanto los virus como los adwares, spyware u otros y que algunos son capaces de dañar incluso una computadora. En virtud de ello, recomiendo la instalación de un poderoso antimalware llamado Malwarebytes (el mejor del mercado hasta ahora) y que si bien, la versión completa sería la mejor opción, la versión gratuita no se queda atrás.

Si de antivirus se trata puedo recomendar Kaspersky, en caso tal que Malwarebytes resulte inaccesible por alguna razón. En mi humilde opinión Kaspersky es un antivirus completo pero sigue teniendo menos rango o alcance que Malwarebytes, precisamente porque el virus es uno de los tipos de malware.

Si existe indecisión en conseguir uno u otro y por alguna razón usted querido lector decide conseguir ambas, mi recomendación sería no hacerlo. Esto es por la sencilla razón que dos antivirus o un antivirus y un antimalware chocarían el uno con el otro afectándose mutuamente en el funcionamiento.

Referente al cuidado de la computadora, recomiendo Ccleaner, un programa que en la actualidad es ampliamente usado para la corrección del registro del ordenador. El registro es un espacio en el microprocesador que permite almacenar datos temporales para ejecutar operaciones. El lenguaje del registro es el lenguaje de programación “ensamblaje” que traduce el código binario (ej.01001011) producido por las señales eléctricas positivas y negativas de la computadora al lenguaje común de programación.

Para garantizar el cuidado del computador es necesario tomar en cuenta el correcto funcionamiento del registro y del sistema en general. El disco duro también es de vital importancia porque puede ser alojado por un archivo malicioso enviado por el ciber delincuente.

Por: Eloy Béliz 
Estudiante de Relaciones Internacionales. 
Universidad de Panamá.