MCAFEE Avert Labs da a conocer sus predicciones sobre las 10 principales amenazas de seguridad

A continuación se presentan las diez principales amenazas de seguridad informadas por McAfee Avert Labs para el año 2007 (sin orden en particular):

1. Aumentará la cantidad de sitios Web para robar contraseñas mediante el uso de páginas de inicio falsas para servicios en línea populares como eBay
2. El volumen del spam, en particular del spam con imágenes que consume gran ancho de banda, seguirá aumentando
3. La popularidad del uso compartido del video en la Web hace inevitable que los hackers comiencen a usar archivos MPEG como un medio de distribuir código malicioso
4. Los ataques a teléfonos móviles se harán más frecuentes a medida que los dispositivos móviles se hagan más «inteligentes» y con mayor conexión
5. Los programas publicitarios fortalecerán su dominio siguiendo el aumento de los Posibles programas no deseados (PUP, Potentially Unwanted Programs) comerciales
6. Los robos de identidad y la pérdida de datos seguirán siendo un problema público: el origen de estos crímenes a menudo se encuentra en el robo de computadores, la pérdida de respaldos y el compromiso de sistemas de información
7. Se incrementará el uso de bots, programas computacionales que realizan tareas automatizadas, como una herramienta favorita para los hackers
8. Reaparecerá el malware parasitario, o virus que modifican los archivos existentes en un disco
9. Se registrará un aumento en la cantidad de rootkits en plataformas de 32 bits; sin embargo, las capacidades de protección y reparación también se potenciarán
10. Las vulnerabilidades seguirán causando preocupaciones fomentadas por el mercado clandestino de las vulnerabilidades .

«Dentro de un corto período, los computadores se transformarán en una parte intrínseca y esencial de nuestra vida cotidiana y, como resultado, se vislumbra un alto potencial de recompensas económicas para los desarrolladores de malware», comentó Jeff Green, vicepresidente senior de McAfee Avert Labs y desarrollo de productos «Mientras se observa un aumento de técnicas sofisticadas, para la base de usuarios generales se hace cada vez más difícil identificar o evitar las infecciones por malware».
En la actualidad, los investigadores de McAfee están observando pruebas del surgimiento de profesionales y de crimen organizado especializados en la creación de malware, mediante el cual los equipos de desarrollo están creando software malicioso, probándolo y automatizando su producción y lanzamiento. Se están haciendo cada vez más frecuentes las técnicas sofisticadas como el polimorfismo, la recurrencia de infecciones parasitarias, rootkits y los sistemas automatizados con encriptación cíclica que lanzan nuevas versiones. Además, las amenazas se están incluyendo en paquetes o encriptando para disfrazar su propósito malicioso en una escala más rápida y compleja.

En julio de 2006, McAfee anunció oficialmente el lanzamiento de su protección para la amenaza Nº 200.000 en su base de datos. Desde el 1 de enero de 2006, McAfee ha agregado aproximadamente 50.000 nuevas amenazas a su base de datos y avanza a superar 225.000 nuevas amenazas a fines del año. Dadas las tendencias actuales, McAfee espera que se identifique la amenaza Nº 300.000 hacia fines de 2007, con lo que se demuestra su potencial de crecimiento.

Proyección de amenazas de McAfee Avert Labs para el año 2007:
Aumento de los sitios Web para robar contraseñas
En el año 2007 se harán más evidentes una mayor cantidad de ataques para capturar la ID y contraseña de los usuarios al mostrar una página falsa de inicio de sesión y un aumento de los ataques dirigidos a servicios populares en línea como eBay. Como lo demostraron los ataques de fraude electrónico que siguieron al huracán Katrina, McAfee Avert Labs también espera más ataques que aprovechen la buena disposición de las personas para ayudar a quienes lo necesitan. Por el contrario, se espera que disminuyan los ataques a los Proveedores de servicios de Internet (ISP), mientras que los orientados al sector financiero se mantendrán estables.

El spam, en particular el spam con imágenes, está aumentando
En noviembre de 2006, el spam con imágenes representaba hasta un 40 por ciento del spam total recibido, en comparación con menos de un 10 por ciento un año atrás. El spam con imágenes ha aumentado considerablemente durante los últimos meses y ahora se envían varios tipos de spam, por lo general spam anunciando acciones, productos farmacéuticos y grados del tipo «Inflar y vender», en forma de imágenes en lugar de texto. El spam con imágenes comúnmente triplica el tamaño del spam de texto, por lo tanto representan un aumento considerable en el ancho de banda utilizado por los mensajes de spam.

El incremento en el uso de formatos de video en sitios de redes sociales como MySpace, YouTube y VideoCodeZone atraerá a los desarrolladores de malware que buscan penetrar con facilidad una red amplia. A diferencia de las situaciones que involucran archivos adjuntos de correo electrónico, la mayoría de los usuarios abrirán archivos de medios sin dudar. Además, como el video es un formato fácil de usar, la funcionalidad como padding (relleno), anuncios en ventanas emergentes y el redireccionamiento de URL se convierten en herramientas ideales de destrucción para los desarrolladores de malware. En combinación, estos aspectos facilitan que los codificadores maliciosos alcancen un alto grado de efectividad con el malware de medios.

El gusano W32/Realor, descubierto a principios de noviembre de 2006 por McAfee Avert Labs, es un incidente reciente de malware de medios. El gusano podría lanzar sitios Web maliciosos sin que el usuario se percate, con lo cual expone potencialmente a los usuarios a bots y ladrones de contraseñas cargados en estos sitios. Otro malware de medios como Exploit-WinAmpPLS puede instalar silenciosamente programas espía con muy poca interacción del usuario. Como en la Web proliferan las redes para compartir videos, la captura potencial de una gran audiencia incitará a los desarrolladores de malware a explotar estos canales en busca de recompensas económicas.

Las amenazas a dispositivos móviles siguen incrementándose a medida que se fortalece la convergencia de las plataformas. El uso de tecnología de teléfonos inteligentes ha desempeñado un rol esencial en la transición de las amenazas desde PC de varias funciones y semifijos a dispositivos «portátiles» del tamaño de un dispositivo Palm. Con el aumento de la conectividad mediante tecnología BlueTooth, SMS, mensajería instantánea, correo electrónico, WiFi, USB, audio, video y Web, existen más posibilidades para la contaminación cruzada de los dispositivos.

En el año 2006 se han observado varios esfuerzos de los autores de malware móvil para lograr vectores de infección de PC a teléfono y de teléfono a PC. El vector de PC a teléfono se logró mediante la creación de MSIL/Xrove.A, un malware .NET que puede infectar un teléfono inteligente mediante ActiveSync Los vectores actuales de Teléfono a PC siguen siendo primitivos en naturaleza en estos momentos, como las infecciones mediante tarjetas de memoria portátiles. Sin embargo, McAfee espera que se llegue a esta nueva etapa en 2007.

SMiShing, which involves taking the techniques of phishing by email and porting them to SMS (SMiShing instead of phishing), is also expected to increase in prevalence. En agosto de 2006, McAfee Avert Labs recibió su primera muestra de un ataque de SMiShing con VBS/Eliles, un gusano de correo electrónico masivo que también envía mensajes de servicio de mensajería corta (SMS) a teléfonos móviles. Hacia fines de septiembre de 2006, se había descubierto cuatro variantes del gusano.

Además, se espera que el malware móvil para obtener lucro aumente en el año 2007. Mientras que la mayoría del malware que inspecciona Avert Labs incluye caballos de troya relativamente simples, el panorama ha cambiado con el troyano J2ME/Redbrowser. J2ME/Redbrowser es un programa caballo de Troya que intenta acceder a páginas Web mediante Wireless Access Protocol (WAP) con mensajes SMS. En realidad, en lugar de recuperar páginas WAP, envía mensajes SMS a números de Transferencia Premium, lo cual implica mayores gastos de los previstos para un usuario. Un segundo J2ME, Wesber, que apareció a fines de 2006, también envía mensajes a un número SMS Premium.

En los últimos meses de 2006 se ha observado un gran flujo de ofertas de programas espía en el mundo de los dispositivos móviles. La mayoría están diseñados para monitorear números de teléfono y registros de llamadas SMS o para robar mensajes SMS al reenviar una copia a otro teléfono. Un programa espía en particular, SymbOS/Flexispy.B, puede activar remotamente el micrófono del dispositivo de la víctima, lo que permite escuchar a esa persona. Otro programa espía puede activar la cámara. McAfee espera que en el año 2007 aumente la oferta de programas espía comerciales que atacarán dispositivos móviles.

Los programas publicitarios fortalecerán su dominio
En 2006, McAfee Avert Labs presenció un aumento en los Posibles programas no deseados (PUP) comerciales e incluso un mayor incremento en tipos relacionados de troyanos maliciosos, en particular capturadores de teclado, ladrones de contraseñas, bots y backdoors. Además, se ha intensificado el mal uso de software comercial a través de malware con implementaciones de programas publicitarios remotamente controlados, capturadores de teclado y software de control remoto. No obstante, a pesar de los desafíos sociales, legales y técnicos, existe bastante interés comercial en publicitar modelos de ingresos, por lo tanto McAfee prevé que más empresas legítimas usen o intenten usar software de publicidad de formas (esperemos) menos ofensivas para los consumidores que la mayoría de los actuales programas publicitarios.

De acuerdo con la Comisión Federal de Comercio de Estados Unidos, aproximadamente 10 millones de norteamericanos son víctimas de fraude electrónico cada año. El origen de estos crímenes a menudo se encuentra en el robo de computadores, la pérdida de respaldos o el compromiso de sistemas de información. Mientras que McAfee espera que el número de víctimas se mantenga relativamente estable, la divulgación de datos perdidos o robados de una empresa, el aumento de los incidentes de robos cibernéticos y el hackeo en sistemas de comerciantes minoristas, procesadores y cajeros automáticos, sumado a los informes de robo de equipos portátiles que contienen datos confidenciales, continuarán manteniendo este tema como una preocupación pública.

McAfee Avert Labs también prevé que la transmisión no autorizada de información se convertirá en un riesgo para las empresas en el área de pérdida de datos e incumplimiento de normas. Esto incluye la pérdida de datos de los clientes, información personal de sus empleados y propiedad intelectual a través de todos los posibles canales de fuga de datos: aplicaciones, redes e incluso canales físicos como dispositivos USB, impresoras, fax y almacenamiento portátil. McAfee también proyecta observar un aumento en los sistemas de archivo y encriptación a medida que madure el mercado de prevención de pérdida de datos (DLP, Data loss prevention).

Los bots, programas computacionales que realizan tareas automatizadas, están aumentando, pero empezarán a abandonar los mecanismos de comunicación basados en Internet Relay Chat (IRC) y se abocarán a sistemas menos intrusivos. En los últimos años, se ha gestado un creciente interés dentro de la comunidad de desarrollo de virus en amenazas de IRC. Esto se debe al poder que otorga el lenguaje de encriptación IRC y a la facilidad para coordinar máquinas infectadas desde un tipo de estructura de sala de Chat.
Los «mulas» también seguirán siendo un aspecto importante en los esquemas de obtención de ingresos relacionados con bots. Estos son trabajos del tipo «trabaje en casa» que a menudo son ofrecidos por sitios Web que parecen muy profesionales, mediante anuncios clasificados, e incluso con mensajería instantánea (IM). Esta es una parte crucial de la razón por la cual muchos bots pueden ejecutarse desde varios lugares en el globo. Para obtener la mercadería (a menudo para reventa) o conseguir dinero con credenciales de tarjetas de crédito robadas, los ladrones tienen que pasar regulaciones más estrictas si los artículos viajan a otros países. Para cumplir estas regulaciones, utilizan «mulas» dentro de los países de origen.

Pese a que el malware parasitario representa menos de un 10 por ciento de todo el malware (el 90 por ciento del malware es estático), parece que está reapareciendo. Las infecciones parasitarias son virus que modifican los archivos actuales en un disco, inyectando código en el archivo donde residen. Cuando un usuario ejecuta el archivo infectado, también se ejecuta el virus. W32/Bacalid, W32/Polip y W32Detnat son tres agentes de infecciones de archivos parasitarios, polimórficos populares identificados en el año 2006 que poseen capacidades furtivas e intentan descargar troyanos desde sitios Web involucrados.

También es importante destacar que el 80 por ciento de todo el malware se organiza en paquetes, encripta o disfraza, en un intento por ocultar su propósito malicioso. Entre los ejemplos de agentes de infecciones parasitarias disfrazados se encuentran w32/Bacalid y w32/Polip.

A principios de este mes, McAfee Avert Labs también dio seguimiento y monitoreó la carga implementada por W32/Kibik.a, un exploit parásito de día cero que incluye heurística de rootkit, detección de comportamiento y listas negras de IP que han sido tema de conversación (en seguridad) durante los últimos años; W32/Kibik.a hace un intento bastante interesante de sobrevivir en la matriz competitiva de hoy. Desde la instalación silenciosa mediante un exploit de día cero, hasta la residencia y operaciones silenciosas y una búsqueda en Google que parece inocente y casi silenciosa: W32/Kibik.a podría ser el comienzo de una amenaza para el año 2007 en malware escalable controlado remotamente (también conocido como botnet). No es de extrañar que con sus elementos furtivos, pocos proveedores de servicios de seguridad hasta la fecha hayan detectado o reparado W32/Kibik.a.

Los rootkits aumentarán en plataformas de 32 bits; sin embargo, también aumentarán las capacidades de protección y reparación. En plataformas de 64 bits, particularmente Vista, es difícil predecir las tendencias del malware si se considera que están pendientes las tasas de respuesta para la plataforma de 64 bits, pero en general McAfee Avert Labs espera:
* Una reducción en los rootkits de modo kernel, al menos a corto plazo, mientras que los autores de malware inventan nuevas técnicas diseñadas para perjudicar PatchGuard
* Un aumento en los rootkits de modo usuario y malware de modo usuario en general, o al menos un mayor impacto de malware de 64 bits, a medida que software de seguridad de vanguardia ofrece técnicas heurísticas y de comportamiento más avanzadas, se verá obstaculizado por PatchGuard. Este estado se mantendrá al menos hasta el Service Pack 1 de Vista, cuando Microsoft introduzca nuevas API y, probablemente después de eso, dependiendo de la cantidad de reingeniería que requieran los proveedores de seguridad y la tasa de respuesta de SP1.

Las vulnerabilidades seguirán causando preocupaciones
En el año 2007 se espera un aumento de la cantidad de vulnerabilidades descubiertas. En lo que va de 2006, Microsoft ha anunciado 140 vulnerabilidades mediante su programa de parches mensuales. McAfee Avert Labs prevé que esta cifra aumentará debido al incremento en el uso de programas fuzzers, que permiten probar aplicaciones a gran escala, y debido al programa de recompensas que premia a los investigadores por encontrar vulnerabilidades. Este año, Microsoft ya ha lanzado parches para más vulnerabilidades críticas que en los años 2004 y 2005 combinados. Ya en septiembre de 2006, se había superado el total combinado de los años 2004 y 2005, es decir 62 vulnerabilidades críticas.

McAfee Avert Labs también ha advertido una tendencia en ataques de día cero posteriormente al ciclo de parches mensuales de Microsoft. Dado que los parches se emiten sólo una vez al mes, esto fomenta la escritura de exploits con el objetivo de lanzar exploits de Microsoft de día cero luego del parche mensual del día martes para maximizar la ventana de exposición a la vulnerabilidad.

Recomendaciones de McAfee Avert Labs
Para protegerse de las amenazas y programas maliciosos anteriores, McAfee Avert Labs recomienda mantenerse protegido, tanto las empresas como los consumidores deben estar actualizados constantemente con los últimos Data Definition Files (DATs), instalar los últimos parches e implementar un enfoque de varias capas para detectar y bloquear los ataques.
Para obtener más información sobre amenazas en particular, o conocer más sobre investigaciones de seguridad avanzada y opiniones, visite el Blog de seguridad de McAfee Avert Labs en http://www.avertlabs.com/research/blog/.
McAfee Avert Labs sigue siendo una de las principales organizaciones de investigación de amenazas a la seguridad en el mundo y emplea a investigadores de 17 ciudades y 12 países. McAfee Avert Labs combina una investigación de clase mundial sobre código malicioso y antivirus con experiencia en la prevención de intrusos y el estudio de vulnerabilidades.