Antivirus

Introducción

Los métodos para contener o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos y entre los activos tenemos los antivirus. Hay cientos, miles de páginas en Internet que tratan este tema, he utilizado algunas de ellas para recabar información dividiendo el tema de la siguiente manera:

1. Definición

2. Historia

3. Funcionamiento

4. Factores de valoración- los más populares

5. Links para los que quieran saber un poco más

1. Definición programa antivirus

Los antivirus son programas cuya función es detectar, identificar y eliminar virus informáticos y otros programas peligrosos para los ordenadores llamados malware.

Tienen una gran base de datos con la huella digital de todos los virus conocidos para identificarlos y también con las pautas que más contienen los virus. Los fabricantes de antivirus avanzan tecnológicamente casi en la misma medida que lo hacen los creadores de virus. Esto sirve para combatirlos, aunque no para prevenir la creación e infección de otros nuevos.

2. Historia

• 1949: Se da el primer indicio de definición de virus. John Von Neumann (considerado el Julio Verne de la informática), expone su “Teoría y organización de un autómata complicado”. Nadie podía sospechar de la repercusión de dicho artículo.

• 1959: En los laboratorios AT&T Bell, se inventa el juego “Guerra Nuclear” (Core Wars) o guerra de núcleos de ferrita. Consistía en una batalla entre los códigos de dos programadores, en la que cada jugador desarrollaba un
programa cuya misión era la de acaparar la máxima memoria posible mediante la reproducción de si mismo.

• 1970: El Creeper es difundido por la red ARPANET. El virus mostraba el mensaje “SOY CREEPER…ATRAPAME SI PUEDES!”. Ese mismo año es creado su antídoto: el antivirus Reaper cuya misión era buscar y destruir al Creeper.

• 1974: El virus Rabbit hacía una copia de si mismo y lo situaba dos veces en la cola de ejecución del ASP de IBM lo que causaba un bloqueo del sistema.

• 1980: La red ARPANET es infectada por un “gusano” y queda 72 horas fuera de servicio. La infección fue originada por Robert Tappan Morris, un joven estudiante de informática de 23 años aunque según él fue un accidente.

• 1983: El juego Core Wars, con adeptos en el MIT, salio a la luz pública en un discurso de Ken Thompson. Dewdney explica los términos de este juego. Ese mismo año aparece el término virus tal como lo entendemos hoy.

Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar virus informáticos, durante la década de 1980.

Las soluciones antivirus de entonces
¿Qué sucedía con las soluciones antivirus mientras tanto? El problema de los virus empezó no tanto como un diluvio, sino más bien como un goteo: los nuevos virus aparecían con lentitud, uno a la vez. En realidad, durante algunos años hubo quienes consideraron que la aparición de virus no era más que un mito. Los primeros programas antivirus eran utilidades diseñadas para detectar y eliminar virus individuales específicos o, a medida que iban incrementándose el número de programas maliciosos, un puñado de virus.

Luego, a medida que el goteo se transformaba en un flujo constante en 1989, se lanzaron los paquetes antivirus. La esencia de estos programas era el escaneado a solicitud, diseñado para encontrar en el disco la docena y pico de virus existentes en ese momento. Algunos eran capaces de realizar tareas de limpieza, eliminando los códigos infectados. Otros también incluían un checksummer o método de suma de control, diseñado para registrar el archivo original en un disco limpio, de manera que cualquier daño posterior sea obvio, aún (en teoría) si este archivo llegara a ser modificado por nuevos tipos de virus.

Para empezar, los programas antivirus sólo se elaboraban a solicitud. El número de nuevos virus en un principio crecía con lentitud. Además, su índice de diseminación era, comparado a los estándares actuales, lento. Entonces, la clave era poder realizar análisis regulares del sistema y ser capaces de eliminar cualquier elemento detectado en una organización o en un ordenador particular. Para ello, un disco de sistema limpio constituía una herramienta invalorable: con un arranque limpio, se podía asegurar de que no había virus en la memoria que interfirieran con el escaneado y las operaciones de limpieza. En muchos casos, las compañías ni siquiera instalaban programas antivirus en equipos individuales, al menos no en un principio (esto fue cambiando una vez que las compañías sufrían un ataque viral). En general, el administrador realizaba barridos regulares del sistema y filtraba los discos floppy en una sola máquina, antes de utilizarlos.

El ciclo normal de actualización de los programas antivirus era trimestral. Aunque algunos desarrolladores de antivirus ofrecían actualizaciones mensuales, no se las solía considerar necesarias, y los usuarios que necesitaban niveles máximos de seguridad pagaban una prima por una mayor frecuencia de actualizaciones. Las actualizaciones se entregaban, como es de suponer, en medios físicos como… discos floppy.

Aumentan las amenazas, evolucionan los métodos de detección
Sin embargo, a fines de 1990, el número de virus llegó a los 300. Frente a esta amenaza, los desarrolladores de programas antivirus empezaron a implementar la protección en tiempo real. Esto significaba el desarrollo de programas TSR (Terminate and Stay Resident) que, al igual que los virus exitosos del momento, monitoreaban el sistema, interceptaban discos y accesos a archivos, verificando la presencia de virus conocidos.

También empezaron a buscar la forma de detectar virus de manera proactiva, sin necesidad de una signatura específica, recurriendo al análisis heurístico. Los investigadores antivirus iban adquiriendo experiencia sobre las técnicas usadas por programas maliciosos y las empleaban para crear una lista de características sospechosas, asignando un puntaje a cada una, el escáner analizaba el código buscando estas características; si el puntaje superaba una marca predefinida, se identificaba el archivo como un probable virus.

La creciente amenaza que representaban los virus polimorfos obligaron a los programadores de antivirus a complementar el análisis de signaturas con otros métodos que permitieran que un escáner pudiera «ver a través» de la(s) capa(s) de codificación. Estos métodos incluían el uso de máscaras reducidas, análisis de codificaciones, análisis estadísticos y técnicas de emulación. También se utilizaban códigos de emulación para mejorar la detección heurística, posibilitando así el análisis dinámico de códigos.

Los primeros bloqueadores de conductas peligrosas
Una solución alternativa al agudo incremento cuantitativo fue el análisis de comportamiento. Mientras que los tradicionales análisis antivirus registraban signaturas de códigos maliciosos en una base de datos que se cruzaba con códigos verificados durante el análisis, los bloqueadores de comportamiento recurrían a un programa de comportamiento para decidir si el comportamiento detectado era malicioso o no: si un programa hacía algo que rebasaba un rango predeterminado de acciones aceptables, se lo bloqueaba.

La principal ventaja de un bloqueador de comportamiento, según sus defensores, era que podía distinguir entre programas “buenos” y “malos”, sin necesidad de que un investigador profesional antivirus analizara el código. Puesto que ya no había necesidad de un análisis permanente de cada amenaza específica, tampoco era necesario mantener actualizadas las signaturas antivirus. Así, los usuarios se encontraban protegidos de antemano ante nuevas amenazas, sin tener que recurrir a las tradicionales actualizaciones antivirus.

La desventaja, por supuesto, residía en la incertidumbre que se creaba entre las acciones claramente maliciosas y aquellas legítimas. Lo malicioso en un programa específicamente creado para causar daño, podía ser positivo en un programa legítimo. Por ejemplo, la escritura de bajo perfil en discos realizada por un virus, gusano o troyano, quizás con el fin de eliminar datos de un disco duro, también podía ser utilizada de manera legítima por el sistema operativo. ¿Y cómo se despliega un bloqueador de comportamiento en un servidor de archivos para saber si una modificación (o eliminación) en el documento es legítima (por parte del usuario), o si es el resultado de la actividad maliciosa de un programa? Después de todo, un virus o un gusano no es más que un programa que se autoreproduce. Aparte de esto, puede hacer lo que cualquier otro programa normal es capaz de hacer. Por este motivo, los programas antivirus más populares continuaban basándose, en gran manera, en la detección de programas maliciosos conocidos.

Sin embargo, el análisis de comportamiento no desapareció. Más bien, muchas modernas soluciones de seguridad combinan el uso del análisis de comportamiento con otros métodos de detección, bloqueo y eliminación de códigos maliciosos.

El creciente número de amenazas era sólo uno de los problemas. El desarrollo de códigos furtivos y polimorfos, como se señala arriba, destaca el hecho de que los virus se encontraban en continua evolución.

Aunque había copias de virus muy mal elaboradas, los autores más avezados eran capaces de elaborar códigos muy efectivos, expandiendo sus fronteras para ponerse un paso por delante de los investigadores antivirus. Entre ellos se encontraba el autor del virus conocido como “Dark Avenger”, responsable, entre otras cosas, del desarrollo de “infectadores rápidos”, capaces de infectar cualquier tipo de acceso a archivos, y de la idea del deterioro gradual de datos (los virus Dark Avenger y Nomenklatura). Dark Avanger fue responsable del módulo Self-Mutating Engine (conocido como MtE), capaz de convertir un virus regular en uno polimorfo. Su última creación fue un virus llamado Commander Bomber, cuyo código se distribuía a través del programa anfitrión, dificultando en gran manera el escaneado a cualquier velocidad.

Intercambio de virus y herramientas de creación de virus
Varios otros avances pusieron en dificultades a los desarrolladores antivirus durante la primera mitad de los años 90. Primero fue el foro de intercambio de virus (VX). Los foros se utilizaban desde un principio como mecanismos distribuidores de virus. Antes de que Internet se hiciera tan popular, se utilizaba mucho estos foros para descargar programas: Infectar archivos y colocarlos en los foros para su descarga era una forma efectiva para esparcir infecciones. VX fue un desarrollo avanzado. La idea era simple: el foro VX alojaba colecciones de virus, y sólo se podía acceder a este si se contribuía con un virus. Por supuesto, esto no sólo motivó a los desarrolladores de virus, sino que también causó una amplia diseminación de distintos virus que de otra manera no hubiera sido posible. En un desarrollo paralelo en ese momento, tanto en Europa como en los Estados Unidos se ofrecían a la venta colecciones de virus.

Otra tendencia preocupante fue el surgimiento de paquetes para la elaboración de virus. Como el nombre sugiere, estaban diseñados para brindar la capacidad de «crear su propio virus» a quienes carecían de los suficientes conocimientos o habilidades técnicas como para escribir sus propios códigos. Dichos paquetes ofrecían una interfaz del usuario que posibilitaba la selección de características para los virus de entre listas de opciones. Desafortunadamente para los autores de estos paquetes, los virus creados de esta manera tenían una “huella dactilar” característica que permitía a los investigadores antivirus detectarlos mediante una sola signatura.

Los macrovirus
Un momento crucial en el desarrollo de virus se dio en julio de 1995, con la aparición del primer macrovirus, llamado Concepta. Los macrovirus dominarían el panorama de amenazas durante los cuatro años siguientes.

El autor de Concepta explotaba el hecho de que los usuarios intercambiaban datos con más frecuencia que programas. El autor utilizaba instrucciones de Wordbasic para modificar la plantilla NORMAL.DOT, incorporando así el código viral, bajo la forma de varios macros automáticos en cada uno de los documentos que el usuario iba creando. Como resultado, cada usuario que recibía el documento infectado se convertía en su víctima. Este simple desarrollo, ya anticipado y temido por los investigadores antivirus mucho tiempo atrás, tendría consecuencias de largo alcance.

Primero, el enfoque de la comunidad de autores de virus cambió de los códigos ejecutables (archivos de programa y sectores de disco) a los códigos de datos. Previo a esto, los virus, por lo general, se elaboraban en códigos de ensamblaje, lo cual requería un cierto nivel de conocimiento. Por el contrario, los macrovirus, escritos en WordBasic y luego en VBA (Visual Basic for Applications) eran mucho más fáciles de crear. También eran más fáciles de copiar: Los macrovirus por lo general eran claramente visibles y se podían copiar, modificar y reaplicar con facilidad. De repente, el campo de los virus se abrió a un grupo mucho más amplio. Como resultado, el número de virus se incrementó de manera notable: de casi 6.000 en junio de 1995 a 7.500 a fin de ese año, y a más de 25.000 en diciembre de 1998.

Segundo, los macrovirus fueron los primeros virus en infectar (deliberadamente) archivos de datos. Puesto que era más común el intercambio de archivos de datos que de programas, esto ofrecía a los macrovirus un canal de replica mucho más efectivo que virus anteriores. Este problema se agravó con la aparición del correo electrónico como medio de comunicación y de intercambio de datos. El creciente uso de mensajes electrónicos entre los usuarios comunes y corrientes, la facilidad con que se podía adjuntar archivos a un mensaje electrónico, y el surgimiento del más amplio acceso a Internet fueron terreno fértil para la diseminación de los macrovirus.

Tercero, los macrovirus no estaban determinados ni por plataformas ni por sistemas operativos. Su fundamento eran las aplicaciones. Puesto que había versiones de Word para Windows 3.x, Windows 95, Windows NT y Macintosh, esto convertía a los sistemas en blancos susceptibles de ataques, o al menos se los utilizaba como transportadores eficaces. Para colmo, este problema muy pronto rebasó las fronteras de Word. Ya que VBA se aplicaba a todo el paquete de aplicaciones Office (Word, Excel, PowerPoint, Access y Project), estas aplicaciones se convirtieron en blanco de los macrovirus: ¡Incluso había macrovirus multiaplicación dirigidos a todas las aplicaciones de Office!

Como se mencionó líneas arriba, cada generación se apoya en las que la precedieron. Los autores de macrovirus aprovecharon desarrollos anteriores, como los códigos furtivos y los polimorfos, y los volvieron a aplicar en ese nuevo contexto.

Soluciones para servidores de correo y pasarelas de Internet
A medida que cambiaba el panorama de amenazas, también lo hacían las soluciones diseñadas para la protección de compañías contra ataques maliciosos. Antes de la aparición de los macrovirus, el centro de gravedad del análisis antivirus era el ordenador individual y, en menor escala, el servidor de archivos. Los macrovirus iniciaron un proceso en el que la red se amplió e incorporó servidores de correo y gateways para Internet. La razón es obvia. A medida que el correo electrónico se convertía en el mecanismo principal para la diseminación de virus, el análisis de los mensajes electrónicos se convirtió en un medio eficaz para bloquear toda amenaza antes de que llegara al ordenador del usuario. Por supuesto que no desapareció la necesidad de protección para el ordenador y para el servidor de archivos. Más bien se mantuvieron como armas esenciales en la lucha antivirus. Pero tenían que integrarse en una solución más amplia, de varios niveles de “defensa en profundidad”.

Los fabricantes de soluciones antivirus también comenzaron a desarrollar en mayor grado sus capacidades de detección proactiva, específicamente mediante la implementación de la detección genérica. La detección genérica se refiere a la detección y eliminación de múltiples amenazas mediante una sola signatura de virus. El punto de inicio para la detección genérica es que las amenazas exitosas suelen ser copiadas por terceros, o refinadas por los autores originales. El resultado es una avalancha de virus, gusanos o troyanos, distintos el uno del otro, pero pertenecientes a la misma familia. En muchos casos, el número de variantes puede contarse por decenas, o incluso centenas. La detección genérica brindó un método avanzado para la detección de amenazas nuevas y desconocidas sin tener que recurrir a nuevas signaturas.

El nacimiento del spam
El creciente uso del correo electrónico como una herramienta fundamental en el ambiente empresarial propició el surgimiento de otro problema para las empresas: el correo basura, correo no deseado, UCE (Unsolicited Bulk E-mail) o spam. A medida que más compañías se apoyaban en el correo electrónico, se fueron convirtiendo en tentadores blancos para quienes buscaban nuevas formas de anunciar productos y servicios. Estos anuncios publicitarios cubrían una amplia gama, desde productos y servicios legítimos, hasta aquellos obscenos, ilegales o bien no solicitados.

El surgimiento y crecimiento del correo spam trajo consigo varios problemas, como la pérdida de ancho de banda y de tiempo laboral, puesto que el personal se distraía con mensajes no relacionados con su trabajo, así como potenciales problemas legales y de recursos humanos ligados a contenidos obscenos, sexistas, racistas u otros contenidos indeseables. Por supuesto que se presentaban algunas zonas difusas: lo que para una persona era un mensaje spam, para otra era información valiosa y bienvenida.

Este periodo no sólo fue testigo del desarrollo del filtrado de contenidos, realizado en primera instancia en el gateway de Internet, con el propósito de filtrar el correo spam y otros contenidos indeseables, sino que también lo fue de la colaboración entre fabricantes de soluciones antivirus que de manera cada vez más intensa concentraban sus esfuerzos en el filtrado de códigos maliciosos en el servidor de correo y en la pasarela (gateway) de Internet.

Envíos masivos de códigos nocivos
La aparición del virus Melissa en marzo de 1999 marcó otro gran hito respecto a las amenazas virales. Aparentemente, Melissa era otro macrovirus más. Sin embargo, y a diferencia de los macrovirus hasta entonces conocidos que esperaban la intervención del usuario para enviar los datos infectados, Melissa “secuestraba” el sistema de correo electrónico para distribuirse de manera proactiva. Todo lo que se necesitaba del usuario era que pulsara dos veces en el adjunto infectado que venía en el mensaje electrónico. Luego, el virus recolectaba direcciones de correo electrónico de la lista de contactos de Outlook y se autoenviaba a estas direcciones. Los “envíos masivos” permitían a Melissa esparcirse más amplia y velozmente que cualquier otro macrovirus precedente. Peor aún, Melissa representaba una amenaza a la estabilidad de la infraestructura misma del correo electrónico como resultado del gran volumen de mensajes electrónicos creado por este virus. Tras la expansión inicial de Melissa (se colocó en uno de los foros sobre sexo), los sistemas corporativos de correo electrónico rápidamente se atascaron con mensajes electrónicos y muchos simplemente colapsaron ante la presión. No resulta sorprendente que Melissa haya impuesto una tendencia. Por muchos años más, casi todos los virus y gusanos predominantes seguirán amenazando tanto a usuarios corporativos como particulares con su capacidad de envíos masivos.

Melissa produjo un significativo cambio en la naturaleza de las amenazas virales. Los virus ya no tuvieron que esperar a que un incauto usuario distribuyera el archivo infectado. Al secuestrar al mismo sistema de correo, los virus ganaron el control de un mecanismo muy efectivo de réplica, logrando causar epidemias en cuestión de días o incluso horas.

De alguna manera, Melissa apuntaba a dos direcciones simultáneamente. Por una parte, tenía una orientación retrospectiva a la época de los macrovirus, y fue uno de los últimos (y el mayor) estallido de este tipo de virus. Por otra parte, se orientaba a un futuro que sería dominado por los gusanos, en particular, por el gusano de correo electrónico.

Las respuestas al aumento de la velocidad de propagación
La diseminación de nuevas amenazas a “velocidad de Internet” y el creciente número de epidemias mundiales, enfatizaron más que nunca la velocidad a la que los fabricantes de soluciones antivirus respondían a estas nuevas amenazas. En los “buenos viejos tiempos”, para la mayoría de los clientes, eran suficientes actualizaciones trimestrales. Posteriormente, las actualizaciones se estandarizaron. Entonces, ante la amenaza planteada por los gusanos de correo electrónico y de Internet, las mayoría de los fabricantes de soluciones antivirus optaron por actualizaciones semanales de signaturas. Hoy en día, muchos ofrecen actualizaciones diarias . La rapidez en la respuesta a nuevas amenazas también se convirtió en factor determinante en las pruebas antivirus independientes.

Además, como respuesta a las técnicas de ingeniería social empleadas por los autores de programas maliciosos, muchas empresas empezaron a bloquear, de manera rutinaria, ciertos tipos de archivos al nivel del gateway de Internet con el fin de prevenir que los adjuntos EXE, PIF, SCR y otros, llegaran a sus usuarios.

No obstante, muchos seguían preocupados por el tiempo transcurrido entre la aparición de una nueva vulnerabilidad y los medios para bloquearla, periodo durante el cual podía expandirse furtivamente una nueva amenaza. Algunos cuestionaban la habilidad de las tradicionales soluciones antivirus en base a signaturas para contrarrestar la creciente complejidad de los códigos maliciosos. De hecho, los principales desarrolladores de soluciones antivirus empezaron a ampliar el abanico de protección que ofrecían.

Los cortafuegos personales
Una forma de hacerlo era añadiendo la capacidad de los cortafuegos personales. Los cortafuegos personales monitorean y neutralizan el tráfico no deseado. Un cortafuegos personal, como el mismo nombre sugiere (y en contraste con el tradicional cortafuegos en el gateway), se instala en el ordenador o en el servidor. Funciona como un “controlador de tráfico” en el ordenador, verificando el tráfico entrante y saliente del ordenador, permitiendo o neutralizando conexiones en base a políticas predeterminadas. Los cortafuegos personales tienen dos características sobresalientes. Por una parte, permiten el filtrado de aplicaciones. Es decir, permiten fijar reglas para las aplicaciones más usadas como los navegadores de Internet, ICQ, programas de mensajería instantánea y otros. Los cortafuegos personales también permiten el filtrado de paquetes: analizan las transferencias de datos (encabezados, protocolos utilizados, puertos, direcciones IP, etc.) y filtran paquetes siguiendo políticas predeterminadas.

Los sistemas de prevención de intrusos (IPS)
Algunos desarrolladores de soluciones de seguridad complementan las tecnologías “tradicionales” con sistemas de prevención de intrusos (IPS). Los sistemas IPS basados en anfitriones, están diseñados para proteger ordenadores y servidores. Por lo general recurren al análisis de comportamiento para detectar códigos maliciosos. Realizan esta tarea haciendo un seguimiento de todas las llamadas realizadas en el sistema y comparándolas con políticas basadas en comportamientos “normales”. Estas políticas pueden ser bastante granulares ya que se puede aplicar el comportamiento a aplicaciones específicas. De esta manera, actividades como la activación de puertos en el sistema, el escaneado de puertos, los intentos para aumentar los privilegios en el sistema y la inyección de códigos en procesos en ejecución pueden ser identificados como comportamientos anormales y neutralizados. Algunos sistemas IPS complementan el análisis de comportamiento mediante el uso de signaturas de códigos hostiles conocidos.

Los sistemas IPS basados en redes, desplegados en línea en la red, filtran códigos maliciosos en los paquetes, detectan el uso anormal del ancho de banda o tráfico irregular (paquetes malformados). Los sistemas IPS basados en redes son de particular utilidad para detectar ataques de denegación de servicio (DoS), o el tráfico generado por gusanos de redes.

Los desafíos actuales
Desde la aparición de los primeros virus para ordenadores, las amenazas contra compañías y usuarios particulares han experimentado inesperados cambios. En aquellos primeros días, nadie habría podido anticipar la gran cantidad, o la gran variedad de los modernos programas maliciosos. Cada oleada sucesiva del desarrollo de programas maliciosos trajo consigo nuevos desafíos y cambios en las soluciones disponibles, el desarrollo de nuevas soluciones o la adaptación de tecnologías ajenas al mundo antivirus. Así que el panorama de amenazas no sólo es radicalmente diferente al de hace 20 años, sino que las mismas soluciones de seguridad también lo son respecto a las de la época referida. En particular, hemos notado un cambio en la motivación que impulsa a los autores de programas maliciosos, desde el cibervandalismo al uso de códigos maliciosos con fines de lucro ilegales. Esto ha resaltado como nunca antes la importancia de brindar no sólo una protección oportuna contra las 200 o más amenazas que aparecen a diario, sino también en el diseño de soluciones capaces de bloquear amenazas nuevas y desconocidas sin la necesidad de contar con nuevas signaturas. Las primeras soluciones antivirus parecían unidimensionales en comparación a las modernas soluciones holísticas desarrolladas por los principales proveedores de programas de seguridad informática. Asimismo, las cambiantes prácticas empresariales, y la desaparición de los tradicionales perímetros de las redes significa que las soluciones de seguridad tienen que ser capaces de proteger a la organización y su personal donde sea que éstos se encuentren y cualquiera que sea el negocio en el que estén.

3. El funcionamiento de un antivirus

Los antivirus son esenciales en sistemas operativos cuya seguridad es baja, como Microsoft Windows, pero existen situaciones en las que es necesario instalarlos en sistemas más seguros, como Unix y similares.

El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar a un ordenador y bloquearlas antes de que las mismas puedan infectar un equipo, o poder eliminarlas tras la infección.

El funcionamiento de un antivirus varía de uno a otro, normalmente poseen algunas de las siguientes herramientas bien diferenciables entre sí:

-Utilitarias: – Utilitario para la copia de seguridad, limpieza y recuperación de áreas críticas del sistema de archivos.

-Técnicas de rastreadores de virus: Rastreadores de virus, que intentan identificar la presencia de virus en nuestros medios de almacenamiento mediante diferentes técnicas de análisis, para que no se escape ninguna de las clases de virus. Entre otras, las técnicas más comunes son las siguientes:

Análisis de firmas: Utilizando una base de datos con las firmas (secuencia de bytes característica que aparece en los archivos infectados por ese virus) de cada uno de los virus que ya fueron identificados se rastrean los archivos o sectores de arranque por la presencia de las mismas y en caso afirmativo se identificará al mismo como infectado. Dado que la detección de los virus es dependiente de la base de datos de firmas, esta última deberá estar actualizada para que el resultado del proceso sea confiable. Es por ello que un buen paquete antivirus debe ofrecer actualizaciones cada pocos días. Utilizar esta técnica de rastreo con una base de datos de más de un mes no brinda ninguna seguridad.

Análisis heurístico: En los productos antivirus se conoce como heurística a las técnicas que emplean para reconocer códigos maliciosos (virus, gusanos, troyanos, etc.) que no se encuentren en su base de datos (ya sea porque son nuevos, o por no ser muy divulgados). El término general implica funcionalidades como detección a través de firmas genéricas, reconocimiento del código compilado, desensamblado, desempaquetamiento, entre otros.

Su importancia radica en el hecho de ser la única defensa automática posible frente a la aparición de nuevos códigos maliciosos de los que no se posea firmas.écnicas

Técnicas heurísticas:

Firmas genéricas
Hay muchos códigos maliciosos que son modificados por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, por lo que se catalogan como una familia de virus. Gracias a las similitudes dentro del código del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a través de una única firma o vacuna genérica. Esto permite que al momento de aparecer una nueva versión de un virus ya conocido, aquellos antivirus que implementan esta técnica puedan detectarlo sin la necesidad de una actualización.

Reconocimiento de código compilado
Cuando se compila un programa para poder convertirlo en un archivo ejecutable, la codificación resultante representa instrucciones que se le darán al sistema para realizar las operaciones necesarias. Las implementaciones de heurística de algunos antivirus utilizan técnicas para reconocer instrucciones comúnmente aplicadas por los códigos maliciosos, y así poder identificar si un archivo ejecutable puede llegar a ser un código malicioso.

Desensamblado
Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el código fuente del programa en lenguaje ensamblador. La heurística de algunos antivirus es capaz de analizar el código fuente de los programas sospechosos. De esta forma puede reconocer un posible código malicioso si encuentra técnicas de desarrollo que suelen usarse para programar virus, sin la necesidad de una actualización.

Desempaquetamiento
Los programadores de códigos maliciosos suelen usar empaquetadores de archivos ejecutables como UPX con el fin de modificar la «apariencia» del virus heurísticas métodos de desempaquetamiento. De esta forma pueden analizar el código real del programa, y no el empaquetado.

La ventaja de estas tecnologías es que ofrecen protección genérica contra ataques de códigos maliciosos desconocidos, en vez de depender de signaturas de amenazas conocidas. El potencial problema es el riesgo de falsas alarmas. Para minimizar este riesgo, la mayoría de estas tecnologías incluye un “modo de aprendizaje” de alerta que permite que el mismo producto construya una imagen de lo que sería un comportamiento “normal” en un ambiente determinado. Sin embargo, requieren de una cuidadosa configuración, lo que crea una gran carga administrativa que supera a la de la tradicional protección antivirus. En el caso del sistema IPS, también requiere de actualizaciones (aunque no las diarias o semanales actualizaciones de signaturas requeridas por las ‘tradicionales’ tecnologías antivirus) para detectar nuevos métodos de ataques.

La heurística es un aspecto muy difícil de probar en los antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas.

¿Qué son las evaluaciones retrospectivas?
Para poder analizar correctamente el funcionamiento de las capacidades heurísticas o proactivas de un antivirus, lo que se hace es detener la actualización de firmas del producto durante un período X. En ese lapso, se acumulan muestras de códigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los antivirus las reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus solo podrá reconocer si están infectadas o no a través de sus capacidades heurísticas.

Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos.

Existen varios organismos independientes que realizan evaluaciones retrospectivas, como AV-Comparatives

Actualización de antivirus
Para su buen funcionamiento, las soluciones antivirus dependen de bases de datos con definiciones de virus. Estas bases de datos tienen una naturaleza dinámica, debido a la actividad constante de los creadores de virus. Los analistas de virus en Kaspersky Lab, por ejemplo, cada día detectan y añaden alrededor de 100 nuevas descripciones de amenazas a la base de datos de su antivirus.

Los productos antivirus se han vuelto más sofisticados a lo largo de los años, para contrarrestar la cada vez mayor complejidad de los programas maliciosos. Los mecanismos de detección proactiva, los heurísticos, y los diseñados para detectar nuevas amenazas antes de que empiecen a propagarse constituyen una primera línea de defensa importante.

No obstante, la actualización habitual de la protección antivirus es más importante que nunca, dada la velocidad con la que las amenazas de hoy en día pueden esparcirse. Los proveedores de antivirus han reducido el intervalo entre las actualizaciones de definición de virus de trimestral, a mensual y, finalmente, a actualizaciones diarias. Kaspersky Lab ahora provee archivos de definición de virus actualizados a cada hora exacta.

4. Factores de valoración de un antivirus:

Debe tenerse en cuenta que:

Un programa antivirus forma parte del sistema y por lo tanto funcionará correctamente si es adecuado y está bien configurado.
No será eficaz el 100% de los casos, no existe la protección total y definitiva.
Un antivirus debe cumplir con ciertos requisitos para ser considerado efectivo y eficiente: constante actualización, protección permanente, completa base de datos de programas malignos y buena heurística.
Un antivirus debe ser evaluado por distintas características como son, capacidad de detección de software malignos conocidos y desconocidos, actualización constante y efectiva, velocidad de escaneo y monitorización, dar grandes posibilidades a los expertos y sencillez a los inexpertos, efectiva limpieza de los virus y buena documentación de ayuda.

Los más populares

Kaspersky Anti-virus
Panda Security
Norton antivirus
McAfee
Avast! y avast! Home
AVG Anti-Virus y AVG Anti-Virus Free
BitDefender
F-Prot
F-Secure
NOD32
PC-cillin
ZoneAlarm AntiVirus
Microsoft Security Essentials
Otros: ClamXav, Comodo AntiVirus, Norman, PC Tools AntiVirus, Protector Plus, Quick Heal Antivirus, Rising AntiVirus, Sophos Anti-Virus, Windows Live OneCare, BullGuard, Cisco Security Agent

Acerca de algunos antivirus

Kaspersky Anti-virus
De pago, con posibilidad de evaluarlo 30 días.
Gran cantidad de opciones. Es el más completo en cuanto a software maligno ya que no sólo se encarga de virus, gusanos y troyanos, sino que detecta dialers, espías, keyloggers, entre otros malwares. También es de los más actualizados que existen. El punto en contra es su lentitud para analizar en ordenadores que no son potentes. Igualmente Kaspersky cuenta con una base de datos interna que «memoriza» los archivos escaneados para que el segundo escaneado sea más rápido. Posee gran capacidad de detección de virus desconocidos también.
Página oficial desde donde se puede descargar una versión de prueba: http://www.kaspersky.com/trials

Norton Antivirus (NAV). Aplicación que desarrolla la empresa Symantec. Es un potente antivirus, muy popular y con múltiples versiones que se adaptan a las necesidades de cada mercado. Suele ser muy criticado por el alto uso de recursos del sistema, la baja detección de virus comparándolo con sus competidores, etc. http://www.symantec.com/es/es/norton/products

AVG Anti-virus Free Edition (gratuito)
Tiene una versión totalmente gratuita y una de pago.
En su versión gratuita ofrece la misma seguridad que la paga, pero con menos posibilidades de configuración. Es excelente para uso personal y especialmente para computadoras que no son potentes. Su monitor para el escaneo de virus en tiempo real utiliza muy pocos recursos.
Por ser la versión gratuita, hay muchas características que desearían tener los expertos que no están, desde consultas online las 24 horas y otras herramientas que mejoran la detección. Igualmente para uso personal es altamente recomendado.
Se puede descargar http://www.avg.com/ww-es/download-free-anti-virus Es necesario rellenar un simple formulario y se enviará gratuitamente el serial a su email.

Avast Home (gratuito)
Es un antivirus que siempre se mantiene actualizado, además posee módulos que controlan el correo electrónico, la mensajería instantánea, la web, las redes P2P, etc. Es excelente para pcs de hecho la licencia gratuita es teóricamente solo para pc porque consume muy pocos recursos. Sus requisitos mínimos son 64 MB de RAM y 50 MB de espacio en disco. Está disponible para los sistemas operativos Win95/98/98SE/Me/2000/NT/XP/Vista. Además está en español.
Es necesario registrarse de forma gratuita para usarlo más allá de los 60 días.

Detalles varios de otros antivirus:
McAfee: fue de los más usados en su tiempo, rápido, potente, muy actualizado, alta detección de virus, versión de prueba por 90 días.
Panda: empresa española dedicada de lleno a la seguridad informática. El antivirus posee muchísimas herramientas potentes, es pesado para máquinas no poderosas, muy actualizado. El mejor antivirus salido de España. Algunos usuarios se quejan de su lentitud. Versión de prueba por 30 días.
NOD32 Anti-Virus: muy rápido, eficiente, excelente heurística y excelente en cuanto a servicio técnico online. Versión prueba de 25 días.
BitDefender: liviano y efectivo, bien actualizado, buena capacidad de detección.

Las plataformas mas atacadas por virus informáticos son la línea de sistemas operativos Windows de Microsoft. Respecto a los sistemas derivados de Unix como GNU/Linux, BSD, Solaris, MacOS, éstos han corrido con mejor suerte debido en parte al sistema de permisos. No obstante en las plataformas derivadas de Unix han existido algunos intentos que más que presentarse como amenazas reales no han logrado el grado de daño que causa un virus en plataformas Windows.[]

Un virus informático solo atacará la plataforma para la que fue desarrollado.

No es habitual ver la palabra virus y Linux en la misma linea. Hay muy pocos virus diseñados para atacar sistemas Linux. Y el daño que pueden causar es mínimo. Sin embargo, sí que podemos transmitir virus sin darnos cuenta. Puedes recibir un archivo powerpoint infectado, y reenviarlo por email a algunos amigos. Al no tener antivirus no puedes saber si ese archivo esta o no infectado.

Lo cierto es que hay varias opciones para instalar antivirus en Ubuntu entre ellas estan ClamAV y AVG

5. Links para los que quieran saber un poco más.

http://www.viruslist.com/sp/viruses/encyclopedia?chapter=153280800

http://www.segu-info.com.ar/proteccion/proteccion.htm

Así funciona una heurística antivirus (II)

http://www.microsoft.com/security/antivirus/

http://technet.microsoft.com/es-ar/library/dd578363.aspx

Conclusión

Finalmente, hay que tener en cuenta que los virus están diseñados para un determinado sistema operativo y que por lo tanto un virus para Windows no funciona en Linux y viceversa.

Que el sistema más atacado, es el Windows, con una clara diferencia al resto de sistemas.

Y por otro lado, en cuanto a las políticas de prevención a parte del uso de sistemas de copias de seguridad, firewals, antivirus y antispywares, el control, en todo momento, del software ya introducido o que se va a introducir en nuestro ordenador, comprobando la fiabilidad de su fuente, nos puede ahorrar algún susto.

Antispyware

Anti-Spyware: Es un programa desarrollado para el ámbito de la seguridad informática, el cual protege a los usuarios de programas maliciosos, tales como el software espía , spywares, la publicidad no deseada en nuestro navegador, adwares, pérdida de control sobre nuestro equipo, hijackers, entre otros malwares, que voluntaria o involuntariamente se instalan en el pc, detectándolos y eliminándolos del mismo para evitar que nos causen problemas.

Se puede decir que el funcionamiento de un programa anti-spyware es similar al de cualquier clase de antivirus común pero debido a que se especializa en la detección de programas espías,en realidad, su trabajo resulta mucho más eficiente con relación a esa clase de programas malignos. Además, los programas antiespías suelen presentar a la vez otras clases de aplicaciones encargadas del cuidado de nuestro pc, lo que resulta una razón interesante por la cual instalar uno de estos softwares.

FIREWALL

FIREWALL

Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuego, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuego a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuego correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

Tipos de cortafuegos

Nivel de aplicación de pasarela

Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino, etc. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la dirección MAC. Este es uno de los principales tipos de cortafuegos. Se considera bastante eficaz y transparente pero difícil de configurar.

Cortafuegos de capa de aplicación

Trabaja en el nivel de aplicación (nivel 7), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder.

Un cortafuego a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los computadores de una organización entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.

Cortafuego personal

Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

Ventajas de un cortafuego

Establece perímetros confiables.

Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organización sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de Internet.

Protección de información privada.- Permite definir distintos niveles de acceso a la información, de manera que en una organización cada grupo de usuarios definido tenga acceso sólo a los servicios e información que le son estrictamente necesarios.

Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad.

Limitaciones de un cortafuego

Las limitaciones se desprenden de la misma definición del cortafuego: filtro de tráfico. Cualquier tipo de ataque informático que use tráfico aceptado por el cortafuego (por usar puertos TCP abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguirá constituyendo una amenaza. La siguiente lista muestra algunos de estos riesgos:

Un cortafuego no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él.

El cortafuego no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. El cortafuego no puede prohibir a espías corporativos copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.

El cortafuego no puede proteger contra los ataques de ingeniería social.

El cortafuego no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. La solución real está en que la organización debe ser consciente en instalar software antivirus en cada máquina para protegerse de los virus que llegan por cualquier medio de almacenamiento u otra fuente.

El cortafuego no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los servicios que se publiquen en Internet.

Políticas de los cortafuegos

Hay dos políticas básicas en la configuración de un cortafuego que cambian radicalmente la filosofía fundamental de la seguridad en la organización:

Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuego obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten.

Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado.

La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.

Historia de los cortafuegos

El término «firewall / fireblock» significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80:

Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán.

Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante.

En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía:

«Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA  Ames.»

El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque.

Primera generación – cortafuegos de red: filtrado de paquetes

El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet. En AT & T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generación.

El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico (ya sean navegación web, impresión remota, envío y recepción de correo electrónico, transferencia de archivos…); a menos que las máquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estándar.

El filtrado de paquetes llevado a cabo por un cortafuego actúa en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas físicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, éste último comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a través de cortafuegos, éste filtra el paquete mediante un protocolo y un número de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuego para bloquear el acceso telnet, bloqueará el protocolo IP para el número de puerto 23.

Segunda generación – cortafuegos de aplicación

Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial.

Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration).

Un cortafuego de aplicación puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organización quiere bloquear toda la información relacionada a una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicación resultan más lentos que los de estado.

Tercera generación – cortafuegos de estado

Durante 1989 y 1990, tres colegas de los laboratorios AT & T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes. Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuego, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.

Acontecimientos posteriores

En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de cortafuegos. Su producto, conocido como «Visas», fue el primer sistema con una interfaz gráfica con colores e iconos, fácilmente implementable y compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compañía israelí llamada Check Point Software Technologies lo patentó como software denominándolo FireWall-1.

La funcionalidad existente de inspección profunda de paquetes en los actuales cortafuegos puede ser compartida por los sistemas de prevención de intrusiones (IPS).

Actualmente, el Grupo de Trabajo de Comunicación Middlebox de la Internet Engineering Task Force (IETF) está trabajando en la estandarización de protocolos para la gestión de cortafuegos.

Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas del cortafuego. Algunos cortafuegos proporcionan características tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuego NuFW, proporcionan características de identificación real solicitando la firma del usuario para cada conexión.

Rootkits

Originalmente, cuando se hablaba de sistemas de tipo UNIX, un rootkit se refería a un conjunto de herramientas propias del sistema operativo, como netstat, passwd y ps, que eran modificadas por un intruso para asegurarse el acceso ilimitado al ordenador, sin que pudiera ser detectado por el administrador del sistema.

Dentro de la terminología propia de un sistema UNIX, el administrador del sistema se denomina root, de ahí el nombre genérico con el que se denota a dichas herramientas: equipo para permanecer oculto en el sistema cuando se han obtenido privilegios de root.

Actualmente, los sistemas Windows son mayoritarios, aunque el concepto sigue siendo el mismo.

Un rootkit de Windows es un programa que oculta determinados elementos (archivos, procesos, entradas del Registro de Windows, direcciones de memoria, conexiones de red, etc.) frente a otros programas o el propio sistema operativo.

Como se puede ver, esta definición no incluye en sí misma ningún efecto perjudicial sobre el sistema. Es una tecnología que puede utilizarse con ánimo constructivo o destructivo.

De este modo, y contrariamente a lo que suele ser una creencia popular, los rootkits no son herramientas mediante las cuales se consigue comprometer un ordenador.

En sistemas UNIX, los rootkits son empleados con objeto de garantizar la continuidad del acceso a un ordenador remoto previamente comprometido, entre otros:

• Instalar puertas traseras mediante las cuales acceder al ordenador.
• Esconder las modificaciones realizadas en la configuración.
• Ocultar los registros dejados como consecuencia de la intrusión en el sistema.

Para sistemas Windows el objetivo sigue siendo similar: ocultar la existencia de otros elementos dentro del ordenador, de modo que tanto su presencia como su ejecución pasen inadvertidos a los ojos del usuario e incluso del software de seguridad. Si dichos elementos son de naturaleza vírica, nos encontraremos ante un verdadero problema.

Ya durante el año 2005, se empezaron a detectar las primeras variantes de malware que utilizaban rootkits (herramientas externas, o incluso técnicas propias incluidas en su código) para evitar ser detectados. Bots, adware y spyware han añadido estas características a las suyas propias, y esta tendencia no ha hecho más que aumentar en períodos sucesivos.

Este hecho se alinea a la perfección con la dinámica actual del malware. Si el objetivo es la realización de delitos informáticos mediante los cuales conseguir beneficios económicos, está claro que será de vital importancia pasar lo más inadvertido posible. De esta forma, se maximizará la cantidad de tiempo que el crimeware consiga estar activo dentro del ordenador, y sin poder ser detectado.

Por otra parte, también se perciben beneficios potenciales de la utilización de rootkits, aplicada legítimamente en las siguientes áreas:

• Monitorización de empleados.
• Protección de derechos intelectuales.
• Protección de programas de las acciones del malware o de acciones erróneas del usuario (borrado accidental, por ejemplo).

Al hilo de esta posible utilización beneficiosa, hubo un caso que obtuvo una gran cobertura en los medio de comunicación a finales de 2005, cuando el experto Mark Russinovich descubrió que el sistema de protección anti-copia que Sony había incluido en varios de sus productos incluía un rootkit denominado XCP, con el fin de evitar la desactivación de dicha protección.

Después de que fuera publicado un análisis detallado del mismo, no tardaron en aparecer ejemplares de malware (por ejemplo, el backdoor Ryknos.A) que hacían un uso malicioso de dicho rootkit para ocultarse en los sistemas en los que estuviera instalado el sistema anti-copia.

Finalmente, Sony se vio obligado a proporcionar una herramienta para eliminar el componente rootkit y desinstalar el sistema anti-copia.

Como se puede comprobar a la luz de este ejemplo, incluso en el caso de utilización legítima de un rootkit, hay implicaciones que deben ser cuidadosamente tenidas en cuenta.

Los rootkits se pueden clasificar de acuerdo a las siguientes características:

• Persistencia:
  Un rootkit persistente se activa cada vez que el sistema se inicia. Por ello, necesita almacenar su código de alguna forma dentro del ordenador, y debe tener algún modo de conseguir iniciarse automáticamente.
  Por el contrario, un rootkit no persistente no es capaz de volver a ejecutarse automáticamente después de que el ordenador sea reiniciado.
• Modo en el que se realiza su ejecución:
  Modo Usuario: los rootkits de este tipo interceptan las llamadas del sistema y filtran la información que devuelven las API (Application Programming Interface). El rootkit de este tipo más conocido es Hacker Defender.
  Modo Kernel (núcleo del sistema operativo): estos rootkits modifican estructuras de datos del kernel, e interceptan las API propias del kernel. Es el método más fiable y robusto de interceptar el sistema.

En cuanto a otros métodos o técnicas que se pueden utilizar para producir rootkits, figura el caso de la Universidad de Michigan y Microsoft. En marzo de 2006, desarrollaron un rootkit basado en tecnología virtual. Se basa en modificar la secuencia de arranque del ordenador, de modo que es cargado en lugar del sistema operativo. Después, el propio rootkit se encarga de cargar el sistema operativo, como si se tratara de una máquina virtual, de modo que toda la comunicación entre el sistema operativo y el hardware es interceptada. Una vez instalado, es prácticamente indetectable.

La lucha contra los rootkits es una carrera armamentística, en la cual sus creadores desarrollan medidas que tratan de evitar la detección, al mismo tiempo que las compañías de seguridad despliegan contramedidas que protejan a sus clientes.

Las técnicas que se emplean para detectar la existencia de rootkits dentro de un sistema son las siguientes:

• Detección basada en firmas: tecnología madura, empleada con éxito por las compañías antivirus desde hace bastantes años. Se basa en analizar los archivos y compararlos con un conjunto de firmas de malware conocido.
• Detección heurística o basada en el comportamiento: identifica los rootkits reconociendo desviaciones en la actividad normal de un ordenador.
• Detección por comparación: compara los resultados devueltos por el sistema operativo y los obtenidos mediante llamadas a muy bajo nivel; si existen diferencias, se habrá reconocido la presencia de un rootkit.
• Detección basada en integridad: demuestra la existencia de un rootkit mediante la comparación de los archivos y memoria con un estado de pruebas que se sabía confiable.

Cada una de estas técnicas tiene sus propias limitaciones, por lo que es recomendable una aproximación que integre varias tecnologías distintas. A esto se suma el hecho de que algunos rootkits son desarrollados ex profeso para evadir su detección por las compañías antivirus con mayor cuota de mercado.

La primera línea de defensa contra los rootkits consiste en prevenir que entren en su ordenador. Para ello, tenga en cuenta los consejos básicos de protección frente al malware:

• Instale una buena solución antimalware en su ordenador, y manténgala permanentemente activa y actualizada.
• Instale un cortafuegos que le proteja de accesos no autorizados a su ordenador.
• Mantenga las aplicaciones instaladas en su ordenador siempre actualizadas, instalando los parches de seguridad proporcionados por los fabricantes.

Sin embargo, la labor de protegerse contra los rootkits no es trivial y no puede encomendarse únicamente a una serie de pautas de protección genéricas.

Con objeto de ayudar a los usuarios a detectar la existencia de rootkits en su ordenador y poder eliminarlos del sistema con total seguridad, prácticamente,  todas las compañías desarrolladoras de antivirus ofrecen herramientas, muchas de ellas gratuitas,  para la detección y eliminación de los Rootkits

Backdoor (Puerta de atrás)

El término es adaptación directa del inglés backdoor que comúnmente significa «puerta de atrás». A pesar de que no se consideran propiamente como virus, representan un riesgo de seguridad importante, y usualmente son desconocidas la inmensa gama de problemas que estas puedan llegar a producir. Al hablar de ellas nos referimos genéricamente a una forma «no oficial» de acceso a un sistema o a un programa.

Algunos programadores dejan puertas traseras a propósito, para poder entrar rápidamente en un sistema; en otras ocasiones existen debido a fallos o errores. Ni decir que una de las formas típicas de actuación de los piratas informáticos es localizar o introducir a los diversos sistemas una puerta trasera y entrar por ella.

Estos programas no se reproducen solos como los virus informáticos, sino que usualmente nos son enviados con el fin de tener acceso a nuestros equipos a través del correo electrónico, por lo que no son fáciles de detectar y por si solos no siempre causan daños ni efectos inmediatos por su sola presencia, por lo que pueden llegar a permanecer activos mucho tiempo sin que nos percatemos de ello. Generalmente estos programas se hacen pasar por otros, es decir, se ocultan en otro programa que les sirve de Caballo de Troya, o Virus Troyano, para que el usuario los instale por error.

Lo peor que puede pasarle cuando está en el Messenger no es que contraiga su PC un virus informático. Lo peor es que alguien instale un backdoor en su PC. Las puertas traseras son fáciles de entender. Como todo en Internet se basa en la arquitectura cliente / servidor, sólo se necesita instalar un programa servidor en una máquina para poder controlarla a distancia desde otro equipo, si se cuenta con el cliente adecuado, ésta puede bien ser la computadora de un usuario descuidado o poco informado.

Las puertas traseras (backdoors) son programas que permiten acceso prácticamente ilimitado a un equipo de forma remota.

El problema, para quien quiere usar este ataque, es que debe convencerlo a usted de que instale el servidor. Por eso, si aparece un desconocido ofreciéndole algún programa maravilloso y tentador, no le crea de inmediato. Lo que están probablemente a punto de darle es un troyano, un servidor que le proporcionará a algún intruso acceso total a su computadora. Con todo el riesgo que esto implica, hay una forma simple y totalmente segura de evitarlo: no acepte archivos ni mucho menos ejecute programas que le hayan mandado sobre todo si son de procedencia dudosa.

Los programas que se clasifican como «backdoors» o «puertas traseras» son utilerías de administración remota de una red y permiten controlar las computadoras conectadas a ésta. El hecho que se les clasifique como software malévolo en algunos casos, es que cuando corren, se instalan en el sistema sin necesidad de la intervención del usuario y una vez instalados, no se pueden visualizar estas aplicaciones en la lista de tareas en la mayoría de los casos. Consecuentemente un backdoor puede supervisar casi todo proceso en las computadoras afectadas, desinstalar programas, descargar virus en la PC remota, borrar información, entre otras muchas cosas más.

Los más conocidos mundialmente son el BackOrifice y el NetBus, dos de los primeros backdoors, que hasta nuestros días siguen vigentes aunque en menor cantidad dado que la mayoría de los programas antivirus los detectan. Otro muy conocido es el SubSeven, que también se encargó de infectar millones de ordenadores en el mundo.

• NetBus es un software para el control de una forma remota de sistemas informáticos Microsoft Windows a través de una red. Escrito en Delphi por Carl-Fredrik Neikter, un programador sueco en marzo de 1998. Entro en circulación antes que Back Orifice, fue liberado en agosto de 1998. El autor afirmó que el programa estaba destinado a ser usado para bromas, no para irrumpir ilegalmente en los sistemas informáticos. Traducido del sueco, el nombre significa «NetPrank». Sin embargo, el uso de NetBus ha tenido graves consecuencias. En 1999, NetBus se utilizó para la pornografía infantil en el equipo de trabajo de Magnus Eriksson, un erudito en Derecho Universidad de Lund. Las 3500 las imágenes fueron descubiertas por los administradores del sistema, y Eriksson se supone que lo había descargado a sabiendas. Eriksson perdió su puesto de investigador en la facultad, y tras la publicación de su nombre huyo del país y tuvo que buscar atención médica profesional para hacerle frente al problema. Fue absuelto de los cargos penales a finales de 2004, cuando un tribunal dictaminó que se había utilizado NetBus para el control de su ordenador.
• Back Orifice es un programa de control remoto de ordenadores que funciona bajo un servidor y un cliente. Si colocamos el servidor a otro ordenador remoto, es posible desde el cliente, gobernar cualquier función del ordenador remoto, entre los que destaca abrir y cerrar programas, controlar el CD-ROM, leer y modificar ficheros o borrar parte del disco duro. Para ello el servidor se autoejecuta y se borra cada vez que el ordenador ajeno se enciende, nuestro cliente escanea el puerto elegido y cuando éste está abierto actúa a través de él, desde un menú repleto de pestañas y opciones de control remoto. El sistema es bueno para controlar un ordenador u ordenadores dentro de nuestra red LAN, aunque dejar esta puerta abierta para Windows es toda una amenaza.
• SubSeven, es el nombre de un software de administración remota para sistemas Microsoft Windows a través del Internet, es también categorizado como troyano o Puerta trasera por ciertas características similares a las de un Virus informático. Originalmente el software fue diseñado y escrito en Borland Delphi por un programador auto-denominado como Mobman de origen Rumano desde 1999. Por varios años el proyecto estuvo descontinuado y sin noticia alguna, luego que la página oficial http://www.subseven.org fue actualizada anunciando una nueva versión el cual su lanzamiento está preparado para el 28 de febrero del 2010. El proyecto estuvo inactivo por más de 6 años, cuando en Julio del año 2009, el autor y su co-programador fc decidieron re-iniciar el proyecto, marcando 10 años después de la creación de la primera versión del software en 1999, en donde el autor obtuvo copia de la versión 4.0 del entorno de desarrollo Borland Delphi, donde usó como base el código fuente del NetBus creado por Carl-Fredrik Neikter agregando más opciones avanzadas y re-estructurándolo, formando así el Sub7.

Hoy en día estos accesos están en TODOS los PCs del mundo a través de los 65535 puertos que existen en nuestros computadores sin que la gran mayoría sepan siquiera que existen.

El principal objetivo de estos backdoors es lograr el ingreso ilegal en servidores por parte de los creadores del mismo con el fin de apoderarse de información importante que los haga millonarios, como los grandes servidores de empresas del tipo Telefónica, Entel, sitios del gobierno, servidores bancarios, servidores de la Nasa, y bueno, un largo etcétera. Entonces es ahí donde viene la pregunta del millón.

¿A qué hacker le va a interesar gastar semanas o tal vez meses de tiempo en lograr entrar a uno de nuestros PC’s en donde con suerte encontrará un par de canciones bajadas del Ares? (a todo esto el mismo Ares también trae Backdoors) o unos videos bajados del Youtube y un par de fotos de tías buenas. ¿Que información capaz de hacer millonario a un hacker podemos tener en los Pc’s de nuestras casas?
Entonces, ¿puede interesarle a un hacker gastar semanas de trabajo para entrar a nuestros Pc de la casa?, la respuesta es rotundamente ¡NO!. Como mencionaba anteriormente ellos persiguen poder y dinero, y saben perfectamente que eso no lo encontrarán en un PC de un tipo como tú o como yo, no se gastarán en ti.
Por otra parte, los usuarios mortales de Internet debemos saber que TODOS los programas que hoy en día bajamos de la red de manera gratuita contienen «basura» de este tipo, sin excepción alguna. Ya sean troyanos, gusanos, dialer, y por sobre todo spyware y backdoors, incluyendo los tan conocidos por todos como Kazaa, Yahoo Messenger, MSN Messenger, Messenger Plus, clone CD, editores de mp3, Winamp, Google Earth, Hacha, Ircap, Irfanview, clientes de chat, editores de fotos, y una lista realmente infinita de programas que son denominados Freeware, o sea que se pueden bajar «gratis».

Todos estos programas si contienen esta basura llamada backdoors, troyanos, o spyware, pero es más que seguro que de nosotros esta gente solo necesita saber qué cosas hacemos en internet para enviarnos publicidad a nuestro correo (que cosa más terrible, no?) y que a pesar de todo en el peor de los casos siempre podremos bajar un buen BACKDOOR GUARD o guardián (es un firewall que te ayudará a estar protegido de hackers, comunicaciones de software publicitario, virus y gusanos, incluso antes de que ataquen. Este firewall ofrece protección de varias capas, previniendo así todo tipo de ataques. Su interfaz es atractiva y muy fácil de usar).

RETRO VIRUS

Retrovirus: Un Retrovirus es un virus informático, que intenta evitar o esconder la operación de un programa antivirus. El ataque puede ser específico a un antivirus o en forma genérica.

Normalmente los retrovirus no son dañinos en sí. Básicamente su función consiste en despejar el camino para la entrada de otros virus realmente destructivos, que lo acompañan en el código
Se conoce como retro virus a los virus que son capaces de auto reduplicarse dentro del SO.
Es decir, suponte que te bajas e instalas, inconscientemente, el virus de nombre joido.vir.
Lo instalas tan tranquilo y el bichejo, muy cabroncete, hace una copia de su ejecutable en la carpeta de los temporales del SO, asegurándose así que  aunque tu elimines el que está instalado, se podrá auto instalar en un futuro.
Todo esto gracias a que ha hecho una entrada en el registro de Windows para crear un proceso al inicio del S.O que llame al ejecutable de joido.vir o, en su defecto, a la copia que está en la carpeta de los temporales del SO.

Los retrovirus intentan como método de defensa atacar directamente al programa de antivirus incluido en la computadora.

Para los programadores de virus esta no es una información difícil de obtener ya que pueden conseguir cualquier copia de antivirus en el mercado.

Generalmente los retro-virus buscan el archivo de definición de virus y lo eliminan. Suelen hacer lo mismo con el registro del comprobador de integridad.

Otros retro-virus detectan al programa antivirus en memoria y tratan de ocultarse o inician una rutina destructiva antes de que el antivirus logre encontrarlos. Algunos incluso modifican el entorno de tal manera que termina por afectar el funcionamiento antivirus

KILLERS: También llamados RETROVIRUS, son virus que en sus instrucciones llevan la de borrar o infectar a una vacuna o varias.

Virus Polimórficos

Los virus polimórficos son quizás los más difíciles de detectar y en consecuencia de eliminar. Sus valores en la programación van cambiando en forma secuencial cada vez que se auto-encriptan, de tal forma que sus cadenas no son las mismas. El virus polimórfico produce varias, pero diferentes copias de sí mismo, manteniendo operativo su micro código viral.
Existen virus de un polimorfismo avanzado que no sólo cambian variables y funciones sino mucho más, e incluso hay algunos nuevos tipos de virus polimórficos que son llamados metamórficos por su capacidad de cambiarse casi completamente creando una copia nueva de sí misma, que puede no ser detectada por la mayoría de los antivirus.
Para los fanáticos de los virus informáticos, los polimórficos son uno de los especímenes más interesantes dada su capacidad camaleónica.

Como actúan los virus polimórficos

Los virus polimórficos trabajan de la siguiente manera: Se ocultan en un archivo y se cargan en memoria cuando el archivo infectado es ejecutado. Pero a diferencia de hacer una copia exacta de sí mismos cuando infectan otro archivo, modifican esa copia para verse diferente cada vez que infectan un nuevo archivo. Valiéndose de estos “motores de mutación”, los virus polimórficos pueden generar miles de copias diferentes de sí mismos. A causa de esto, los rastreadores convencionales han fallado en la detección de los mismos. De hecho, la mayoría de las herramientas de rastreo utilizadas actualmente todavía no pueden detectar estos virus. Hay algunos antivirus que pueden detectar virus polimórficos observando eventos característicos que los mismos deben realizar para sobrevivir y expandirse. Cualquier virus, sin importar sus características debe hacer ciertas cosas para sobrevivir. Por ejemplo, debe infectar otros archivos y residir en memoria.
Básicamente, el polimorfismo es logrado encriptando el código principal del virus con una clave no constante, usando conjuntos aleatorios de desencripción o usar código ejecutable cambiante con cada ejecución. Estas maneras de hacer código polimórfico son las más sencillas; sin embargo, existen técnicas sumamente elaboradas y exóticas.

Hay toda clase de virus polimórficos: desde virus de sector de arranque hasta virus de macro.

Gusanos informáticos

Gusanos

Un gusano es un programa que tiene la capacidad de autoduplicarse,  se dispersa a través de las redes de ordenadores utilizando los mecanismos de éstas y que para su difusión no precisa respaldo de software o hardware (tales como un archivo, discos duros o un programa host, etc.) . Por lo tanto, un gusano es un virus de red.

Funcionamiento de un gusano en la década de 1980

La historia más famosa relacionada con un gusano data de 1988. Un estudiante (Robert T. Morris, alumno de la Cornell University) creó un programa capaz de expandirse a través de una red. Lo puso en funcionamiento, y, al cabo de ocho horas logró infectar miles de equipos. Esto provocó que se cayeran los sistemas de diversos equipos en cuestión de horas, ya que el «gusano» (que al fin y al cabo es lo que era) tenía la capacidad de reproducirse demasiado rápido como para que un red lo pudiese eliminar. Además, todos estos gusanos saturaron el ancho de banda, lo cual obligó a la NSA a cerrar las conexiones durante todo un día.

Así es como se esparció el gusano Morris a través de la red:

• El gusano obtuvo acceso a un equipo UNIX
• Creó una lista de equipos conectados a éste
• Forzó la obtención de todas las contraseña de una lista de palabras
• Se hizo pasar por un usuario de cada uno de los otros equipos
• Creó un pequeño programa en el equipo para poder reproducirse
• Se ocultó en el equipo infectado
• y así sucesivamente.

Gusanos actuales

Los gusanos actuales se diseminan principalmente con usuarios de correo electrónico (en especial de Outlook) mediante el uso de adjuntos que contienen instrucciones para recolectar todas las direcciones de correo electrónico de la libreta de direcciones y enviar copias de ellos mismos a todos los destinatarios.

Generalmente, estos gusanos son scripts (típicamente en VBScript) o archivos ejecutables enviados como un adjunto, que se activan cuando el destinatario hace clic en el adjunto.

¿Cómo se dispersan los gusanos?

Es sencillo protegerse de la infección de un gusano. El mejor método es no abrir ciegamente archivos que le llegan como adjuntos.

En el caso de que se abra un archivo adjunto, cualquier archivo ejecutable, o archivo que el SO pueda interpretar, potencialmente puede infectar el equipo. Los archivos con las siguientes extensiones, en particular, tiene más posibilidades de estar infectados:

exe, com, bat, pif, vbs, scr, doc, xls, msi, eml

En Windows, se recomienda deshabilitar la opción «ocultar extensiones«, ya que esta opción puede engañar al usuario al hacerle creer que un archivo tiene una extensión diferente. Por lo tanto, un archivo con extensión .jpg.vbs se verá como un archivo .jpg.

El SO no interpreta los archivos con las siguientes extensiones. Por lo tanto, el riesgo de infección de ellos es mínimo:

txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm

Es común escuchar que los archivos GIF o JPG contienen virus. En realidad, cualquier tipo de archivo puede tener un código que porte un virus, pero primero el sistema debe haber sido modificado por otro virus para interpretar el código que se encuentra en los archivos.

Antes de abrir cualquier archivo cuya extensión indique que puede estar infectado (o en el caso de extensiones que usted no reconoce), asegúrese de instalar un programa antivirus y analizar sistemáticamente cada adjunto antes de abrirlo.

A continuación le ofrecemos una lista más completa (aunque breve) de extensiones de archivos que pueden contener un virus:

Extensiones

386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM, CAB, CLA, CLASS, CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL, DOC, DOT DRV, DVB, DWG, EML, EXE, FON, GMS, GVB, HLP, HTA, HTM, HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT, MHTM, MHTML, MPD, MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT, OV?, PCI, PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS, SHTML, SHW, SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS, VBX, VOM, VS?, VWP, VXE, VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH, WSC, XML, XLS, XLT, ZIP

Virus Falsos

A pesar de que se descubren miles de virus cada año, sigue habiendo algunos que sólo existen en la  imaginación del público en general y de la prensa. Ésta es una lista de algunos de los virus que  NO EXISTEN, a pesar de los rumores difundidos acerca de su creación y distribución.  No le preste atención a ningún mensaje acerca de estos supuestos «virus», ni le envíes a otros los  mensajes que recibe acerca de ellos. El único efecto del reenvío de mensajes acerca de estos  falsos virus es seguir propagándolos.    Ejemplos conocidos que seguramente todos o casi todos habrán llegado a leer son los que llega el aviso de que no acepten tal dirección de correo porque es un virus que formatea o quema el dico duro de quien aceptó y también los de sus contactos, u otro que avisa  de que si nos llega una presentación de powerpoint titulada «la vida es bella», no la abramos aunque llegue de algún amigo; dice que lo borremos inmediatamente, ya que al abrirlo aparece un mensaje que dice «Ahora es tarde; Su vida ya no es más bella» y perdemos todo lo que tengamos en el ordenador,  además de que la persona que lo envió tendrá acceso a nuestras contraseñas. Encima avisa de que ningún antivirus es eficaz contra este supuesto virus.   Lo que se puede hacer para evitar su propagación es ignorar este tipo de correos y borrarlos sin reenviarlos a nadie.