Andrés Valencia

Seguridad de PCs

Esta página ofrece información y herramientas para mantener su PC segura,
libre de intrusiones en el Internet.

- Consejos Generales de Seguridad para los Usuarios del Internet
- Anti-Spyware/Anti-Adware Online Scanners
- Amenazas Expandidas: Spyware, Discadores Malignos, Rootkits, JavaScript Maligno
- Anti-Spyware/Anti-Adware Software Scanners
- Una Advertencia Final

Consejos Generales de Seguridad para los Usuarios del Internet

El Internet es un ambiente peligroso, como lo demuestran los frecuentes ataques de "Negación de Servicio", a través de "Gusanos" y "Caballos de Troya", infectando computadoras para implementar intrusiones en redes "a control remoto" por medio de PCs infectadas y esclavizadas; "robots".
Las computadoras con mayor riesgo de infección son las que tienen una conexión permanente al Internet.

Su PC no es necesariamente el blanco final de estos ataques: Si es infectada, se la usa para atacar a otras computadoras y diseminar la infección. La actividad de diseminación intentada congestiona el Internet, en particular el correo electrónico.
La falta de las computadoras infectadas puede causar daños a personas y propiedades. Y Ud. podría ser un co-responsable involuntario.


El método de ataque más utilizado es la explotación de "vulnerabilidades" en el sistema operativo o los programas de redes para instalar y correr programas malignos no-autorizados ("Malware") en su computadora.

Un sitio en el Web conoce la dirección IP (Internet Protocol) de la PC desde la que Ud. lo está viendo, y podría buscar vulnerabilidades en ella. Si una vulnerabilidad es encontrada, el sitio en el Web podría explotarla.
Ya infectada, un firewall simple (como el de Windows XP) no sería defensa, pues es el Malware en su computadora el que estaría requiriendo el tráfico. Un firewall completo no sería defensa tampoco, si Ud. da permiso para comunicarse a programas desconocidos que ya infectaron su PC.

Si su PC tiene una vulnerabilidad, y Ud. visita un sitio que puede explotarla, su PC podría ser esclavizada. Backdoors (puertas traseras) y key-loggers (historias del teclado) podrían ser instalados, o un ataque remoto sobre otra computadora podría ser lanzado desde su PC.

Si su Web browser ha sido infectado por "Adware" para hacer visitas automáticas a sitios desconocidos (anuncios pop-up), sus vulnerabilidades podrían ser explotadas. Ver Spyware, más abajo en esta página.


Para eliminar sus vulnerabilidades mantenga actualizados su sistema operativo y programas de redes (Web browser, programa de correo, etc.).
En el menú del MS Internet Explorer: Herramientas, Actualización de Windows (Windows Update). O visite Microsoft Update.
Instale todas las Actualizaciones Críticas y de Seguridad tan pronto como sea posible. Microsoft las libera el segundo Martes de cada mes. Sin embargo, si ocurre una amenaza de seguridad, como un virus muy difundido o un gusano que afecte computadoras basadas en Windows, Microsoft liberará la correspondiente actualización cuando esté lista. Otros tipos de actualizaciones pueden ser liberadas cuando estén listas. Los Service Packs SP1 y SP2 son gratuitos, pero están disponibles sólo para usuarios legítimos de Windows XP. Instale todos los Service Packs.
Si su clono PC vino con una copia ilegal de Windows XP, puede comprar e instalar un original sin perder sus programas instalados o sus documentos.

Si no puede instalar y actualizar una copia legal del MS Windows XP en una PC conectada al Internet, es posible que sus vulnerabilidades sean explotadas, aún si usa un firewall completo.

Actualice regularmente sus programas de Microsoft Office: visite Microsoft Office Online y seleccione "Office Update", o visite Microsoft Update. Tenga sus discos originales de instalación para MS Office a mano.


Baje y corra el Microsoft Baseline Security Analyzer (MBSA), una herramienta de fácil uso que ayuda a determinar su status de seguridad de acuerdo con las recomendaciones de Microsoft y ofrece ayuda específica para remediarlo.
Mejore su manejo de la seguridad utilizando MBSA para detectar errores comunes en la configuración de seguridad y actualizaciones faltantes en su computador.

El Microsoft Baseline Security Analyzer (MBSA) es gratuito, pero está disponible sólo para usuarios legítimos de Windows 2000, XP, 2003 o Vista.


Considerando que la exposición a un solo sitio malicioso puede convertir su PC en un robot, un generador de spam o un computador lento, y robar información de login; asegurar sus actividades de búsqueda en el Web es una función importante.
Simplemente visitando una página Web maligna, hackeada, puede exponer su máquina. Vulnerabilidades y explotaciones continúan permitiendo a los hackers diseminar rootkits y abrir backdoors en computadoras alrededor del mundo.
[LinkScanner Lite] El LinkScanner Lite de Exploit Prevention Labs (xpl) se integra con las principales máquinas de búsqueda para verificar los resultados contra una variedad de amenazas online antes del click.
LinkScanner Lite es gratuito para uso personal y se integra con las principales máquinas de búsqueda (Google, MSN, Yahoo), que pueden ser engañadas para colocar enlaces hacia sitios malignos. Soporta Internet Explorer y Firefox. Compatible con los principales productos anti-virus, anti-spyware, y firewall. [Es parte del AVG Anti-Virus]


Utilice el Secunia Software Inspector [Secunia Software Inspector] para detectar los programas instalados en su PC que tienen vulnerabilidades, para que pueda actualizarlos o eliminarlos (requiere el Java Runtime).
Esto incluye antiguas versiones vulnerables que no son desinstaladas al actualizar el programa, como por ejemplo, el Java Runtime y los Adobe Flash y Shockwave Players.

[Haute Secure] Utilice el Haute Secure Malware Protection Toolbar para detectar y bloquear los contenidos del Web que podrían explotar las vulnerabilidades en su MS Internet Explorer y Mozilla Firefox.


Asegúrese de que su computadora no esté compartiendo algo en el Internet. Esto es especialmente importante si usa una conexión permanente. Evite compartir impresoras en una red que corre bajo el protocolo TCP/IP, desde las computadoras capaces de conectarse directamente al Internet.
(Panel de Control, Conexiones de Red, Propiedades de la Conexión de Área Local, General: No marque "Compartir Archivos e Impresoras en la Red de Windows")

Pero si debe compartir archivos en el Internet, no comparta discos completos; comparta sólo carpetas especialmente preparadas, protegidas por contraseñas y en modo de "Sólo Lectura" (Read-only), con los archivos requeridos. Las carpetas protegidas por contraseñas están disponibles en Windows XP Professional. En particular, nunca comparta el disco o la carpeta donde reside el sistema operativo.
En Windows XP Home, comparta solo temporalmente, por el más corto período de tiempo.

Por ejemplo, cree una carpeta llamada "Salida" dentro de "Mis Documentos" y compártala, pero no marque "Permitir a los usuarios de la red cambiar mis archivos" (Propiedades, Compartir).
Usando este sistema, todos los usuarios de la red podrán bajar archivos de las carpetas de Salida de los otros usuarios, pero ninguno podrá subir archivos a otra computadora.
Esto minimiza las posibilidades de intrusión, pero no del robo de datos. La protección por contraseñas minimiza ambos y debería usarse adicionalmente.
En Windows XP Home, comparta solo temporalmente, por el más corto período de tiempo.


Considere que algunos virus de correo electrónico fingen la dirección de envío para obtener su confianza y lograr que Ud. ejecute un programa adosado, creyendo que proviene de una dirección conocida.
Configure su programa de correo electrónico para alta seguridad.
En el menú del MS Outlook Express: Herramientas, Opciones, Seguridad: Zona Restringida (Más segura).
También debería seleccionar "Advertir cuando otras aplicaciones intenten enviar correo".
Configure su programa antivirus para que examine el contenido de sus mensajes de correo electrónico.
Nunca abra o ejecute un archivo adosado (attachment) sin que su programa antivirus (recientemente actualizado) lo examine primero!


Una computadora no debe ser conectada al Internet sin un programa antivirus de la mejor calidad, recientemente actualizado, y configurado para máxima seguridad y examinando todos los archivos a su entrada, cualquiera que esta sea. Instale un programa antivirus, como el AVG Anti-Virus Free Edition de Grisoft (Gratuito, en varios idiomas).


Si usa Windows Vista o Windows XP SP2, instale un programa de seguridad completo, como el Comodo Internet Security (Gratuito), que ofrece protección completa contra Hackers, Virus, Spyware, Troyanos y robo de identidad, y un Sistema de Prevención de Intrusiones que previene la instalación de malware. Una extensa "lista blanca" de aplicaciones confiables ayuda a reducir el número inicial de alertas luego de instalarlo. [Best results in the Matousec Firewall Challange]

También está disponible el Comodo Firewall Pro (Gratuito), sin el componente antivirus.


Si usa Windows Vista o Windows XP SP2, puede activar el Internet Connection Firewall en la conexión al Internet de las computadoras que se conecten directamente al Internet. Le protegerá contra accesos externos (desde el Internet) no autorizados. Pero este firewall simple no lo protege completamente contra la explotación de vulnerabilidades.
Use: Panel de Control, Opciones de Internet, Conexiones, Configuración, Propiedades, Opciones Avanzadas.

Si quiere un firewall simple y muy fácil de configurar, podría usar el Windows XP SP2 Internet Connection Firewall. Pero si quiere un control más avanzado sobre el tráfico que pasa a través de su computadora y también quiere bloquear tráfico no autorizado de salida (tráfico desde su computadora hacia el Internet) entonces escoja un firewall personal completo de otra compañía.
Ver Security Essentials for Windows XP Service Pack 2.


Use sólo un firewall y sólo un antivirus al mismo tiempo en su PC. Dos programas firewall, o dos programas antivirus, pueden interferir entre ellos y bloquear su PC.


Instale todas las Actualizaciones Críticas y de Seguridad de Windows
Mantenga actualizado su programa antivirus
Use un Firewall completo


Visite un sitio para evaluación de seguridad en el Web, como el de Gibson Research Corporation de Steve Gibson.
Allí puede correr los tests de ShieldsUP! para ver qué tan bien está (o no) protegida su computadora.   (Gratuitos)

Corra también los tests para vulnerabilidades a las amenazas del Internet de PC Flank (Make sure you're protected on all sides).

Visite Secunia y SecurityFocus para Noticias sobre Seguridad, Artículos y Advertencias.

Visite el DeepSight Threat Management System de Symantec para conocer el nivel global de las amenazas.

Visite el sitio Alerta en Línea del Gobierno de los EEUU para leer recomendaciones prácticas para ayudarlo a protegerse contra el fraude en el Internet, mantener su computadora segura y proteger su información personal.


Vea mi Sección de Información Antivirus



Anti-Spyware/Anti-Adware Online Scanners


Analice la Seguridad de su PC con el Symantec Security Check:   (Gratuito)

El Análisis de Seguridad y Detección de Virus basado en el Web, le ayudará a obtener una experiencia del Internet segura y productiva para Ud. y su familia. El Análisis de Seguridad determina si su PC está protegida de hackers, virus, y amenazas de privacidad. Detección de Virus usa la tecnología de Symantec para encontrar infecciones virales. Luego de analizar el nivel actual de protección en su PC, le mostraremos cómo puede disfrutar del Internet y protegerse al mismo tiempo.

Requerimientos del Sistema:

  • Microsoft Windows 98/Me/XP o Windows NT 4.0 Workstation/2000 Pro
    [Macintosh: OS 8.1 o más alto]
  • Microsoft Internet Explorer 5 o más nuevo, o Netscape 4.5 o más nuevo
    [Macintosh: MS IE 4.5 o más nuevo, o Safari 1.0 o más nuevo]
  • Los Cookies deben estar permitidos en las preferencias de seguridad de su browser
  • ActiveX y JavaScript deben estar permitidos en las preferencias de seguridad de su browser
  • Si Ud. está detrás de un firewall, este debe estar configurado para transmitir información del browser (user agent) al Web server
  • Si Ud. usa el browser de AOL, actualícelo a la versión más nueva [Keyword: Upgrade]

Analice su PC con el Trend Micro HouseCall AntiVirus - Scan Online:   (Gratuito)

El HouseCall AntiVirus - Scan Online basado en el Web, le ayudará a obtener una experiencia del Internet segura y productiva para Ud. y su familia. HouseCall usa la tecnología de detección de Trend Micro para encontrar y eliminar infecciones virales, spyware, gusanos y otros malwares.

Requerimientos del Sistema:

  • Microsoft Windows 95/98/XP o Windows NT/2000
  • Microsoft Internet Explorer 4.0, Netscape 3.01, o más nuevo
  • ActiveX y JavaScript deben estar permitidos en las preferencias de seguridad de su browser

Analice su PC con el a-squared Online Malware Scanner:   (Gratuito)

Analice y limpie su sistema con el a-squared Online Malware Scanner contra Troyanos, Backdoors, Gusanos, Discadores, Spyware/Adware, Keyloggers, Rootkits, Hacking Tools, Riskware y Tracking Cookies. Completamente gratis, directamente en su web browser.

Requerimientos del Sistema:

  • Windows 98/ME/2000/XP o 2003 Server
  • Internet Explorer 5.0 o más nuevo con ActiveX permitido

Analice su PC con el F-Secure Online Scanner:   (Gratuito)

El F-Secure Online Virus Scanner basado en el Web, le ayudará a obtener una experiencia del Internet segura y productiva para Ud. y su familia. Online Virus Scanner usa la tecnología de detección de F-Secure para encontrar y eliminar infecciones virales y spyware.

Requerimientos del Sistema:

  • Microsoft Windows XP o Windows 2000
  • Microsoft Internet Explorer 6.0, o más nuevo
  • ActiveX y JavaScript deben estar permitidos en las preferencias de seguridad de su browser


Analice su PC con el Panda Active Scan:   (Gratuito)

Analice su sistema con el Panda Active Scan contra Virus, Spyware, Hacking y Herramientas Potencialmente Indeseables, Dialers, Riesgos de Seguridad y archivos sospechosos (análisis gratuito).


Amenazas Expandidas (Expanded Threats)

Las Amenazas Expandidas existen fuera de las definiciones comúnmente conocidas de virus, gusanos y troyanos y pueden proveer acceso no-autorizado, amenazas a la seguridad del sistema o de los datos, y otros tipos de amenazas o molestias.
Las Amenazas Expandidas pueden ser inadvertidamente bajadas de sitios en el Web, mensajes de correo electrónico, o mensajes instantáneos. También pueden ser instaladas como un subproducto de aceptar un Acuerdo de Licencia de otro programa relacionado o enlazado con la Amenaza Expandida de alguna forma.

Considere que en un correo electrónico la dirección de envío (From:) puede ser fingida para obtener su confianza y lograr que Ud. ejecute un programa adosado o visite un enlace, creyendo que proviene de una dirección o persona conocida.

Ver Symantec Security Response - Expanded Threats

"Spyware" (Software Espía):

Los programas de "Spyware" son aplicaciones que envían información vía el Internet al creador del programa o a quien lo publica. El spyware generalmente consiste de una función principal y funciones para recolectar información. La función principal es atractiva para el usuario y lo anima a instalar y usar el spyware. El "End User License Agreement" (EULA) informa a los usuarios sobre las actividades de recolección de información, pero la mayoría no lo lee. La información enviada se usa normalmente para propósitos de mejorar el mercadeo directo. El tipo de información enviada difiere dependiendo del programa de spyware. Para poder digerir los datos recogidos, algunos programas de spyware envían un identificador único junto con la información recolectada. Los usuarios frecuentemente no ven la función de recolección de información del spyware, y quedan ignorantes de que se están recolectando datos de sus computadoras.

Ver The Dangers of Spyware en Symantec Security Response - White Papers (.pdf, Adobe Acrobat Reader).

Generalmente, si su Web browser ha sido infectado por "Adware" (advertisment software, un tipo de "Spyware"), hará visitas automáticas a sitios desconocidos (anuncios pop-up), y sus vulnerabilidades podrían ser explotadas.

El "Spyware" es un tipo de amenaza relativamente nuevo que muchas de las aplicaciones antivirus comunes no cubren bien. Más y más spyware está apareciendo que silenciosamente rastrea su actividad en el Web para crear un perfil de mercadeo sobre Ud. que será vendido a compañías de publicidad y utilizado para obligar a su browser a visitar sitios desconocidos automáticamente.

Ver Symantec Security Response - Expanded Threats (Spyware)


En respuesta a esta nueva área de riesgo (que Symantec llama Expanded Threats) Symantec comenzó ayudando a sus clientes permitiéndoles detectar spyware y otros programas indeseables en sus computadoras usando el producto Norton AntiVirus.

Los tiempos han cambiado considerablemente y la solución de Symantec para los que fueron llamados Expanded Threats ha evolucionado para afrontar los retos planteados por programas que son ahora ampliamente llamados Spyware.

Ver Symantec Enterprise Solutions - Symantec's Antispyware Approach



Software Anti-spyware/Anti-Adware:

Puede librarse de mucho del Spyware/Adware en su PC utilizando:
Ad-Aware Free - Detection/Removal of Spyware (con versión Gratuita, de Lavasoft)
Spybot - Search&Destroy - Detect & Remove Spyware (Gratuito, de Patrick M. Kolla)
a-squared Free EMSI Software Anti-Malware - Malware Scanner and Remover Software (Gratuito)
AVG Anti-Spyware Free Edition Grisoft Free Advisor - Malware Scanner and Remover Software (Gratuito)
Microsoft Windows Defender Protege su computador contra pop-ups, lentitud y amenazas de seguridad causadas por spyware y software no deseado (Gratuito)
Versión de prueba de Spyware Doctor para usuarios de Google Pack Previene, detecta y elimina intrusiones (Gratuita, de PC Tools, o Google Pack)
Free Norton Security Scan for Google Pack Detecta y elimina intrusiones (Gratuito, de Google Pack)

Ad-Aware Free detecta y elimina las intrusiones ya ocurridas y residentes en su PC.
Spybot detecta y elimina las intrusiones ya ocurridas y residentes en su PC, además puede inocular su MS Internet Explorer contra las más comunes.
a-squared Free (A2) detecta y elimina las intrusiones ya ocurridas y residentes en su PC.
AVG Anti-Spyware Free Edition detecta y elimina las intrusiones ya ocurridas y residentes en su PC.
Microsoft Windows Defender tiene Protección en Tiempo Real, un sistema de monitoreo que recomienda acciones contra el spyware cuando es detectado. Microsoft Windows Defender está disponible sólo para usuarios legítimos de Windows XP-SP2.
La versión de prueba de Spyware Doctor para usuarios de Google Pack detecta y elimina algunas intrusiones en tiempo real, y las intrusiones ya ocurridas y residentes en su PC, además puede inocular su MS Internet Explorer contra los programas Active-X maliciosos más comunes.
Además del scan, la versión para Google Pack del Norton Security Scan remueve todos los virus, troyanos y gusanos encontrados que existen en el PC de un usuario y les provee con indicaciones útiles sobre cómo pueden mejorar aún más la seguridad de su PC.


SpywareBlaster anti-spyware protection (Gratuito, Javacool Software).
SpywareBlaster no examina su PC para limpiarla de spyware - previene que se instale en primer lugar. Este programa previene la instalación de spyware, adware, discadores y secuestradores de su browser, y otros programas potencialmente indeseables. También puede bloquear spyware y tracking cookies en IE y Mozilla/Firefox, y restringir las acciones de los sitios con spyware y tracking cookies.
SpywareBlaster inocula el MS Internet Explorer contra muchos intrusos, para impedir que se instale spyware, y puede ser desactivado si causa problemas. Sólo después de desactivarlo se lo debe desinstalar, si eso es lo que se quiere hacer.


Estas herramientas pueden todas instalarse en un mismo PC pues son básicamente scanners y no interfieren unas con otras o con un programa antivirus. Esto es recomendable pues cada una se especializa en un tipo distinto de spyware.



Tracking Cookies:

Las herramientas de arriba le ayudaran a librarse de "Tracking Cookies" (Cookies que usan información personal identificable para rastreo por terceras personas) almacenados en su PC, pero Ud. debería configurar su browser para bloquearlos.
En el menú del MS Internet Explorer: Herramientas (Tools), Opciones de Internet, Privacidad (Mediana, al menos).

Un cookie no es un programa, es un muy pequeño archivo de texto con información que un sitio en el Web puede guardar en su PC. Un cookie persistente permanece cuando Ud. cierra su browser. Un cookie temporal o de sesión es guardado sólo para su actual sesión con el browser, y es borrado de su computador cuando lo cierra.

Los cookies de primeras personas se originan en o son enviados al sitio en el Web que Ud. está viendo actualmente. Si Ud. no permite cookies de primeras personas, podría no poder ver algunos Web sites o utilizar sus configuraciones.

Los cookies de terceras personas se originan en o son enviados a Web sites diferentes del que está viendo actualmente. Los sitios en el Web de terceras personas usualmente proveen algún contenido en el sitio del Web que está viendo. Por ejemplo, un sitio puede usar propaganda de Web sites de terceras personas y esos Web sites pueden usar cookies. Un uso común para este tipo de cookie es rastrear sus visitas en el Web para publicidad u otros propósitos de mercadeo. Los cookies de terceras personas pueden ser persistentes o temporales.

Un sitio en el Web sólo tiene acceso a la información personal identificable que Ud. le provea, como su log-in y preferencias cuando visita el sitio. Normalmente, sólo el sitio en el Web que creó un cookie puede leerlo.

Su Internet Service Provider (ISP) asigna a su PC una dirección IP (Internet Protocol) cuando Ud. hace una conexión. Una dirección IP es única en todo el mundo en cualquier momento, y sólo su ISP puede asociarla con su PC en un momento particular.



Discadores Malignos (Malicious Dialers):

Son pequeños programas malignos que conectan telefónicamente el PC a un Dial-Up Network (DUN) a una rata de costos muy alta para el usuario.

En general se requiere examinar su PC con un programa antivirus actualizado para detectarlos y eliminarlos. Algunos pueden ser detectados por el usuario examinando "Internet Connections" en el Control Panel de Windows.

Los discadores malignos generalmente se instalan en su PC al visitar un Website infector o por medio de un nuevo tipo de virus que contiene uno como carga.

Puede eliminar los discadores malignos en su PC con el a-squared Anti-Dialer Freeware! - detector y eliminador de Dialers gratuito.

Ver Symantec Security Response - Expanded Threats (Dialers)



Rootkits:

Un rootkit es un componente sigiloso que mantiene una presencia persistente e indetectable en la máquina. Las acciones de un rootkit, como su instalación y toda forma de ejecución de código, se hacen sin el consentimiento o conocimiento del usuario.

Los rootkits no infectan máquinas por si mismos, como los virus o gusanos, pero en cambio, buscan proveer un ambiente indetectable para ejecutar código maligno. Para instalar manualmente los rootkits, los atacantes típicamente usan vulnerabilidades en la máquina, o técnicas de ingeniería social.
En algunos casos, los rootkits pueden ser instalados automáticamente al ejecutar un virus o gusano, o al visitar un sitio maligno en el Web.

Una vez instalado, un atacante puede ejecutar virtualmente cualquier función en el sistema para incluir acceso remoto, y espionaje, así como esconder procesos, archivos, claves del registro y canales de comunicación.

Un buen programa antivirus, como el AVG Anti-Virus Free Edition de Grisoft, o el a-squared Free (Gratuitos), debería detectar un rootkit aún no instalado. Para detectar y eliminar uno que haya podido instalarse, puede usar el Sophos Anti-Rootkit, o el Trend Micro RootkitBuster (Gratuitos).

Ver Rootkits - Una nueva tendencia en Malware (a2 Knowledgebase, EMSI Software)
y Symantec Security Response - Windows Rootkit Overview (.pdf, Adobe Acrobat Reader).



JavaScript Maligno:

Los ataques de scripts maliciosos son una amenaza para los usuarios del Web. Un sitio Web puede usar un lenguaje con scripts, como JavaScript, para explotar vulnerabilidades de seguridad que podrían permitirle hacer instalaciones de spyware o programas de control remoto.

Firefox, Internet Explorer 7 y Opera tienen algunos controles para prevenir estos ataques, incluyendo advertencias que permiten al usuario saber cuando un sitio Web usa scripts. Pero estos controles todo/nada no son suficientemente flexibles.
Ud. debería permitir la ejecución de JavaScript sólo desde sitios Web confiables. Pero típicamente, un sitio Web presentará scripts provenientes de otros sitios en el Web.


El NoScript Firefox extension provee protección extra para Firefox, y otros browsers basados en Mozilla: Este add-on gratuito, de fuente abierta, permite que los potencialmente peligrosos JavaScript, Java, Flash y otros plugins ejecuten sólo desde sitios Web confiables, de su escogencia (p.ej. su banco online).


Cross Site Scripting (Scripting entre sitios):

Los ataques con Cross-site scripting (XSS) ocurren cuando un atacante usa una aplicación en el Web para enviar código maligno, generalmente en la forma de un script para el browser, hacia un usuario diferente. Los defectos que permiten a estos ataques tener éxito están bastante extendidos y ocurren en donde sea que una aplicación Web usa input de un usuario en el output que genera, sin validarlo o codificarlo.

Un atacante puede usar XSS para enviar script maligno a un usuario desprevenido. El browser del usuario no tiene forma de saber que el script no debería ser confiable, y lo ejecutará. Porque él piensa que el script vino de una fuente confiable, el script maligno puede accesar calquier cookie, session token, u otra información delicada retenida por su browser y utilizada con ese sitio. Estos scripts pueden incluso reeescribir el contenido de la página HTML.

Ver Cross Site Scripting Open Web Application Security Project (OWASP)

Ver Cross-site scripting Wikipedia, the free encyclopedia
Ver XSS Wikipedia, la enciclopedia libre


Tags HTML Malignos Contenidos en Pedidos del Cliente en el Web:

Ninguna de las soluciones que los usuarios del Web pueden aplicar son soluciones completas. Al final, es responsabilidad de los autores de páginas en el Web el modificar sus páginas para eliminar este tipo de problemas.

Sin embargo, los usuarios del Web tienen dos opciones básicas para reducir su riesgo de ser atacados a través de esta vulnerabilidad. La primera, desactivar los lenguajes de scripting en su browser, provee la mejor protección pero tiene el efecto colateral para muchos usuarios de desactivar funcionalidad que es importante para ellos. Los usuarios deberían escojer esta opción cuando requieren el menor nivel de riesgo posible.
La segunda solución, ser selectivos sobre cómo ellos inicialmente visitan una página, reducirá significativamente la expocisión de un usuario mientras todavía mantiene la funcionalidad. Los usuarios deberían entender que están aceptando más riesgo cuando seleccionan esta opción, pero que lo están haciendo para preservar la funcionalidad que es importante para ellos.

Ver Malicious HTML Tags Embedded in Client Web Requests CERT Advisory CA-2000-02



La información sobre seguridad es de naturaleza crítica en el tiempo.
Los Symantec Security Advisories (en Inglés) contienen información sobre problemas graves de seguridad, incluyendo la respuesta de Symantec a la situación.



Una Advertencia Final

Los atacantes están alejándose de los grandes ataques de múltiples propósitos contra la periferia de las redes, y acercándose a los más pequeños y enfocados ataques contra computadoras de escritorio.
El nuevo paisaje de amenazas probablemente será dominado por amenazas emergentes como las redes de robots (botnets), código malicioso modular y personalizable, y ataques apuntados a aplicaciones del Web y Web browsers.

Ver Symantec Enterprise Solutions - Internet Security Threat Report


Durante el 2007 el número de ejemplos de código maligno se ha duplicado, luego de tomar 20 años para alcanzar la cantidad conocida al principio del año.

Uno de los más exitosos "botnets" en el 2007 ha sido "Storm". El botnet Storm, estimado ahora como conteniendo millones de computadoras comprometidas, tiene defensas avanzadas.

Ver Cracking open the cybercrime economy (Tech News on ZDNet, Dec 14, 2007)


El inventario de señas de pestes reconocidas por a-squared Free y a-squared Anti-Malware tenía algo más de 500.000 entradas al inicio del año pasado. Al inicio del 2008 este ya había llegado a un record de 1,1 millones de señas de Malware.
Mientras que los usuarios de a-squared reportaron 1,4 millones de infecciones de Malware en el 2006, esto aumentó a una increíble cifra de 1,9 millones el año pasado. El hecho impactante es: en promedio, cada PC estaba infectada por 8 tipos diferentes de Malware!

Ya no se está construyendo Malware para propósitos de auto-promoción, o por diversión, sino con el propósito primario de ganar grandes cantidades de dinero.
La mayoría de los nuevos Gusanos y Troyanos ya no contienen rutinas destructivas. Son diseñados únicamente con el propósito de secuestrar computadoras para que puedan ser controladas remotamente.

Los Spammers usan este poder de computación para enviar anónimamente millones de e-mails. Otras oscuras organizaciones usan la capacidad de almacenamiento para guardar y distribuir data ilegal, como pornografía infantil o similares.
Como la víctima, Ud. usualmente no sabe que su computadora está siendo usada como sitio de trueque para este tipo de data. Las únicas indicaciones claras son usualmente sólo una conexión al Internet cada vez más lenta y menos velocidad en sus propias aplicaciones.

Ver Malware Annual Report 2007 (Emsi Software, 1/17/2008)



E-mails falsificados (también conocidos como Phishing) que parecen provenir de un suplidor (con una dirección de origen falsa) pueden ponerlo en peligro.

Normalmente le piden navegar hacia un sitio en el Web falso (con un URL fingido) para proveer, actualizar o confirmar información personal sensible. Para atraerlo, suelen referirse a una situación urgente en su cuenta, o a una oferta interesante.

Alguna información que los esquemas de Phishing buscan:
- Números de tarjetas de débito o crédito
- PINs o Contraseñas
- Números de Cuentas
- Números de Identificación Personal y otros datos personales (como nombres y direcciones)

Incluso si Ud. no provee lo que buscan, simplemente seleccionar el enlace lo puede someter a instalaciones "silenciosas" de software para anotar sus acciones por el teclado (Key Logging) o crear puertas traseras (Backdoors).

Muchos de estos sitios abren ventanas engañosas con el propósito de obtener su autorización para una instalación. Ciérrelas usando la X en la esquina superior derecha de la ventana. No use los controles en estas ventanas; un botón puede hacer cualquier cosa, no importa cómo esté marcado.

Considere que una página Web puede falsificar el contenido de la Dirección (URL) y la Barra de Status.


No siga enlaces hacia sus suplidores provistos por e-mails no solicitados o sitios en el Web inconfiables. Escriba el URL conocido Ud. mismo y entonces navegue hacia el sitio del suplidor. Siempre haga esto para bancos, servicios financieros y tiendas on-line.



Para navegar el Web, su browser necesita acceso a un servicio de DNS (Domain Name Server) que traduzca los URLs que Ud. escriba (p.ej. www.algundominio.com) en un grupo de 4 números que es la dirección IP (Internet Protocol) del sitio en el Web.
Pero generalmente, los servidores de DNS son sólo disponibles directamente desde conexiones provistas por el ISP al que pertenecen. Esto significa que generalmente Ud. está limitado a usar directamente sólo el servicio de DNS de su Proveedor de Servicio de Internet (ISP).
Si su servicio direcciona un determinado URL a su propia PC, este URL queda bloqueado, y Ud. obtiene un Error 404 (la dirección no es válida).
Evitar el bloqueo requiere utilizar un servicio de DNS público, como OpenDNS (Gratuito), qué además le ofrece un servicio anti-Phishing.
Adicionalmente, usar OpenDNS garantiza que sus movimientos en el Web no puedan ser seguidos con el registro de uso de DNS en su ISP.

Cuando OpenDNS no puede determinar cómo resolver un URL (por ejemplo, un error que no está dentro de nuestra lista de "errores que podemos corregir"), entonces OpenDNS provee resultados de búsqueda que son el mejor calce para la información provista.


El investigador de seguridad Dan Kaminsky anunció en Julio 8 '08 que un importante problema afecta al software de DNS.

Esta es una forma fácil de saber si sus servidores de DNS están en riesgo:
Mientras navega con una PC en su red, vaya a DoxPara Research, el sitio de Kaminsky, y busque el botón a la derecha llamado "Check My DNS". Selecciónelo.

Si su servidor de DNS parece seguro, debería obtener:
Your name server, at ...., appears to be safe, but make sure the ports listed below aren't following an obvious pattern.
Asegúrese de que los puertos listados no sigan un patrón obvio.
PC World - Business Center: Have You Fixed Your Company's DNS Servers?

Múltiples implementaciones de DNS vulnerables al envenenamiento del cache:
El envenenamiento del cache de DNS (también llamado contaminación del cache) es una técnica de ataque que permite al atacante introducir información de DNS falsa en el cache de un servidor de DNS.
US-CERT Vulnerability Note VU#800113

OpenDNS está orgullosa de anunciar que ellos son uno de los dos vendedores de DNS / proveedores de servicio que no eran vulnerables cuando este problema fue inicialmente descubierto por Dan Kaminsky.
OpenDNS Blog » OpenDNS – Keeping you safe day after day

Vendrán más noticias sobre esta vulnerabilidad de DNS, y se espera un anuncio importante de Kaminsky en Agosto 6 '08 durante la conferencia de Black Hat en Las Vegas.



El estado del Internet: Viejos Gusanos siguen vivos - State of the Internet: Old worms live on
ZDNet Blogs, May 29th, 2008. Posted by Larry Dignan @ 4:55 am

Akamai [una red global de servidores que maneja el 20% del tráfico mundial del Web] el Jueves [Mayo 29 '08] entregó su primer reporte sobre el Estado del Internet y encontró tráfico de ataques - virus, gusanos, robots y similares - originado en 125 países, con 30% de este tráfico viniendo de los Estados Unidos y China. Algunos de estos ataques, que ocurrieron en el primer trimestre, fueron de gusanos como el Blaster del 2003.

De ese tráfico de ataques, los primeros 10 países produjeron 75% de los ataques. Las sorprendentes fuentes de los ataques incluyen Venezuela, Argentina y Brasil - tres lugares no exactamente conocidos por sus comunidades de hackers. Rusia no apareció.

Este es el gráfico del reporte de Akamai, que requiere registrarse:

Tráfico de Ataques


Ver Akamai Report: The State of the Internet - 1st Quarter 2008, 2nd Quarter 2008


Mi especialidad es la Computación Personal y trabajo como consultor independiente.

Actualizada: Noviembre 18 '08

Sección de Información Antivirus

Alertas de Seguridad en Symantec y Trend Micro

Sección sobre Actualización de PCs

English: PC Security Section

Regreso: Home Page (Servicio de Seguridad y Actualización de PCs)

Mensajes:
Andrés Valencia: Comunicaciones
Valid HTML 4.01!