Servicio de Vigilancia Anti-Malware

Desde hace más de un año nuevas técnicas o, mejor, tácticas para la infección de máquinas de usuarios a través de Malware se ha ido masificando y perfeccionando.

Algunos de estos ataques están relacionados con la herramienta que ha pasado a considerarse una de las más peligrosas del momento: MPack. Pero esta es sólo un ejemplo que ha abierto la veda. Gusanos que contaminan sites mediante ataques a WebDav, RFI, etc están contaminando sites de forma exponencial.

La forma de actuar de estos ciberladrones es infectar servidores web de confianza, de empresas de todo tipo y tamaño, para que sea a través de estas desde las que se troyanicen las máquinas de usuarios para conseguir datos bancarios, datos de tarjetas de crédito, contraseñas, etc.

No existe una única razón por la que este tipo de ataques o "contaminaciones" pasan inadvertidas, incluso para los propietarios de las páginas web:

  • Las vulnerabilidades que se explotan para tener acceso a los sistemas son localizables de forma automática.
  • Los sistemas no se actualizan siempre y las aplicaciones web contienen vulnerabilidades de seguridad fácilmente explotables.
  • El código malicioso no modifica el aspecto de la página web, puede estar autocifrado y ser ilegible.
  • Las páginas web son de empresas confiables la responsabilidad deja de ser del usuario.
  • Muchas veces no se tiene un control sobre los proveedores o terceras empresas que actualizan ciertos contenidos, como publicidad.
  • Las páginas web cambian muy rápidamente con lo que los sistemas de integridad de ficheros pierden su utilidad en entornos muy vivos donde diferentes empresas realizan cambios sin calendarios establecidos.
  • Los departamentos de marketing, desarrollo, sistemas, etc. no se notifican todos los cambios en los entornos web, con lo que hay cambios que pasan inadvertidos entre departamentos.

Las aplicaciones web se han convertido en el mejor lugar desde el que atacar a los usuarios y robar su información sensible con un único fin, el económico.

Nuestro Servicio de Vigilancia Anti-Malware tiene dos componentes complementarias: una Preventiva y otra Detectiva.

Componente Preventiva

Permite identificar aquellas vulnerabilidades existentes tanto a nivel de sistemas como de las aplicaciones web. Estas vulnerabilidades están siendo explotadas de forma automatizada, es decir, pueden ser de detectadas de forma automatizada.

Las características de la componente Preventiva son estas:

  • Análisis diarios, continuos o según el nivel de cambio o potencialidad de peligro en entornos críticos.
  • Informes de vulnerabilidades a nivel de sistema y aplicación.
  • Informes diferenciales de cambios en los recursos web.
  • Genera alertas en caso de identificar vulnerabilidades graves.

Componenente Detectiva

Partamos de una premisa, que debemos suponer lo peor:

  • Supongamos que nuestros sites web han sido vulnerados.
  • Supongamos que han insertado código malicioso para troyanizar a los usuarios.

La componente Detectiva tiene como objetivo identificar aquellos recursos web que han sido troyanizados y son el origen del ataque a los propios usuarios de la aplicación.

Las características de la componente Detectiva son estas:

  • Análisis diarios o continuos en entornos críticos.
  • Identificación de las actividades que realiza el malware sobre el ordenador del usuario.
  • Análisis del comportamiento de recursos multimedia: videos, pdfs, imágenes, flash, etc.
  • Independiente de la tecnología de desarrollo.
  • Notificación de alertas en caso de detección positiva de código malicioso.
  • Generación de informes de las páginas o recursos que han sido troyanizados.