cisco40 40x40f oracle40 oracle40 lgo4

¿Cómo se desmantela una red de computadoras zombies?

bot

Aunque llevamos dos décadas padeciéndolas, no sólo ha sido imposible acabar con ellas, según el FBI, unos 500 millones de ordenadores son infectados cada año por ‘software’ malicioso y entran a formar parte de alguna ‘botnet’.

El año pasado acabó con la interrupción de Dorkbot, una ‘botnet’ que infectó a más de un millón de ordenadores de 190 países, gracias a una iniciativa dirigida por Europol, Interpol y el FBI, y en la que también colaboraron ESET y Microsoft. Ahora bien, ¿qué ocurre exactamente en esas operaciones? ¿Se acaba para siempre con la ‘botnet’ o los zombis reviven? ¿Qué ocurre si mi computadora estaba entre los infectados con ‘software’ malicioso?

No suelen ser las fuerzas policiales las que se percatan de la existencia de las ‘botnets’, sino las empresas de seguridad. En ocasiones, son los propios clientes de la compañía los que perciben una anomalía y, en otras, el propio ‘software’ de la empresa detecta que uno o varios usuarios se han intentado conectar a un IP o a un dominio sospechoso.

“Analizamos, hacemos ingeniería inversa y podemos ver que [el ordenador] está preparado para recibir órdenes, que está a la escucha”, señala Luis Corrons, director técnico de PandaLabs.“Cualquier ‘botnet’ de la que yo me entere, mucho antes de que esté desmantelada, tengo la obligación de añadirla a mis ficheros y proteger a mis clientes”, detalla Corrons.

Estas compañías analizan todo tipo de ‘malware’ a diario, de ahí que puedan detectar otros ordenadores infectados con el mismo código maligno en otros lugares. Entonces comienzan a investigar cómo se comunican con el ‘bot herder’ (el ordenador pastor), que se encargará de proporcionar las instrucciones, o cómo están configurados los centros de mando y control de la red. Algunas empresas, cuando disponen de la suficiente información, la comparten con otras organizaciones y fuerzas de seguridad que darán la orden para comenzar el desmantelamiento.

Para ‘romper’ una ‘botnet’ no es necesario desenmascarar siquiera al cibercriminal que opera en la sombra, sino que hay que hacerse con las riendas de los centros de mando y control, una labor para la que las fuerzas policiales se coordinan con las empresas de ‘hosting’ que albergan los servidores.

“Con un servidor que escape del control es suficiente para que quien controle dicha red pueda montar nuevos servidores y mandar la nueva configuración, echando por tierra el trabajo realizado”, señala Corrons. “Es como una especie de hidra: si cortas una cabeza da igual, porque las otras siguen vivas y es como si no hubieras hecho nada”, ejemplifica este experto.

Hace poco se desmanteló exitosamente la "Red Mariposa".En este caso, su detención se debió a un error humano. “Cada vez que se conectaban a los servidores, lo hacían a través de una VPN para que no se supiera cuál era su dirección IP de origen”, señala Corrons. Pese a ello, uno de los atacantes, nervioso tras darse cuenta de que no podía acceder a los paneles de control, cometió la torpeza de olvidar conectarse a través de la VPN. Fue así como la Guardia Civil pudo detener a los culpables. “Si los detienes, acabas con el problema; si no, lo estás mitigando”, señala Corrons.

“Lo normal es que queden restos. En ese punto se monitoriza la actividad para ver si hay un resurgimiento en los días posteriores al desmantelamiento”, señala Josep Albors, director de comunicación y laboratorio de ESET España. “Los delincuentes han ido depurando sus técnicas a la hora de infectar a sus víctimas, usando, por ejemplo, ‘kits’ de ‘exploits’ [paquetes de código diseñado para aprovechar vulnerabilidades] en páginas web legítimas que han sido comprometidas”, prosigue este experto.

Además, según apunta Trend Micro, las de los últimos tiempos utilizan una infraestructura P2P —dificultando así trabajo de desmantelamiento al no existir un servidor centralizado— o cifran sus comunicaciones para ocultar el tráfico. “Solo deteniendo a la persona vas a parar la ‘botnet’. Pararla momentáneamente mientras rehacen su código y lo mejoran para mí no es ningún triunfo contra el cibercrimen: lo único que se hace es obligarles a que mejoren”, defiende Corrons.

De todas las ‘botnets’ resucitadas, una de las más famosas es Zeus. Identificada en 2007, su código se liberó hace unos años permitiendo a otros muchos delincuentes crear sus propios dioses. Para colmo de males, no se ha llegado a detener al presunto responsable de esta red, Evgeny Mikhailovich Bogachev, que continúa en la lista de los cibercriminales más buscados por el FBI: se ofrece una recompensa de 3 millones de dólares (2,6 millones de euros) a quien lo localice.

Ahora bien, si mi computadora pertenece a una red desmantelada, ¿me entero al menos de que mi ordenador está infectado? En algunos casos, sí. Las empresas de seguridad pueden dirigir todos los ‘bots’ a un ‘sinkhole’, un servidor seguro, controlado en ocasiones por las fuerzas de seguridad. Gracias a ello, es posible lanzar un aviso a los ordenadores infectados. De esta forma, la próxima vez que el usuario se conecte al navegador recibirá las instrucciones para desinfectar su equipo. Recientemente, la organización CERT-Bund se ocupó de notificar a los afectados por Mumblehard, una ‘botnet’ para Linux, gracias a que ESET tenía un servidor ‘sinkhole’ para todos los componentes conocidos de la red.

“El punto de vista humano es más difícil”, señala Corrons. “Estar al tanto de las triquiñuelas de los cibercriminales no se enseña parcheando nada, tienes que tener un poco de interés”. Al final, las técnicas de ingeniería social de los ciberdelincuentes pueden hacernos caer en la misma trampa una y otra vez.

Joxean Koret, el español que odian las compañías de antivirus

Joxean-Koret-celebracion-congreso-Rooted EDIIMA20160825 0221 18

Con cierta frecuencia, los 'hackers' descubren y sacan a la luz fallos y vulnerabilidades que descubren en los sistemas de antivirus.

En esta cruzada contra las grandes firmas de antivirus se encuentra Joxean Koret, un programador vasco que ha expuesto a las grandes marcas al publicar un compendio con algunos de sus fallos más graves y comprometidos. ' The Antivirus Hacker's Handbook', un libro escrito mano a mano con Elias Bachaalany, es también una guía que enseña a otros 'hackers' cómo detectar los puntos débiles de estos programas, precisamente los que deberían garantizar la protección de empresas y particulares.

Koret, que lleva ocho años trabajando como investigador en seguridad, comenzó a explorar el código de los antivirus cuando trabajaba en otro proyecto. Lo que encontró le dejó sin palabras: “Vi que era un pozo sin fondo de lo mal que estaba”, explica.

Tras un par de años estudiando, decidió revelar públicamente los vacíos de seguridad que había descubierto. Lo hizo en una conferencia en el congreso SyScan de 2014, en Singapur. Un año después, la editorial Wiley publicó su libro. “Decidí sacar los datos a la luz para que las empresas de seguridad cambiaran”, cuenta Koret.

El programador decidió no contactar con la mayoría de empresas a las que estaba criticando porque su intención, afirma, era que se esforzaran para corregir sus errores. Y eso solo podía conseguirlo si sacaba a la luz sus trapos sucios. “El libro no está hecho principalmente para atacar, aunque sí que se puede utilizar para ello", reconoce. "Mi idea es que lo puedan utilizar los trabajadores de las compañías de antivirus”.

Al margen de la intención de Koret, las empresas no se tomaron demasiado bien su publicación. Muchas de ellas le tacharon de irresponsable, algo que él niega. “La gente que hace 'malware' [programas maliciosos] se dedica a investigar antivirus como una parte integral de su trabajo. No es que haya publicado algo que no se utilizara ya”, señala. Más bien lo que ha hecho es forzar la máquina, haciendo público un secreto a voces, para meter presión a los que dicen velar por la seguridad de todos.

Lo cierto es que los expertos de seguridad llevan más de una década publicando los fallos de los antivirus. La diferencia, y el problema que los responsables de estos sistemas tienen con su libro, según cuenta el español, es que lo escribió sin haber colaborado previamente con las compañías. No lo hizo de la forma que se considera “responsable”.

Lo usual es que los 'hackers' que encuentran puntos débiles en un 'software' informen a los afectados y trabajen con ellos antes de hacerlos públicos. En opinión del informático, este procedimiento hace que las empresas se beneficien gratuitamente del trabajo de los demás y, sobre todo, que con el tiempo vuelva a suceder lo mismo. “Para el año siguiente, hay otras vulnerabilidades diferentes pero del mismo tipo”.

Koret se negó a seguir estos pasos y optó por procurar que su trabajo tuviera repercusión. “Cuando sale a luz y no les has dado ventana de tiempo, lo que haces es que salga en noticias y eso les crea una publicidad que no les resulta beneficiosa y que les fuerza a tener que cambiar las cosas”.

Uno de los pocos avances que la denuncia del 'hacker' forzó en la industria de los antivirus fue la adopción de los programas de recompensas conocidos como 'bug bounty'. Si hay uno en marcha, cuando el 'hacker' encuentra una vulnerabilidad en un producto e informa al vendedor, en este caso un firma de seguridad, la empresa le abona cierta cantidad de dinero a modo de gratificación. “En el momento en el que yo investigué, solo Avast tenía 'bug bounty', y yo dije que eso era una buena idea. Ahora hay un buen número de antivirus con el sistema”.

LA RESPUESTA DE LA INDUSTRIA

Koret acabó entre ceros y unos por casualidad. Estudiaba un curso de calderería que no le apasionaba demasiado y, para escabullirse de las clases, fingió que se lesionaba. Cuando le relegaron al aula de informática, su interés por los ordenadores creció, lo que le llevaría a costearse un curso de programación. A partir de entonces seguiría estudiando por su cuenta.

El programador vasco afirma que la publicación del libro no le ha supuesto consecuencias profesionales, pero sí alude a “tácticas un poco sucias” por parte de las empresas de antivirus. Algunas escribieron en sus blogs diciendo que lo publicado era mentira y otras llegaron a acusarle de ser un ciberdelincuente y trabajar en la industria del 'malware'. “Una empresa intentó decir que el estudio que yo había hecho venía a decir que todos los antivirus estaban mal menos el suyo, y que eso indicaba que tenía que comprar todo el mundo el suyo”, relata.

Sin embargo, la respuesta más habitual fue un muro de silencio y, sobre todo, caso omiso ante las advertencias difundidas. Pero aunque externamente hayan hecho oídos sordos, parece que internamente sí ha influido el mensaje del libro. Koret cuenta que su manual se utiliza regularmente dentro de las compañías, según le han comentado algunos compañeros. “El CEO de una empresa de antivirus me dijo que es uno de los libros que regularmente se da a los nuevos que entran”.

No es algo que vayan a reconocer fácilmente. “La mayor parte de empresas hace como que esto no existe porque para ellos es mala publicidad”, sentencia el programador.

Para corregir los problemas de seguridad de los antivirus, Koret apuesta por la adopción de un enfoque defensivo, es decir, que las empresas inviertan recursos para proteger sus propios programas: “Estoy todavía por ver un solo antivirus que tenga un medio de protección para sí mismo”.

Todo programa que se instala en un ordenador, móvil o tableta aumenta el riesgo de vulnerabilidades por el mero hecho de que se convierte en un punto más donde atacar. Lo mismo sucede con los antivirus, aunque sean los encargados de monitorizar buena parte de lo que sucede en un sistema. Si no se protegen a sí mismos, las posibilidades de penetrar en una red o un equipo que lo tenga instalado se incrementan.

Sin embargo, las compañías "se preocupan más de las campañas de 'marketing', que sí que ven que revierten, que de las cosas realmente técnicas”, se lamenta Koret. “No investigan porque cuesta dinero y destinan más dinero para 'marketing' que para tecnología defensiva”.

Así las cosas, y según el investigador, ¿es recomendable instalar un antivirus? Koret sí está de acuerdo con que una persona corriente, sin conocimientos de informática, se instale un programa de protección. Eso sí, siempre que procure no relajarse al navegar por internet y no caer en una falsa sensación de seguridad. “Si estamos hablando de otro tipo de 'target', como una empresa o un gobierno, realmente es más el peligro que crea”. En otras palabras, el remedio puede ser peor que la enfermedad.

10 términos claves para entender la Virtualización

virtua

A pesar de su definición exacta sigue siendo turbia, un centro de datos definido por software es algo por lo que los profesionales de TI están empezando a luchar. Al reducir el hardware físico en un centro de datos, a favor de tecnologías como las redes definidas por software y el almacenamiento definido por software, los equipos de TI pueden aumentar la automatización, eficiencia y obtener una serie de otros beneficios.

En un mundo donde la eficiencia importa en el centro de datos –en el uso de energía y el rendimiento de las aplicaciones– condensar todo en software y desplegarlo todo de una sola vez hace atractivo a un centro de datos definido por software (SDDC). Los equipos de TI pueden ofrecer servicios SDDC través de la virtualización y otros medios, pero deben hacerlo con cuidado, y los servicios deben ser considerados en las primeras etapas de la planificación del SDDC.

 Esta lista condensada de terminología de planificación para el SDDC ofrece una mirada introductoria a lo que puede esperar cuando su centro de datos esté listo para hacer la transición.

Redes definidas por software (SDN): Con la ayuda de la virtualización, SDN tiene por objeto limitar el número de pasos manuales necesarios para gestionar y solucionar problemas de redes, y proporciona a los administradores el control sobre la red desde una única plataforma. Junto con un controlador SDN, la red inteligente gestiona el flujo de tráfico y le dice a los switches dónde enviar los paquetes.

Automatización: La gestión de tareas automatizadas y la programación de recursos impulsa un SDDC. Para los administradores de TI, uno de sus objetivos primarios con un SDDC es automatizar el cómputo, almacenamiento, seguridad, redes y otros servicios de centro de datos a través de una única plataforma. Aparte de otros beneficios, la automatización permite a los administradores centrar su energía en otras áreas del centro de datos.

VMware ha hecho avances en la automatización de SDDC, y otras herramientas, como Puppet y Chef, pueden ayudar a automatizar la gestión de configuración.

Seguridad definida por software (SDS): Con la protección de datos todavía siendo una prioridad durante la planificación y adopción de SDDC, la detección de intrusos automatizada, la segmentación de red y otras capacidades hacen de SDS otro término integral. SDS permite a las empresas supervisar innumerables aspectos del centro de datos, y ayuda a asegurar que las políticas de seguridad se aplican de forma coherente. Para las organizaciones que adoptan SDN, y, finalmente, un SDDC completo, los modelos de seguridad basados ​​en software se ajustan mejor para ayudar a soportar y asegurar protocolos abiertos, como OpenFlow.

Virtualización de red: Para hacer la transición desde hardware de alta densidad durante las etapas de planificación de SDN y SDDC, la virtualización de la red es uno de los componentes principales. Optimizar la velocidad de la red, su fiabilidad y flexibilidad está a la vanguardia de la virtualización de la red, lo que permite a los administradores de red gestionar archivos, programas y otros componentes desde una ubicación.

Para implementar la virtualización de red en el centro de datos, considere las construcciones de Capa 2 o Capa 3 o las redes sobrepuestas para la transición del flujo de trabajo a un entorno virtual. Este despliegue debe ser una opción más barata y más rápida a largo plazo que una red tradicional de centro de datos.

Almacenamiento definido por software (SDS): SDS cambia el énfasis desde el hardware de almacenamiento tradicional hacia los servicios relacionados con el almacenamiento, y mueve características tales como la deduplicación y la replicación al software. La flexibilidad de SDS atrae a los administradores, y les permite controlar y automatizar los recursos de almacenamiento a través de programación y un sistema de gestión basado en políticas. Los administradores también ven un aumento en la eficiencia debido a la falta de un sistema de almacenamiento físico.

Virtualización del almacenamiento: La virtualización del almacenamiento es la tecnología que permite a los administradores acumular una gran cantidad de recursos de almacenamiento desde múltiples piezas de hardware, para su gestión desde una sola ubicación. Los administradores pueden administrar y realizar copias de seguridad, archivo y recuperación más rápidamente de lo que podían con el almacenamiento físico.

Virtualización de servidores: Las tecnologías de virtualización de servidores permiten a los administradores enmascarar los recursos del servidor de los usuarios, y dividir los servidores físicos en un centro de datos en entornos de servidor múltiples, llamados servidores privados virtuales. En la planificación de SDDC, la virtualización de servidores es un paso hacia la computación autónoma, ya que el entorno en su mayoría se maneja a sí mismo y necesita poca participación externa. Los posibles modelos de virtualización de servidores incluyen un modelo de máquina paravirtual, un modelo de máquina virtual o una capa de sistema operativo con la virtualización.

Interfaz de Programa de Aplicación (API): Una API es el código que permite que diferentes programas de software se comuniquen entre sí, después de que un desarrollador escribe un programa para solicitar servicios de un sistema operativo. Se puede añadir middleware, si las aplicaciones están escritas en diferentes lenguajes, extendiendo el alcance de la comunicación. En un SDDC, los administradores usan APIs para gestionar la computación, el almacenamiento, las redes y otros componentes.

Si te interesa capacitarte en virtualización con la tecnología de VMware, hacé click aquí

  1. ¿Cuántas líneas de código hay en aplicaciones de uso diario?
  2. HDR: el próximo escalón de la TV
  3. ¿Cómo llegó a ser Silicon Valley la meca de los emprendedores IT?
  4. Youtube se transforma en Red Social: todo lo que tenés que saber
  5. Rumania y su fascinante crecimiento basado en Tecnología

FUNDACION PROYDESA academia@proydesa.org | [+54] 9 11 5184-5746 (Celular - WhatsApp) | Suipacha 280 | Ciudad Autónoma de Buenos Aires | Argentina

© Copyright 2025
Cursos disponibles
Inscribite hoy mismo!
FCP Fibra Óptica
Inicia: 07/05/2025
Online | Intensiva
CCNA 3 v7: Enterprise Networking, Security and Automation
Inicia: 20/05/2025
Online | Intensiva
CCNA 2 v7: Routing, Switching and Wireless Essentials
Inicia: 20/05/2025
Online | Intensiva
CCNA 1 v7: Introduction to Networks
Inicia: 20/05/2025
Online | Intensiva
Gestión de Infraestructura de Redes
Inicia: 02/06/2025
Online | Intensiva
ver todas