Página Inicial SCVC - Indice de Ayuda


 

Chat
| FTPMail | Netiquettes | Mailing lists | FAQs | Glosario

Virus Informáticos o de Computadoras, Hoax y Spams

Por ser nuestros Congresos de Cardiología actividades Virtuales, por el auge alcanzado por la navegación por Internet y el intercambio de mensajería electrónica en esta sección les presentamos este tema que es de vital importancia e incluye 6 artículos publicados en los Newsletters del PCVC por los Drs. Karel Morlans y Edgardo Schapachnick  y otros nuevos materiales.

Definición e Historia

Señales de infección por virus informáticos

Nomenclatura

Técnicas virales de ocultación

Prevención. medidas básicas de seguridad informática

Prevención de virus en Word, Excel y PowerPoint

Como enfrentar un ataque de virus. Programas antivirus

Cortafuegos

Virus Hoax

Spams

 

Definición e Historia.

 Hasta los años 80, el término "virus" se empleaba solo dentro del campo de las ciencias médicas y biológicas para definir a microorganismos capaces de penetrar en el ser humano y destruir o alterar el contenido genético celular provocando cuadros patológicos específicos. Por similitudes en su modo de acción y efectos, en informática se bautizó como virus a ciertos programas que pueden autoreproducirse, "transmitirse" de una computadora a otra, y desencadenar daños a la información contenida en ella (software) e incluso al mismo equipo (hardware).

Los virus informáticos son programas creados del mismo modo que otros programas. Son una serie de instrucciones que ordenan a las computadoras que hacer, con ordenes especificas para modificar a otro programa, macro, etc. Pueden autoduplicarse y son archivos ocultos o que se escriben sobre otros programas. Están diseñados para activarse al realizarse ciertas funciones, en determinada fecha o mediante mecanismos más complejos y toman el control de la máquina afectada. Además, realizan copias de sí mismos en otro sitio distinto al original ( otro archivo de programa, documento, sector de arranque, etc) que le permita ocultarse. Se transmiten al introducir información a la computadora copiando de disquetes, que contengan al virus, o mediante cualquier otro sistema de copiado de archivos (discos duros, compactos, Zips, módems, comunicación por cable, etc). No incluimos dentro de su definición la capacidad de destrucción o daño que pueden causar, ya que no todos la poseen, una cantidad considerable solamente se reproduce.(1

En 1949, se publicó en el libro Theory and Organization of Complicated Automata, la primera información acerca de un programa de computo programado para replicarse automáticamente. Von Neuman en 1951 propuso un método para crear programas que se autoreproducían. No se ha establecido con exactitud el origen de los virus informáticos, aunque al parecer pudo estar en los sistemas de computo del gobierno de Estados Unidos. En otoño de 1959 en los laboratorios AT&T Bell nació "Core Wars" (simulación de guerra nuclear) en el que programadores contendientes desarrollaban un software cuya "misión" era acaparar la máxima cantidad de memoria posible mediante la reproducción de sí mismo dejando fuera al contrario, o sea, ganaba quien tuviera la mayor cantidad de memoria ocupada. En 1981 apareció en las computadoras Apple un virus llamado Cloner, cuyo modo de acción era desplegar un poema en la pantalla. En 1983 Fred Cohen expone el concepto de virus como "Un programa que puede infectar a otros programas modificándolos para incluir una versión de sí mismo”. Ese mismo año se hace público el "Core Wars", que se había mantenido entre la elite de estudiantes e investigadores del MIT y del centro de investigaciones de Xerox en Palo Alto.

La publicación de artículos técnicos y la amplia distribución a partir de 1985 de las computadoras personales, con el Sistema Operativo DOS, propiciaron las condiciones para la creación en 1986 del virus "Pakistaní - Brain". Se inició la segunda etapa en la evolución de los virus informáticos, ya con capacidad destructiva. La aparición de nuevos virus informáticos ha tenido un crecimiento casi exponencial. En 1987 se habían reportado unos 12 virus, 1993 culminó con más de 3500, en la actualidad ya son varias decenas de miles. Y la cifra aumenta con unos 350 nuevos virus mensuales. En 1995 se descubrió el primer virus de Macros y se rompió la regla sagrada “un virus no puede existir en un archivo de datos”. En el 2000 se descubrió el primer gusano que utilizaba los ficheros PIF (ficheros estándar de Windows que se utilizan para almacenar información sobre el arranque y ejecución de programas DOS y permiten su ejecución en entorno Windows) para propagarse: el Fable, otro de ellos es el I-Worm.MTX que tanto dió que hacer en el último trimestre de ese año.(2)

En otras máquinas como Macintosh, se reportan algo más de 100 incluyendo los que ya no son operativos por el advenimiento de los Mac-OS de 32 bits. El Unix y sus clones ya tienen sus virus (Linux.Bliss, Linux.Vit.4096, Ramen (3)).

Los virus informáticos son capaces de afectar las tablas de particiones, sector de arranque, archivos ejecutables y de datos e incluso la BIOS de la PC. También algunos se pueden “ocultar” (Stealth) y otros mutar (polimórficos).

Inicialmente, solo podían afectar un tipo de PC y sistema operativo. Ya existen virus multiplataforma y multiprocesador como el “Esperanto”, de solo 4,8 Kb de tamaño. Este, combina código de 16 y 32 bites. Está compilado en tres plataformas distintas, funciona sobre DOS, Windows 3X, Windows 95, Windows 98, Windows NT y en Macintosh. “Corre” en procesadores Intel 80X86 y compatibles, Power PC 6XX/750(G3) y Motorola 680X0.

Tope

 

Señales de infección por virus informáticos

Aunque usted sea una persona precavida y cumpla con las medidas de prevención, detección y descontaminación de virus informáticos no está exento de la posibilidad de que su computadora sufra una infección por estos virus. Esto es debido a la cada vez mayor profusión y creación de este tipo de engendros informáticos, unido a la mayor utilización de los recursos e información disponibles en Internet y del correo electrónico. Por lo tanto usted debe conocer los “síntomas” de estas infecciones.

Aquí les mencionaremos, agrupadas, algunas señales que pueden ser debidas a una infección de este tipo. Si su computadora presenta alguna de ellas, extreme medidas y descarte la presencia de un virus informático en su sistema.

En directorios y archivos:

_La cantidad de espacio disponible es cada vez menor.
_Aumento de longitud (bytes) de los archivos
_Algunos archivos desaparecen del disco (borrados).
_El directorio muestra archivos desconocidos por el usuario.
_Los archivos son sustituidos por caracteres ilegibles.
_Alteración en la indicación de la hora de un archivo.

En la ejecución de aplicaciones:

_Los programas tardan mas tiempo en cargarse o no son operativos.
_Algunas aplicaciones trabajan mas lentamente que lo normal.
_Al abrir un archivo aparecen errores que antes no existían.  
_Al solicitar la apertura de un archivo aparecen en el menú drivers que no están instalados.

Funcionamiento del sistema:

_Rendimiento del sistema reducido.
_La cantidad de memoria disponible cambia o disminuye continuamente.
_Arranque incompleto del sistema o fallo en el arranque.
_Escrituras inesperadas en una unidad.
_Mensajes de error extraños o no estándar.
_Actividad de pantalla no estándar (animaciones, etc.), fluctuaciones de pantalla.
_Sectores erróneos en disquetes y en discos duros.
_Cualquier operación extraña que su computadora no realizaba antes y que de un momento a otro comienza a ejecutar.
_Errores no justificados en la FAT.

Síntomas de macrovirus en Word:

_Los documentos de Word solo pueden ser guardados como plantillas.
_Los archivos eliminados no son recuperables.
_Los archivos muestran un cuadro de dialogo con un número 1.
_Nuevas macros, llamadas AAAZAQ, AAAZFS y PayLoad, aparecen en la lista de macros de Word.
_El archivo Winword.ini contiene la línea ww6=1
_Alteraciones en el archivo Normal.dot a partir de la comparación de esta plantilla con una copia anterior, previamente guardada en una carpeta del disco, utilizando comandos como el FC.EXE o el diff desde el AUTOEXEC.BAT.
_Alteraciones en la carpeta de INICIO (STARTUP) de Microsoft Word, que pueden ser debidas a la inclusión de nuevas plantillas o de alteraciones en las plantillas allí contenidas.

Tope

 

Nomenclatura  

Clasificaciones y nomenclaturas de virus hay muchas. Pueden clasificarse según donde se alojan y por el lenguaje o método utilizado en su creación.

Virus de archivo, de ficheros (Files virus): Son los que se incorporan a los archivos. Usan uno o varios sistemas operativos para propagarse. Pueden infestar todos los tipos de archivos ejecutables del DOS Estándar: Archivos BAT, SYS, EXE, COM y pueden afectar otros sistemas como Windows en todas sus versiones e incluyendo sus drivers, 2OS2, Macintosh y Unix. También infestan archivos que contienen código fuente, librerías o módulos de objetos, o archivos de datos.
De acuerdo con el método utilizado para infestar los archivos se agrupan en: Virus de sobrescritura, parásitos, acompañantes, de enlace o enganche, gusanos, de OBJ, de LIB y código fuente.

Virus de sector de arranque maestro (MBR): Infectan al sector de arranque de los disquetes o discos duros. Sustituyen el sector de arranque original guardando o no una copia de este en otro sector del disco. También pueden guardar parte del virus en otros sectores además del MBR. Formatear el disco o disquete no tiene ningún efecto sobre ellos ya que esta acción no modifica el MBR. La única salida en este caso es un formateo a bajo nivel que regenere la tabla de particiones.

Virus mixtos, bimodales o Multipartite: Son una combinación de virus de archivo y virus de sector de arranque.

 Virus acompañantes ( Companion Virus): No cambian los archivos infestados. Crean un clon con el fichero que al ejecutarse le da el control al virus. Pueden hacerlo de varias maneras, creando un archivo contraparte ( Ej: se infesta el xcopy.EXE que permanece inalterado y se crea un archivo xcopy.COM que contiene el código viral, al ser llamado el xcopy.EXE se ejecuta el xcopy.COM. También puede encontrarse la combinación BAT-COM-EXE) o sea, utiliza un principio del MS-DOS que consiste en ejecutar primero un fichero con extensión COM si existe otro con el mismo nombre pero con extensión EXE.(1) Otra variante es renombrando el archivo original sin cambiarlo y adoptando su nombre el virus. Un tercer grupo llamado virus de directorio o acompañante de camino ( Path companion) salva su código con el nombre del archivo "diana" pero en un nivel más alto del directorio (en la misma vía), de forma que cuando el DOS busca el fichero "diana" encuentra primero el código viral y lo ejecuta.

Macrovirus o Virus Macros: Son virus de archivo. También salvan su código en bases de datos, documentos u hojas de cálculo. Se agrupan aparte por sus peculiaridades. Normalmente infectan la plantilla maestra (Normal.Dot en Word). Los más difundidos de esta clase fueron escritos inicialmente en lenguaje Word Basic (Word 95), les siguieron los de VBA5 (Visual Basic for Applications) en Office 97 y VBA6 en Office 2000.

Retrovirus: Especialmente diseñados para infestar programas antivirales. Incluyen rutinas que les permiten evitar su detección y deshabilitar o dañar determinados antivirus.

Virus de sobrescritura: Sobrescriben el contenido de los ejecutables con su propio código fuente, destruyendo el contenido original. El ejecutable infestado no trabaja apropiadamente y no puede ser restaurado.

Virus parásito: Cambian el contenido de archivos infestados al transferirles su copia y permiten que los archivos sean parcial o completamente utilizables. La copia del virus puede ser agregada al inicio o final del fichero afectado o insertada en el medio.

Virus sin punto de entrada o EPO virus ( Entry Point Obscuring): No graban las instrucciones de paso de control al virus en el encabezamiento de los archivos .COM y no cambian la dirección del punto de entrada en el encabezamiento de los ficheros .EXE. La instrucción para el salto al código viral lo graban en algún punto del medio del archivo infestado, por lo que no toman el control inmediatamente al ejecutarse el fichero, si no después de una llamada a la rutina que contiene la instrucción del salto, que puede ser una rutina poco ejecutada como por ejemplo un mensaje de error específico. Como resultado, el virus puede permanecer "dormido" o "latente" por tiempo muy prolongado y ser activado en condiciones limitadas o muy específicas. Ejemplos: "Lucretia", "Zhengxi", "CNTV", "MidInfector", "NexivDer", "Avatar.Positron", "Markiz".

 Virus de enlace o enganche ( Link Virus): Al igual que los acompañantes no cambian el contenido físico de los archivos "diana", pero al inicializarse el fichero infestado fuerzan al SO a ejecutar su código viral. Ej. DirII. Este se graba en el último cluster del disco duro y al infestar un fichero modifica solamente su primer cluster (donde se encuentra el sector correspondiente del directorio) que apuntará al cluster donde está el virus.

Virus OBJ, LIB y código fuente: Virus que infestan compiladores de librerías, módulos de objeto y código fuente. Son más raros y están poco extendidos. unen su código viral a los módulos o librerías en el formato del módulo de objeto o librería infestado. No pueden ejecutarse o extenderse por ellos mismos. Son los ficheros EXE y COM creados como resultado del enlace de ese módulo o librería con otros, los que lo diseminan, por lo que emergen como virus solo en esa segunda etapa. En la infección del código fuente de un programa, el virus agrega su código fuente al del fichero "diana" original. El fichero infestado es capaz de diseminar el virus después de compilado e interconectado.

Virus BAT: Son de los más antiguos, se basan en la capacidad del DOS de ejecutar
archivos .BAT de proceso por lotes. Inicialmente fáciles de detectar al estar escritos en modo texto, no podían ocultarse y tenían un poder limitado. Actualmente más modernos y versátiles, desarrollados en WinScript (evolución del .BAT para Windows), los scripts para mIRC y los orientados a Redes como los virus de HTML, VBS, JavaScript o JScript. Pueden desconectar al usuario del IRC y acceder a información sensible de su PC o su LAN, abrir el archivo de claves del Windows, bajar el "etc/passwd" en el caso de sistemas operativos basados en UNIX o abrir una sesión FTP.  

Virus de Java y ActiveX: Un control ActiveX, un plug-in o cualquier elemento activo no son más que ficheros ejecutables que se añaden a un navegador para agregarle ciertas características. Al ser ejecutables pueden contener código malicioso, por tanto, piénselo bien antes de ejecutar o descargar alguno.

Virus en estado salvaje (in the Wild): Son los virus se encuentran en circulación, los que afectan actualmente un alto porcentaje de las redes y usuarios.

 Virus en el zoológico (In the Zoo) o simplemente domesticados: Son virus que no se encuentran en circulación. Ejemplo. Virus de la "pelotita"

Virus de ejecutables: Afectan archivos ejecutables COM y EXE.

Generadores de virus: VCL, IVP, "Vice", "Mutator" y otros generadores de virus.

Virus que crean dependencia: Ej. Monkey (este encripta los datos de la tabla de particiones, si el virus no está residente en memoria, se pierde la información. Eliminarlo significa el suicidio.

Gusano (Worm). Es casi un virus, pero no lo es realmente. Se denominan así por su forma de introducirse y arrancar “secretos” a su PC.   Son parecidos a los virus acompañantes, pero a diferencia de ellos no se conectan con cualquier ejecutable. Al multiplicarse copian su código viral en otros discos o directorios, hasta que en algún momento sean ejecutados por el usuario. Su objetivo es mantenerse viajando de una PC a otra a través de las redes utilizando diversas técnicas para su autoenvío, como ficheros adjuntos por e-mail, canales de IRC o las simples lecturas de un e-mail (Ej. Blebla, JS/Kak y el Bubbleboy (4))  o de una  página Web ( Ej. Little Davinia cuyo primer módulo es una página Web que es la encargada de descargar y abrir un documento de Word (LD.DOC) desde un servidor de Internet, documento que tiene unas macros que distribuirán también el virus a través de e-mail y generan un fichero en Visual Basic Script que lleva la acción más dañina de borrar los archivos de la máquina infectada (5)). Muchos dan nombres especiales a sus copias para inducir al usuario a ejecutarlos (Install.exe, Winstart.bat, etc). Pueden agregar su copia a ficheros ARJ (Ej. ArjVirus), ZIP, BAT (Ej. WormInfo), RAR (Ej. el Energy, el Universe, el 3DStart que, además, abre backdoors)(6 - 8). Debemos agregar que existen gusanos que contienen componentes en su código (en forma de "plugins" o agregados), que son ejecutados dependiendo de sus necesidades, y que además pueden ser actualizados desde un sitio Web como el Babylonia (1ro de este tipo y descubierto en 1999), el Hybris (c) Vecna conocido también por Blancanieves y los 7 enanitos (capaz de efectuar cualquier cambio en su código en cualquier momento). Otros virus de este tipo son el Happy99, Melissa, Worm.ExplorerZip, I-Worm MTX, el Sonic.(9 - 12)

Troyano o Caballo de Troya: Tampoco es un virus realmente, sino un programa que aparentemente realiza una tarea inofensiva y sin que el usuario se dé cuenta está realizando otra completamente diferente y dañina. En su inicio eran pequeñas aplicaciones en forma de juegos, aplicaciones shareware o cracks de aplicaciones que además de cumplir con su tarea introducían un virus en el sistema o lo dañaban paulatinamente. Actualmente con el papel preponderante de Internet abren puertas traseras a terceros usuarios. Tienen 2 elementos diferenciados, el programa servidor que se instala en la maquina afectada y el programa cliente que controla remotamente al programa servidor. Siempre que se cargue el sistema operativo se carga en memoria el programa servidor y al conectarse a la red abre algunos puertos (TCP o UDP altos, por arriba del 1024). Además, el servidor notifica al cliente cuando se está conectado y en que dirección IP, en este momento al arrancar el cliente ya puede controlar la maquina afectada. El poder acceder a toda la información de la PC no solo permite destruirla sino también su robo o adulteración.  Ejemplos de gusanos son el Back Orifice 2000 (BO2K) (Multiplataforma y permite la administración remota), NetBus, DeepThroat y el Qaz (gusano y troyano que infesto la red interna de Microsoft y abre le puerto TCP 7597).(2, 13, 14)
Aunque los buenos programas antivirus los detectan, se puede sospechar la presencia de un virus si al estar conectados y no hacer nada observamos que el módem envía y/o recibe información constantemente. También podemos detectar su presencia con el comando netstat en una ventana MS-DOS, que nos brinda información de los puertos abiertos, su status, etc.
(1) 

Tope

 

Técnicas virales de ocultación

Los virus utilizan de forma única o combinada diversas técnicas para evitar su detección por el antivirus o los usuarios.

Stealth u ocultación (Stealth virus): Pueden ocultar su presencia interceptando los servicios de interrupción y retornando información falsa a los softwares antivirus y a los usuarios finales, el programa recibe los datos que espera aunque no correspondan con el estado real del archivo o zona del disco interrogados. Con esto evitan la detección por checksumming, una función matemática de los antivirus que calcula una firma única para cada archivo, que al ser reanalizada si es diferente a la original indica la presencia probable de un virus. Es una técnica muy empleada por los virus de archivo y los virus de sector de arranque . Otras técnicas de ocultación son la no-modificación de la fecha de creación de los archivos; la modificación de la FAT para que no muestre un aumento de tamaño de los ficheros; el alojamiento del código viral en "huecos" (zonas no ocupadas por código útil) del programa infestado; etc.(1)

Encriptación (Virus codificados): Se distribuyen dentro de un archivo codificado que no puede detectarse mediante el uso de un simple programa antivirus. Con estos virus no vale la búsqueda de cadenas de texto que funcionen como firmas y permiten su identificación. Con esta técnica los virus encriptan su propio código basados en una clave aleatoria por lo general. Estas claves aleatorias se lograron en 1991 cuando Dark Avenger (programador búlgaro) creó un motor de encriptación que podía ser incorporado a cualquier virus, de fácil implementación y muy versátil.(1)

Polimorfismo (Virus Polimorfos): Si la firma de un virus cambia aunque sea mínimamente, el escaneado de firma será negativo. Inicialmente los virus eran monolíticos pero después pasaron a ser modulares, y si se cambia un módulo el resultado del escaneado también será negativo. Con esta técnica los virus polimorfos cambian de identidad por si solos cada vez que se activan o infestan un nuevo archivo, de modo que un filtro de identidad fija no pueda detectarlos. Cada mutación realiza las mismas tareas que su progenitor aunque parezca completamente diferente. Esto puede lograrse al variar el orden de sus partes operativas (mecanismo inicial) o por la inclusión de motores de polimorfismo ( más actual) que logran miles de mutaciones en vez de las clásicas 4 ó 5 en virus convencionales. Ej. Doser (familia AOC, ataca servidores de Internet utilizando máquinas infectadas como esclavas).(1, 15)

Tope

 

Prevención. Medidas básicas de seguridad informática.

“El único sistema realmente seguro es aquél que esté desconectado de la línea eléctrica, incrustado dentro de un bloque de concreto, encerrado herméticamente en una habitación revestida de plomo y protegido por guardias armados, y, aún así, tengo mis dudas". Eugene H.Spanfford.

Estas palabras referentes a los virus informáticos aunque algo exageradas no son irreales. Lo importante es estar consciente del problema y no ignorarlo, el creer que a nosotros eso no puede pasarnos es cometer el mismo error que cometieron muchos de los afectados por el virus VIH (SIDA), con la diferencia de que perderemos tiempo e información en vez de la vida. Al igual que en la Medicina la mejor cura o tratamiento es la PREVENCION.

Podemos prevenir los efectos dañinos de un ataque viral informático con: Medidas básicas de seguridad informática (esas corren por cuenta de cada usuario y/o administrador de red), información “epidémica” actualizada de los virus nuevos y circulantes, adquisición, actualización y uso sistemático de programas antivirales que hagan el papel de condón informático.

En este tema nos referiremos a las medidas básicas de seguridad informática, las cuales tienen dos objetivos: Prevenir una infección por virus informático y evitar la pérdida de la mayor cantidad posible de información. Si usted piensa que son sencillas y poco útiles, está equivocado. Si piensa que son engorrosas y tediosas, es verdad; pero son útiles y necesarias, para USTED y para los DEMAS.

Medidas básicas para prevención primaria:

_ En el setup de su computadora fije las opciones de arranque como C: , A: .
_ Prepare un disquete de arranque “limpio” (verificado contra virus) y protegido contra escritura.
_ No arranque su computadora con un disquete colocado en torre A que no sea su disco de arranque, verificado y protegido.
_ No reinicie con CTRL+ALT+DEL con un disquete colocado en torre A. Aún cuando su ordenador esté configurado para arrancar por torre C, siempre se buscará primero en la torre A y se leerá el boot sector del disquete que allí se encuentre. Esto es suficiente para infestarse con un virus del sector de arranque (y estos son de los más peligrosos).
_ Revise si todo su sistema si se presenta un funcionamiento anormal, no acostumbrado, aunque cumpla las recomendaciones anteriores.
_ Realice de manera sistemática copias de respaldo de sus archivos de trabajo y de las aplicaciones. En el caso de los archivos de trabajo lo ideal es tener una triple copia de los mismos, dos de ellas fuera de su disco duro de trabajo y al menos una fuera de su computadora. Si no es posible lo anterior por lo menos tenga una copia de los mismos fuera de su PC.
_ Tenga cuidado al emplear el comando CHKDSK del DOS. Al comprobar todos los subdirectorios del disco y cotejar la cadena de enlace de los sectores almacenada en la FAT, da a los virus una oportunidad amplia de contaminar cualquier archivo, incluso programas no ejecutados. Ciertos virus provocan errores de asignación de archivos y aprovechan la ejecución de CHKDSK /F para dañar irreparablemente los archivos que se intenta reparar.
_ No utilice disquetes o CD que no sean suyos sin revisarlos antes.
_ Revise sus disquetes si se utilizaron en otra computadora que no sea la suya, sobre todo si los utilizo en maquinas conectadas a una Red.
_ Tenga en la computadora solamente los programas que utilice.
_ Evite la copia ilegal de aplicaciones, juegos y  utilitarios.
_ Instale al menos 1 programa antivirus, esté conectado o no a una red.
_ Mantenga activado siempre el centinela (TSR) del programa antivirus. Si tiene más de un programa antivirus configúrelo para que trabaje SOLO UNO de los centinelas.
_ Configure el centinela y los programas antivirus para que revisen los mensajes de correo electrónico y los archivos comprimidos.
_ Configure el centinela y los programas antivirus para que descontaminen automáticamente los archivos infestados o le deniegue su acceso.
_ Chequee periódicamente todo su sistema (una vez a la semana), independientemente del centinela.
_ Si esta conectada a una red externa emplee un cortafuegos o firewall.
_ Para aquellos que se encuentran fuera de su ordenador habitual (por ejemplo con un portátil o en un cibercafé), y dudan si un archivo se encuentra infectado o no pueden utilizar un producto de TrendMicro (HouseCall) disponible en varios países (Ej. España: A traves de Hispasec http://www.hispasec.com/housecall) que permite una revisión antiviral desde la Web de forma gratuita.(16)
_ No envíe por correo electrónico archivos anexos por gusto.
_ Evite enviar archivos anexos a listas de correo electrónico, sino a la/s persona/s que se lo solicite(n).
_ Si le llega un anexo que usted no pidió o no conoce, no lo abra o ejecute sin revisarlo. Si le quedan dudas BORRELO.
_ Se recomienda desactivar la opción de vista previa en Outlook Express. Hay reportados gusanos capaces de infestar la PC con tan solo leer el mensaje portador. Ej. Blebla o Romeo y Julieta y el Bubbleboy.(4)

_ Si va a descargar un archivo de Internet hágalo de uno de los servidores oficiales de la compañía productora.
_ Configure su browser o navegador con las opciones de máxima seguridad, así evitará infecciones de virus como los de Java-HTML y JavaScript.
_ Se recomienda desactivar el Windows Scripting Host para evitar la acción de virus desarrollados en VBScript (VBS/Cod, etc).

Medidas básicas de prevención secundarias: Cuando ya se ha producido una infección por virus.
_ Arranque su computadora con un disquete de arranque, verificado contra virus y protegido contra escritura. Esto le permitirá acceder al disco duro y copiar a disquetes información vital en muchos casos.
_ Con la opción anterior limítese al DOS, y solo use los comandos cd, rd, dir y copy.
_ No ejecute ningún programa, excepto un antivirus, hasta que descontamine su computadora.
_ Aún cuando descontamine sus aplicaciones, y estas funcionen adecuadamente, lo ideal es realizar su reinstalación.
_ Si detecta un virus en algún archivo, revise todos los medios de almacenamiento, pueden haber más copias del mismo u otros virus.
_ Efectúe un rastreo de cómo "entró” el virus en su computadora. Recuerde que gran parte de las infecciones son involuntarias desde el punto de vista humano, resulta conveniente conocer el origen para evitar el mismo problema, no para castigar.
_ Si no es posible descontaminar el archivo (como pasa con el Happy99) BORRELO NO LO ABRA.
_ Si un archivo es reportado como sospechoso NO ABRIRLO. Explórelo con otro programa antivirus o consulte un experto.

Prevención secundaria en una Red:
_ Desconecte la computadora infestada de la red y examínela.
_ Revise el servidor. Verifique primero que la computadora a través de la que hará la revisión no está contaminada.
_ Al hacer la revisión firme con el menor número de atributos posibles, si existiese alguna infección y usted entra como supervisor o con sus atributos, el virus los tomará e infectará todo lo que se ejecute. Aumente paulatinamente la autoridad en sus accesos para ir descontaminando.
_ Detecte el origen de la infección. Busque y revise el "log file" del administrador de la red para ver el nodo, hora y fecha del evento.

Tope

 

Prevención de virus en Word, Excel y PowerPoint.

 Medidas de seguridad para virus Macro en Word
_ Amplíe la lista de ficheros recientemente utilizados: Dicho registro es de utilidad, ya que si se realizaron cambios en Normal.dot por un virus los documentos listados tienen una alta probabilidad de estar infectados.
_ Active la opción de Preguntar si guardar cambios en Normal.dot: El usuario decide si los cambios son salvados o no. Tiene tres inconvenientes: Solo avisa cuando se concluye el trabajo con Word. No previene que Normal.dot sea infectado en la memoria, es decir, todavía es posible abrir un documento infectado y que el virus infecte la plantilla global. Puede ser desactivada fácilmente por un virus desde el propio Word.
_ Utilice la función ToolsOptionSave: Esta es una función del Word que una vez ejecutada activa la protección Preguntar si se guardan los cambios hechos en la plantilla Normal.dot. Esta función puede incluirse dentro de una macro AutoExec creada por el usuario en una plantilla también generada por este, y que deberá ser colocada en la carpeta INICIO (STARTUP) del Microsoft Word con el fin de que se active la protección cada vez que Word sea inicializado. Ventaja: la protección se activa cada vez que se inicia Word. Tiene los mismos inconvenientes de las anteriores, además, hay que crearla y conocer como.
_ Función DisableAutoMacros: Es una función del Word que impide que las automacros sean ejecutadas. Puede incluirse dentro de una macro AutoExec creada por el usuario en una plantilla. Desventaja: Solo deshabilita las macros automáticas. Puede combinarse con la opción ToolsOptionSave.

_ Declare Normal.dot como de solo lectura, desde Word. Da la posibilidad de prevenir la infección de la plantilla Normal.dot en el disco. Desventaja: Cada vez que se inicie Word se mostrará en la pantalla un molesto mensaje de advertencia, algo molesto, que da la posibilidad de abrir la plantilla con la propiedad de Solo Lectura.
_ Proteja Normal.dot, contra escritura, con palabra Clave. Esta protección asocia una palabra clave a un documento. Permite que la
plantilla solo sea modificada si se teclea la palabra clave correcta, de lo contrario será abierto en modo Solo Lectura. Ventaja: Previene la infección de la plantilla global Normal.dot en el disco y solo puede ser desactivada por el responsable de la computadora. Desventaja: al iniciar Word muestra en pantalla un mensaje donde hay que teclear la palabra clave para que Normal.dot pueda ser modificado.
_ Uso de la tecla Shift: Pulse sostenidamente la tecla Shift izquierda al iniciar Word o mientras se abre un documento. Esto provoca que ninguna de las automacros sea ejecutada. Esto previene que los virus que utilicen las macros AutoExec y AutoOpen puedan propagarse. Si se ejecuta esa acción al cerrar un documento o salir de Word se logra el mismo objetivo para la macro AutoClose. Desventajas: Requiere de mucha coordinación de lo contrario las macros pueden ser ejecutadas y solo previene la ejecución de las macros automáticas.
_ Utilice el organizador para chequear si los documentos contienen MACROS. Desventajas: El usuario tiene que decidir si las macros están infectadas o no. Es incómodo revisar los documentos antes de abrirlos.
_ Active la opción Abrir documentos sin Macros: Solo disponible en Word 8.0 y posterior. Permite abrir documentos creados con Word 8.0 y anteriores sin que las macros contenidas se ejecuten si el usuario no lo desea. Desventajas: El usuario es quien  decide si va a abrir el documento con o sin macros. Los usuarios, que trabajen con macros, tenderán a desactivar la protección en busca de comodidad.
_ Bloquee el proyecto para la visualización: Solo disponible en Word 8.0 y posterior. Previene que los módulos sean creados, vistos o copiados en un proyecto plantilla. Normal.dot es un proyecto plantilla y las macros en Visual Basic están contenidas en módulos.
_ Salve una copia de Normal.dot en otra carpeta y compárela con la utilizada mediante cualquier utilitario que lo permita. Esto puede hacerse desde el autoexec.bat
_ Detectar alteraciones en la carpeta de INICIO (STARTUP) de Microsoft Word, que pueden ser debidas a la inclusión de nuevas
plantillas o de alteraciones en las plantillas allí contenidas. Este proceso también se puede hacer desde el AUTOEXEC.BAT y con un DIR.
_ Si tiene que enviar por correo electrónico algún documento de texto no lo envíe en formato de Word sino como RTF (Formato de Texto Enriquecido) o TXT, a no ser que sea absolutamente imprescindible alguna macro o se lo hayan solicitado. En formato RTF el texto conserva todas las características de formato del documento de Word original pero no se incluirá ninguna macro. En formato TXT no se incluyen las macros pero se pierde el formato del documento.

Prevención de virus Macro en Excel y PowerPoint:
_Active la opción Protección antivirus en macros: Permite abrir documentos de Excel y PowerPoint sin que las macros contenidas en ellos puedan ejecutarse. Este método solo está disponible para la versión 97 y posterior del producto. Las desventajas de este método son similares a las enumeradas para MS-Word.

_Uso de la tecla Shift: Igual efecto e inconvenientes que para MS-Word.

Tope

 

Como enfrentar un ataque de virus. Programas antivirus.

Si su computadora se ha contaminado con un virus lo primero que debe hacer es tener calma y paciencia, no se ofusque por resolverlo de inmediato, sino BIEN.

No importa el tiempo que invierta. Revise todos los medios de almacenamiento. El no hacerlo es un error común que muchas veces se paga caro, ahí puede estar acechando una copia del virus.

Siga estos pasos:

_ Desconecte la computadora de la red si está enlazada a una.
_ No debe permita el uso de su equipo hasta que tenga la seguridad de haber erradicado plenamente el o los virus.
_ Verifique la presencia del virus con al menos dos antivirus, arrancando desde un disco flexible, verificado contra virus y protegido contra escritura para tener plena seguridad de que no se encuentra escondido ninguno en memoria. Atención: Como centinela o monitor antiviral solo se debe tener instalado un solo producto para evitar incompatibilidades.
_ Si no tuvo la precaución de tener copias de resguardo de la información vital contenida en su equipo, ahora es el momento de hacerlo. Es más seguro hacerlo desde el DOS, utilizando solo los comandos dir, cd y copy, sin utilizar ningún programa. Recuerde, el responsable de resguardar los datos es el usuario, no el programa antivirus. Además, aunque este detecte y descontamine su computadora la información puede ser dañada. 
_ Proceda a la descontaminación de su computadora.
_ Los virus modifican los archivos o la estructura del disco en alguna medida. La remoción del código maligno en una aplicación es una solución temporal. Una "limpieza completa” debe incluir la reinstalación de aplicaciones para evitar errores en ellas.
_ Rastree la “entrada del virus”.

Detección y protección contra virus en Redes:

Se puede realizar en tres niveles básicos:

_ En la computadora personal: Cada computadora debe tener instalado un programa antivirus con el centinela activado (sistema de monitoreo).
_ En el servidor de una LAN: También debe instalarse un programa antivirus basado en el servidor. Permiten el trabajo con protocolos como IPX en redes Netware o en ambientes Windows NT por ejemplo. Tiene la desventaja de que los archivos “bajados” por FTP pasan directamente a las computadoras personales sin pasar por el servidor de LAN, por lo que no son revisados por su programa antivirus. Por otro lado, al tener cada sistema de correo electrónico su forma de encriptación de datos se bloquea el rastreo de virus.

_ Instalación de programa antivirus en la interfase de acceso (gateway) y Firewalls de conexión a Internet operando bajo UNIX. Este programa monitorea continuamente el tráfico de correo electrónico (e-mail) y FTP que se lleva a cabo en la interfase de acceso (gateway) de Internet, capturando y aislando virus antes de que lleguen a la red.

Recomendaciones para seleccionar el programa antivirus para su computadora o red:


_ Debe estar certificado por la ISCA para “curar” el 100 % de los virus “In the Wild” (estado salvaje, son los que están circulando en el momento). Esta certificación se realiza mensualmente y es publicada en Internet.
_ Debe tener la opción de exploración o monitoreo en tiempo real (centinela) y programado (scanner).
_ Debe permitir la revisión preventiva y programada con alarmas de aviso y las opciones de desinfección automática o de negación de acceso en sistemas de correo electrónico, fax, broadcast, etc.
_ Debe contar con herramientas de administración desde una consola central, que administre la red global heterogénea, grupos o dominios de servidores y computadoras para llevar a cabo una administración más sencilla.
_ Debe contemplar las herramientas de protección para que los diferentes niveles se encuentren integrados.
_ Debe permitir la actualización automática de las nuevas firmas antivirus hasta servidores y clientes.
_ Debe cubrir a las estaciones de trabajo por medio de la aplicación instalada a tiempo real, enlenteciendo lo menos posible el trabajo del equipo.
_ Debe contar con un esquema tipo "cuarentena" en el caso de que alguna estación no tenga cargada la aplicación antivirus o la ultima firma para evitar la entrada a su servidor de red.
_ Debe contar con herramientas de rastreo de puntos de infección alrededor de la red.

Tope

 

Cortafuegos

Un firewall o cortafuegos no es infalible en la seguridad informática, pero, si es un muro de protección entre su PC o red interna e Internet. Debe ser instalado como protección contra hackers o virus troyanos en todo sistema que esté conectado a Internet durante largos períodos de tiempo, si brinda acceso remoto a ficheros, servidor web o FTP u otros servicios externos o si utiliza software de conexión remota (como Telnet, PC Anywhere, etc.). Existen cortafuegos de tipo empresarial y de tipo personal.(17)

Ventajas de los cortafuegos:

_ Permite restringir el acceso hacia o desde su red a determinados servicios y analizar todo el tráfico que pasa a través de él.
_ Los intentos de penetración en su red (hackers) o la tentativa de enviar información desde ella (Ej. virus troyanos) pueden dar la alerta ya que toda la conexión debe pasar por él. 
_ Permite al ser el único punto de acceso  la supervisión y registro de toda la actividad entre las redes exterior e interior.
_ Algunos tipos de cortafuegos permiten una autenticación más sofisticada que las contraseñas (tarjetas inteligentes, contraseñas de un solo uso, llaves hardware, etc).
_ Poseen una función que permite ocultar el rango de direccionamientos internos de la red al traducir direcciones de redes o NAT (Network Address Translation).

Desventajas:

_ No permiten la detección de ataques internos como el acceso directo, infección directa o robo de información de una de las unidades de la red o de la PC.
_ No protege contra ataques de virus o hackers que usan exclusivamente el tráfico HTTP y explotan errores graves de programas como los del servidor Web.
_ No protege contra ataques de nuevo tipo o desconocidos.

Tope

 

Virus Hoax

Una de las características mas destacadas que es dable observar en el que bien pudiera llamarse "el fenómeno Internet" son los lazos que se generan entre los integrantes de la red global.
El propio desarrollo del  PCVC, el crecimiento que se produce día a día en los Foros Temáticos, la evolución de las Listas Cardiológicas históricas, como Cardio-L, ProCOR, CardioConcert, de las cuales podemos dar testimonio, son pruebas de ello.
De la mano de este fenómeno, se observa otro, cual es el de una suerte de solidaridad que se establece entre los participantes, que a su vez se acompaña de un producto marginal.
Es así, como nuestros buzones de correo reciben periódicamente conmovedores mensajes que claman por ejemplo, por reunir "240 dadores de sangre" para el hermano de un científico afectado de una extraña enfermedad de la cual solo se conocen tres casos en todo el mundo e invita a presentarse en fecha y hora próximas a un Banco de Sangre de existencia real y piden por favor difundir entre los conocidos, el contenido del pedido solidario.
Otro visitante frecuente de nuestros buzones de correo electrónico, son mensajes que nos previenen sobre destructivos virus que podrían llegar a nuestras computadoras vehiculizados en otros mensajes y que piden nos hagamos eco del alerta difundiéndolo a toda dirección de correo que se halle en nuestra agenda y a cuyo propietario deseemos el "bien".
Veamos algunos ejemplos de esto ultimo (el texto original de estos "alertas" que nos sirven de ejemplo esta escrito en idioma ingles):

Irina HOAX
"Existe un virus informático que se está enviando a través de Internet. Si Ud. recibe un mensaje de e-mail con la línea de asunto "Irina", NO lo lea. BORRELO inmediatamente. Algún inescrupuloso manda a la gente archivos con el titulo "Irina". Si Ud. recibe este mensaje o archivo, no lo descargue. Tiene un virus que rescribe su disco rígido, borrando todo lo que hay en él. Por favor sea cuidadoso y reenvíe este mensaje a todas las personas que le importan.
(Información recibida del Profesor Edward Prideaux, Facultad de Estudios Eslavos, Londres).

Deeyenda HOAX
"INFORMACION MUY IMPORTANTE, POR FAVOR LEER! Hay un virus informático que esta siendo enviado a través de Internet. Si Ud. recibe un mensaje de e-mail con la línea de asunto "Deeyenda", NO lea el mensaje, BORRELO inmediatamente! Algún inescrupuloso esta mandando a todo el país un mensaje con el titulo "Deeyenda"; Si Ud. recibe algo como esto NO DESCARGUE EL ARCHIVO! Tiene un virus que rescribe su disco rígido, borrando todo lo que hay en él. Por favor sea cuidadoso y reenvié este mensaje a todas las personas que le importan. Por favor lea el mensaje que sigue. Alex."

Estos mensajes, redactados con un lenguaje apropiado que le otorga credibilidad por parte de quien lo recibe, son FALSOS y en realidad son la "propia enfermedad" sobre la cual aparentemente previenen, siendo nuestros propios sentimientos solidarios la vía de propagación, cuando reenviamos su contenido a cuanta dirección de correo hallamos a mano.
Estos son los llamados Virus místicos, HOAX o Falsos Virus.
Otros ejemplos que hemos tomado de sitios dedicados a este problema y que aun circulan entre nosotros podrían ser los siguientes:

* Virus KATIUSKA Hoax
* Irina Hoax
* PKZ300 Warning
* Ghost Warning
* NaughtyRobot Warning
* Join the Crew Warning
* AOL4FREE
* A.I.D.S. Virus Hoax
* Win A Holiday
* BUDSAVER.EXE

Es decir, estos "virus" en realidad no existen. La mejor "vacuna" contra ellos es ignorar este tipo de mensajes.

¿Cómo reconocerlos?
Esta información proviene textualmente del Computer Incident Advisory Capability (CIAC) del U.S. Department of Energy

http://ciac.llnl.gov/ciac/CIACHoaxes.html

Hay varios metodos para identificar los virus HOAX, pero primero consideremos que hace que un "virus" de estas caracteristicas tenga exito en Internet.
Hay dos factores conocidos que son: (A) lenguaje que impresiona "técnico", y (B) credibilidad por asociación. Si la advertencia utiliza la jerga técnica apropiada, la mayoría de las personas, incluyendo quienes estén informados sobre cuestiones tecnológicas, se inclinan a creer que la advertencia es real. Por ejemplo, el HOAX "Good Times" dice que "...si el programa no se detiene, el procesador de la computadora será colocado en un bucle binario infinito de enésima complejidad, que puede dañar gravemente su procesador...".
La primera vez que Ud. lee esto, le impresiona como si pudiera haber algo de verdad en él. Si se investiga un poco, se descubre que no existe tal cosa como un bucle binario infinito de enésima complejidad y que los procesadores están diseñados para ejecutar bucles durante semanas a la vez sin dañarse.
Cuando decimos "credibilidad por asociación", nos referimos a quien es el supuesto remitente que envía la advertencia. Si el conserje de una organización tecnológica importante envía una advertencia a alguien fuera de la organización, la gente del exterior tiende a creer la advertencia porque la empresa debería tener conocimiento de tales asuntos. Aunque la persona que envía el mensaje no tenga idea de lo que esta hablando, el prestigio de la empresa lo respalda, dándole una apariencia real. Si un gerente de la empresa envía la advertencia, el mensaje esta doblemente respaldado por las reputaciones de la compañía y del gerente.
La gente debería estar especialmente atenta si la advertencia los exhorta a enviarla a sus amigos. Esto debería ser como una alerta roja indicando que el mensaje puede ser un HOAX. Otra señal de alerta a la que hay que estar atento es cuando el mensaje indica que es una advertencia del FCC (Federal Communication Commission - Comisión Federal de Comunicaciones). Según el FCC, no han difundido, y nunca lo harán, mensajes de advertencia sobre virus. No es parte de su trabajo.
Es bueno recordar entonces, que ningún virus puede venir en el texto de un mensaje. Si, en cambio, puede hacerlo en un archivo adjunto que recibamos junto a un mensaje y que en estos casos, la mejor protección es desconfiar y NO EJECUTAR de todo archivo adjunto que recibamos de fuentes desconocidas y aun conocidas cuando previamente no fuimos informados del envío.

Las que siguen son direcciones en Internet donde los interesados pueden continuar investigando el tema:
http://ciac.llnl.gov/ciac/CIACHoaxes.html
http://www.fcc.gov/Bureaus/Miscellaneous/Public_Notices/pnmc5036.txt

Amplia información en castellano: http://www.vsantivirus.com/hoaxes.htm

Otro sitio Web útil es el "Computer Virus Myths home page" que contiene descripciones de varios HOAXES conocidos.

En la mayoría de los casos, el sentido común debería eliminar los HOAXES de la
Internet.

Tope

 

Spam

Actuaciones ante la recepción de correo electrónico no solicitado. Informe de Jesús de Las Heras, Administrador General de RedIRIS, la Red Académica Española, acerca de cómo identificar y proceder con los mensajes de correo no solicitado.

¿Quién no ha encontrado alguna vez en su buzón de correo electrónico mensajes con contenidos soeces o amenazadores; anzuelos publicitarios donde dicen regalar algo, ganar mucho dinero o sexo telefónico barato?; y peor aún ¿quién no ha recibido en su buzón este tipo de mensajes aparentemente procedentes de algún compañero de nuestro despacho? o ¿enviados desde una dirección desconocida y recibidos en nuestro buzón como si fueran enviados a nuestro compañero de despacho? ¿quién no ha perdido algún mensaje valioso al borrar o filtrar este tipo de correo? El correo basura está continuamente creciendo, inunda nuestros buzones y disminuye la funcionalidad y credibilidad del correo electrónico como aplicación.
El correo basura o no solicitado (spam, uce ...) es uno de los múltiples resultados de la inseguridad y fragilidad del correo electrónico en Internet. Debemos aceptar y estar informados de que el correo electrónico clásico es un canal inseguro y fácilmente manipulable. Los protocolos de correo electrónico utilizados por la mayor parte de los usuarios no pueden garantizar la autentificación del emisor ni la confidencialidad del contenido. Pero esto no es óbice para que consideremos la manipulación y falsificación de mensajes como una acción ilegal y punible. No debemos olvidar que es necesario perseguir este tipo de actividades y una de las tareas prioritarias por parte de las instituciones que ofrecen el servicio, es informar de ello a los usuarios. Esta información deberá facilitarse a través de las Políticas de Uso propias de cada institución (http://www.rediris.es/mail/abuso/insti.html ).
Como ya hemos dicho, prácticamente todas las partes de un mensaje de correo (cabeceras y trazas) son falsificables pero siempre quedan rastros. Antes de abordar el correo electrónico falsificado debemos hablar del correo electrónico válido que es aquel donde el remitente no intenta ocultar el origen del emisor del mensaje.
Con este documento de divulgación general no pretendemos crear ningún tipo de alarma sino ofrecer información clara para poder sacar más provecho del correo electrónico y sobre todo, para tener conciencia de lo que sucede cuando se recibe o envía un mensaje. En primer lugar veremos la interpretación de la procedencia de un mensaje con el fin de poder descubrir posibles falsificaciones y a continuación veremos lo que se debe hacer con el correo electrónico no deseado y comprobaremos como los indeseables spammers no son anónimos, pues casi siempre existe un rastro que les delatará.
Valga la ocasión para indicar que la mejor forma de garantizar la procedencia e integridad de un mensaje es la utilización de PGP, actualmente integrado en casi todos los clientes de correo electrónico. Para mayor información sobre este tema consultar http://www.rediris.es/pgp/.


Interpretación de las cabeceras de los mensajes
Si lo intentarais, os sorprendería ver lo sencillo que resulta falsificar un mensaje y con ello comprobariais la inseguridad del correo electrónico. ¿Alguna vez habéis probado seguir la pista de la procedencia de algún mensaje que hayáis recibido? quizá nunca hayáis desplegado las cabeceras de los mensajes que recibís. La mayor parte de los usuarios sólo ven las clásicas cabeceras From: (Desde:), To:(Para:), Subject:(Asunto:) y Date:(Fecha:), casualmente las más fácilmente manipulables. Es recomendable acostumbrarse a echar un vistazo a esas otras cabeceras que no se suelen leer, sobre todo las que empiezan por "Received:" pero sin alarmarse sobre la información. Unos mínimos conocimientos nos ayudarán a interpretar de un vistazo dicha información así como la ayuda de alguna herramienta habitual como "nslookup", "whois" o similares.
Hacer un estudio exhaustivo de las cabeceras de un mensaje puede llegar a ser todo un arte ya que la información puede variar aunque tengan un perfil fijo. Es importante descubrir quién originó el mensaje y la máquina que lo distribuyó para de esta forma poder saber la identidad real del emisor del mensaje. El mecanismo del correo electrónico en Internet es sencillo, un mensaje de correo electrónico sale del programa del emisor, le encarga a un servidor de correo (servidor SMTP) -similar a un estafeta de correo postal- la distribución hacía el destino; el mensaje viaja por la red y llega al buzón del destinatario (login y palabra clave) el cual físicamente está en el servidor de correo destino (servidor POP o IMAP). Durante el "viaje" desde el "Servidor SMTP" hasta el "Servidor de correo destino" puede haber servidores intermedios por donde circula el mensaje pero nunca menos de dos.
Debemos tener en cuenta que cuando el mensaje pasa por un servidor de correo éste imprime una traza en la cabecera del mensaje (Received:) y queda archivada en un fichero de dicho servidor. Es decir, los responsables del servicio de correo electrónico deben tener acceso a esta información y por lo tanto pueden facilitar mucho la labor de investigación. A un usuario le bastaría con interpretar la última traza impresa en la cabecera del mensaje cuando éste entra en su servidor.
Lo primero que se debe hacer para leer las cabeceras de un mensaje es habilitar la correspondiente opción en el programa de correo. Hay que fijarse exclusivamente en las líneas que empiezan por la palabra "Received:". El orden de lectura va de abajo hacia arriba, es decir la primera cabecera "Received:" será la que ofrezca información del emisor y la última es la entrega en vuestro buzón. Cada una de estas líneas ha sido impresa por el servidor de correo por donde ha pasado el mensaje. Veamos un ejemplo, sin olvidar que aunque el perfil de las cabeceras es similar la información de las trazas "Received:" puede variar:

Ejemplo 1: Mensaje normal
From: "Fernando el Católico" f.catolico@upv.es
To: perico@rediris.es
Date: Tue, 11 Jan 2000 18:58:26 -0600 (Wed 01:58 MET)
Subject: Soy yo y no te engaño
Aparentemente viene de la dirección <f.catolico@upv.es> y es enviado a <perico@rediris.es>. Si desplegamos el resto de cabeceras veremos:
(2) Received: from vega.upv.es (vega.cc.upv.es [158.42.4.1]) by chico.rediris.es (8.9.3/8.9.3) with ESMTP id SAA05366 for <perico@rediris.es>; Tue, 11 Jan 2000 18:58:38 +0100 (MET)
(1) Received: from fons (enano.har.upv.es [158.42.108.72]) by vega.upv.es (8.8.4/8.8.5) with ESMTP id SAA12517; Tue, 11 Jan 2000 18:58:37 +0100 (MET)

La primera línea para interpretar es la (1) que indica que el mensaje ha sido emitido desde la máquina con dirección IP [158.42.108.72] que tiene asignado el nombre (resolución inversa en el DNS) "enano.har.upv.es", es decir es una máquina conectada a la red local del dominio upv.es. El cliente de correo electrónico de este usuario utiliza la máquina "vega.upv.es" como servidor de correo saliente (servidor SMTP). Esta transacción se realizó el "11 Jan 2000 18:58:37 +0100 (MET)". Esta línea (1) ha sido añadida por el servidor de correo "vega.upv. es" por lo que podemos creer que sea correcta.
La cabecera (2) nos indica que el servidor "vega.upv.es" se ha conectado al servidor "chico.rediris.es" como paso final para depositarlo en el buzón <perico@rediris.es>. La transacción fue realizada el "11 Jan 2000 18:58:38 +0100 (MET)", es decir 1 segundo después.
Como conclusión podemos considerar que muy probablemente las cabeceras de este mensaje no hayan sido manipuladas y que el mensaje haya sido generado en el PC "enano.har.upv.es", pero no podemos garantizar que el mensaje sea de "Fernando el Católico" <f.catolico@upv.es>. Si las direcciones son de dominios de universidades españolas, como el del ejemplo UPV.ES, es muy problable que sean válidas.

Ejemplo 2: Mensaje falsificado

Este es un mensaje que se recibe en el buzón <perico@rediris.es> y las cabeceras clásicas son:
From: <perico@rediris.es>
To: "Fernando el Católico" <f.catolico@upv.es>
Date: Tue, 11 Jan 2000 18:58:26 -0600 (Wed 01:58 MET)
Subject: Soy yo y sí te engaño

Este mensaje se ha recibido en el buzón <perico@rediris.es> y aparentemente proviene de él mismo y va dirigido a: <f.catolico@upv.es>, todo un follón. Evidentemente nos hace sospechar y debemos investigar y desplegar las cabeceras y veremos algo así como:
(2) Received: from vega.upv.es (vega.cc.upv.es [158.42.4.1]) by chico.rediris.es (8.9.3/8.9.3) with ESMTP id SAA05366 for <perico@rediris.es>; Tue, 11 Jan 2000 18:58:38 +0100 (MET)
(1) Received: from fons (enano.har.upv.es [158.42.108.72]) by vega.upv.es (8.8.4/8.8.5) with ESMTP id SAA12517; Tue, 11 Jan 2000 18:58:37 +0100 (MET)

Vemos que la traza (2) dice "for <perico@rediris.es>" (no siempre existe) e indica que el mensaje iba encaminado a dicha dirección aunque el campo To: que solemos ver tenga el valor: [To:"Fernando el Católico" <f.catolico@upv.es>]. Unicamente podemos asegurar que dicho mensaje ha sido emitido desde el PC identificado con las siguientes coordenadas: enano.har.upv.es [158.42.108.72] y que es ahí donde se ha producido la falsificación.

Las cabeceras From: y To: que son las únicas que la gente suele visualizar, son falsificables aunque evidentemente hay que tener unos pequeños conocimientos y algún motivo para hacerlo. No quiere decir que todo el mundo se dedique a hacer falsificaciones, pero sí hay que tener en cuenta que la posibilidad existe.
Estas falsificaciones son las que pudieran resultar más interesantes pero evidentemente hay muchas otras variaciones que requieren más habilidad en la falsificación. Se puede falsificar todo, desde las fechas de transmisión hasta la propia información de trazas "Received:" pero al final siempre queda una pista que nos permite identificar por lo menos el servidor de correo de donde salió el mensaje. Igual que todas las máquinas disponen de una direción IP para transitar por Internet, también deben de tener una entidad (empresa, organismo, etc.) que se responsabilice de las mismas. El problema viene cuando estas máquinas no tienen una dirección IP fija (accesos dial-up vía red telefónica básica) lo que imposibilita la labor de identificar al emisor, aún así siempre existe un responsable de direcciones IP (Proveedores de acceso a Internet).

Todas las máquinas deben tener un dueño y/o un responsable.

Este es un mensaje completo con las cabeceras desplegadas, lo que un programa de correo electrónico suele mostrar son los campos Date:, From:, To: y Subject:. Veamos quien envió el mensaje y a quien va dirigido.

Received: from hkbulib.hkbu.edu.hk (hkbulib.hkbu.edu.hk [158.182.30.1])
by chico.rediris.es (8.9.3/8.9.1) with ESMTP id JAA18473
for <heras@REDIRIS.ES>; Mon, 7 Feb 2000 09:50:31 +0100 (MET)
Received: by hkbulib.hkbu.edu.hk id QAA0000017827; Mon, 7 Feb 2000 16:50:41 +0800 (HKT)
Message-id: 200002070850.QAA0000017827@hkbulib.hkbu.edu.hk
Reply-to: srchzznngnz@mailexcite.com
Content-type: text

----[las cabeceras de abajo son las únicas que se suelen ver]----
From: srchzznngnz@mailexcite.com
Date: Mon, 7 Feb 2000 16:50:41 +0800 (HKT) (09:50 MET)
To: srchzznngnz@mailexcite.com
Subject: Submit Your Site or Home Page

Sería un mensaje dirigido a <heras@REDIRIS.ES> y enviado directamente desde la máquina (hkbulib.hkbu.edu.hk [158.182.30.1]). ¿Qué usuario lo envió? Eso sólo podrá conocerse consultando los ficheros donde se dejan las trazas de los correos y en teoría sólo están accesibles a los responsables de dicha máquina... ¡en Hong Kong!.

Otro ejemplo real un poco más complejo.

Received: from ainnet.ain.es ([193.146.125.2])
by chico.rediris.es (8.9.3/8.9.1) with SMTP id MAA18844
for <heras@rediris.es>; Wed, 9 Feb 2000 12:18:42 +0100 (MET)
Received: from xx (unverified [130.206.1.3]) by ainnet.ain.es (EMWAC SMTPRS 0.83) with SMTP id <B0000191785@ainnet.ain.es>; Wed, 09 Feb 2000 12:27:27 +0100
Received: from xxxxxx (xxxxx [1.1.4.3])
by yyyyyyyyyy with ESMTP id JAA18473
Received: by xx.xx.xx id QAA0000017827; Mon, 7 Feb 2000 16:50:41 +0800 (HKT)
Message-id: <200002070850.QAA0000017827@xx.xx.xx>
Reply-to: srchzznngnz@mailexcite.com
Content-type: text
---[las cabeceras de abajo son las únicas que se suelen ver]----
From: xxxxx____@xxxxx.com
To: xxxx____@xxxxx.xx
Date: Mon, 25 Feb 1999 16:50:41

¿A quién va dirigido? ¿qué máquina es la emisora? ¿qué máquina distribuyó el mensaje? ¿en qué fecha fue emitido? ¿a quién deberías dirigirte para denunciar este mensaje? si respondes a este mensaje (Reply) ¿a qué dirección sería enviada?.

Recomendaciones
La dirección de correo electrónico que nos ofrecen en nuestra institución (universidad, centro de investigación, etc.) debe ser utilizada con unos criterios y normas de uso perfectamente definidas para llevar a cabo nuestra labor profesional en dicha institución ahora bien podemos disponer de otra dirección privada para nuestras actividades personales (*@hotmail.com, *@arrakis.es etc.).
Lo más importante es que cada una de estas direcciones se utilicen usando unos parámetros (servidor SMTP, POP/IMAP, claves) diferentes ya que están implicados en ello una serie de recursos (máquinas, líneas de comunicación etc.) determinados. La dirección privada debe utilizarse con los servidores del correspondiente proveedor de Internet y la dirección institucional con los servidores apropiados. No se deben mezclar ambos entornos.
Pero además de realizar un correcto uso del correo electrónico y una vez que ya sabemos interpretar las cabeceras, se recomienda utilizar los servidores oficiales asociados a nuestra dirección de correo electrónico. Esta práctica aportará algo más de garantía a los receptores sobre la fiabilidad del emisor. Si bien hay que hacer hincapié de nuevo en que sólo el uso de técnicas de criptografía de clave pública/privada como es PGP garantizará al máximo la veracidad del emisor de un mensaje.

¿Qué hacer con los mensajes no deseados que recibimos?

Una vez que ya sabemos interpretar la información que contienen las cabeceras de los mensajes pasemos a otro aspecto. Para enviar una queja acerca de un correo no deseado hay que saber a qué dirección enviarla, para ello basta con saber interpretar las cabeceras de los mensajes y disponer de alguna herramienta que nos ofrezca información de las direcciones de correo electrónico de los responsables.
La mayor parte de los usuarios al recibir estos mensajes no deseados los borran al ser esto lo más rápido pero si se desea actuar de forma efectiva contra este tipo abusos debemos hacer o evitar hacer lo siguiente:

No se debe:

* Enviar ningún mensaje cuando se ofrezca la posibilidad de darse de baja de la "supuesta" lista o ponerse en contacto con el "supuesto" emisor. Pues aunque muchas de ellas son falsas, muchas otras son correctas y al responder lo único que generalmente se consigue es capturar la dirección de correo electrónico correcta para posteriores envíos de correo basura.
* Enviar quejas a direcciones que no estemos seguros de que son las que realmente han distribuido el mensaje.
* Tratar con violencia al spammer. Lo peor sería estereotipar a estas personas como terroristas pues les daría más fuerza.
* Poner filtros en los programas de correo electrónico para borrar automáticamente el correo basura. Si no se sabe muy bien lo que se hace se pueden perder mensajes que no interesaba filtrar.
* Distribuir el mensaje a otras personas o listas.
* Ignorarlos. Es necesario denunciarlo y para ello debemos colaborar todos los usuarios y responsables del servicio de correo electrónico de cada institución de RedIRIS.

Sí se debe:

* Investigar la dirección del emisor o del responsable de la máquina o del dominio que ha permitido la difusión de dicho mensaje.
* Disponer de dos mensajes tipo en castellano y en inglés, que se utilicen como contenido de la denuncia o queja.
* Si no se quiere hacer nada, mejor que borrarlo es enviárselo al responsable del servicio de correo electrónico de su organización para que sea él quien actúe. La dirección para enviar este tipo de incidentes dentro de tu institución (dominio) debe ser: abuse@dominio.es y si no existe debes recordarle al <postmaster@dominio.es> que lo cree.
Ahora bien ¿cómo localizar las direcciones a las que hay que enviar el mensaje de queja?. Lo más importante es identificar los dominios implicados en la distribución de este tipo de mensajes basura. La mayor parte del correo basura con contenido en castellano no suele utilizar técnicas de falsificación de trazas aunque sí de direcciones, lo que facilita mucho la labor.
Una vez localizados los dominios implicados en la distribución hay que localizar las direcciones de los responsables que por defecto suelen estar en:
* postmaster@dominio.xx
* abuse@dominio.xx donde xx es el top-domain correspondiente (.es, .com, etc.)

Existen varias herramientas (whois, nslookup, etc.) así como direcciones de páginas web que te permiten localizar a los responsables de un dominio. En el caso de un dominio registrado bajo .es se puede consultar el siguiente URL: http://www.nic.es/whois/ .

Pongamos un ejemplo:

Received: from m1smtpsp01.wanadoo.es (m1smtpisp01.wanadoo.es [62.36.220.21])
by chico.rediris.es (8.9.3/8.9.1) with ESMTP id HAA04592
for <perico@rediris.es>; Tue, 8 Feb 2000 07:20:11 +0100 (MET)
Received: from maria.ctv.es (maria.ctv.es [212.25.129.25])
by m1smtpsp01.wanadoo.es (8.9.3/8.9.3) with ESMTP id HAA00488;
Tue, 8 Feb 2000 07:19:01 +0100 (MET)
Received: from default (ctv21225132171.ctv.es [212.25.132.171])
by maria.ctv.es (8.9.3/8.9.1) with SMTP id HAA19285;
Tue, 8 Feb 2000 07:16:16 +0100 (MET)
Message-id: <200002080616.HAA19285@maria.ctv.es>
---[las cabeceras de abajo son las únicas que se suelen ver]----
Date: Tue, 8 Feb 2000 07:16:16 +0100 (MET)
From: jordi <tu@ctv.es>
To: Lista de destinatarios oculta <tu@ctv.es>
Subject:!!!!teletrabajo!!!!

Como se concluye de las cabeceras, este mensaje fue enviado al buzón <perico@rediris.es> que es la víctima, fue emitido desde una dirección del dominio "ctv.es" y por lo tanto utiliza el servidor de ese dominio "maria.ctv.es" y para llegar al destinatario usa otro servidor de correo m1smtpisp01.wanadoo.es.
¿Cómo deberíamos actuar? En primer lugar no enviando nada a la dirección <tu@ctv.es> que se sospecha que está falsificada y a continuación buscando las direcciones de los responsables de los dominios ctv.es y wanadoo.es que serían: postmaster@ctv.es, abuse@ctv.es, abuse@wanadoo.es, postmaster@wanadoo.es además como son dominios ".es" las encontraremos en: http://www.nic.es/whois .
Hay diversos lugares en la red que facilitan mucho toda esta labor. Simplemente enviándoles el mensaje basura que hemos recibido incluidas las trazas localizan los dominios implicados y sus responsables y al final generan de forma automática el envío del mensaje con nuestra queja. Los hay accesibles por correo electrónico, como "abuse.net" o vía Web como "spamcop.net". De todas formas antes de usarlos, es importante saber lo que se hace para evitar enviar mensajes a personas que nada tienen que ver con nuestro problema.
Quizá os preguntéis ¿Cómo han podido conocer mi dirección de correo electrónico? ¿existe algún tipo de legislación que nos proteja del correo no deseado?, ¿qué más se puede hacer además de enviar nuestras quejas?, son temas que se salen de este informe divulgativo. Recordad: No uséis el correo electrónico para las distribuciones masivas, independientemente del contenido, molesta a mucha gente y puede llegar a ser ilegal. No coloquéis en el campo "To:" de un mensaje decenas o cientos de direcciones para difundir algo que os interesa, existen alternativas y vuestros responsables del servicio de correo electrónico os darán las mejores soluciones.

Tope

Autores: Dr. Karel Morlans Hernández, Dr. Edgardo Schapachnick, Tec. José P. Barreto

Actualizada:  

Referencias:

1- Cáceres Javier. Virus y otros parásitos. PC World. España, 2000: (165) 164.
2-
http://www.avp.ch/avpve/
3-
http://members.home.net/dtmartin24/ramen_worm.txt
4-
http://www.avp.ch/avpve/worms/email/blebla.stm
5-
http://www.avp.ru/news.asp?tnews=0&nview=4&id=150&page=0
6-
http://www.avp.ch/avpve/worms/email/3dstars.stm
7-
http://www.symantec.com/avcenter/venc/data/wnt.energy.worm.html
8-
http://www.f-secure.com/v-descs/universe.shtml
9-
http://www.datafellows.com/v-descs/hybris.htm
10-
http://www.f-secure.com/v-descs/sonic.htm
11-
http://www.f-secure.com/v-descs/hybris.htm
12-
http://members.es.tripod.de/virusattack/index3.htm?especiales/
13-
http://www.sarc.com/avcenter/venc/data/qaz.trojan.html
14-
http://www.hispasec.com/unaaldia.asp?id=655
15-
http://www.avp.ch/avpve/newexe/win32/doser.stm
16-
http://www.hispasec.com/notas_prensa.asp?id=70
17- Seguridad en la red. PC Magazine. España, 2000: (139) 126.

Colaboraciones aquí

Tope


Dr. Florencio Garófalo
Presidente Comité Organizador
Dr. Raúl Bretal
Presidente Comité Científico
Dr. Armando Pacher
Presidente Comité Técnico - CETIFAC
fgaro@fac.org.ar
fgaro@satlink.com
rbretal@fac.org.ar
rbretal@netverk.com.ar
apacher@fac.org.ar
apacher@satlink.com

Copyright© 1999-2001 Federación Argentina de Cardiología
Todos los derechos reservados

Esta empresa colaboró para la realización del Congreso: