La importancia de la seguridad informática en los automóviles

Coches-autónomos

La seguridad en los automóviles cobra cada día mayor importancia. Cuanto más depende de un ordenador, más vital se hace protegerlo de intrusiones externas.

El desarrollo de los vehículos autónomos está ya en fases muy avanzadas. Sobre todo en Estados Unidos, donde se prevé su puesta en funcionamiento generalizada antes de que termine la presente década. Pero la vulnerabilidad de los sistemas informáticos que guiarán estos vehículos se ha convertido en un problema acuciante y prioritario para los ingenieros y las marcas implicados.

Una de las mayores preocupaciones es la seguridad informática en estos coches autónomos, ya que cualquier sistema informático puede ser vulnerado, es por ello que muchas empresas están fabricando chips para evitar entrada a los sensores de estos vehículos.

Este conjunto de sistema informático capaz de darle autonomía y seguridad informática a los coches son una realidad, y pretenden en poco tiempo revolucionar todos los sistemas relacionados al automovilismo: las infraestructuras viales tendrán que ir ajustándose a los tiempos, los sistemas de señalización y hasta la cobertura de las aseguradoras, entre otros. Los retos a los que se enfrenta el coche autónomo son variados.

Vulnerabilidades

Los numerosos elementos gestionados por la informática que necesitan los coches autónomos no pueden flaquear en cuanto a sus sistemas de seguridad. Todos los sensores, radares, cámaras de reconocimiento, receptores GPS y detectores por láser deben funcionar perfectamente coordinados. Cualquier injerencia externa podría ser desastrosa y poner en peligro la circulación y a los pasajeros.

Pruebas recientes han demostrado que era posible acceder al ordenador del coche a través del bluetooth o el propio wifi. Las simulaciones de pirateo han conseguido hacer que el coche acelere en lugar de frenar o, al contrario, provocar un brusco frenazo sin necesidad.

La dimensión del problema ha puesto de relieve a otro de los actores implicados, las compañías de seguros se muestran muy preocupadas ante la llegada de estos nuevos vehículos. primeramente por su alto coste a asegurar debido a sus avanzadas tecnologías, y en segundo lugar por la indefinición legal de la responsabilidad, agravada por el posible pirateo del sistema autónomo.

El avance de los vehículos interconectados sería enorme en cuanto a seguridad ya que eliminarían en gran medida el fallo humano en la provocación de accidentes. Pero añade otros peligros que hasta ahora son desconocidos en los que habrá que tomarse muy en serio mediante fuertes medidas de protección. Lo más probable es que la implantación de los coches autónomos se produzca de forma gradual y que no todas las funciones de circulación sean automáticas. Por el momento, ya se ha obligado a que los primeros prototipos dispongan de mandos convencionales como volante, acelerador y freno para que el conductor pueda tomar el control cuando sea necesario.

Molestos anuncios infectados. Malvertising

La propagación del Malvertising

Cada día, revisas las páginas webs de los diferentes medios de comunicación para informarte de la actualidad. Por el camino, tu mirada se esfuerza por evitar los banners y las ventanas emergentes publicitarias que te asaltan.

Sin embargo, seguro que no te has parado a pensar que esos molestos anuncios pueden, además,descargar malware en tu ordenador sin que la web ni la empresa que gestiona la publicación de anuncios sea consciente de ello.

Malvertising es el nombre con el que se conoce a esta técnica que cada vez está más de moda.

¿Qué es Malvertising?

Es la inyección de anuncios maliciosos o con malware en páginas legítimas como publicidad. Los anuncios en línea proporcionan una plataforma sólida para la propagación de malware, ya el importante esfuerzo se pone en ellos con el fin de atraer a los usuarios y vender o anunciar el producto. Debido a que el contenido de la publicidad se puede insertar en los sitios web de confianza, la publicidad maliciosa ofrece a los ciberdelincuentes una oportunidad para impulsar sus ataques.

Poseen una forma atractiva para difundir malware ya que no es necesario comprometer directamente esos sitios web.

Es un concepto relativamente nuevo para la propagación de malware y es aún más difícil de combatir, ya que puede trabajar su camino en una página web y ser extendido sin saberlo: "Lo interesante de infecciones entregadas a través de publicidad maliciosa es que no requiere ninguna acción del usuario ( como hacer clic) para comprometer el sistema y no explotar cualquier vulnerabilidad en el sitio web o el servidor que se encuentra alojada desde... infecciones entregados a través de publicidad maliciosa o en silencio viajar a través de anuncios de las páginas web. Es capaz de exponer a millones de usuarios al malware, incluso los más prudentes, y está creciendo rápidamente. Los atacantes tienen un amplio alcance y son capaces de ofrecer estos ataques fácilmente a través de anuncio en las redes. 

 A diferencia del ‘adware’, que se encarga de llenar tus páginas de ‘toolbars’ que no suelen ser maliciosas después de instalarte algún programa, en el ‘malvertising’ los atacantes ocultan en la publicidad el código malicioso y ni siquiera hace falta que hagas clic o te lo descargues para infectarte.

El método que utilizan para realizar el ataque es relativamente sencillo. El ciberdelincuente entra en la red de la compañía que se encarga de vender espacios publicitarios, aprovechándose del proceso e intercambio de información entre esa empresa y el anunciante. El atacante se hace pasar por una empresa de confianza para subir su propio anuncio, que puede contener el código malicioso.

Una vez que se carga la página del lector, aparece el aparentemente inocente anuncio. Sin que el usuario tenga que pinchar en él, y comienza a realizar su trabajo para descargar ‘malware’ en el ordenador. Pueden llegar a enviarte incluso troyanos bancarios diseñados para robar tus datos cuando los introduzcas en tu entidad online.

Casos como estos demuestran que los ciberatacantes están optando por realizar sus ataques en páginas populares y con mucho tráfico para infectar al mayor número de ordenadores que sea posible.

Tipos y modos

Al visitar sitios web que son afectados por publicidad maliciosa, los usuarios están en riesgo de infección. Hay muchos métodos diferentes que se utilizan para la inyección de anuncios o programas maliciosos en páginas web:

• Anuncios Pop-up para descargas engañosas, como programas antivirus falsos que instalan software malicioso en el equipo 
• En el texto o en los contenidos publicitarios
• Descargas no autorizadas 
• Widgets web en la que la redirección pueden ser cooptados en volver a dirigir a un sitio malicioso 
• Ocultos iframes que propagan programas maliciosos en sitios web 
• Redes de entrega de contenido explotados para compartir el malware 
• Flags maliciosos en sitios web
• Anuncios de terceros en las páginas web 
• Las aplicaciones de terceros, tales como foros, ayudan escritorio y gestión de relaciones con los clientes y los sistemas de gestión de contenidos

Ahora bien, si los ciberdelincuentes están utilizando cada vez más los anuncios de los sitios webs en los que aparentemente confiamos para perpetrar sus ataques, ¿cómo se están protegiendo las plataformas que gestionan esa publicidad y cómo podemos protegernos nosotros?

Las medidas preventivas 

Hay varias precauciones que las personas pueden tomar para disminuir sus posibilidades de ser engañado por estos anuncios. Además de que acaba de aprender acerca de ellos, los usuarios pueden descargar navegadores de Internet que pueden detectar sitios web que tienen los anuncios de malware en ellos, tales como Internet Explorer 9 o Google Chrome, que "incluye algunos avances de seguridad que hacen que los ataques sean más difíciles." 

• Programas de uso común, tales como Adobe Flash Player y Adobe Reader pueden tener sus defectos explotados, y se vuelven vulnerables a los ataques, por lo que es importante mantenerlos al día. 
• Pueden descargar el software antivirus que protege contra las amenazas y elimina el software malicioso de sus sistemas. 
• Pueden empujar a las empresas y sitios web para escanear los anuncios antes de hacerlos activa en sus páginas web. 
• Los usuarios también pueden usar el bloqueo de anuncios de software para evitar la descarga de malware incluido en anuncios o una extensión específica del navegador que alerten a las campañas de publicidad maliciosa. 

Web tracking e identificación de usuarios de Internet

Web tracking e identificación de usuarios de Internet

La recolección de datos y su análisis contienen un importante valor, popularmente referido bajo términos como Big Data o Smart Data se ha convertido, sin lugar a dudas, en una poderosa herramienta que empieza a cobrar importancia en múltiples aspectos de la sociedad moderna. Sectores tan diversos como medios de comunicación, entornos de negocio y económicos, sectores políticos e incluso de inteligencia militar se han visto involucrados, cuando no necesitados de contemplar en su operativa de trabajo esta importante estrategia de análisis de datos.

Distintas motivaciones, mismo objetivo

La obtención y explotación de datos, tanto de fuentes públicas OSINT como los obtenidos por otros métodos de rastreo e identificación conocido como "tracking, son de gran utilidad para recopilar información de usuarios de internet. Las motivaciones para hacerlo son múltiples: la creación de perfiles de clientes y análisis de comportamientos para mejorar estrategias ventas y mercado, la manipulación a medida de precios y publicidad según el origen del objetivo, la monetización de la información recopilada mediante su venta a terceros, el seguimiento de individuos o colectivos, estadísticas, etc.

Algunas motivaciones para el seguimiento e identificación de usuarios 

Estas técnicas son muy comunes de modo que ya a nadie se sorprende por ejemplo, la precisión de anuncios de publicidad en nuestra navegación por internet o la variación de precios en compras online  (se abre en nueva ventana) cuyo comportamiento será distinto dependiendo del público objetivo al que se dirige.

Manipulación de precios dependiendo de la ubicación y/o sistema operativo. 

Para conseguir identificar, clasificar y recopilar la información de los usuarios de internet se emplean diversos métodos y tecnologías web que permiten recoger la suficiente información como para tener perfectamente perfilado a un usuario y sus patrones de comportamiento.

Estos mecanismos son de uso generalizado e impactan de forma directa sobre la privacidad del usuario el cual, como veremos a continuación, no tiene una forma sencilla de evitar esta exposición y proteger su anonimato.

En este artículo nos centraremos en "web tracking" en referencia a mecanismos de rastreo dirigidos a la identificación de dispositivos, navegadores y herramientas que utilizamos comúnmente los usuarios de internet.

Web tracking e identificadores

Aunque no sean las únicas, podemos citar las técnicas más empleadas para perfilar usuarios o dispositivos y que podríamos agrupar como sigue:

• Identificadores de parte cliente (sesión, caché, almacenamiento local)
• Huella digital hardware/software
• Otros métodos: patrones específicos de comportamiento, preferencias locales, inyección de cabeceras HTTP.

Agrupación de elementos de tracking según su operativa

Identificadores en parte cliente

Dentro de esta categoría de identificadores encontramos ciertos elementos (datos, ficheros) que son almacenados localmente por los navegadores en diversas ubicaciones de la máquina cliente. Estos datos, serán transmitidos a servidores web y utilizados para identificar al usuario y realizar las operaciones deseadas según su perfil.

La eliminación de los datos almacenados no siempre cuenta con un mecanismo automático o pre configurado lo cual, dificulta su eliminación y favorece su persistencia. El almacenamiento de los datos puede ser: almacenamiento local, de sesión, o caché. Estos datos, en principio, contarán con una persistencia claramente definida:

Tipos de almacenamiento local y supuesto método de eliminación

Como veremos a continuación, los mecanismos de borrado de los datos de navegación no siempre son tan eficaces como podría esperarse.

Identificadores de sesión

Este tipo de identificadores se almacena de forma temporal mientras el usuario hace uso de navegador y persiste mientras dure la sesión. Suele tratarse de elementos contenidos en la página como campos ocultos, propiedades DOM de la página o formularios web de autenticación explícitos que validan al usuario únicamente durante una sesión activa. A diferencia de las cookies, y otros métodos, estos identificadores no se almacenan y desaparecen al salir de la sesión o página visitada. Este método es obsoleto y generalmente no es muy utilizado, sobre todo cuando existe la posibilidad de emplear cookies u otro tipo de almacenamiento con mayor persistencia.

Almacenamiento Caché

La caché constituye un elemento muy a tener en cuenta desde el punto de la privacidad. Los navegadores web implementan una caché que les permite obtener un mejor rendimiento a la hora de visualizar sitios previamente visitados, almacenando parte de su contenido como imágenes o scripts. Es un tipo de almacenamiento muy común y la persistencia de los datos almacenados depende directamente de la configuración empleada en el navegador y/o del borrado manual.

La persistencia de los elementos cacheados generalmente está determinada mediante valores que son establecidos mediante cabeceras HTTP al visitar una web. Entre estas cabeceras encontramos:

• Expires/max-age. Determina una fecha de caducidad de los datos los cuales se mantendrán hasta que se alcance esa fecha o se realice un purgado manual de la caché.

• ETag. Esta cabecera etiqueta un contenido variable del sitio web y su valor indicará al navegador cuando un recurso ha sido cambiado.

• Last-Modified. Se emplea para notificar la fecha de la última vez que el contenido web ha sufrido alguna modificación.

Estas cabeceras pueden ser aprovechadas para conseguir almacenar en el navegador cliente elementos diferenciadores con la persistencia deseada y así tener un perfil asociado al usuario. Una prueba de concepto de esta idea la encontramos en Japitracing  (se abre en nueva ventana), un trabajo de Máster en Seguridad realizado en 2011 en la Universidad Europea de Madrid. En ese estudio se saca partido a las cabeceras HTTP para almacenar en la caché del navegador código JavaScript y utilizarlo para rastrear geográficamente al usuario.

Datos y ficheros locales

• Cookies HTTP

Las cookies han sido y siguen siendo un mecanismo ampliamente utilizado para identificar y perfilar usuarios y así poder mantener un histórico de su navegación, preferencias y sesiones. Pueden almacenar hasta 4 KB de información y su eliminación es sencilla, pero este borrado no siempre evita que el seguimiento de la información persista o se reconstruya, como se describe a continuación.

• Flash (cookies Flash)

Las aplicaciones de Adobe Flash almacenan datos en la parte cliente con un mecanismo homólogo a las cookies HTTP, y que se conoce como Local Shared Objects (LSO), los cuales cuentan con una capacidad de almacenamiento de hasta 100 KB. Este contenido puede ser accedido por todos los navegadores instalados ya que Adobe Flash comparte la misma ruta de localización de archivos.

La tendencia es que los navegadores integren en la gestión de cookies los elementos LSO Flash de modo que su eliminación suponga también la eliminación de ficheros Flash. Sin embargo existen técnicas que utilizando código JavaScript son capaces de regenerar cookies HTTP borradas a partir del almacenamiento Flash (Evercookies  (se abre en nueva ventana)).

• Silverlight

Análogamente los applets de Microsoft Silverlight, mantienen un almacenamiento de datos local conocido como Isolated Storage  (se abre en nueva ventana). Esta tecnología no depende de la gestión de datos de navegación ni de la caché del navegador siendo necesario un borrado manual de los ficheros. Esta característica le confiere un alto grado de persistencia que puede ser aprovechada para la identificación del cliente web. Por otra parte, este almacenamiento puede ser compartido entre distintas instancias o ventanas del navegador.

• HTML5

HTML5 vino acompañado de importantes funcionalidades, entre ellas una API (WebStorage  (se abre en nueva ventana)) que incluye módulos para gestionar el almacenamiento de datos con distintos grados de persistencia como Local storage (caché) o Session Storage (sesión). Similarmente IndexedDB  (se abre en nueva ventana) o File  (se abre en nueva ventana) son otros ejemplos de API para almacenar ficheros y manejar bases de datos en el cliente, cuyo borrado requerirá intervención manual en la mayoría de las ocasiones

• Java

Java asimismo también dispone API la específica PersistenceService  (se abre en nueva ventana) que proporciona métodos para almacenar datos locales en el cliente incluso para aplicaciones externas al entorno del navegador.

Otros métodos

• HSTS

HSTS es un mecanismo de seguridad cuyo objetivo es forzar que la conexión a un dominio concreto se realice únicamente bajo HTTPS. Para ello el navegador almacena un listado de sitios registrados inicialmente y posteriormente, va añadiendo nuevos bajo demanda a través de cabeceras HTTP. Una vez se almacena un registro HSTS, éste será permanente hasta que caduque y no servirá para nada borrar cookies, caché o ficheros temporales. Únicamente podrá ser borrado desde opciones avanzadas del navegador de forma no trivial.

Configuración y registros HSTS en Chrome

Sacando partido de este mecanismo es posible generar registros HSTS en el navegador del usuario y así crear un conjunto identificador al que se ha dado en denominar, de modo quizás inapropiado, supercookies HSTS  (se abre en nueva ventana). Puede realizarse un test de prueba en el siguiente enlace: http://www.radicalresearch.co.uk/lab/hstssupercookies  (se abre en nueva ventana)

Como podemos ver HSTS, independientemente de su misión original, ha pasado a convertirse en una herramienta que puede utilizarse para obtener información que compromete la privacidad del usuario. De este modo, podría obtenerse incluso el histórico de navegación, tal y como se ha demostrado en un trabajo presentado en la conferencia de seguridad ToorCon de San Diego de 2015 (se abre en nueva ventana). En una prueba de concepto denominada Sniffly se demuestra cómo, a través de solicitudes HSTS y analizando el tiempo de respuesta del navegador (que dependerá de si tiene o no el registro almacenado) es posible inferir los sitios visitados por el usuario.

Huella digital software/hardware

Las técnicas basadas en huella digital utilizan elementos diferenciadores en el hardware o el software empleado por el usuario. Para ello y mediante JavaScript, Flash, Java y otras tecnologías web se recopilará información que hará posible crear una "huella digital" que lo identifique con bastante precisión.

Huella digital de navegador

La iniciativa Panopticlick de la fundación Electronic Frontier Foundation (EFF), implementó una prueba de concepto para demostrar cómo de particular era un cliente web en el momento de acceder a la web. A través de un algoritmo que recoge información través de peticiones HTTP y AJAX sobre los plugins instalados, la resolución de pantalla, fuentes, zona horaria, cookies y objetos flash, determina una huella digital que permite diferenciar a un cliente web entre millones. Para navegadores que tengan java y flash activado afirman que el grado de fiabilidad a la hora de la identificación se sitúa en torno al 95%. Esta información demuestra el grado de precisión con que se puede construir una huella que determine la identidad de un navegador/dispositivo concreto.

Ejemplo de análisis de Panopticlick

Huella digital HTML5 canvas

La huella canvas es una de los métodos más recientes que se están utilizando para la identificación de dispositivos según las características de su hardware. Se hacer uso de la tecnología WebGL de generación de gráficos para generar una imagen en un elemento HTML <canvas> en el cliente. Esta imagen, según se deduce del estudio "Pixel Perfect: Fingerprinting Canvas in HMTL5" depende directamente del hardware y tiene un grado de entropía suficientemente alto como para crear una huella digital del equipo del usuario. Analizando las características de los pixeles que conforman la imagen generada en el cliente web es posible obtener una huella identificativa con alto grado de precisión.

Plugin CanvasFingerprintBlock para la detección y bloqueo de imágenes de seguimiento canvas 

Huellas de red y geolocalización

La dirección IP del dispositivo o de la red en la que se encuentra es otro de los datos habituales que se utilizan para tratar de identificar usuarios a través de diversas técnicas, entre ellas el análisis de tráfico, cabeceras HTTP o el empleo de Java, Flash, JavaScript o HTML5. Datos de proxy intermedios también pueden aportar información o incluso puede ser posible obtener la dirección IP de la red privada del cliente, por ejemplo empleando API JavaScript proporcionada por WebRTC, un proyecto libre para dotar facilidades de comunicaciones en tiempo real a los navegadores.

Obtención de la IP privada usando WebRTC (Chrome, Firefox) -. http://net.ipcalf.com

La geolocalización también es otro de los datos extraídos y utilizados para el perfilado e identificación. Para ello, se consulta la dirección en bases de datos públicas o bien se emplea la API Geolocation, de HTML5. No obstante, la geolocalización es un dato que no cuenta con la suficiente precisión y que se ve afectado por circunstancias como la utilización de VPN o el uso de red Tor, que falsearían el origen real.

Otros mecanismos de identificación

Marcadores dependientes de las preferencias y comportamiento

Existen características que van unidas al comportamiento habitual del usuario y que por tanto no están atadas a un dispositivo concreto. Estos datos son útiles para identificar un perfil de usuario que esté haciendo uso del dispositivo. Entre esta información se encuentra:

• Lenguaje preferido, codificación de caracteres, y zona horaria.
• Datos en caché y en el histórico de navegación.
• Es interesante destacar que la información de caché e histórico de navegación puede obtenerse con cierta colaboración del usuario, como se describe en el estudio llevado a cabo en colaboración con Microsoft: I Still Know What You Visited Last Summer. En este estudio se describen varias técnicas, destacando la utilización de los distintos colores que utiliza un navegador para diferenciar enlaces visitados o no visitados y así, camuflarlos en imágenes, captchas u otros elementos interactivos de la página para determinar si el usuario los ha visitado o no.

Otra aproximación más sencilla para acceder al histórico del navegador y que no necesita interacción con el usuario es la ya referenciada Sniffy, donde se saca partido a la tecnología HSTS.

Inyección de cabeceras HTTP

El asunto de la inyección de cabeceras HTTP ya tuvo su repercusión en 2014 cuando se publicó que Verizon, una operadora de telecomunicaciones americana estaba añadiendo cabeceras con marcadores al tráfico HTTP de sus clientes, con objeto de crear un identificador para cada uno de ellos. Esta circunstancia se bautizó como "permacookies".

Por otro lado y más recientemente, se publicó por parte de la iniciativa acessnow.org el estudio: The Rise of Mobile TrackingHeaders: How Telcos Around the World Are Threatening Your Privacy donde se detalla esta misma estrategia de identificación en dispositivos móviles empleada por operadoras de telefonía. Ante este tipo de acciones poco se puede hacer, puesto que es imposible controlar el tráfico una vez ha abandonado nuestro terminal móvil y está en mano del operador.

-Estadísticas extraídas en análisis de cabeceras- Fuente: accessnow.org-

- Algunas de las cabeceras HTTP utilizadas por distintas operadoras -Fuente: accessnow.org

Persistencia de elementos identificadores

Podría pensarse que utilizando navegación privada, y limpiando frecuentemente los datos de navegación, caché y cookies se eliminaría cualquier elemento de identificación o rastreo.
¿Es esto así?: no siempre, de hecho, casi nunca. Tenemos desde elementos que se borran únicamente con cerrar el navegador hasta elementos sobre los que no podemos actuar, como las huellas digitales o la inyección de cabeceras, pasando por elementos que persisten y/o se regeneran tras eliminar completamente los datos de navegación.

En la siguiente tabla se recogen las principales tecnologías empleadas para identificar usuarios y su persistencia al borrado.

Defensa contra la identificación y rastreo

¿Podemos hacer algo para evitar ser clasificados en nuestro uso cotidiano de internet? Como decimos no demasiado. Las tecnologías web actuales utilizan JavaScript, Flash, Java y cookies casi en cualquier sitio, y cuentan con capacidades de persistencia que suelen superar los mecanismos básicos de limpieza de los navegadores. La navegación privada no supone una gran mejora, al igual que otras opciones como Do not track que incorporan algunos navegadores. A pesar de todo siempre es recomendable como primer paso para proteger nuestra privacidad, realizar un vaciado completo de ficheros y contenidos de navegación tras cada uso del navegador.

Para ir más lejos en la protección de nuestra privacidad podemos desactivar todas las tecnologías ya mencionadas (Java, Flash, JavaScript, etc.) e impedir la ejecución de plugins y scripts en el navegador pero esto, generalmente, hace que la experiencia de uso de internet se degrade de forma considerable. Como medida alternativa pueden utilizarse herramientas como uBlock Origin (Chrome, Firefox) para bloquear dominios y/o páginas de anuncios, bloqueadores de JavaScript como NoScript (Firefox) o ScriptSafe (Chrome), plugins para detectar canvas fingerprinting como CanvasFingerprintBLock, e incluso si solemos comprar por internet, utilizar alguna de las herramientas diseñadas para detectar manipulación de precios como la ya mencionada, $heriff.

- Plugin uBLock. Obsérvese el alto númerode bloqueo de peticiones y elementos de seguimiento -

Finalmente y adoptando una posición más estricta en busca de una mayor privacidad, se podría hacer uso de navegadores especialmente diseñados para este objetivo, como por ejemplo, Tor browser.

Navegador Tor browser 

La disminución involuntaria de privacidad al utilizar internet poco a poco va calando en la conciencia social y, en general, empieza a despertar claro interés. Un ejemplo de ello es el reciente caso sucedido en Bélgica con la solicitud judicial a Facebook para detener el rastreo de usuarios que visitan su página.

Ordenadores remotos (antibotnet)

Las “redes zombis”

También conocidas como “botnets”, no son conocidas por muchos usuarios comunes, no están familiarizados con sus características y alcances, por lo que es frecuente que terminen creyendo en falsas historias, que sólo desinforman aún más y quitan la posibilidad de poder realmente protegerse del daño que puede causar las botnets.

¿Qué es una botnet?

Consiste en un software malicioso instalado en tu ordenador que convierte tu equipo en un ordenador robot (bot)
Se denomina “programa zombi” a aquel software que se encuentra instalado dentro de un equipo informático, y su principal función reside en controlar de manera remota diversas tareas. Debido a la utilización que suele darse a este tipo de programas, por lo general los mismos se instalan en las computadoras sin el consentimiento de los usuarios, ya que en la mayoría de los casos se usan con fines delictivos.
Las botnet se crean infectando nuestro ordenador con malware, como cracks o programas piratas, y su cometido, una vez dentro de nuestro sistema es añadido a dicha red, es emplearlo junto con el resto del “ejército” de ordenadores para realizar ataques, envío de Spam y otros actos fraudulentos. Constituyen una enorme fuente de ingresos con un esfuerzo mínimo para el creador. Una vez que penetran en el sistema, son silenciosas y no requieren mantenimiento por su parte.

¿Que consecuencias tiene para mi?

De entrada tu conexión a Internet irá muy lenta, tu ip puede ser bloqueada por envío masivo de Spam (Te pueden incluir en una lista negra y tu correo será rechazado por todos, por ser considerado Spam), tu equipo se puede ver involucrado en tareas delictivas, etc…

El problema de convertirse en botnet es que no siempre tiene por qué dar muestras de estar infectado, aunque muchas veces genera síntomas fácilmente identificables como veremos más adelante...

Localizando bots en una red local

Una de las tareas que tiene cierta dificultad a la hora de eliminar equipos infectados por una botnet en una red local es determinar e identificar cuál de ellos es el que pueda estar infectado. Es lo primero que debemos hacer antes de proceder a limpiar el equipo y es una tarea que no siempre es fácil.

Este tipo de situaciones, en las que tenemos que localizar un equipo infectado por una botnet pero no sabemos cuál de ellos es, se producen cuando no se ha detectado ningún indicio de infección, sino que se trata de una notificación externa, como por ejemplo una notificación que pueda realizar el equipo de Abuse o de seguridad del ISP que nos da conexión a internet, o algún organismo como un CERT.

Esas notificaciones suelen incluir la dirección IP externa con la que se conectan todos los equipos de esa red local a internet, la hora y fecha en la que se ha detectado una conexión a la botnet, y también el tipo de botnet o el virus que produce la infección, pero ningún dato sobre el equipo concreto que está infectado.

Es importante tener en cuenta que no sólo puede estar afectada con este tipo de código malicioso una PC con Windows, sino que también las llamadas botnets suelen tomar formas diferentes para hacer también de las suyas en los dispositivos móviles con Android o Windows Mobile.

¿Como detectarlo?

En líneas generales, para saber si nuestra computadora o dispositivo móvil ha sido infectado y ha pasado a ser parte de una red zombi o botnet, debemos estar atentos a los siguientes síntomas:

1. Trabajo excesivo y permanente del CPU, con un alto consumo.

2. Al utilizar una memoria USB o pendrive y al conectarlo al equipo este nos informa que se encuentra infectada la unidad de almacenamiento externo,cuando no sucede lo mismo al conectar el dispositivo a otra máquina.

3. Creación de accesos directos o archivos dentro de las unidades extraíbles sin nuestro consentimiento.

4. Se ocultan algunas carpetas dentro de determinados espacios en la computadora,sin que nosotros las hayamos creado o enviado allí.

5. Imposibilidad de acceder a la configuración de Windows, ya que este apartado del sistema se encuentra bloqueado.

6. El tráfico de la red es demasiado alto.

7. Al enviar mensajes de correo electrónico, los remitentes de nuestros mensajes no los reciben.

8. Imposibilidad de poder realizar pagos de facturas electrónicas y móviles.

9. Agotamiento rápido de la batería del dispositivo móvil, como así también calentamiento excesivo de la misma.

10. Aparición de usuarios y/o administradores desconocidos en los servicios informáticos.

11. Revisar si ha tenido alguna reescritura el archivo C:\winnt\system32\drivers\etc

12. Aparición de conexiones no identificadas en el sistema, lo cual puede identificarse desde la consola, para lo cual escribimos primero “CMD” en el cuadro de búsqueda del menú Inicio. Cuando se despliegue la consola escribimos “netstat-an” (sin comillas), y así podemos revisar los dispositivos que se enumeran para reconocerlos. 

13. Revisar si reconocemos los procesos en ejecución que se listan en el Administrador de Tareas de Windows.


¿Como deshacernos de estas botnets? (antibotnet)

1- Nos dirigiremos a la página web del Centro anti-botnets. 


2- En la parte superior, accedemos a la parte llamada “Limpiar” (imagen 1).


3- Hacemos click sobre el enlace del  Punto1.


4- Accedemos a uno de los dos limpiadores disponibles: Avira o Kaspersky (en este momento el enlace de Kaspersky no está disponible).


5- Ejecutamos el limpiador y esperamos resultados (imagen 2).

Imagen 1

¿Qué hago si el sistema no queda limpio?

Si nuestro sistema está tan infectado que no permite la eliminación de todos los archivos nocivos, podes usar la herramienta “CD de Rescate” que la web pone a nuestra disposición.

Paseamos por la Deep Web

Tor y la web profunda

El Internet guarda mucha información pero no podemos ver todo lo que podría haber, como si nos encontráramos con un iceberg.

Al igual que los témpanos que se desprenden de los glaciares, sólo el 10% de la red que llamamos "Internet" es visible para el público en general. Escondido debajo de la línea de flotación virtuale se encuentra una red oscura y secreta conocida como la Web profunda. No indexados por los motores de búsqueda, y accesible sólo con los navegadores especiales como The Onion Router (Tor), la Web profunda se compone de peer-to-peer conexiones, lo que permite a los usuarios compartir archivos directamente (y secreto).

The Deep Web

Tiene un fuerte atractivo para defensores de la privacidad, que han tomado ventaja de la falta de seguimiento para proteger su anonimato de los anunciantes y funcionarios por igual. Denunciantes como Edward Snowden, utilizó la Web profunda para recoger gran parte de la información que lo llevó a una controversia en todo el mundo, y los periodistas de todo el mundo vienen a confiar en ella como una alternativa más segura a la web pública en la búsqueda de información sensible o peligrosa.

Pero el secreto de la red también se ha convertido en un refugio para los criminales de diversas bandas, el tráfico en todo, desde las drogas ilegales a la pornografía infantil. La Ruta de la Seda, un mercado online impulsada por moneda Internet Bitcoin, dominó los titulares en 2013 cuando las autoridades tuvieron éxito en apagarlo. El sitio tenía una reputación como de salida al destino para la venta de drogas ilícitas (incluyendo miles de listados de heroína, cocaína y metanfetaminas).

Empresas como AT & T, con ganas de opinar, pista, y la actividad de control dentro de sus fronteras difusas, están trabajando sin descanso para llevar la luz a los rincones de la Web profunda. Los funcionarios gubernamentales y los organismos encargados de hacer cumplir la ley, preocupados por la piratería, el tráfico ilegal, y las fugas, están en la posición extraña de tratar a la policía con el mismo 'n' inframundo que dependen para sus propias operaciones clandestinas. Pero los escándalos, secretos y vagadores siempre encontrarán su camino a las partes shadowiest de la Web, y si bien el futuro de la Web profunda puede ser tan turbia como sus enredos que  parecen laberintos, es seguro que siendo parte de la tradición de Internet en los próximos años siga estando.

Transcripción: Todo lo que tenes que saber sobre el Tor y The Deep Web

Podes pensar que el Internet es una enorme fuente de información, pero en realidad lo que la mayoría de nosotros vemos es sólo un eslabón en una larga cadena de sitios web de subterráneos y el contenido no se ve.

¿Cuál es la Web profunda?

En pocas palabras, es la parte de la Internet que se oculta a la vista.

Web de superficie

• 4% de contenido WWW
• También conocida como la 'Web Visible', es el contenido que se puede encontrar el uso de motores de búsqueda como Google o Yahoo. Es bajo vigilancia constante por parte del gobierno.

Red profunda

• 96% de contenido de Internet
• También conocida como la 'Web Invisible', es el contenido que no puede ser indexado por los motores de búsqueda. Y es difícil seguir la pista.
• The Deep Web se estima que es al menos 500 veces el tamaño de la Web de superficie.

¿Cómo se puede acceder a ella?

Al utilizar la Web de superficie, se accede a los datos directamente de la fuente.

Este enfoque directo rastrea la información descargada, desde dónde y cuándo se accedió, y su ubicación exacta.

Información 

Sobre la Web profunda no se puede acceder directamente. Esto se debe a que los datos no se lleva a cabo en una única página, sino más bien en las bases de datos, lo que hace difícil a los motores de búsqueda para indexar.

Los archivos se comparten a través de cualquier número de ordenadores conectados a Internet que tienen la información que necesita. Esto se conoce como redes peer-to-peer.

Con el fin de tener acceso a la Web profunda, es necesario utilizar un navegador dedicado. TOR (The Onion Router) es el más comúnmente utilizado, pero otras opciones como I2P y Freenet ofrecer una solución alternativa.

Este método de intercambio cifrado de datos hace que sea difícil para su ubicación y el tipo de información permite acceder, a realizar un seguimiento o vigilancia.

¿Es legal?

Sí. Se utiliza como lo haría con cualquier otro navegador de Internet. Muchas personas están empezando a usar TOR como una manera de mantener su privacidad mientras que está en línea.

¿Quién más lo utiliza?

Militar

La policía y unidades del crimen

Periodistas

Los denunciantes

Edward Snowden

Julian Assange

Debido al anonimato que ofrece TOR, la Web profunda también se ha convertido en un lugar de anidación popular para la actividad delictiva. Esto incluye cosas tales como:

Drogas

Armas de comercio

La pornografía infantil

Sicarios

Aunque hay grupos, en la Web profunda pretenden ofrecer este servicio, no ha habido ninguna prueba legítima de su existencia.

La influencia de Bitcoin

La Ruta de la Seda se convirtió en un sitio web, popular en la Web profunda. Conocido también como el "eBay de las drogas", es un lugar para comprar y vender cosas - pero las drogas ilegales, principalmente.

Esto fue posible gracias a la utilización de Bitcoin, una moneda virtual que hace uso del sistema de cifrado peer-to-peer.

Bitcoin permite a los usuarios realizar transacciones comerciales de forma anónima. Esto ha permitido que algunos usuarios de la moneda de participar en actividades ilegales.

2006

Primero Bitcoin cotizaba

2011

ENERO - Ruta de la Seda fundada por el usuario 'temible pirata Roberts

Febrero - Bitcoin triplica su valor

Junio ​​- US Senado investiga vínculo entre Bitcoin y Ruta de la Seda

Noviembre - Bitcoin pierde más del 90% de su valor

2013

Octubre - FBI localizar y arrestar a la persona acusada de ser la 'temible pirata Roberts. Ruta de la Seda se apaga.

Noviembre - Silk Road 2,0 fundada

Bitcoin se triplica en valor 

Bitcoin 

Es conocido por ser una moneda volátil, a pesar de que su valor tiene en promedio un aumento constante desde sus inicios, es propenso a grandes fluctuaciones en el valor percibido.

Más de $ 1 mil millones del valor de los bienes fueron vendidos en la ruta de la seda antes de que fuera cerrado.

Puede haber una gran cantidad de información en la Web profunda, pero hay que tener cuidado con lo que se busca. Al igual que Alice - cuando más profundo vayas, más problemas podrían encontrarse.