Un perverso mensaje de Amor

¿Quién podría resistirse a leer una carta de amor?.

i_love_bug
Logos for the Badlock, Spectre and Heartbleed computer bugs. ILLUSTRATION: WSJ

Hoy en día los usuarios somos cada vez más conscientes de los peligros que podemos tener dentro nuestra bandeja de entrada, pero hace 18 años las cosas no eran iguales; la información y educación que teníamos sobre ciberseguridad era mínima y por supuesto no teníamos idea de lo que una simple “carta de amor” podría hacerle a nuestro ordenador y nuestros archivos, pero todo cambio el 4 de Mayo del año 2000 cuando Reonel Ramones filtró el virus “I Love You” en la red.

I love you apareció en Hong Kong y tardó sólo cinco horas en propagarse por los ordenadores de Asia, Europa y América a través del correo electrónico.

¿Cómo funcionaba?

El virus se propagaba de 3 distintas formas: como archivo adjunto de correo electrónico, transferencia de archivos de chats en línea y unidades compartidas de red. Pero sin duda fueron los correos electrónicos los que más ayudaron a su propagación, ya que al abrir el archivo, este se reenviaba a las direcciones de correo electrónico que se encontraban en la computadora de la víctima. Según una estimación, infectó a unos 45 millones de usuarios en al menos 20 países, lo que representó por lo menos el 10% de los equipos a nivel mundial de aquella época. Algunos de los afectados fueron El Pentágono, la CIA, el Parlamento Británico, Time Warner , la Lotería de Florida, entre muchas otras empresas públicas y privadas.

virus_I_love_you-641x330

El virus estaba contenido en un script VBS.  Una vez que se ejecutaba el script, el programa reemplazaba cada archivo que terminación  .vbs, .vbe, .js, .css, .wsh, .sct, .hta, .jpg, .jpeg, .mp2 y .mp3 con una copia de sí mismo. Adicionalmente descargaba un troyano llamado “WIN-BUGSFIX.exe”. El troyano se agregaba al registro del sistema eliminando las claves del registro, ocultando las contraseñas; ya fueran del caché de la máquina o las que el usuario utilizó para iniciar sesión y las reenviaba al creador del virus. Finalmente, el virus enviaba una copia de sí mismo a cada contacto en la libreta de direcciones de Microsoft Outlook del usuario.

Si bien el virus era muy perjudicial y malicioso por su propia naturaleza, no se puede negar que el usuario era quien ejecuta el script en la computadora. Por lo tanto, un usuario más prudente probablemente no se habría infectado con el virus. Aunque hoy en día es de conocimiento común que si un correo electrónico parece sospechoso (incluso si es de un amigo) y hay un archivo adjunto, no debes abrir dicho correo electrónico y mucho menos descargar el archivo.

wannacRY

Sin embargo, aún existen usuarios que por desconocimiento y descuido siguen ejecutando este tipo de archivos maliciosos, tal fue el caso del ransomware WannaCry, que hace casi un año, el 12 de mayo del 2017 puso de cabeza el mundo. Desafortunadamente el antivirus tradicional basado en firmas no puedo hacerle frente a este tipo de amenazas, ya que nos deja vulnerables a los famosos ataques de “Día Cero”. Pero existe un nuevo enfoque de ciberseguridad que aborda todas las deficiencias de los métodos antiguos usando inteligencia artificial y aprendizaje automático. Tal es el caso de los productos de la empresa Cylance,  los cuales de inmediato encuentra y bloquean el malware, incluso siendo amenazas de día cero, con una efectividad del 99.1%, permitiendo a las organizaciones protegerse contra estos ataques sin la necesidad de firmas, evitando que el usuario logré ejecutar este tipo de archivos.

Pero recuerda “que no hay nada más cruel que fingir amor, ni nada más canalla que ilusionar un corazón”, así que no te fíes, ni te crees falsas ilusiones… ningún correo con una carta de amor adjunta puede ser una buena señal.

En ADV integradores y consultores estamos a su disposición para apoyarlos en evaluar los riesgos particulares de su empresa y definir en conjunto un plan que incremente su postura de seguridad.

 

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s