Registradores de teclas personalizados como instrumento de ciberdelincuencia: demasiado fáciles de hacer y usar

En solo un par de años, los usuarios de computadoras hemos aprendido mucho sobre las amenazas en línea. No es necesario explicar qué significa «software espía», todos lo sabemos. ¿O nosotros?

Si el software recopila información sin el conocimiento de los usuarios y la transmite, dicho programa generalmente se etiqueta automáticamente como «software espía», sin importar cuán valiosa sea esta información. Puede ser un código relativamente inocuo para recopilar los hábitos de navegación de los usuarios, o un software extremadamente peligroso creado especialmente para el monitoreo no solicitado y la comisión de delitos cibernéticos como el robo de identidad o el espionaje.

En la clasificación de SpyAudit, estos últimos se denominan Monitores de sistema. Aquí pertenecen programas como keyloggers y programas basados ​​en keyloggers más avanzados, que pueden interceptar no solo las pulsaciones de teclas, sino también capturar texto de las ventanas de la aplicación y el contenido del portapapeles, hacer capturas de pantalla, en otras palabras, todo lo que hace. Este es un tipo particular de software creado especialmente para robar información valiosa.

«Ha habido una ola reciente de herramientas de monitoreo de sistemas disfrazadas de archivos adjuntos de correo electrónico o productos de software gratuitos», advierten los expertos. (ver http://www.earthlink.net/spyaudit/press/) Los registradores de teclas pueden estar ocultos en virus o incluso deslizarse en una PC mientras un usuario visita algún sitio web.

Los usuarios nos hemos vuelto más inteligentes y tratamos de proteger nuestros datos. Se crean una gran cantidad de programas para contrarrestar el software espía. Entonces, ¿por qué está floreciendo el robo de datos? Lamentablemente, los «medios de defensa» están, como suele suceder, medio paso por detrás de los «medios de ataque».

En términos generales, la mayoría de los programas anti-spyware funcionan así: escanea el sistema operativo en busca de fragmentos de código sospechosos. Si el programa encuentra alguno, compara estas piezas sospechosas con fragmentos de código (se llaman firmas), que pertenecen a programas espías ya detectados y «capturados». Las firmas se guardan en la denominada base de firmas, la parte inseparable de cualquier programa anti-espía. Cuantas más firmas contenga, más spyware detectará dicho programa, por lo que su PC estará protegida de forma más eficaz. Siempre que actualice su software anti-espía con regularidad y el sistema no encuentre algún producto de software espía desconocido, todo estará bien.

El problema es que algunos keyloggers están escritos para usarse solo una vez. Estos keyloggers «hechos a medida», o deberíamos decir «hechos a medida», son extremadamente peligrosos, porque nunca serán detectados con el software anti-espía existente que utiliza bases de firmas.

El software de registro de teclas es relativamente simple y no demasiado difícil de compilar. Incluso un programador de computadoras promedio puede escribir un registrador de teclas simple en un par de días. Una más sofisticada llevará más tiempo hacerla, por supuesto, pero no demasiado. Los piratas informáticos a menudo compilan el código fuente de varios keyloggers (es fácil encontrarlos en la Web, para aquellos que saben dónde buscarlos) y obtienen uno nuevo con una firma desconocida aún más rápido. Si un keylogger puede instalarse de forma remota sin el conocimiento de la víctima, le da al hacker una gran posibilidad de robar cualquier información que le plazca.

Sin embargo, ahora la mayoría de los proveedores de antivirus y antispyware proclaman que, junto con las bases de firmas, aplican algoritmos heurísticos para detectar software espía. Significa que sus productos ahora pueden atrapar más «espías» de los que contienen sus bases de firmas. Para verificarlo, los expertos de Information Security Center Ltd llevaron a cabo recientemente una prueba simple.

La prueba simuló una situación en la que un ladrón aplica un registrador de teclas hecho a medida compilado a partir del código fuente disponible gratuitamente (!) En Internet. Los probadores hicieron lo que un ladrón con un poco de habilidad en programación puede hacer fácilmente: tomaron el código fuente de Internet y compilaron 9 registradores de teclas. Luego, estos «espías de prueba» se utilizaron para comprobar si los programas antiespía de fama mundial detectan algo. Los resultados resultaron ser impactantes: 28 de los 44 productos de software antivirus y antiespía no pudieron hacer nada, no detectaron ninguno. 10 productos administrados solo 1 espía de 9; 5 programas capturaron solo 2 de 9. El único producto que bloqueó a los 9 espías fue una solución dedicada anti-keylogging basada únicamente en algoritmos heurísticos sin base de firmas.

Para leer más sobre esta visita de prueba [http://bezpeka.com/en/lib/antispy/art2869.html]

No utilizar el análisis de la base de firmas en absoluto es una tendencia relativamente nueva en el desarrollo de software. Este enfoque es bastante prometedor; significa que un producto anti-keylogging tan dedicado – ya existe – puede contrarrestar incluso a los espías hechos a medida.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *