En seguridad informática, el peligro no es la amenaza anunciada

El mes pasado se informó de la aparición de un nuevo gusano, al que se le denominó Tearec.A. Este gusano desactiva la función de protección de algunos programas antivirus, e intenta borrar ficheros del sistema. Una de las funciones que incorpora este gusano es la de llevar la cuenta de las máquinas que ha infectado, mediante un contador alojado en una página web.

Las cifras que aparecen en este contador son realmente espectaculares. En el momento de escribir esto, más de 700.000 ordenadores habían recibido la desagradable visita del Tearec.A, lo que ha provocado una considerable alerta en numerosos entornos.

A esta cifra tan alta, se unía el hecho de que el gusano Tearec.A borraría ficheros el día 3 de febrero, y en los meses sucesivos, todos los días 3. En cuanto se piensa en una activación en un determinado día, se resucitan los fantasmas de otros virus que también esperaban a un determinado día para actuar, desde Viernes 13 o Michelangelo, en la prehistoria de los virus informáticos hasta los más recientes, como algunas variantes de Netsky.

Sin embargo, todo este temor y la alerta producida no deberían ser tantos. Cierto es que Tearec.A ha pasado por cientos de miles de máquinas, como el contador atestigua, pero eso no quiere decir que ese número de máquinas esté realmente esperando a que llegue el día 3 de cada mes para destruir los documentos del usuario. Simplemente, quiere decir que ha pasado, ya que en muchos, muchísimos casos, los usuarios han podido detectar y eliminar a tiempo el código malicioso. Aunque en el contador siga figurando una máquina como infectada, el usuario ha dejado el sistema limpio y no se verá afectado en absoluto por Tearec.A el dia 3.

El principal peligro de las amenazas informáticas como Tearec.A no es que vayan a destruir la información almacenada en los sistemas un determinado día: lo realmente preocupante es qué hace con la información el mismo día que se ha infectado la máquina. Si en lugar de ser un gusano tan simple como es Tearec.A hubiera sido un bot, por ejemplo, el creador del bot podría haber dispuesto de 700.000 máquinas a lo largo de una semana para llevar a cabo distintas acciones, desde la más simple como el envío del spam hasta otras que podrían ser delitos, como una denegación de servicios contra otra empresa, o un ataque de phishing, o un robo de contraseñas…

La perspectiva de la protección de un sistema no puede seguir orientándose a la idea de que “mañana se activa tal virus”, sino a que “hoy me están robando”. Los sistemas de protección reactiva, es decir, los que actúan una vez que la infección se ha producido, tal y como son los basados en ficheros de firmas, no pueden utilizarse de la misma manera que hace un tiempo. Son los más efectivos ante código conocido, pero tal y como se encuentra la situación de la seguridad informática actual, necesitan un complemento que no dependa del tiempo de reacción de la firma fabricante del antivirus. El tiempo de reacción es un lujo, aunque sea muy bajo, para los objetivos que pretenden los creadores de código: robar.

Los sistemas deben estar protegidos de manera que aunque el usuario sea el primer afectado por un código malicioso en su sistema, la protección pueda detectar que algo raro está pasando y pueda avisar de la peligrosidad de un determinado mensaje, o un proceso que intente llevar a cabo acciones peligrosas.

Está en juego algo mucho más importante que media docena de documentos de texto, hoy los creadores de código malicioso no son más que delincuentes con su sistema como campo de juegos. ¿Le sigue preocupando el día 3 de cada mes? Preocúpese por lo que le puede pasar en unos minutos y protéjase preventivamente.