Durante unas fiestas navideñas observé con curiosidad un gigantesco árbol de Navidad erigido en medio de la plaza de una ciudad, adornado con enormes bolas de diferentes colores. Lo que llamó mi atención fue que día a día iban desapareciendo las bolas: primero las situadas a menor altura, luego las colgadas a alturas superiores, hasta que en una semana el proceso se detuvo alrededor de los dos metros y medio. Se había alcanzado la estatura máxima de la población (con el brazo alargado, claro). Esta anécdota nos enseña importantes lecciones para la seguridad y la gestión del riesgo:
1) Primero se roba el fruto que cuelga más bajo, porque está al alcance de cualquiera, incluso de los niños.
2) El fruto que cuelga a mayor altura que la estatura máxima de la población queda a salvo, excepto si el ladrón está muy determinado y decide exhibir todos sus recursos: utiliza por ejemplo una escalera.
3) Si quieres proteger un fruto igual a los demás, asegúrate de colgarlo a mayor altura que el resto.
Si nuestros equipos domésticos fueran bolas de Navidad, ¿cuáles serían los primeros en sucumbir ante ataques de ciberdelincuentes y malware? Obviamente, los que no implantan ninguna medida de seguridad, es decir, los que cuelgan tan bajos en el árbol de Internet que hasta un niño puede alcanzarlos. Nunca perdamos de vista que nuestro ordenador es víctima de ataques indiscriminados que buscan explotar vulnerabilidades conocidas en millones de ordenadores. Nunca seremos el blanco de un ataque determinado dirigido específicamente contra nosotros.
Nuestro objetivo debe ser por tanto elevar el listón de seguridad a una altura tal que nuestro ordenador quede por encima del nivel medio de los ataques, de manera que exija unos conocimientos avanzados para ser atacado más allá de las técnicas automáticas utilizadas para comprometer ordenadores domésticos. No se trata de volverse invulnerable frente a todo tipo de ataques, vana y cara ilusión, sino de quedar fuera del alcance de ataques de crackers y malware típicos.
En concreto, se mencionarán las tres medidas de seguridad básicas que no pueden faltar en ningún ordenador doméstico conectado a Internet, las cuales permitirán elevar drásticamente y sin ningún esfuerzo el nivel de seguridad:
1) Cortafuegos.
2) Antivirus.
3) Actualizaciones de seguridad.
1. Cortafuegos
El cine de Hollywood nos ha enseñado que durante la Edad Media se protegían las poblaciones mediante un alto muro de piedra, con un único punto de entrada custodiado por guardias armados, los cuales examinaban a los que querían entrar o salir y decidían quién pasaba y quién no según las instrucciones que hubieran recibido del señor feudal. En el mundo informático, este tipo de protección se denomina seguridad perimetral, en la medida en que busca salvaguardar los equipos informáticos dentro de un perímetro, como por ejemplo el hogar.
Hoy resulta común encontrar hogares con varios equipos conectados en una pequeña red doméstica, normalmente inalámbrica: ordenadores de sobremesa, portátiles, PDAs, videoconsolas, discos duros multimedia, etc. Los cortafuegos, también conocidos como firewalls, sin ser la panacea de la seguridad informática, actúan como un muro de protección erigido entre nuestra red interna e Internet. Su misión fundamental consiste en aislar de Internet a los equipos de casa, restringiendo el acceso hacia/desde la red doméstica sólo al tráfico inofensivo.
Del mismo modo que una muralla con su foso no protegía a una ciudad frente a todo tipo de amenazas, tampoco protegerá un cortafuegos frente a todo tipo de ataques informáticos. A pesar de ello, constituye un elemento esencial en la defensa de todo sistema informático, incluidos los domésticos, ya que eleva el listón de las habilidades requeridas por un ciberatacante para penetrar en un sistema así defendido. Por así decirlo, hace que nuestra bola de Navidad quede mucho más alta en el árbol.
1.1 Una mirada al funcionamiento interno de los cortafuegos
Para entender cómo funcionan los cortafuegos se requiere conocer previamente algunos detalles de los entresijos de las redes de ordenadores. A todos los equipos conectados en una red se les asigna una dirección IP, algo así como el número de teléfono que permite llamar y recibir llamadas. Para que dos ordenadores se comuniquen entre sí, resulta imprescindible que conozcan sus direcciones IP respectivas.
Un ordenador puede ofrecer varios servicios desde Internet:
- Un servidor web ofrece páginas web para navegar por ellas.
- Un servidor de correo ofrece la posibilidad de descargar el correo recibido.
- Un servidor de archivos ofrece archivos para su descarga.
Cada uno de estos servicios se presta en un puerto determinado, identificado por un número fijo. Estos números de puerto funcionan de manera parecida a cuando sintonizamos una emisora de radio o una cadena de TV: cada estación de radio tiene asignado su propio dial del mismo modo que cada canal de TV tiene su propia frecuencia. Igualmente, cada servicio de Internet se ofrece en un número de puerto fijo.
Por consiguiente, para conectarse a un servidor habrá que especificar tanto su dirección IP como el puerto en el que se facilita el servicio deseado. Algunos ejemplos de números de puerto típicos son: el 80 para la navegación web (HTTP), el 25 para enviar correos (SMTP), el 110 para leerlos (POP3), el 21 para transmitir archivos (FTP), etc.
Otra característica del tráfico de red es que la información se agrupa en pequeños paquetes de unos y ceros, sin importar si se trata de un documento en PDF, una página web o una fotografía. Es como si quisiéramos mandar un libro a un amigo por correo postal y sólo dispusiéramos de sobres pequeños en los cuales no cabe. Podríamos dividir el libro en pequeños paquetes y mandarlos individualmente, numerados en orden, cada uno en su propio sobre. Podrán llegar en cualquier orden, pero el destinatario será capaz de reordenarlos y recuperar así el libro original.
Del mismo modo, para poder transmitir la información por Internet ésta se secciona en pequeños paquetes los cuales se envían secuencialmente hasta el receptor, donde son reconstruidos en el orden adecuado. Como si fuera el membrete de una carta, cada paquete de Internet posee una cabecera con la información de la dirección IP y puerto al que va destinado, así como con la dirección IP y puerto de origen. Estas cabeceras constituyen la información fundamental utilizada por los cortafuegos para decidir si un paquete pasa o no pasa.
Veámoslo con un ejemplo. Al solicitar una página a un servidor web, nuestro navegador usará un número de puerto de origen aleatorio, pongamos que el 1100. Este número de puerto se conserva durante toda la sesión de navegación. El navegador establecerá una conexión con el puerto 80 del servidor al que mandará las peticiones, mientras que las respuestas llegarán fragmentadas en paquetes. Gracias a que tras el primer paquete que le llega procedente de nosotros el servidor conoce nuestra dirección IP y nuestro número de puerto, podrá devolvernos las páginas web pedidas durante el curso de la navegación.
Por lo general, un cortafuegos doméstico debería bloquear el acceso a todos los puertos de entrada, es decir, no permitirá que ningún equipo de fuera pueda iniciar una conexión con un equipo de dentro. El único tráfico de entrada permitido es el iniciado desde dentro: como en el ejemplo, al pedir una página web el cortafuegos permitirá al servidor web devolvernos la página solicitada. Normalmente, esta configuración resulta más que suficiente para equipos domésticos, ya que no es frecuente que ofrezcan servicios al exterior, tales como web, correo, chat, etc. No obstante, existen algunas excepciones como determinados juegos en red, ciertas aplicaciones de videoconferencia o las redes de intercambio de archivos tipo eMule. En todos estos casos será necesario abrir al exterior los puertos correspondientes en el cortafuegos.
1.2 Los dos tipos de cortafuegos ideales para el hogar
Los cortafuegos adecuados para el entorno doméstico pueden ser de dos tipos:
1) Software: También conocidos como cortafuegos personales, son programas que se instalan en todas las máquinas que se desean proteger con ellos. Todos los sistemas operativos en uso hoy en día en el hogar incorporan un cortafuegos personal que viene activado de manera predeterminada. Este tipo de cortafuegos está presente en las distintas versiones de Windows, tales como XP, Vista, 7; en Mac OS X; y en los distintos sabores de Linux, como el popular Ubuntu. Además de los incorporados de fábrica, existen numerosas empresas de seguridad que ofrecen cortafuegos personales semejantes, normalmente con superiores prestaciones y funciones adicionales. Se comercializan bien como productos independientes o bien formando parte de una suite de seguridad. Una buena noticia es que existen cortafuegos personales de gran calidad gratuitos para el usuario doméstico, como ZoneAlarm, COMODO Internet Security o Sunbelt Personal Firewall y, por supuesto, otros muchos más de pago.
2) Hardware: Se instalan típicamente en el punto de conexión a Internet y protegen a todos los equipos detrás del mismo. Los routers ADSL o cable proporcionados por la compañía de acceso a Internet vienen equipados con un cortafuegos. La configuración predeterminada estándar deniega el acceso desde el exterior para todo tipo de tráfico, obligando a abrir puertos en caso de ser requerido. Se trata de una resolución conservadora y, por tanto, adecuada. Sin importar cuántos equipos convivan dentro del hogar, todo el tráfico que generen se verá forzado a pasar por el cortafuegos, como si de un puente levadizo se tratase, con lo que todos ellos se verán convenientemente protegidos. Existen cortafuegos hardware de grandes prestaciones, pero tanto sus capacidades como su precio exceden las necesidades de un hogar común.
1.3 Estrategia de uso de cortafuegos en el hogar
Ambos tipos de cortafuegos, software y hardware, no son mutuamente excluyentes, sino que pueden y deben coexistir para mayor seguridad.
Si la conexión a Internet se realiza a través de un router ADSL o cable, entonces éste bloqueará todo tráfico dirigido hacia el interior. Conviene consultar el manual de instrucciones del router o pedir asesoramiento a la compañía de telecomunicaciones que presta el servicio de Internet para aprender cómo se configura el filtrado de paquetes y para aprender a abrir y cerrar puertos en caso de que se necesite.
Complementando esta primera barrera de protección, conviene además tener instalado un cortafuegos personal en todo equipo capaz de incorporar uno, como PCs de sobremesa o portátiles. El motivo es que el router típicamente se limita a bloquear el tráfico de entrada, pero no el de salida, mientras que los cortafuegos personales pueden ayudar a bloquear también el tráfico de salida generado por la actividad malintencionada del malware. Estos cortafuegos pueden detectar y bloquear los intentos de conexión por parte de troyanos y gusanos hacia el mundo exterior y, en general, pararles los pies a los ciberatacantes.
Se recomienda activar siempre el que acompaña al sistema operativo o, para los espíritus intrépidos, probar incluso alguno de los gratuitos. Son fáciles de configurar, consumen escasos recursos e idealmente deben dar poco la lata. No hay nada más incómodo que pequeñas ventanas de alerta que nos detienen a cada paso solicitando permiso para cualquier acción. Se trata por tanto de encontrar el equilibrio entre comodidad y seguridad.
2. Antivirus
La mejor línea de defensa contra el malware la constituye un buen antivirus. Este tipo de software ha ido evolucionando en los últimos años hasta incluir diversos componentes de seguridad más allá de la lucha contra los virus. Actualmente, los antivirus suelen comprender además del antivirus propiamente dicho herramientas anti-spyware, filtrado anti-spam, protección contra phishing, control de contenidos, cortafuegos personal, etc. De hecho, se comercializan muchos productos no como simples antivirus sino como suites de seguridad.
Sin perder de vista la definición de malware vista en el Cap. 2, el software antivirus debería protegernos como mínimo de virus, gusanos y troyanos. El resto de protecciones pueden o no estar presentes, pero no se considerarán en este capítulo, sino en el siguiente, ya que no son tan graves como el malware.
2.1 Cómo funcionan los antivirus
Todo programa antivirus incluye un motor de escaneo, encargado de buscar malware en el disco duro del ordenador o en el tráfico procedente de Internet. Para saber qué es malware y que no, los antivirus cuentan con una inmensa lista de firmas. Cada ejemplar de virus posee una firma única, algo así como su huella dactilar que lo identifica y distingue de los demás. El antivirus busca en cada archivo escaneado coincidencias con alguna firma de la lista y en caso afirmativo la muestra se etiqueta como virus.
Dado que se crean nuevos virus cada día, se necesita mantener las listas de firmas constantemente actualizadas. A pesar del titánico esfuerzo realizado por las casas antivirus, el ritmo de creación de malware es tan fabuloso que resulta imposible crear una firma para cada virus existente. Por este motivo, los antivirus también utilizan heurísticas: un proceso por el cual la información acerca de virus ya conocidos permite identificar como malware el comportamiento sospechoso de ciertos programas a pesar de no poseer una firma específica para ellos.
El problema de las heurísticas y otras formas de detección de virus desconocidos es que originan muchos falsos positivos. Se llama falso positivo a una falsa alarma, es decir, cuando el antivirus etiqueta como malware a un fichero inocente, igual que en el cuento, cuando Pedrito grita que viene el lobo, pero no es así. El inconveniente de los falsos positivos es que si crece su número se termina perdiendo confianza en la capacidad de detección del antivirus, como le ocurrió a Pedrito ante los aldeanos.
Los programas antivirus efectúan el escaneo de archivos en busca de malware de varias formas:
- Al vuelo o en tiempo real: Constituye la principal barrera contra el malware, ya que el escaneo se está realizando continuamente entre bambalinas sin nosotros percatarnos de nada cada vez que abrimos un archivo o usamos Internet para navegar o abrir un adjunto recibido por correo electrónico.
- Planificada: Ayuda a comprobar que no se hayan colado virus en el ordenador. Se configura el programa antivirus para que periódicamente escanee todo el disco duro en busca de malware que pudiera habérsele pasado al escaneo en tiempo real, por ejemplo porque todavía no estaba actualizada su firma. Suele planificarse como mínimo una vez a la semana. Debido a que puede exigir mucho tiempo y consumo de recursos, mejor programarla para la noche, a horas en que no se espera utilizar el ordenador.
- Manual: Es semejante a la periódica, pero iniciada a voluntad por el usuario. El escaneo puede extenderse a todo el disco o sólo a una parte: un directorio o incluso un único archivo.
2.2 Software de antivirus siempre al día
El software antivirus debe mantenerse siempre actualizado y funcionando. Un antivirus cuyas firmas no se actualizan vale tanto como no tener ninguno. La mayoría de ordenadores recién adquiridos vienen con un antivirus preinstalado, normalmente con una suscripción de alrededor de 90 días, suficiente para que cuando caduque nos hayamos acostumbrado a él y no podamos vivir sin su compañía. Cuando expira la licencia, el antivirus puede continuar operativo, pero si no se actualizan las firmas, ya no vale para maldita la cosa. ¡Hay que actualizar las firmas!
Al frenético ritmo de crecimiento de virus, las actualizaciones de firmas deberían realizarse diariamente. A la hora de elegir un producto antivirus prestaremos especial atención a la facilidad y frecuencia de actualización. Los hay con actualizaciones automáticas programadas cada pocas horas.
2.3 Cómo elegir un antivirus
Existen varios productos totalmente gratuitos y que actualizan automáticamente sus firmas, lo cual los convierte en un excelente punto de partida para familiarizarse con este tipo de software si no se quiere gastar dinero: AVG Anti-Virus Free Edition, BitDefender 10 Free Edition, Avira AntiVir Personal Edition, avast! 4 Home Edition, Malwarebytes’ Anti-Malware, Panda Cloud Antivirus, Microsoft Security Essentials.
También existen versiones en línea de los antivirus, como las que ofrecen Panda, Trend Micro, McAfee, Norton y otros.
Por último, existe una larga lista de productos antivirus de pago. La recomendación es utilizar siempre un producto comercial de una casa de reconocido prestigio. Del mismo modo que si vas a escalar no comprarías una cuerda barata de segunda mano en un mercado callejero porque está en juego tu vida, si valoras tus datos y la seguridad de tu información, no renunciarás a un buen antivirus. Los precios para el mercado residencial son totalmente asequibles.
Para el usuario doméstico, la característica más importante que debe poseer un antivirus por encima de cualquier otra es su facilidad de uso y configuración. Otro punto de interés a tener en cuenta es el consumo de recursos. El hecho de tener un programa escaneando continuamente el disco duro y analizando el comportamiento de los programas puede ralentizar considerablemente la velocidad del ordenador.
No hay que olvidar el tipo de servicio postventa prestado por el fabricante. Si de algo puedes estar seguro es de que antes o después tendrás un problema causado por malware. Aquí es donde un buen soporte al cliente vale su precio en oro. De hecho, un buen antivirus vale más que su precio en oro. Desde el momento en que detenga el primer virus ya habrá devuelto la inversión.
Por último, una nota de cautela. En palabras de los técnicos de VirusTotal, servicio online de análisis de archivos sospechosos que permite detectar virus, gusanos, troyanos y malware en general:
“No existe solución en el mundo que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general. Si le ofrecen un producto con el 100% de efectividad, está siendo víctima de publicidad falsa.”
3. Actualizaciones de seguridad
Cuando era niño, si me hacía un agujero en un pantalón, mi madre le ponía un parche y yo seguía usándolo. Con el tiempo, parche a parche, mis pantalones favoritos de los cuales no quería desprenderme terminaban exhibiendo rodilleras, culeras y remiendos en otros rincones.
Continuamente se descubren fallos de seguridad en los sistemas operativos, es decir, agujeros por los que pueden colarse los ciberatacantes y el malware. Los fabricantes de software se esfuerzan por mantener sus productos continuamente actualizados, publicando parches que corrijan los errores de seguridad detectados. A pesar de la extensa cobertura mediática de los fallos en Windows, en todas las casas cuecen habas: en todos los sistemas operativos, incluidos los Mac y los derivados de Linux, continuamente se descubren agujeros de seguridad serios. Por si fuera poco, en los distintos programas y aplicaciones, desde los distintos navegadores hasta las aplicaciones ofimáticas o los productos de Adobe, aparecen de tiempo en tiempo graves vulnerabilidades que pueden ser explotadas por atacantes para tomar control total de las víctimas afectadas.
Los distintos fabricantes publican los parches de manera periódica o en respuesta a grandes problemas de seguridad: son como los parches para ir planchando sobre el pantalón cada vez que aparece un nuevo agujero. Por lo general, al poco tiempo de publicarse un parche y a veces incluso antes de que se publique, el agujero que soluciona será explotado por ciberatacantes o malware para comprometer los equipos que no lo hayan parcheado. Por tanto, es fundamental anticiparse a los ataques y parchear cuanto antes.
Con el fin de facilitar la vida a los usuarios, los sistemas operativos, ya sea Windows, Mac o Linux, permiten configurar la búsqueda, descarga e instalación automáticas de actualizaciones de seguridad. Estar al día constituye un requisito fundamental para conservar una oportunidad de sobrevivir en el mundo rápidamente cambiante de Internet. Al igual que un pantalón puede estar nuevo hoy, pero con el uso dejará de estarlo mañana, que nuestros equipos estén seguros en un momento dado no significa que lo seguirán estando en el futuro. La seguridad exige un esfuerzo continuo de actualización.
Del mismo modo, gran parte del software que se ejecuta sobre el sistema operativo ofrece formas sencillas de actualizarse: navegadores, clientes de correo, productos de Adobe, el motor de Java, reproductores multimedia, etc.
Debemos consultar la ayuda de nuestro sistema operativo y de los programas que utilizamos para informarnos acerca de la política de actualizaciones del fabricante, de si es posible configurar actualizaciones automáticas y cómo hacerlo. Mejor no depender de nuestra diligencia, sino que nuestro software se actualice solo en cuanto el fabricante publique nuevos parches.
Resumen
¿Quieres que tu ordenador esté a salvo de ciberatacantes, virus, gusanos y troyanos? Muy fácil: no lo conectes a Internet ni instales software ni cargues ningún tipo de archivo desde una memoria USB o desde un CD. Sólo un ordenador completamente aislado del mundo exterior puede estar seguro y aun así no me atrevería a poner la mano en el fuego. Pero ¡qué aburrido! Un ordenador así no nos resultaría de mucha utilidad.
Afortunadamente, podemos alcanzar un término medio: cortafuegos, antivirus y actualizaciones de seguridad aportan protección suficiente para conectar nuestros equipos a Internet con confianza. Estas tres medidas de seguridad son absolutamente imprescindibles y deben ser implantadas por todo tipo de usuario.
Extracto de la obra Cómo protegernos de los peligros de Internet. Los Libros de la Catarata, 2009.
Más información: Protegernoseninternet.com