Aunque existen muchas personas que no se inmutan ante el anuncio de que tienen un código malicioso en la PC donde laboran, es necesario recordar que es esta la causa de mayor incidencia en la pérdida de información a nivel planetario.
Es conveniente conocer qué hacer para enfrentar una contaminación por códigos malignos y para ello se mostrará que procedimiento seguir desde el punto de vista de la informática forense.
Ante una queja de que la PC se ha puesto lenta, hay que descartar en primer lugar si la razón está en el nivel de utilización de sus potencialidades a partir de conocer la cantidad de aplicaciones y servicios corriendo al unísono, nivel de ocupación de los discos duros y uso de la memoria, etc, antes de pasar a investigar otras causas entre las que puede estar la existencia de un malware.
Si se detentan fallas en el en el sistema operativo la primera tarea es hacer un revisión de los archivos del mismo para ver si se encuentran archivos que antes no estaban, de ocurrir esto la deducción lógica es la existencia de un programa maligno.
Debe partirse que existen muchos tipos de códigos maliciosos y cada uno de ellos tiene comportamientos diferentes. Entre ellos pueden mencionarse: virus, gusanos, sniffers, reverse code engineering, caballos de troya, spyware, adware, puertas traseras, disassemblers, debuggers, decompiler y rootkits. Constituye una necesidad conocer sus diferencias para poder enfrentarlos.
El proceso requiere de etapas muy bien definidas
- Preparación.
- Identificación. Conocer que tipo de malware es para poder enfrentarlo.
- Erradicación. Uso de las herramientas forenses para la eliminación del malware con el menor costo en la pérdida de información.
- Recuperación. Para ello se debe tener en el plan de seguridad informática las acciones a este fin.
- Lecciones aprendidas. Conocer y anotar las medidas tomadas en los libros de incidencia para saber cómo operar ante incidentes de la misma índole.
Muchos se preguntan por qué se deben conocer estos aspectos si se tienen antivirus montados en las PC, sin recordar que estos programas son una respuesta defensiva ante la amenaza, por ende los nuevos códigos malignos pueden no ser detectados al carecer de evidencias para comparar en las búsquedas, por esta razón, conocer cómo funcionan es la clave para desarrollar, desde la prevención, las acciones para defender las redes de estos programas.
Por ello dos preguntas claves a responder son: ¿cómo se infectó esta máquina con este malware? y ¿qué es lo que hace exactamente el mismo?.
Normalmente la vía de infección está en la visita los llamados sitios de miel, los sitios web infectados, el correo electrónico, las búsquedas en internet, y en los últimos tiempos la entrada a las redes sociales donde se han concentrado la acción de los cibercriminales por el nivel de afluencia que estas tienen.
Para realizar análisis de manera estática hay que seguir principios básicos entre los que se apuntan:
- Desconectar de la red la computadora antes de hacer el análisis.
- Instalar maquinas virtuales con sus sistemas operativos.
- Copiar/instalar herramientas que servirán para realizar los análisis estáticos y dinámicos.
- Obtener huellas digitales de todas las herramientas.
- Correr varios antivirus
- Abrir con editor hexadecimal que permitirá hacer controles a procesos, etc.
- Determinar si usa un packer como UPX
- Búsqueda strings
- Desensamblar el malware
- Ingeniería inversa
En fin, las acciones pueden ser múltiples y requieren de determinado nivel de especialización, por ello es importante que no se pierda de vista que la mejor protección que pueda aplicarse es la prevención y para ello se debe evitar:
- Nunca se abre o responde correos electrónicos de desconocidos.
- Utilizar contraseñas diferentes con determinado nivel de complejidad para cada servicio. No utilice nombre de familiares, fechas de nacimiento y otros datos de fácil deducción.
- Al utilizar las redes sociales hacerlo de forma responsable y segura activando los mecanismos de seguridad que estas brindan.
- No responda a aquellas notificaciones en las que se le pida que desvele contraseñas, números de cuenta, códigos PIN o cualquier otro dato personal, especialmente si se le amenaza con cerrarle su cuenta o perfil en caso contrario. Recuerde siempre preguntarse quien puede leer los datos, para qué los necesita y que puede hacer con ellos.
- Es importante denunciar tipos de comportamientos o cuentas que hagan uso incorrecto de las redes.
- Mantener actualizados los sistemas operativos, aplicaciones informáticas y en especial los antivirus.
- No entrar a los llamados sitios de miel, donde se hacen propuestas demasiado buenas para ser ciertas.
- Atender las indicaciones de seguridad sobre la carencia de certificados de seguridad. Observar si existen protocolos seguros (https) que muestran una imagen de un candado justo antes de la dirección en el navegador.