• Tweet

La próxima vez que un sitio web te diga que descargues un nuevo programa para ver una película o reparar un problema, piénsalo dos veces antes de hacerle caso, pues existe una buena probabilidad de que se trate de un programa malicioso. 

De hecho, uno de cada 14 programas descargados por los usuarios de Windows resulta ser malicioso, informó Microsoft el martes. Y a pesar de que Microsoft tiene una funcionalidad en su navegador Internet Explorer diseñada para ayudar a los usuarios a mantenerse alejados de programas desconocidos y poco fiables, cerca del 5 por ciento de los usuarios ignoran las advertencias y aún así descargan programas maliciosos como caballos de troya.      

Hace 5 años, era muy fácil para los criminales esconder su código en las computadoras. Había muchos bugs (errores) del navegador, y muchos usuarios no actualizaban sus equipos. Pero desde entonces, el juego del gato y el ratón de la seguridad de Internet ha evolucionado: Navegadores se han hecho más seguros y los fabricantes de programas rápidamente y de forma automática lanzan parches cuando se tiene un problema conocido.

Así que cada vez más, en lugar de hackear los propios navegadores, los usuarios mal intencionados tratan de hackear a las personas que los utilizan. Esto se llama ingeniería social, y actualmente es un grave problema. “Los atacantes han descubierto que no es tan difícil hacer que los usuarios descarguen troyanos,” dice Alex Stamos, fundador y socio de Isec Partners, una consultora de seguridad que es llamada para limpiar el desorden después de que las empresas son hackeadas.

La ingeniería social es como el virus Koobface esparcido en Facebook. Los usuarios reciben un mensaje de un amigo diciéndoles que vean un video. Cuando le dan clic al enlace, aparece un mensaje indicándoles que requieren descargar un programa para reproducir el video. En el que dicho programa en realidad es un programa malicioso.

Los hackers de ingeniería social tratan de infectar a las víctimas hackeando sitios web y esparciendo falsas alertas de antivirus, diseñadas para lucir tal cual a las alertas del sistema operativo. Descárgalo y estarás infectado. Los criminales también utilizan el spam para enviar troyanos y tratan de engañar a los motores de búsqueda para que redirijan a los usuarios a sitios maliciosos que contengan historias interesantes  o videos populares como la boda real o la muerte de Osama bin Laden.

“Los atacantes son muy oportunistas, y se aprovechan de cualquier evento que pueda ser utilizado para atraer a la gente”, dijo Joshua Talbot, gerente de Symantec Security Response. Cuando Symantec le dio seguimiento a los 50 programas maliciosos más comunes el año pasado, encontró que el 56 por ciento de todos los ataques incluían programas troyanos.

En las empresas, una técnica de la ingeniería social llamada spearphishing es un problema serio. En esta técnica, los criminales se toman su tiempo para averiguar a quién están atacando y entonces desarrollan un programa o un documento codificado malicioso, especialmente diseñados para que la víctima desee abrirlo – material para una conferencia o un documento de planeación para una organización con la que deben hacer negocios.

Con su nueva aplicación SmartScreen Filter Application Reputation, introducida en IE 9, Internet Explorer proporciona una primera línea de defensa contra programas troyanos, incluyendo troyanos enviados en ataques spearphishing.

IE también advierte a los usuarios cuando están siendo engañados al visitar sitios web maliciosos, otro modo que los hackers de ingeniería social pueden infectar a los usuarios de computadoras. En los últimos dos años, la aplicación SmartScreen de IE bloqueó más de 1.5 billones de ataques web y de descargas, de acuerdo con Jeb Haber, líder del programa SamrtScreen. 

Haber está de acuerdo en que una mejor protección del navegador presiona a los criminales en la ingeniería social, sobre todo en los últimos dos años. "Basta con ver una explosión en ataques directos a los usuarios con la ingeniería social", dijo. "Nos sorprendió el volumen. Los volúmenes han sido una locura."

Cuando la ventana de advertencia de SmartScreen aparece para indicar a los usuarios que están a punto de ejecutar un programa potencialmente dañino, la probabilidad de que el programa sea malicioso está entre el 25 y 70 por ciento, dijo Haber. Un usuario común sólo ve un par de estas advertencias cada año, así que es mejor tomarlas muy en serio.