Troyanos

Un troyano era en sus comienzos, un programa que camuflado dentro de otro (de ahí el nombre, asociado al caballo que los griegos utilizaron para ganar su guerra contra Troya) para conseguir que un usuario de un ordenador lo ejecutara pensando que en realidad estaba ejecutando un programa lícito.

Estos troyanos, tenían multitud de funciones, algunas destructivas y otras no, y se diferenciaban de los virus comunes en su incapacidad para autoreproducirse, es decir, que no podían crear copias de si mismos para infectar otros ordenadores y dependía de la acción del usuario del ordenador para realizar su fín.

Hablamos en pasado porque, aunque la definición de troyanos sigue siendo válida, los últimos años han visto surgir un gran número de troyanos con unas características especiales, que se han generalizado ampliando su definición al término troyano.

Estos nuevos troyanos, responden más concretamente a la definición de Backdoor o Puerta trasera, es decir, que abren un canal de comunicación en el ordenador infectado que permite que otro ordenador se conecte a él para realizar acciones sin que el usuario legítimo de este ordenador sea consciente de ello.

Estos troyanos pueden realizar tareas "simples", como robar claves, buscando un cierto formato en la información de los usuarios (por ejemplo, las tarjetas VISA se identifican con 4 grupos de 4 números y un grupo más, la fecha de caducidad, que consta de 2 grupos de 2 números separados por una barra) o llegan incluso a permitir al "atacante" que tome control del ordenador, abriendo y cerrando programas, creando y borrando ficheros, etc

Con el advenimiento de la banda ancha (cable o ADSL en nuestro pais) y la posibilidad de mantenerse conectado a Internet durante 24 horas al día, los Troyanos se han puesto de moda, ya que permiten a un atacante, tomar control de un ordenador víctima a través de Internet y manejarlo a su antojo sin ningún tipo de problema. Incluso se pueden crear redes de ordenadores controlados por un solo atacante que puede utilizarlo para actividades ilícitas (por ejemplo atacar un sitio Web y "tumbar" la página).

Gusanos

Otro tipo de código malicioso son los gusanos. Primos hermanos de los virus, su principal misión es reproducirse y extenderse al mayor número de ordenadores posibles.

Internet y el correo electrónico han supuesto el verdadero auge de este tipo de código malicioso, que pueden infectar miles de ordenadores en cuestión de horas.

Posiblemente menos peligrosos para los usuarios domesticos que otros, su mayor poder es en el ataque a grandes sistemas de empresas o los ordenadores que sostienen Internet. Su poder de multiplicación es capaz de colapsar grandes ordenadores rapidamente y "tumbar" los servicios que den (servidores de correo electrónico, de páginas web...).

Su mecanismo de distribución suele ser en la mayoría de los casos muy simple. Camuflados en un mensaje aparentemente inocente, llegan a nuestro correo electrónico. Una vez ejecutado leen nuestra lista de contactos (libreta de direcciones o Address Book) y se reenvían de forma automática a todas las direcciones que contengan. Nuestros contactos recibirán un correo, aparentemente enviado por nosotros, y por tanto lo abrirán sin sospechar nada y vuelta a empezar.

Este tipo de código malicioso utiliza en muchas ocasiones lo que denominamos Ingeniería social, es decir, intenta aparecer atractivo para nosotros, a fín que no sospechemos y lo ejecutemos rapidamente.

Promesas de fotografías, juegos, listados de páginas con contenido erótico... son algunos de los trucos que han usado los creadores de estos engendros para llamar nuestra atención.

LOS DEFENSORES: ANTIVIRUS Y FIREWALLS PERSONALES.

Estas y otras razones han hermanado a los antivirus y los firewalls personales.

Pero empecemos por el principio, ¿Qué es un Antivirus?

Un Antivirus es un programa que intenta proteger un ordenador o red de ordenadores de todo tipo de código malicioso que pudiera llegar a este equipo.

Existen antivirus especializados en diferentes entornos, correo, ficheros...

Básicamente un antivirus funciona de una forma muy simple, revisa todo los ficheros (o correo en su caso) que llega al equipo y bloquea todo aquello que cree que puede contener un código malicioso.

¿Cómo sabe que es un código malicioso?, muy sencillo, básicamente existen 2 métodos complementarios. El más habitual es comparar trozos de ese código con una base de datos de firmas que contiene el antivirus y que es actualizada constantemente. Si coinciden, es que es un código malicioso y no se deja pasar. La otra técnica consiste en ver cual es el comportamiento de ese fichero, buscando acciones extrañas (como formatear el disco duro, infectar ficheros...). Este último método sólo puede dar cierta información de que hay algo raro en el fichero, pero no que virus es.

Los Firewalls personales son un complemento perfecto de los antivirus clásicos, por eso los mejores fabricantes de antivirus los incluyen dentro de sus últimas versiones.

Para entender como funcionan los Firewalls personales, debemos repasar un poco como funcionan las comunicaciones entre ordenadores. De forma simple, podríamos explicarlo como el servicio de correos. Cuando alguien quiere enviar una carta, Correos se encarga de dar el servicio de envío a otro lugar. Es decir, es el "servidor" (el que da el servicio). Cuando se envía una carta esta debe ir en un sobre y con sello, este sobre sería el que posibilita la comunicación por parte del cliente. El sobre es depositado en el buzón o la oficina de correos.

Siguiendo la analogía, el cliente (usted), que es el ordenador que pide el servicio, se comunica con el servidor (correos), que es el ordenador que da el servicio. Para establecer la comunicación utiliza un puerto (el sobre y el sello) y se conecta a otro puerto del servidor (el buzón u oficina de correos).
Lo que hace un Firewall personal es bloquear esa comunicación, cuando se sale de los cauces normales establecidos por el usuario. Es decir, si usted se conecta a una página web con su navegador, esto es una comunicación normal y permitida, por lo que el Firewall lo deja pasar (no bloquea el puerto de esa comunicación), sin embargo si es un troyano el que intenta comunicarse con el ordenador atacante, a fín de tomar control de ese ordenador, intenta comunicarse por un puerto no permitido y el Firewall lo bloquea. Sería como quitar el buzón o cerrar la oficina de correos.