El mundo de antivirus

jueves, 16 de marzo de 2023

En las ediciones de “El mundo de antivirus” solemos prestar más atención a los sistemas operativos de la familia Microsoft Windows. Lo cual es lógico: es el SO más difundido entre los usuarios de hogar, por lo tanto, los creadores de virus siempre han prestado más atención al mismo y los ataques de virus más masivos con mayor frecuencia estaban destinados a los dispositivos con Windows. Por lo tanto, la mayor parte de los usuarios ordinarios y expertos informáticos suelen pensar que los malintencionados dañan el sistema Windows en un instante.

Sí, la mayor parte del malware se crea para el funcionamiento en el entorno del SO Windows, y la vulnerabilidad del sistema se debe a su popularidad. Pero en el mundo de equipos informáticos existe una familia de SO no menos importante, los así llamados sistemas operativos similares a UNIX, conocidos como la familia Linux. Linux no suele ser tan popular entre los usuarios de hogar ordinarios, pero se usa mucho como sistema de servicio: como sistema operativo de varios servidores, estaciones de trabajo y terminales. Frecuentemente Linux se considera una alternativa más protegida y segura a Windows, así mismo, para PCs de escritorio. En este material vamos a ver brevemente si los sistemas Linux se someten a las amenazas de virus y si los usuarios de este SO afrontan malware con frecuencia.

Como hemos mencionado más arriba, Linux — no es un solo SO. Es una familia entera de SO unidos por un núcleo, pero que son un poco distintos. Ubuntu, Debian, Fedora, CentOS — son solamente algunas de las “versiones” de Linux más populares, llamadas distribuciones. No vamos a analizar la historia muy detallada ni las peculiaridades de Linux, porque no es el objeto de este artículo, pero cabe destacar que estos sistemas operativos normalmente se difunden gratis y tienen código abierto. Y además, en el mundo hay un montón de aficionados que contribuyen al desarrollo de la familia.

Vamos a ver por qué Linux se considera un sistema más protegido con frecuencia. Durante mucho tiempo la afirmación popular en el entorno informático era así: «¡En Linux no hay virus!». Sobre todo, con frecuencia lo afirmaban los usuarios expertos de Linux que solían observar a sus amigos reinstalando Windows después de cada infección. Pero hay que recordar que existe el factor de popularidad. Si no tomamos en cuenta los ataques objetivo, los creadores de virus normalmente desean infectar la mayor parte de dispositivos aleatorios. Por lo tanto, el objetivo bastante lógico son los equipos con Windows.

Otra razón de la escasa difusión del malware para Linux es que en su mayoría los usuarios del mismo tienen más información sobre la seguridad informática. A diferencia de Windows, Linux no se usa mucho como plataforma para diversión. El trabajo flexible con Linux permite recibir el conocimiento más profundo en el ámbito de funcionamiento de sistemas operativos y del equipo en total. Es obvio que los usuarios del SO Linux suelen ser víctimas de malintencionados con menos frecuencia. Todos estos factores contribuyen a que el desarrollo masivo de malware para Linux sea menos rentable que la creación de virus y troyanos para Windows.

Los sistemas operativos Linux también son conocidos por su mecanismo de delimitación de los permisos de acceso al sistema. El acceso con permisos máximos se llama el acceso root, o el modo de superusuario. Y la primera regla de trabajo en Linux es así: no trabajar en el sistema con el acceso root. Parece mentira, pero los usuarios suelen seguir esta regla. De esta forma, un malware iniciado no puede infectar todo el sistema, su actividad se restringe por los permisos del usuario. Por supuesto, también hay funcionalidad similar en el SO Windows, pero por alguna razón se ignora en el entorno de usuarios de hogar. ¿Con qué frecuencia Vd., Sus conocidos y hasta compañeros trabajan en Windows en modo de administrador ? Cade destacar que el trabajo en el sistema con los permisos requeridos para realizar la tarea es el principio básico de seguridad.

Otro argumento que uno puede oír con frecuencia para confirmar la ventaja del SO Linux: el código fuente abierto que permite a la comunidad de los desarrolladores y aficionados supervisar la aparición del código malicioso, backdoors y vulnerabilidades en los componentes del sistema o en los programas para Linux. Pero en nuestra opinión, esto depende de la confianza, igual que antes. ¿Vd. confía al software propietario y a la empresa desarrolladora determinada? ¿O, por otra parte, está más tranquilo si sabe que los así llamados supervisores de la comunidad Linux vigilan la seguridad del volumen grande del código? En ambos casos Vd. no puede analizar todo el software usado sin ayuda, ni asegurarse de que el núcleo Linux no contiene vulnerabilidades.

Por lo tanto, desde el punto de vista técnico el malware para Linux, por supuesto, existe. Así mismo, su volumen crece cada año al aumentar la popularidad de estos sistemas operativos. Los programas troyanos, backdoors, los scripts maliciosos, exploits, el software espía y hasta los cifradores — todo eso son amenazas potenciales a los usuarios de equipos con Linux y puede provocar no menos daños que en los sistemas de la familia Windows. Los modos y el escenario posterior de infección dependerán de cómo está protegido el ordenador y del nivel de competencia del usuario. Si el SO ha sido iniciado con permisos root, el sistema de delimitación de permisos no ayudará.

La funcionalidad del malware creado para Linux es diversa. Por ejemplo, los malintencionados pueden infectar el equipo para supervisar las acciones del usuario e interceptar los caracteres introducidos con teclado. Lo peor es que para el funcionamiento de este troyano, el mismo no suele necesitar permisos de superusuario. Además, los analistas de virus de Doctor Web analizaron los programas que implementaban en el dispositivo los servidores proxy para ocultar sus propias acciones maliciosas e infectaban los dispositivos para realizar los ataques DDoS. Uno de estos programas es el backdoor Linux.BackDoor.Dklkt.1.

Cabe destacar también las vulnerabilidades. A veces se producían casos cuando un malware pudo mejorar sus permisos de acceso en el sistema operativo hasta el nivel de superusuario, lo cual permitía a los malintencionados ejecutar el código aleatorio. Lamentablemente, no todas las vulnerabilidades se detectan de forma operativa por la comunidad. Pero si el problema afecta a bastantes usuarios, los errores se corrigen bastante rápido con otra actualización de software.

Vamos a mencionar otra clase de dispositivos más cuyo sistema operativo son varias versiones de Linux. Hasta ahora hemos hablado de PCs de hogar que funcionan en varias distribuciones Linux. Pero con mayor frecuencia Linux se observa en las soluciones de servidor, así como en los dispositivos de Internet de las cosas (inglés IoT). Por lo tanto, el interés de los malintencionados a esta plataforma siempre crece. Los dispositivos no protegidos y vulnerables de IoT se usan con frecuencia por los malintencionados para crear botnets y organizar los ataques DDoS. El representante bastante conocido de este malware fue Linux.Mirai. Su funcionalidad se basaba en la difusión por la red y el hackeo de las contraseñas no resistentes de dispositivos al averiguarlas. Una vez atacado, el equipo infectado se convertía en una parte de la botnet, y sus capacidades de computación y conexión a la red se usaban para los ataques DDoS. Así se infectaron por lo menos centenares de miles de dispositivos en todo el mundo.

Junto con el aumento de la popularidad, los SO de la familia Linux se convierten en un objetivo cada vez más atractivo para los malintencionados. Como vemos, Linux por sí mismo no es un sistema cerrado y a priori protegido. Hemos analizado algunos factores que realmente ralentizan la difusión del malware para Linux, pero, al tomar en cuenta las tendencias, es muy probable que la diferencia bastante importante del número de amenazas entre Linux y Windows casi se nivelará con el tiempo.