La seguridad digital sigue decayendo

Engaños, virus inteligentes y más vulnerabilidades

Varias compañías antivirus y consultoras dieron a conocer la existencia de nuevos peligros para la privacidad
Esta columna y la nota de tapa, para saber protegerse

Como si el pozo no tuviera fondo, la semana última se conocieron más malas noticias en el rubro seguridad informática.

Por un lado, Microsoft dio a conocer que la compañía SEC Consultant había descubierto una nueva vulnerabilidad en el Internet Explorer. Los creadores de Windows están ahora buscando la forma de tapar el orificio en su navegador Web.

No vaya a creer

Se trata de una política relativamente reciente de Microsoft: confirmar que existen problemas de seguridad antes de que haya una solución. ¿Tiene sentido? Sí, porque junto con la confirmación la compañía proporciona una solución transitoria.

Microsoft publicó el martes último una recomendación de seguridad sobre este problema y las formas posibles de salir del paso en www.microsoft.com/technet/security/advisory/903144.mspx.

La turbulencia no terminó aquí. La empresa antivirus española Panda Software (www.pandasoftware.es) informó que anda dando vueltas una nueva versión del gusano Bancos.GW. Este intruso es particularmente peligroso porque emula una ventana de seguridad de la entidad bancaria con la que uno opera. Intenta engañar a sus víctimas diciendo que es parte del sistema de seguridad del banco y que debe volver a ingresar sus datos para operar. Por supuesto, y como el lector ya habrá imaginado a estas alturas, la meta del gusano es robar esa información sensible.

Por su parte, y siguen los éxitos, otra empresa antivirus, NOD32 ( www.nod32-a.com ), difundió la noticia de que estaba llegando por mail un boletín de seguridad falso, supuestamente proveniente de Microsoft pero, claro está, apócrifo.

Junto con el texto del mail, que imita el de los boletines verdaderos, hay un link para descargar un supuesto parche. NOD32 no dice si al hacer clic se descarga en realidad un virus, sencillamente porque el vínculo lleva a un sitio que ya no está disponible. Como fuere, pueden ser tres cosas: un sitio infectado con código malicioso, un método de llevar engañado al usuario a un sitio para hacerle publicidad no solicitada (y claramente coercitiva) o ambas cosas a la vez.

Así que no hay que hacer clic en vínculos que llegan por mail, punto. Microsoft publica sus boletines de seguridad en la Web, pero no los envía por mail. Esto es así por muchos motivos, pero piense solamente en éste: ¿acaso envió a Microsoft su dirección de mail alguna vez? ¿No? ¿Cómo podría entonces recibir un mail desde Redmond, Washington?

Nos encontramos en uno de los momentos más oscuros de la seguridad informática. Se han robado datos de millones de usuarios de tarjetas de crédito hace poco, desaparecieron cintas de backup con información sensible no encriptada de los clientes de una entidad financiera, el phishing sigue en alza, los agujeros de seguridad afectan a todas las aplicaciones de Internet, los virus se vuelven más taimados y, para completarla, se usa la misma crisis de seguridad como excusa para atacar a las personas.

Como en cualquier tormenta, y hasta que escampe, hay que mantener la cabeza fría y pensar dos veces antes de actuar. Actuar, en este contexto, puede significar algo tan sencillo como darle clic a un link. Así que, cuidado, sentido común y un poco de escepticismo no vienen mal.

Actualice su Windows, llame al banco, si aparece alguna ventana nueva cuando va a operar, y revise sus resúmenes de tarjeta de crédito y débito.

Es un poco más de trabajo. Pero así son las tormentas.

Por Eduardo Dahl



Link corto