Desde hace ya algún tiempo son numerosas las opiniones que han hecho campaña alegando que el mercado para los gusanos de infección masiva había desaparecido. Me incluyo entre ellos, aunque siempre he procurado evitar el término desaparición prefiriendo hablar de la transformación del modelo de amenazas, donde los gusanos han dejado de ser el motor principal de la industria del malware, impulsada en la actualidad por los troyanos.

No obstante, durante los últimos años se ha extendido progesivamente la idea de que los gusanos son recuerdos del pasado, donde románticos hackers que trabajaban en sus garajes ponían a prueba a las redes informáticas gubernamentales de medio mundo mediante sus creaciones, en una batalla que no se hacía por dinero, sino por notoriedad o por ideologías. La caída de interés en los gusanos por parte de los grupos organizados de fraude hizo prever erróneamente que este mercado estaba moribundo, y que donde había que centrarse era en el mundo de los troyanos. Los gusanos no dan dinero.

Fallar en este tipo de predicciones es muy fácil, porque los problemas de seguridad pueden desembocar en una amplia variedad de resultados, y salvo que se esté en la primerísima línea de fuego, fallar pronosticando es lo más normal. De hecho ni siquiera estar en la pole position te asegura aciertos, porque el comportamiento de una amenaza informática no tiene por qué seguir un patrón predecible y repetible y así nos lo ha ido demostrando la historia.

Desde amenazas con impactos mínimos (pruebas de concepto y poco más) a auténticas carnicerías que en su día provocaron fortísimos impactos en los usuarios y sobre todo, en las organizaciones. Por desgracia, y en contra de las previsiones lanzadas tiempo atrás, Downadup/Conficker se ganado a pulso un puesto en el hall of fame de las amenzas masivas con impacto real en los bolsillos de los usuarios y en las cuentas de resultados de las empresas.

El laboratorio de F-Secure está haciendo un seguimiento muy cercano al tema, y han publicado sus resultados preliminares cuantificando los impactos en términos de máquinas comprometidas. Hay gente que se atreve a opinar de forma contraria a los números de F-Secure (y seguramente, sin haber hecho prueba alguna, o al menos, lo hacen sin presentar datos), tal y como se puede comprobar en el propio artículo que publica el laboratorio, en el que se han citado estas opiniones contrarias. El texto, en el que además se explica con detalle cómo se han generado esas estadísticas, concluye con una cifra alarmante: al menos 8 millones de máquinas infectadas, y un panorama que parece no ir a mejor.

Los medios periodísticos se mojan también con cifras. 1 millón de máquinas infectadas en las últimas 24 horas, según Computer World (empleando datos de F-Secure). El País habla de millones de máquinas. BBC cita a F-Secure, y cifra el impacto en 8,9 millones de máquinas infectadas. Una auténtica carnicería.

En este caso cabe señalar que la actuación del fabricante ha sido ejemplar, y que la culpa de que todo esto esté pasando es de, además de los amigos de lo ajeno, de los usuarios que no han parcheado sus máquinas convenientemente. Espero que las miles de horas invertidas en solucionar este problema, así como el elevado número de euros necesario para pagar esas horas y los medios adicionales que sean necesarios sean suficientes para que, de una vez por todas, la gente se tome en serio la inexcusable necesidad de tener el parque de máquinas convenientemente actualizado.

Lo peor de todo es que, viendo que meses después de que la amenaza se hiciera pública todavía hay infecciones masivas incontroladas, no es descartable que los problemas de seguridad similares que se detecten en el futuro puedan desembocar en escenarios parecidos.

Los que desconozcáis los asuntos de este culebrón podéis ampliar información en el artículo MSRT Released Today Addressing Conficker and Banload, publicado el pasado 13 de enero en el blog del Microsoft Malware Protection Center. También podéis hojear esta pauta de desinfección, que contiene información útil para librarse de Conficker. También os aconsejo seguir el blog de F-Secure, no sólo para este asunto, sino para todos en general.

Un saludo,

Los chicos de F-Secure traen respuestas útiles para las redes corporativas que siguen sufriendo daños causados por las variantes del gusano Downadup/Conficker, que están explotando activamente los problemas de seguridad narrados en el boletín de seguridad MS08-067. A pesar de ser un problema conocido desde hace mucho tiempo y para el que existe solución también desde hace mucho (Octubre de 2008), estos gusanos y sus múltiples variantes siguen volviendo locos a muchos administradores, especialmente en redes de gran tamaño que (inexplicablemente) siguen sin haber sido convenientemente parcheadas, y en las que tampoco se han instalado medidas de mitigación.

Además de una herramienta de desinfección, que podéis bajar de ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip, F-Secure ha publicado una lista actualizada de los dominios empleados por las variantes del gusano, disponible en http://www.f-secure.com/weblog/archives/downadup_domain_blocklist.txt. Las listas negras son de especial utilidad en este tipo de eventos maliciosos masivos, ya que permiten dotar a los productos perimetrales de filtrado de referencias a bloquear, medida esencial si se pretende contener el daño o minimizar los riesgos de sufrir una contaminación.

Podéis obtener más información sobre estos gusanos y la vulnerabilidad narrada en el boletín MS08-067 en el blog de F-Secure. Es de vital importancia tener en cuenta los impactos de estas amenazas, ya que podrían conducir a la ejecución remota de código en la amplia mayoría de la familia de sistemas Microsoft Windows que no hayan sido parcheados.

Viendo este tipo de cosas no puedo evitar preguntarme cómo es posible que un problema conocido y publicitado desde Octubre de 2008 siga dando tanta guerra. Defiendo los despliegues controlados de los parches, por los riesgos que entraña un deployment masivo en términos de reversibilidad y colaterales asociados a la compatibilidad con los elementos que conviven en el sistema a parchear, pero creo que tres meses es plazo más que suficiente para haber tomado medidas.

Un saludo,