La distribución del malware ví­a codecs y ví­deos pornográficos

Publican hoy una interesante nota en ISC SANS, en la que se hace referencia a un tema muy recurrente: la distribución del malware a través de falsos códecs, sustentada en la tentación que puede suponer para más de un usuario que otro la visualización en línea de pornografía.

Y es que no nos engañemos: la pornografía es un reclamo muy jugoso para los negocios en la red, y el negocio del malware no es una excepción. Una búsqueda en Google del término «porno» arroja rápidamente más de 67 millones de resultados disponibles, lo que nos debe dar una idea del volumen que arrastra este tipo de contenidos.

Las maneras más habituales de distribuír malware son, posiblemente, las redes P2P y las páginas con contenidos gancho. En ISC SANS comentan una de las muchas casuísticas posibles, y esta no es otra que la publicación de una presunta película pornográfica en diversos foros de alto tráfico:

http://free-bdsm-movies. info/movies/1270174.avi

El truco está en algo tan sencillo como lo siguiente: ese falso enlace provoca que se abra en otro marco la siguiente dirección:

http://www.x-ratedclips.com/bdsm/dp/s5g2/…

Esta página tiene código HTML que comprueba la presencia del troyano Zlob.Trojan. En caso de que no esté presente, se desplegará una página que avisará al visitante de que la película no puede ser visualizada si no se descarga un objeto ActiveX necesario para la visualización.

Este falso objeto está ubicado en:

http: // www. amultimediasource.com/download.php?id=1651

Como cabía de esperar, esa descarga es un troyano. Si queréis saber qué características tiene Zlob, podéis ver este documento de Symantec.

El éxito de este tipo de distribución de malware radica en:

* La altísima demanda que tiene la pornografía en la Red
* La mala costumbre que tienen los usuarios de instalar todo lo que se les pide a toda costa con tan de poder visualizar un contenido que les interese.
* La larga trayectoria histórica de la pornografía en la Red, que hace que se tenga asumido por muchos usuarios que es normal que cuando se descargue un contenido de este tipo sea preciso instalar programas, códecs y cualquier otra cosa que se nos pida. Acordaos si no de los años negros de los dialers. Esta trayectoria también hace que las personas que explotan comercialmente el porno en línea tengan amplios conocimientos de mercadotecnia, lo que les facilita enormemente acercarse a escaso coste a la clientela final.

El consejo que se puede ofrecer a las personas que quieran visualizar contenidos pornográficos es recurrir a sitios donde este tipo de productos se comercializa de un modo seguro. Es especialmente recomendable alejarse, en este segmento, de las descargas P2P (minadas por toneladas de malware) y de las páginas y foros de dudosa legalidad.

Un saludo :)

El carné de informático

Según lo que he leído en Barrapunto, el señor Joan Puigcercós, conseller de Gobernación, ha propuesto la creación de un carné de informático.

Yo no suelo hablar de asuntos políticos, y de hecho creo que es de las pocas veces que lo he hecho, pero esta propuesta me ha parecido relevante. Lo que me va a permitir el señor Puigcercós es considerarla relevante no por su acierto, sino por su desatino. La propuesta contempla, y cito textualmente a El Mundo

El carné ‘TIC, de Nuevas Tecnologías de la Información y las Comunicaciones’, sería de carácter voluntario y tendría dos niveles de capacitación en conocimientos informáticos, uno básico y otro superior

Yo cuando hablamos de «informáticos», y que conste que yo no lo soy, siempre me pregunto. ¿Qué es un informático? Yo sinceramente no lo sé, yo a lo más que llego es a discernir entre qué es un Ingeniero en Informática, o un Ingeniero Técnico en Informática, pero poco más. ¿Vale eso para definir a «un informático»?

Este comentario surge porque el carné del señor Puigcercós está pensado, según él mismo comenta, para legitimar los conocimientos informáticos adquiridos. A mi me surgen millones de dudas, sobre todo porque creo que el término informático es un término desfasado, por al menos tres razones (seguro que hay mil más):

* La primera es que la Informática, tomada como tal, se ha convertido en una disciplina de especialistas, luego más que ser un experto informático, se puede ser un buen programador, un buen analista, un buen jefe de proyectos de gestión, un buen técnico de sistemas, etc, etc, etc. No se puede ser experto en todas las facetas de la Informática.

* La segunda es que para bien o para mal, la Informática, si queremos llamarla así, se ha converitido en un cúmulo de disciplinas donde lo que prima es esencialmente la experiencia. Pesan mucho más 10 años gestionando proyectos software que un brillante currículum y una licenciatura, con lo cual circunscribir el término «informáticos» a sólo licenciados en Informática es algo ajeno a la realidad. Insisto en que no valoro este punto, es simplemente lo que hay ahí fuera.

* Por último, la «Informática» es un cúmulo tan grande de cosas que hay muchas que directamente no se estudian, ni en formación reglada ni en no reglada. Nadie en la escuela te enseña a auditar, a ofrecer consultoría o preventa de calidad, o a ser un buen gestor de proyectos. No se pueden poner verjas al campo, y no se puede decir que alguien es peor o mejor por tener o carecer de aptitudes profesionales de tipo personal. El carisma, el liderazgo, la capacidad de resolver problemas, la puntualidad, la capacidad de trabajo en equipo y cientos de cosas más no se aprenden en una facultad o en un máster: o se tienen, o no se tienen, y en Informática, son términos cruciales.

En fin, creo que es un debate amplio, y yo sólo quería dar a conocer mi postura, y lo que entiendo que es un error político. Yo os invito a que leáis los comentarios de Barrapunto y la noticia completa en el Mundo, y os hagáis vuestra propia idea.

A mi me váis a permitir que piense que llamar Informático a un profesional que tiene algo que ver con alguna disciplina informática es incompleto y no representa la realidad, con lo que tratar de circunscribir su conocimiento a la posesión de un carné me parece algo absolutamente inadmisible.

Saludos :)