UNIVERSIDAD VERACRUZANA Facultad De Contaduría y Administración. “El Malware y sus efectos en las Organizaciones de la región de Xalapa” TESINA Para obtener el Título de: Licenciado en Sistemas Computacionales Administrativos Presenta: Jairo Emmanuel Domínguez Frausto Asesor: M.C.A. Jesús Ramírez Sánchez Cuerpo Académico: Sistemas Telemáticos y las Organizaciones Inteligentes en la Sociedad del Conocimiento Xalapa-Enríquez, Veracruz Julio 2009 2 UNIVERSIDAD VERACRUZANA Facultad De Contaduría y Administración. “El Malware y sus efectos en las Organizaciones de la región de Xalapa” TESIS Para obtener el Título de: Licenciado en Sistemas Computacionales Administrativos Presenta: Jairo Emmanuel Domínguez Frausto Asesor: M.C.A. Jesús Ramírez Sánchez Cuerpo Académico: Sistemas Telemáticos y las Organizaciones Inteligentes en la Sociedad del Conocimiento Xalapa-Enríquez, Veracruz Julio 2009 DEDICATORIAS Y AGRADECIMIENTOS Dedicatorias Mi tesis se la dedico con todo mi amor y cariño. A ti Dios y tu hijo Jesucristo por permitirme estar vivo hasta este día y por haberme otorgado el mejor regalo de todos: mi familia. A mi Madre: por día a día cuidar de mí, darme todo el amor del mundo, educarme y orientarme en la vida, por ser mi mejor amiga y compañera. ¡MAMI! TE AMO. A mi Padre: por siempre estar a mi lado brindándome su apoyo y poniéndome el ejemplo para ser un hombre de bien y sacar adelante una familia. ¡Pa'! TE AMO. A mi Hermana: por ser paciente conmigo, ser una buena confidente y sobre todo por ser la mejor hermana que pudo haberme tocado. ¡Maní! TE AMO. A mi Mamá Mary y a mis Tíos Felipe y José Luis: por todo el apoyo brindado no solo en mi carrera sino a lo largo de mi vida. ¡Gracias los Amo! A mi Abuelo Chayo (†) y mi hermanita Leydi Laura (†): que desde el cielo han cuidado de los que seguimos aquí, y que se que desde allá están orgullosos de mí y de la meta que estoy cumpliendo. A ti Mabel: porque pese a los tropiezos que el destino nos ha puesto en frente, sigues a mi lado brindándome tu amor, apoyo y confianza, ¡Wera, TE AMO! A mis Amigos Bosho, Chuchin, Papu y Bety: por el apoyo en todo momento, por las locuras que hemos pasado juntos, jamás los olvidaré, por brindarme su confianza y amistad. ¡LOS QUIERO CANIJOS! A todas las personas que no menciono sus nombres porque sería una lista interminable, pero que saben que los quiero y que han estado apoyándome siempre en todo momento ¡GRACIAS! Agradecimientos A mi director de tesis: M.C.A. Jesús Ramírez Sánchez por su esmero y dedicación en este trabajo, por disciplinarme cuando era necesario y por su paciencia, sin usted este trabajo no hubiera existido. A mis sinodales: Dra. María Dolores Gil Montelongo por sus aportaciones y conocimientos atinados en todo momento y Mtro. Luis Alejandro Gazca Herrera por contribuir a mi formación profesional desde antes de entrar a la Universidad y hasta la fecha. A todos los maestros de la carrera: por que gracias a que ellos me han transmitido un poco de su conocimiento he llegado hasta este punto. A mis compañeros del REPSS: mis jefes, L.I. Vicente Hernández Castillo, I.S.C. Elizabeth Orozco Torres y demás compañeros por su paciencia y el apoyo incondicional que me brindaron durante el desarrollo de este trabajo. A todos los representantes de las organizaciones que participaron en este proyecto: por las facilidades otorgadas para la realización de la investigación. ¡A todos muchas GRACIAS! 5 ÍNDICE Resumen……………………………………………………………………………………5 Introducción …………………………………………………………………………………6 Capitulo I Marco Teórico ………………………………………………………………….9 1.1 Teoría de las Organizaciones……………………………………………...10 1.2 Las Organizaciones en a Región de Xalapa…………………………...13 1.3 La Seguridad Informática…………………………………………………..15 1.3.1 Seguridad Física…………………………………………………..16 1.3.2 Seguridad Lógica………………………………………………….20 1.4 El Malware…….……………………………………………………………..25 1.4.1 Propagación……………………………………………………….26 1.4.2 Síntomas y efectos……………………………………………….27 1.4.3 Tipos de MALWARE………………………………………………30 1.4.4 Casos de estudio……………………………………………………36 Capítulo II. Metodología ………………………………………………………………43 2.1 Planteamiento del Problema…………………………………………………44 2.1.1 Objetivos………………………………………………………………45 Objetivo general……………………………………………………………45 Objetivos específicos……………………………………………………...45 2.1.2 Hipótesis ……………………………………………………………….45 2.1.3 Justificación……………………………………………………………46 III 2.5 Tipo de investigación ……………………………………………………….47 2.6 Procedimiento ……………………………………………………………….47 2.7 Técnicas e Instrumentos……………………………………………………50 2.8 Obtención de la Información………………………………………………51 2.9 Problemática Enfrentada en el Trabajo de Campo……………………..55 Capítulo III. Análisis e Interpretación de la Información ………………………...57 3.1 Datos Generales…………………………………………………………….58 3.2 Datos Específicos…………………………………………………………..61 Capítulo IV. Conclusiones Generales y Propuestas…………………………………73 Fuentes Información……………………………………………………………………78 Anexo I……………………………………………………………………………………81 Anexo II……………………………………………………………………………………87 Índice de Figuras…………………………………………………………………………92 Índice de Tablas…………………………………………………………………………94 IV RESUMEN En esta investigación se tratará de explicar en términos generales que es el MALWARE, las afectaciones que este produce y sus formas de propagación. También se trata información relacionada con las organizaciones pequeñas, medianas y grandes, conceptos generales de las mismas, las formas en las que se les puede clasificar y como están distribuidas en la región de Xalapa, todo esto para facilitar la comprensión de las repercusiones causadas por el MALWARE en dichas organizaciones. El punto central, es decir, el objetivo de la investigación esta enfocado a identificar los efectos generados por el MALWARE en las organizaciones de la región de Xalapa, todo esto con una investigación de campo y basándose en un instrumento para recabar la información. Se incluye los datos recabados en las organizaciones de forma gráfica de acuerdo a distintos indicadores y con distintos objetivos, además se anexan el instrumento de investigación (cuestionario) y una síntesis de los datos recabados. Por ultimo se muestran las conclusiones generales y una serie de propuestas para aplicar a la problemática encontrada en la investigación. 5 INTRODUCCIÓN El objetivo principal de esta investigación, como ya se mencionó, es conocer los efectos que produce el MALWARE en las Organizaciones de la región de Xalapa. La población que comprende dicho estudio está definida por las Organizaciones públicas y privadas, pequeñas, medianas y grandes que se encuentran ubicadas físicamente en la región comprendida entre las ciudades de Xalapa, Coatepec y Banderilla, en el Estado de Veracruz. Este documento consta de cuatro capítulos aparte de esta introducción. En el primer capitulo está el Marco Teórico que trata sobre la temática relativa a: las Organizaciones, como entes sociales en México; la clasificación de las Organizaciones de acuerdo a diversos indicadores, un panorama simplificado de la teoría general de las organizaciones, culminando el capitulo con información relacionada con la seguridad informática, el termino MALWARE, tipos y casos de estudio. Un segundo apartado corresponde a la Metodología. En esta sección se incluye el Problema y Diseño de la investigación, donde se plantea la problemática, los objetivos, tanto el general como los específicos, la hipótesis que se pretende probar al concluir el trabajo, así como se menciona el tipo de investigación de que se trata. Además, se detalla el procedimiento empleado en el desarrollo de la investigación, la población en estudio, las técnicas y los instrumentos empleados para la obtención de la información así como las estrategias utilizadas para la aplicación de los cuestionarios a fin de optimizar los resultados. Una mención especial hace referencia a la problemática encontrada, ya que todas las investigaciones de alguna manera se encuentran con obstáculos que pueden cambiar un poco los planes iníciales; esta investigación no es la excepción por lo que es importante mencionar algunos problemas que se presentaron y la forma en que se solucionaron. 7 El capítulo tercero comprende el análisis e interpretación de la información recabada de las Organizaciones de la Región de Xalapa. En el siguiente orden se presentan las conclusiones generales del trabajo, como resultado de la investigación, así mismo se realizan algunas propuestas para la implementación de metodologías y de cursos de acción que permitan prevenir y corregir posibles ataques del MALWARE en las organizaciones. Finalmente, se incluye en este trabajo de investigación las fuentes de información así como los anexos que comprenden el instrumento para la obtención de la información y algunos gráficos que sintetizan el análisis de la investigación. 8 Capítulo I. Marco Teórico 1.1 TEORÍA DE LAS ORGANIZACIONES. De forma introductoria para conocer a grandes rasgos la teoría que nos compete en este trabajo de investigación sobre las Organizaciones, se comenzará por definir el término “Organización” y posteriormente explicar la clasificación de las organizaciones basándose en distintos indicadores, entre los cuales destacan número de personas que laboran en la organización, de a cuerdo a su origen, de acuerdo al origen de su capital, etcétera. El primer paso es conocer el significado de una organización; a continuación se presentan dos definiciones de distintos autores del concepto de Organización, las cuales aún siendo similares cada una aporta datos importantes y relevantes sobre las organizaciones: “Unidad Social que ha sido creada con la intención de alcanzar unas metas específicas. Los elementos fundamentales de una organización son: compuesta por individuos y grupos, orientadas hacia fines y objetivos, posee funciones diferentes y una coordinación racional intencionada, desde una continuidad en el tiempo”, (Filmeint, 2008). “Unidad económica productiva conformada por recursos humanos, materiales y técnicos que interactúan con los procesos productivos, relaciones humanas, y relaciones técnicas y sociales de producción, con el objeto de transformar insumos en bienes y servicios destinados al intercambio con otras unidades económicas”,(Méndez Morales, 2001). 10 Desde mi punto de vista y analizando las definiciones anteriormente mencionadas se entiende por una Organización a una entidad social coordinada con distintos recursos y destinada a lograr uno o varios objetivos en común. Es importante mencionar que las organizaciones se pueden clasificar de acuerdo a distintos criterios o características, por ejemplo en la Tabla 1.1 se muestra la clasificación que se da conforme al número de personas que laboran en la organización y sin dejar de lado el giro de la misma. Para ejemplificar, si una organización se dedica al comercio y tiene de 6 a 20 empleados entraría en la clasificación de pequeña empresa, ahora si el giro de la empresa es el de los servicios y ésta tiene de 0 a 20 empleados entraría clasificada como microempresa, etcétera. Industria Comercio Servicios 0-30 0-5 0-20 Pequeña empresa 31-100 6-20 21-50 Mediana empresa 101-500 21-100 51-100 501 en adelante 101 en adelante 101 en adelante Giro Tamaño Microempresa Gran empresa Tabla 1.1 Clasificación de acuerdo al tamaño de la organización según Méndez Morales (2001). 11 De acuerdo a su origen, (Méndez Morales, 2001). Esta clasificación se refiere al origen de los inversionistas que van a formar la sociedad para iniciar la empresa, estos pueden ser: Nacionales: son aquellas que se forman por aportaciones e iniciativa de residentes en el país, es decir nativos del país con espíritu emprendedor. Extranjeras: son las organizaciones que operan en el país, sin embargo el capital no es aportado por empresarios nacionales, sino por extranjeros. Mixtas: estas surgen cuando se da una alianza entre empresarios nacionales y extranjeros y estos se asocian y fusionan sus capitales. Otra clasificación es de acuerdo al capital. Este criterio hace referencia al origen o aportación del capital, según Silvestre Méndez Morales se les clasifica de la siguiente manera: Públicas: es la que se conforma con la aportación de capitales públicos o estatales debido a la necesidad de la intervención del estado en la economía; con el objetivo de cubrir áreas o actividades en las que los particulares no están dispuestos a participar porque no obtienen ganancias. Privadas: son la base del capitalismo, estas son conformadas con el capital de los particulares con el fin de obtener ganancias. Mixtas: son aquellas que se forman con la fusión de capital público y privado. 12 1.2 LAS ORGANIZACIONES DE LA REGIÓN DE XALAPA. En este apartado se hablará de las organizaciones en la región de Xalapa. A continuación se da una breve reseña sobre el surgimiento de las empresas en la región: “En 1836 se establece la industria en Xalapa, estos fueron los primeros indicios registrados de Organización Empresarial en la zona; en 1842 la fábrica "La Providencia" y en 1852 la de "San Bruno", todas ellas para la fabricación de textiles. En 1885 se introdujo el agua potable del Río Pixquiac y en 1901, bajo el gobierno porfirista de Teodoro Dehesa, la ciudad contó con la luz y energía eléctrica necesarias para su desenvolvimiento. Las fábricas se habían ido incrementando, además de las ya mencionadas de San Bruno y La Providencia, en 1882 se fundaron las de La Fama y El Dique”. (Municipio de Xalapa, 2009). Actualmente se ubica a la región de Xalapa como una zona escasamente industrial y más bien enfocada al comercio, los servicios y la educación, con iniciativa privada o gubernamental. La población total de estudio en este trabajo de investigación de la cual se extraerá una muestra en capítulos posteriores se conforma por un total de 16157 organizaciones en la región, de las cuales 15382 son microempresas, y estas a su vez se dividen en 6946 dedicadas al comercio, 1575 a la industria y 6861 a los servicios. En la clasificación de pequeñas empresas encontramos un total de 593, de las cuales 481 enfocadas al comercio, 31 a la industria y 81 a los servicios. Observando la clasificación de las medianas empresas conformado por 146 organizaciones, se ubican a 109 en el giro del comercio, 11 en el de la industria y 26 en el de los servicios. En la última de las clasificaciones, la de las grandes empresas, conformada por un total de 36 organizaciones, se identificaron a 24 dentro del 13 comercio, ninguna en la industria y 12 enroladas en el sector servicios, (INEGI 2004). A continuación se presenta en la tabla 1.2 las organizaciones que se incluyeron en el censo económico realizado por el INEGI (Instituto Nacional de Estadística y Geografía) en el 2004, conformando la tabla con lo datos clasificados y ordenados por giro o sector y por tamaño de la empresa. GIRO O ________SECTOR TOTALES POR TAMAÑO DE LA TAMAÑO MICROEMPRESA COMERCIO INDUSTRIA SERVICIOS EMPRESA 6946 1575 6861 15382 481 31 81 593 109 11 26 146 24 0 12 36 7560 1617 6980 PEQUEÑA EMPRESA MEDIANA EMPRESA GRANDE EMPRESA TOTALES POR SECTOR 16157 Tabla 1.2 Organizaciones que se ubican en la región de Xalapa (Elaboración propia). 14 1.3 LA SEGURIDAD INFORMÁTICA. La utilización masiva de las computadoras y redes como medios para el almacenamiento, la transferencia y el procesamiento de la información se ha incrementado espectacularmente en los últimos años, al grado de convertirse en un elemento indispensable para el funcionamiento de la sociedad actual. Como consecuencia, la información en todas sus formas y estados se ha convertido en un activo de altísimo valor, el cual se debe proteger y asegurar para garantizar su integridad, confidencialidad y disponibilidad, entre otros servicios de seguridad. A continuación se presenta un marco general de los aspectos fundamentales que comprende la seguridad de la información, tomando en cuenta los tipos de seguridad y algunas definiciones que ayudarán a una mejor comprensión del tema. Ahora bien, el término de seguridad informática es una palabra compuesta por dos más, las cuales resulta interesante conocer su significado para facilitar la comprensión del porque de esta investigación, comenzando por el término seguridad, este se define como: “Ciertos mecanismos que previenen algún riesgo o aseguran el buen funcionamiento de alguna cosa, precaviendo que falle”, (El Mundo, 2008). Por otro lado, el término informática se define como: “Conjunto de conocimientos científicos y técnicos que hacen posible el tratamiento automático de la información por medio de ordenadores”, (El Mundo, 2008). . Anteriormente se definió el concepto de seguridad y el de informática respectivamente, tomando como base dichas definiciones, ahora se analizarán algunas definiciones del significado de Seguridad Informática en su conjunto. 15 “La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático”, (Portal de definiciones, 2008). “Es la capacidad de mantener intacta y protegida la información de sistemas informáticos”, (Gonzalo Asensio, 2005). Una vez comprendido el concepto de seguridad informática cabe destacar que esta se divide en dos tipos de seguridad, la seguridad física y la seguridad lógica, los cuales son explicados a continuación. 1.3.1 Seguridad física Según Rodríguez (1997), la seguridad física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas a amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Área de cómputo así como los medios de acceso remoto, implementados para proteger el hardware y medios de almacenamiento de datos. Es necesario proteger tanto la seguridad física de las instalaciones donde está ubicado el equipo de cómputo como la del propio equipo. Por lo tanto, se requiere planear la instalación, controlar el acceso físico y protegerse contra daños y fallas en los suministros. Mantener la seguridad física es un primer paso para proteger las instalaciones de cómputo y comunicaciones. Las medidas de seguridad física deben tomar en cuenta riesgos como accidentes, desastres naturales, ataque por intrusos, condiciones ambientales, etcétera. 16 A continuación se detallan cada uno de los diversos peligros que, Rodríguez et al. (1997) considera que frecuentemente ponen en riesgo la seguridad física de los equipos de cómputo: Incendios. Los incendios son definidos como la ignición no controlada de materiales inflamables y explosivos, dado el uso inadecuado de combustibles, fallas en instalaciones eléctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas. Los daños que produce un incendio son generados por el fuego, el calor, los productos de combustión, el agente extinguidor y tiene como consecuencia destrucción de construcciones y estructuras. Los incendios son comúnmente considerados como el principal y más temido riesgo en instalaciones de cómputo, sin embargo, estadísticamente el agua es la causa del mayor número de desastres en instalaciones de cómputo. Inundaciones. Se considera inundación al flujo o a la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta o insuficiencia de drenaje tanto natural como artificial. Como ya se dijo anteriormente esta es la causa de mayor número de desastres en instalaciones de cómputo. Instalaciones eléctricas. Trabajar con computadoras implica trabajar con electricidad, por lo tanto esta es una de las principales áreas a considerar en la seguridad física. Además, es una problemática que abarca desde el usuario hogareño hasta la gran empresa. 17 En la medida que los sistemas se vuelven más complicados se hace más necesaria la presencia de un especialista para evaluar riesgos particulares y aplicar soluciones que estén de acuerdo con una norma de seguridad industrial. Las consecuencias de una interrupción en el suministro de electricidad son proporcionales al grado de dependencia en la computadora. El suministro de energía para el aire acondicionado, la computadora y el equipo de captura de datos es importante en las instalaciones de alto riesgo, especialmente las que cuentan con procesamiento en línea o de tiempo real, el suministro de respaldo es imprescindible. Contaminación. La entrada de partículas contaminantes al equipo electrónico, puede causar corto circuitos e incluso iniciar incendios en equipo de procesamiento de datos. Surge la pregunta: ¿Cómo se introducen los contaminantes al ambiente supuestamente limpio del centro de cómputo? Mientras que ciertos contaminantes son introducidos por los operadores (incluyendo fibra de ropa, partículas de cabello y piel, ceniza, etc.), la mayoría de las partículas son traídas por el aire y transportadas dentro de los equipos sensibles a través de las entradas de aire debajo del piso falso. Algunos de los contaminantes más comunes son: polvo de cemento, yeso y tierra, contaminación “urbana”, y partículas metálicas (conductores de electricidad). Muchos contaminantes pueden absorber humedad además de conducir electricidad. 18 Terremotos. Estos fenómenos sísmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan o tan intensos que causan la destrucción de edificios y hasta la pérdida de vidas humanas. El problema es que en la actualidad, estos fenómenos están ocurriendo en lugares donde no se les asociaba. Por fortuna los daños en zonas improbables suelen ser ligeros. Robo de equipo e información. En los centros de cómputo se encuentran activos de gran valor monetario, que resultan susceptibles de ser sustraídos. Mas grave aún puede resultar la sustracción de información (parte de la cual tiene carácter de confidencial). Utilización de Guardias. La principal desventaja de la aplicación de personal de guardia es que éste puede llegar a ser sobornado por un tercero para lograr el acceso a sectores donde no esté habilitado, como así también para poder ingresar o egresar de la planta con materiales no autorizados. Esta situación de soborno es muy frecuente, por lo que es recomendable la utilización de sistemas biométricos para el control de accesos. 19 1.3.2 Seguridad lógica. La seguridad lógica es tan importante como la física, incluye normas para el control del acceso a los datos/información, a fin de reducir el riesgo de transferencia, modificación, pérdida o divulgación accidental ó intencional de éstos. La seguridad física y lógica dependen, para el éxito de cada una, de la eficiencia y fortaleza de la otra, considera Rodríguez et al. Algunas de las principales aplicaciones de las medidas de seguridad lógica son: Separar de otros recursos del sistema el material al que tiene acceso permitido un usuario. Proteger los datos de un usuario de los de otro. Controlar el acceso de lugares remotos. Definir y poner niveles de control de acceso. Monitorear el sistema para detectar cualquier uso impropio. 20 Peligros: Riesgos debido a la amabilidad de los sistemas Las microcomputadoras y los paquetes de software de uso muy sencillo han provisto con capacidades o conocimientos en computación a personas sin un entrenamiento formal en el área. Algunos ejemplos de tipos de sistemas amigables al usuario que crean preocupaciones de seguridad son los siguientes: d) Sistemas de compras para clientes. e) Sistemas de órdenes y envíos. Un creciente número de organizaciones industriales están desarrollando sistemas de intercambio electrónico de datos. f) Sistemas de pedidos de manufactura. g) Sistemas de transferencia de dinero y comercialización de acciones. Todos los anteriores tipos de sistemas están diseñados para ser sencillos de usar, y para incrementar la productividad y eficiencia de una organización a través de sistemas flexibles. Debe tenerse mucho cuidado con los riesgos generados por aplicaciones que son quizá demasiado “amables” para el usuario y no tienen controles. Por ejemplo, sistemas que diseñan contraseñas muy cortas y fáciles de recordar y que no se cambian en forma regular, sistemas con controles de acceso demasiado débiles, etcétera. 21 Privacía de la información Los sistemas de procesamiento de datos pueden almacenar grandes cantidades de información acerca de individuos. La información puede ser recopilada de varias fuentes y entonces comparada. Algunas de estas comparaciones podrían ser inofensivas, pero otras no. ¿Cuándo podría considerarse una violación de la privacía de las personas en un ambiente de negocios? Tal vez, siempre que información que ha sido recopilada para un propósito sea revelada a externos para otro propósito. Falla en el CPU Una interrupción en la computadora central puede ser el resultado de múltiples factores. El sistema puede interrumpirse debido a fallas en el hardware y el software, o bien, el sistema puede ser retenido y reinicializado (lo que puede tardar mucho tiempo) por el operario cuando identifica que una de las computadoras se encuentra funcionando deficientemente. Errores en el software Una falla en un programa hace que éste produzca resultados inapropiados. Los errores en el software (“bugs”) han significado enormes pérdidas financieras, incluso en negocios grandes y bien establecidos. Estos errores representan un problema fundamental con sistemas computarizados porque no hay métodos infalibles (“debugger”) para probar que un programa opera correctamente y pueden ocurrir hasta en los programas mejor evaluados. 22 Errores en los datos Los errores en los datos son otra fuente de riesgo, ya que los sistemas de información no pueden ser buenos si la información que manejan no es correcta. Piratería de software En años recientes, la piratería de software (el robo de copias de software comprado), se ha vuelto un nuevo riesgo de seguridad; esto se debe a la proliferación de las microcomputadoras personales, en ellas los programas que corren en una, corren fácilmente en otra. Ha habido varios pleitos legales contra organizaciones que piratean software abiertamente. Aun sin pleito legal, una organización que hace copias ilegales o que permite que sus empleados las hagan podría estar sujeta a desprestigio público (especialmente con una cultura de respeto y protección a los derechos de autor). Robo Los robos vía computadora se pueden dividir en tres categorías: robo ingresando datos fraudulentos a las transacciones, robo modificando software y robo modificando o robando (valga la redundancia) datos. a) Robo ingresando datos fraudulentos a las transacciones: es el más simple y común (no requiere mucho conocimiento de computación). Los datos fraudulentos pueden ser ingresados por falsificación de documentos, omisión de procedimientos o haciéndose pasar por otra persona. En E.U. más de 100 empresas cada año van a la bancarrota debido a fraudes internos. 23 b) Robo por modificación de software: algunos programadores han cometido ilícitos modificando software de manera que se desempeñe en forma diferente cuando encuentre una cuenta en particular o alguna otra condición. c) Robo por modificación o robo de datos: la gente puede robar datos tomando los medios en que están almacenados, por ejemplo: cintas, diskettes, papel, etc., también pueden copiarlos y dejar originales. Sabotaje Los saboteadores no tratan de robar nada. En lugar de eso, tratan de invadir y dañar hardware, software, o datos. Pueden ser “hackers”, empleados disgustados o espías. Se han usado varias técnicas de programación en el sabotaje: a) Falsificación de datos: se refiere a la modificación de datos antes o durante su entrada al sistema. Es fácil de prevenir con un buen sistema de control en las aplicaciones. b) Técnicas de salami: consiste en agregar instrucciones a los sistemas que manejan dinero para desviar rebanadas tan pequeñas que nadie las nota, por ejemplo fracciones de centavo. Sin embargo, al acumularlas pueden llegar a formar una gran suma. c) Trap door: es un conjunto de instrucciones que permiten a un usuario traspasar las medidas estándares de seguridad de un sistema. d) Virus: un virus de computadora puede estar programado para borrar toda la información de un conjunto de datos; se puede infiltrar en una computadora y hasta en una red completa, y puede ser extremadamente peligroso si no se detecta a tiempo. 24 1.4 EL MALWARE Hoy en día el correcto funcionamiento de los equipos de cómputo en las organizaciones es de vital importancia pero la relevancia tan alta que han adoptado estos generalmente no es sólo por la automatización de los procesos que les brindan a los usuarios, sino más bien esto también tiene que ver con lo significativo que se ha tornado el resguardo de la información propia de las organizaciones y la digitalización de la misma, es decir, la seguridad y la practicidad que les brinda el almacenamiento de sus datos en los sistemas de cómputo, pero ¿qué pasa cuando esta “seguridad” que creen poseer en sus equipos de cómputo se pone en riesgo? , la forma más común en la que se generan atentados hacia nuestra información almacenada en medios electrónicos es aquella a la que se le denomina MALWARE. Es importante definir el concepto de “MALWARE” ya que se trata de un término aparentemente nuevo y que la mayoría de los usuarios de las tecnologías de la información no tienen lo suficientemente claro. A continuación se presentan dos definiciones de fuentes confiables, que de alguna manera nos permitan tener un panorama más amplio de lo que engloba este término: 1) ”El malware es un término general que se le ha adjuntado a todo aquel software que perjudica a la computadora. La palabra malware proviene del término en inglés malicious software, y en español es conocido con el nombre de código malicioso”, (Jiménez Rojas, 2007). 2) “Todo aquel programa, archivo o mensaje que sea potencialmente peligroso para nuestro sistema o los datos que contiene. Así, todas las amenazas se agrupan bajo dicha categoría y se consideran de forma genérica malware o software malintencionado”, (Sitio de Kaspersky y Micronet, 2009). 25 Analizando las definiciones planteadas anteriormente, se puede concluir que, MALWARE se refiere a todo aquel programa diseñado con el objetivo de efectuar un cambio en el correcto funcionamiento del equipo de cómputo, por lo que a partir de este punto se utilizará el término MALWARE o software malo de manera indistinta para hacer referencia a estos programas. 1.4.1 Propagación. En la mayoría de los casos, las afectaciones causadas por el MALWARE se dan por el desconocimiento de la forma en que los distintos tipos de código malicioso se propagan, pues basta con tener un solo equipo con salida a Internet para poner en riesgo una organización entera, este es el ejemplo más común de propagación: el acceso a internet, que a su vez, tiene implícito el uso del correo electrónico, mensajeros instantáneos (Messenger), descargas de múltiples aplicaciones, utilización de aplicaciones para intercambio de archivos multimedia (música, video, imágenes, etcétera) acceso a páginas de dudosa reputación o con contenido impropio, entre otros; el hecho de tener acceso a información y/ o comunicación a través de internet, incrementa el riesgo de ser afectado por MALWARE, por lo que resulta de gran importancia contar con una aplicación para prevenir o corregir afectaciones causadas por el MALWARE que ataca vía internet. Otra forma muy común de propagación es la que se da a través del uso sin previo análisis de dispositivos de almacenamiento USB (memorias Flash, Discos duros, etcétera), esto se debe a que en la mayoría de los casos con el simple hecho de insertar el dispositivo en el equipo se ejecuta de forma automática el archivo que esta destinado a infectar el sistema. 26 Cabe destacar que prácticamente existen dos formas en las que el MALWARE entra a nuestro equipo una es en la que el usuario interviene, es decir, requiere que el usuario acepte cierta condición, que accese a cierta página, que ejecute cierto programa, etcétera. Y la otra forma es aquella que sucede de forma transparente para el usuario, o en otras palabras es en la cual el usuario ni siquiera se percata o no realiza ninguna acción para dar pie a la infección del software malo. 1.4.2 Síntomas y Efectos Ahora que se ha identificado las formas más comunes en las que el MALWARE se propaga es importante identificar los síntomas que se presentan cuando el MALWARE esta presente en nuestro equipo y los efectos que este puede causar de no ser erradicado a tiempo, de acuerdo con el portal de seguridad de la UNAM (Universidad Nacional Autónoma de México) algunos de estos síntomas son: Podrían aparecer procesos desconocidos en tu sistema. Tu equipo puede comenzar a ejecutarse de forma lenta. Tu conexión a Internet podrían interrumpirse en ciertos momentos. Tu sistema puede congelarse parcial o permanentemente. Podrían comenzar a aparecerte distintas ventanas de mensajes emergentes. Estos son solo algunos de los síntomas principales pero éstos pueden variar dependiendo del tipo de MALWARE que infecte el equipo de cómputo. 27 Si se ha presentado alguno de los síntomas anteriormente mencionados y no se realizo ninguna actividad o no se ejecuto alguna aplicación antimalware para solucionar el problema es muy probable que se presenten ciertos efectos causados por el software malo, como por ejemplo, la revista de Seguridad Informática de la UNAM en su versión de Mayo del 2009 menciona los siguientes: Perdida o robo de información. El recibir en grandes cantidades correo electrónico no deseado. El control de nuestro quipo por usuarios maliciosos. Disminución del rendimiento del equipo de cómputo. Aparición de publicidad inesperada. Aparición de nuevos archivos no creados por el usuario. Problemas en la conexión de red. Desactivación de antivirus y otras aplicaciones de seguridad. La constante apertura de puertos para extraer contraseñas de los equipos de cómputo. A continuación se presenta un gráfico en el cual se muestra según el informe anual de 2008 de Panda Labs la frecuencia de acuerdo al tipo de MALWARE: 28 Figura 1.1 Frecuencia con la que se presenta el Malware a nivel global (Portal de seguridad de PandaLabs, 2008). Es importante destacar que en el gráfico anterior se muestran en un sólo conglomerado los troyanos y los virus, siendo estos los de mayor frecuencia a nivel global con un 77.49%, ocupando el segundo puesto se ubica al adware con un 16,28% del total. Sin embargo es necesario mencionar que además de los tipos anteriormente mencionados existe una gran diversidad de tipos de MALWARE que surgen a diario, y otros más ya identificados por ejemplo virus, bombas lógicas, backdoors, phishing, etcétera. En estos últimos es en los cuales se centra este trabajo. A continuación se muestra una descripción de algunos tipos de MALWARE, su definición, formas de propagarse y efectos causados en los equipos de cómputo. 29 1.4.3 Tipos de MALWARE Virus. Microsoft (2009) afirma que un virus es código informático que se adjunta a sí mismo a un programa o archivo para propagarse de un equipo a otro, infecta a medida que se transmite y pueden dañar el software, el hardware y los archivos. Es un código escrito con la intención expresa de replicarse. Un virus se adjunta a sí mismo a un programa host (programa de hospedaje) y, a continuación, intenta propagarse de un equipo a otro. Puede dañar el hardware, el software o la información. Al igual que los virus humanos tienen una gravedad variable, desde el virus Ébola hasta la gripe de 24 horas, los virus informáticos van desde molestias moderadas hasta llegar a ser destructivos. La buena noticia es que un verdadero virus no se difunde sin la intervención humana. Alguien debe compartir un archivo o enviar un mensaje de correo electrónico para propagarlo. Worm (Gusano). Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro, pero lo hace automáticamente. En primer lugar, toma el control de las características del equipo que permiten transferir archivos o información. Una vez que un gusano esté en su sistema, puede viajar solo. El gran peligro de los gusanos es su habilidad para replicarse en grandes números. Por ejemplo, un gusano podría enviar copias de sí mismo a todos los usuarios de su libreta de direcciones de correo electrónico, lo que provoca un efecto dominó de intenso tráfico de red que puede hacer más lentas las redes empresariales e Internet en su totalidad. Cuando se lanzan nuevos gusanos, se propagan muy rápidamente. Bloquean las redes y posiblemente provocan esperas largas (a todos los usuarios) para ver las páginas Web en Internet. Un gusano puede consumir memoria o ancho de banda de red, lo que puede provocar que un equipo se bloquee, (Microsoft, 2009). 30 Caballo de Troya “Un programa caballo de Troya (también llamado Troyano) es una pieza de software dañino disfrazado de software legítimo. Los caballos de Troya no son capaces de replicarse por sí mismos y pueden ser adjuntados con cualquier tipo de software por un programador o puede contaminar a los equipos por medio del engaño. Este software entra en la computadora, oculto en otros programas aparentemente útiles e inofensivos pero que al activarse crean problemas al desarrollar la acción de estos archivos infecciosos. Los troyanos también se pueden incluir en software que se descarga gratuitamente”, (Asecsoporte, 2008). Bombas lógicas Tal como lo dice el blog sobre seguridad informática Dagda (2007), una bomba lógica es un programa informático que se instala en un equipo de cómputo y permanece oculto hasta cumplirse una o más condiciones pre programadas, para entonces ejecutar una acción maliciosa. Comúnmente esta acción suele ser un borrado parcial o completo de archivos, y posteriormente dañar el Sistema Operativo de tal manera que no sea posible recuperarlos. Se pueden ejecutar mediante una fecha concreta, al pulsar una tecla o una secuencia de teclas, al ejecutar un archivo determinado, al recibir un correo con un texto concreto, etc. Prácticamente el 100% de las bombas lógicas son colocadas por empleados descontentos que antes de marcharse de la empresa o ser despedidos, realizan este tipo de sabotaje. 31 “Los disparadores de estos programas puede ser varios, desde las fechas del sistemas, realizar una determinada operación o que se introduzca un determinado código que será el que determine su activación”, (Delitos Informáticos, 2001). Adware “Advertising-Supported software” (Programa Apoyado con Propaganda), se considera un tipo de malware. La finalidad de este suele ser publicitaria se emplea sobre todo para financiar ciertos tipos de software gratuito, pero también para forzar la compra de shareware (versiones de software que son distribuidas gratuitamente para ser probadas y poseen restricciones en su funcionalidad o disponibilidad). Lo peor de este tipo de malware radica, aparte de lo molesto que es, en que llega a ralentizar extremadamente los sistemas y en que en muchos casos están muy protegidos para evitar su desinstalación o la de los programas que lo contienen, siendo necesario eliminarlos con programas específicos anti adware. Su medio natural de difusión son las descargas de páginas web y el correo electrónico, (Delitos Informáticos, 2001). Spyware “Se conoce como spyware a aquellos programas que recopilan información sobre el usuario sin su consentimiento. Para que un programa spyware se instale en tu ordenador debes ejecutar un programa que lo instale. Normalmente los programas de spyware se valen de métodos de ‘ingeniería social’1 y se instalan asociados a 1 Definición: Término aplicado a un amplio rango de técnicas destinadas a obtener alguna ventaja o inducir un cambio de comportamiento en un individuo o un grupo, utilizando manipulación psicológica. El vocablo deriva de las ciencias sociales, donde no necesariamente tiene una connotación negativa, pero en seguridad su uso casi siempre implica algún tipo de estafa, malicia o fraude, ESET (2009). 32 programas perfectamente útiles y funcionales como reproductores de MP32, gestores de descargas o barras de herramientas para navegadores. Estos programas se ejecutan en un segundo plano y recogen información relativa a nuestros hábitos de uso del ordenador, como los sitios web que visitamos, cuánto tiempo pasamos en cada página web, qué temas nos resultan interesantes, direcciones de correo, etc. Esta información se envía a través de Internet a los creadores del spyware, que posteriormente la venden a empresas de marketing, publicidad o estudios de mercado. Los principales inconvenientes de estos programas, además de la evidente intromisión en nuestra privacidad, vienen dados por la escasa calidad de los mismos que tiene como consecuencia una importante bajada de rendimiento de nuestro sistema o incluso cuelgues y bloqueos”, (portal de Kaspersky y Micronet, 2009). Phishing “Es el intento fraudulento y malicioso de obtener información confidencial de un usuario que permita posteriormente suplantar su identidad ante otro sistema, como un sitio web de comercio electrónico o de banca online. Suele encontrarse íntimamente vinculado al spam ya que los agresores envían mensajes de correo electrónico que simulan ser un mensaje remitido por nuestro banco o por webs de comercio electrónico como eBay o Amazon, o de pago on-line como PayPal. Estos mensajes esgrimen cualquier pretexto para que introduzcamos nuestro usuario y nuestra contraseña, o nuestro número de cuenta, o de tarjeta de crédito, o cualquier otra información que puedan luego utilizar. Para ello suelen redirigirnos a un portal web falso que reproduce con todo lujo de detalles el portal de la entidad original. Actualmente se están detectando variaciones de este fraude como el Smishing que usa mensajes SMS en lugar de portales falsos, o el Vishing que utiliza sistemas 2 Definición: Formato de compresión de archivos audio con calidad CD. Posibilita almacenar música de alta calidad ocupando un mínimo espacio. Para reproducir estos archivos, se necesita un software específico 33 telefónicos automáticos para solicitar al usuario los datos requeridos”, (portal de Kaspersky y Micronet, 2009). Backdoors Un backdoor es un programa que se introduce en el ordenador de manera encubierta aparentando ser inofensivo. Una vez ejecutado, establece una "puerta trasera" a través de la cual es posible controlar el ordenador afectado. Esto permite realizar en éste acciones que comprometan la confidencialidad del usuario o dificultar su trabajo, (Seguridad en la Red, 2009). Algunas capacidades de los backdoor son: Extraer y enviar información del sistema al intruso. Descargar o enviar archivos de la computadora. Substraer o cambiar los password (contraseña) o archivos de passwords. Anular procesos en ejecución. Mostrar mensajes en la pantalla. Realizar acciones nocivas o dañinas: manipular el mouse, mostrar/ocultar la Barra de Tareas, abrir y cerrar la bandeja del CD, reiniciar la computadora, formatear el disco duro, entre otras acciones. El sustento de esta gravísima amenaza es la existencia de 65535 Puertos TCP/IP disponibles, a través de los cuales de encontrarse "abiertos", será posible ingresar un pequeño programa “Servidor” componente de cualquier sistema Backdoor. 34 A continuación se presenta un cuadro en el que se resumen las características principales de cada uno de los tipos de MALWARE anteriormente mencionados para facilitar la comprensión del funcionar de los mismos. Tipo Forma de Propagación Efectos Virus Adjunto en otro archivo host Puede dañar el hardware, el (archivo de hospedaje) software o la información, se replica ocupando memoria y recursos. Troyano Gusano Adjunto en otro archivo host Control remoto de nuestro equipo, (archivo de hospedaje) robo de información Se propaga de forma autónoma Puede dañar el hardware, el software o la información, se replica de forma automática ocupando memoria y recursos. Bomba Adjunto en otro archivo host borrado parcial o completo de lógica (archivo de hospedaje) archivos, y daño el Sistema Operativo Adware Descargas web y correo Ralentización del sistema electrónico Spyware Adjunto en otro archivo host Robo de información privada, (archivo de hospedaje) gustos, correos electrónicos, etcétera Backdoors Adjunto en otro archivo host Robo de contraseñas, reinicio de la (archivo de hospedaje) computadora, aparición de mensajes extraños. Tabla 1.3 Tipos de MALWARE, formas de propagación y efectos (Elaboración propia). 35 1.4.4 Casos de estudio En este apartado se presentan dos casos reales de organizaciones, en los que el MALWARE ha afectado de alguna manera su funcionamiento, en primer lugar se muestra el caso de una Universidad de España, (“Universidad de Granada”), que al parecer fue victima de uno de sus alumnos; y posteriormente un caso local, de la ciudad de Xalapa, Veracruz, en el que un conocido gusano afectó las labores de una institución de gobierno, (Poder Judicial del Estado de Veracruz). Caso “Universidad de Granada” Antecedentes de la Organización. De acuerdo a lo consultado en la página web de la propia universidad, la Universidad de Granada fue fundada en 1531 con el apoyo de Carlos I, el entonces Rey de España. La Universidad de Granada supuso la continuación de los estudios superiores de la Universidad “La Madraza”. Desde entonces, la Universidad ha brindado de un espíritu innovador a la ciudad, manteniendo una tradición cultural que le ha permitido perdurar y convertirse en referencia cultural, histórica, investigadora y docente de la ciudad. La comunidad universitaria está compuesta por más de 80.000 personas entre profesores, personal administrativo y alumnos. Con más de 60.000 alumnos, el ambiente universitario se respira en muchos barrios de la ciudad. Además de la ciudad de Granada, la Universidad también cuenta con un campus en la ciudad de Ceuta y otro en la ciudad de Melilla. Planteamiento del problema. Según lo publicó Cabrero (Ideal, 2007), en un reconocido diario de la ciudad de Granada en España, en Octubre del 2007, aparentemente un hacker (experto en informática) ingresó a la red de la Universidad provocando pérdida de datos personales de académicos y eliminación de una parte de la página oficial de la 36 Escuela Técnica Superior de Ingeniería e Informática y Telecomunicaciones (ETSIIT). José Luis Bernier, jefe del equipo web encargado de la restauración de los daños, explica que al parecer, el pirata usó un programa llamado “Sniffer” -que cualquiera puede descargar de la red- y lo ejecutó en el laboratorio de prácticas de la escuela. (Este programa copia todo lo que circula por la red). Una vez en marcha es muy fácil obtener las contraseñas que tanto alumnos como profesores usan a diario en nuestra red, explica José Luis. Esas contraseñas son las mismas para acceder al correo electrónico y a los foros de discusión. Así, el pasado lunes 29 de octubre, el hacker entró en el foro haciéndose pasar por otra persona y aprovechó para decir alguna que otra barbaridad. “Pensamos que algún alumno se habría dejado el ordenador encendido y que alguien había aprovechado para gastarle una broma. Pronto descubriríamos que no era así”, afirmó Bernier. Según el director del equipo web, las investigaciones están llegando a buen puerto, ya que afirma aún no tener pruebas concluyentes, pero todo apunta a que ha sido un alumno de la propia Universidad, debido a que existen datos que quedan guardados en el sistema, tales como: nombres de usuario, hora de inicio y fin de sesión, etc. Efectos del MALWARE. Cabrero afirma que, al día siguiente el equipo web se encontró con una ingrata sorpresa, ya que habían modificado la página web de la ETSIIT. Al parecer el intruso había conseguido la contraseña de acceso de un alumno que trabaja en la web de la escuela, por lo que pudo tener acceso a la administración de la misma. Cambió la página de inicio y dejó mensajes en la portada, tales como: “Esta página se va a dar de baja y va a dejar de funcionar un año”; textos que fueron rápidamente retirados por el equipo de atención web. 37 Pero eso no fue todo, también entró a los ordenadores de dos maestros de la Universidad, al parecer consiguió sus claves y robó calificaciones y las soluciones a las prácticas que usan durante todo el curso, hecho que provocó que los profesores hayan perdido un año de trabajo y se hayan visto obligados a invalidar los trabajos entregados hasta ese momento. Sin duda “Snifer” condujo a una grave repercusión, pues ha quedado en entredicho la fiabilidad de todo el sistema informático de la Universidad de Granada. Además de que algunos alumnos claman ante un hecho que no hace más que evidenciar que el sistema operativo del servidor está anticuado y por lo que pudieron saltar la barrera de seguridad con suma facilidad. Medidas que se tomaron para la reparación de los daños. En cuanto a la pagina web, según Bernier, se contaba con una copia de seguridad reciente con la que pudieron salvar todos los datos y restaurar la web en aproximadamente 30 minutos. Medidas tomadas después del ataque. En la fuente de información citada no se cuenta con este dato, sin embargo algo que se puede recomendar hacer en un caso similar es, generar respaldos frecuentes de la información así como de las páginas web, crear una cuenta de acceso limitada a los equipos de cómputo de la universidad para cada alumno, para que cuando utilice alguno, sus acciones queden registradas en la bitácora y poder identificar alguna anomalía que se lleve a cabo. 38 Caso “Poder Judicial del estado de Veracruz”. Antecedentes de la organización. De acuerdo a la página oficial de la institución, el Poder Judicial, es el garante de la constitucionalidad en el Estado, y tiene a su cargo, como función primigenia, la tarea de administrar justicia en el territorio veracruzano. Una de las atribuciones del Poder Judicial, es la de dictar las medidas procedentes para que la administración de justicia sea pronta, expedita y completa; la percepción que la sociedad tenga de ello, depende de la utilización adecuada y eficiente de los recursos humanos y tecnológicos disponibles; en ese marco, se presenta a consideración de la ciudadanía veracruzana, la nueva página del Poder Judicial del Estado, que habrá de mostrar, de manera transparente, la forma en que operan sus órganos jurisdiccionales y administrativos. La sede oficial del Poder Judicial del Estado es la ciudad de Xalapa, Enríquez. Desde agosto de 1999, el Palacio de Justicia alberga en sus instalaciones al Tribunal Superior de Justicia, al Tribunal de lo Contencioso Administrativo, al Tribunal de Conciliación y Arbitraje, y al Consejo de la Judicatura. Antecedentes del MALWARE. Se trata de un gusano llamado “Conficker”, el cual instalándose de forma silenciosa ha logrado infectar una gran cantidad de equipos en el mundo explotando una vulnerabilidad de Windows denominada MS08-067. Según Symantec (2009) el gusano Conficker principalmente se propaga en las redes. Si encuentra un equipo vulnerable, desactiva el servicio de copias de seguridad automáticas, elimina los puntos de restauración anteriores, desactiva algunos servicios de seguridad, bloquea el acceso a una cantidad de sitios web de seguridad y abre equipos infectados para recibir otros programas del creador del programa malicioso. El gusano luego intenta propagarse hacia otros equipos en la misma red 39 copiándose a sí mismo en carpetas compartidas e infectando dispositivos USB, como tarjetas de memoria. Se cree que el gusano será utilizado para crear una botnet (red controlada remotamente) que, a su vez, será alquilada por delincuentes que desean enviar spam (correo basura), robar datos identificativos y dirigir a los usuarios a sitios web de phishing (sitios web falsos) y estafas online. Planteamiento del problema. Según la información aportada por Jesús Alemán (2009), prestador de servicio social en la institución, afirma que debido a que el edificio del Poder Judicial mantiene una red interna con la Secretaría de Finanzas y Planeación (SEFIPLAN), el personal comparte información que se transfieren a través de correo electrónico y en muchos casos a través de dispositivos de almacenamiento extraíbles como memorias USB. Lo cual dio pie a que a principios del mes de Enero del año en curso, se licitara una propagación masiva del “Conficker” por literalmente todo el edificio del Poder Judicial, misma que pudo ser totalmente controlada hasta finales del mes de Abril. Se habla de aproximadamente 600 equipos de cómputo afectados, cabe resaltar que hubo algunas excepciones debido a que los equipos no se encontraban conectados a la red. El personal de la Subdirección de Tecnologías de Información perteneciente a la institución y a la vez encargada de solucionar el problema, asegura que el origen de la infección fue en las oficinas de SEFIPLAN. Efectos del MALWARE. Alemán argumenta que, afortunadamente no hubo daños tan graves que desembocaran en pérdidas monetarias, sin embargo si hubo pérdida de archivos personales en algunos equipos de cómputo, además de que se perdió mucho tiempo 40 en analizar cada máquina del edificio, lo cual causó un retraso significativo en las actividades del personal que ahí labora. Medidas que se tomaron para la reparación de los daños. El personal de la Subdirección del Tecnologías, una vez enterados del suceso, procedió a instalar software antivirus en todas las computadoras del edificio, según miembros del equipo, hubo la necesidad de utilizar dos antivirus para eliminar por completo el gusano, además de algunas herramientas de detección de malware de Symantec, también se instalaron parches de seguridad de Windows que solucionaron la vulnerabilidad que se mencionó en los antecedentes del MALWARE de este caso, y en algunos casos como medida drástica de solución hubo que formatear el equipo de cómputo. De igual manera también se analizaron y desinfectaron las memorias USB de todo el personal del edificio del Poder Judicial (Alemán). Medidas tomadas después del ataque. Se mantiene actualizado el software antivirus, así como también se actualiza el software de Windows. Se le proporcionó capacitación a todo el personal que labora en la institución para el análisis constante de sus memorias USB y de su equipo de cómputo. Sin embargo, como medida de seguridad se hizo hincapié en evitar lo más posible la transferencia de archivos a través de memorias USB, ya que se cree que esa fue la causa de la infección. Así como también, se le dijo al personal tomar las precauciones necesarias al recibir correos electrónicos de destinatarios desconocidos con datos adjuntos (Alemán). 41 Para finalizar este capitulo es importante destacar los puntos más relevantes del mismo, como por ejemplo, los conceptos generales de organización y como es que estas se clasifican, además de las que se ubican en la región de Xalapa de acuerdo al tamaño de las mismas; o también, el hecho de existe una gran variedad de software malo y este se clasifica y toma diversos nombres conforme a su forma de propagarse y también a su forma de realizar el daño a los equipos de cómputo. Cabe destacar que si es de preocuparse que las organizaciones en la actualidad no le dan la importancia que requiere la implementación de medidas de seguridad (tanto lógica como física) necesarias para resguardar la información más importante de las organizaciones. Ahora que se cuenta con un panorama más amplio sobre el concepto de MALWARE, sus distintos tipos y formas de operar es más simple la asimilación de la información recabada en esta investigación, los resultados que arroja y la importancia de los mismos. Así es como se concluye este capitulo para dar pie al siguiente apartado en el cual se detallará la metodología implementada en este trabajo de investigación. 42 Capítulo II. METODOLOGÍA 43 En es este capítulo se presenta la metodología que se llevó a cabo para el desarrollo de la presente investigación desde el surgimiento de la idea hasta la conformación del informe final. Aquí se describe el procedimiento que se siguió en el desarrollo de la investigación, así como las técnicas e instrumentos utilizados para la obtención de la información. También se relata la forma en la cual se obtuvo la información que se utilizó para identificar y definir a la población en estudio. Esto permitió realizar algunos cálculos para conocer el número aproximado de Organizaciones que conforman la región de Xalapa clasificadas por tamaño. En esta sección se hace una breve reseña de la forma que se utilizó para la aplicación del instrumento, así como la problemática enfrentada en el trabajo de campo. 2.1 PLANTEAMIENTO DEL PROBLEMA Como se explicó en los casos de estudio, en la actualidad, el uso masivo del internet si bien le da ventajas a las organizaciones también conlleva ciertos riesgos, como por ejemplo, la amenaza del software malo o código malicioso a la información almacenada en medios electrónicos de las organizaciones; sin embargo, nos enfrentamos con la problemática de no conocer con certeza las afectaciones que produce el MALWARE en las organizaciones, en este caso en específico de la región de Xalapa y sus alrededores; por lo cual el enunciado del problema o la pregunta a la que se intenta dar solución en esta investigación es: ¿Cuáles son las afectaciones más comunes que producen los distintos tipos de MALWARE en las organizaciones de la región de Xalapa? 44 2.1.1 OBJETIVOS. Objetivo General. El objetivo principal de esta investigación es explorar y describir los efectos que produce el MALWARE en el funcionamiento de las organizaciones de la región de Xalapa. Objetivos Específicos. 1. Identificar cuáles son los tipos de MALWARE más frecuentes en las organizaciones de nuestra región. 2. Identificar cuáles son las aplicaciones y los métodos con los que las organizaciones de la región de Xalapa previenen y/o combaten el MALWARE. 3. Conocer los efectos negativos que ha ocasionado el MALWARE en las organizaciones de la Región de Xalapa. 4. Proponer alternativas de solución a los efectos que causa el MALWARE en las organizaciones. 2.1.2 HIPÓTESIS. La proposición hipotética que se formula como guía en esta investigación es la siguiente: En la mayoría de las organizaciones de la región de Xalapa que han presentado ataques vía MALWARE la consecuencia más frecuente es la pérdida de tiempo. 45 2.1.3 JUSTIFICACIÓN. En la actualidad, pese a la facilidad de acceso a la información que caracteriza a nuestra sociedad, existen varias áreas alrededor de las cuales abundan los rumores y las ambigüedades, un ejemplo claro de ello es el conocimiento de los efectos del MALWARE en el funcionamiento de una organización; muchas veces no se conoce los síntomas o alarmas que hacen obvio el ataque del MALWARE en nuestros equipos de cómputo, ni las medidas preventivas o correctivas que se deben llevar a cabo en una situación así. Actualmente, las Organizaciones de la región de Xalapa y en general la mayoría de las organizaciones se enfrentan al problema de no conocer con certeza los efectos que el MALWARE ocasiona en el funcionamiento de las mismas. Por lo tanto el desarrollo de esta investigación obedece a la inquietud propia por conocer los efectos del MALWARE en el funcionamiento de las organizaciones de la región de Xalapa, que métodos son utilizados para prevenir estos ataques y como resarcir el daño causado. Cabe mencionar que esta investigación no solo me servirá para obtener más conocimientos acerca del malware y sus efectos en las organizaciones, sino también será un apoyo y una guía para aquellos que en un futuro quieran conocer las causas y efectos del MALWARE en casos reales, principalmente en la región de Xalapa. Por otro lado este trabajo de investigación me permitirá obtener el título de Licenciado en Sistemas Computacionales Administrativos de la facultad de Contaduría y Administración de la Universidad Veracruzana. 46 2.2 TIPO DE INVESTIGACIÓN Dado que los objetivos de la investigación son conocer los tipos de MALWARE y sus efectos, que han atacado a las organizaciones de la región de Xalapa, aplicaciones y métodos utilizados para prevenir y corregir los problemas generados por el MALWARE, y primordialmente como ha repercutido el MALWARE en las organizaciones de la región de Xalapa, entonces estamos hablando de una investigación de tipo exploratoria descriptiva. 2.3 PROCEDIMIENTO Las etapas que comprendió el desarrollo de este proyecto de investigación, incluyeron las siguientes: 1. Planeación de la investigación: se determinó el curso de acción que permitió el desarrollo de la investigación, asignando tiempos para cada etapa del proceso y previendo la consecución de los recursos para lograr los objetivos de la investigación. En esta etapa se incluye la elaboración del protocolo de investigación. 2. Obtención de la información: la información se obtuvo de diferentes fuentes: a) Primaria: se obtuvo a través de los cuestionarios aplicados a la población en estudio. b) Secundaria: esta se obtuvo de los distintos sitios disponibles en nuestro país y que de acuerdo a la legislación que nos rige permiten la 47 transparencia y el libre acceso a la información. Otras fuentes de este tipo de información son las siguientes: 1. Libros: se recabo información pertinente a esta investigación de diversas obras de distintos autores en términos generales orientados a la Administración y la Informática. 2. Revistas: se revisaron revistas varias para enriquecer el marco teórico implementado. 3. Internet: de aquí también se obtuvo información para enriquecer el marco teórico considerado. 3. Población en estudio: comprende a todas las Organizaciones pequeñas, medianas y grandes de la región de Xalapa, entendiéndose por región de Xalapa a las ciudades más importantes de la zona, es decir, Xalapa, Coatepec y Banderilla, a partir de esta seleccionando una muestra representativa de dicha población. 48 La figura siguiente define claramente a la población en estudio: Organizaciones de la Región de Xalapa (Población Universo) Organizaciones de la región de Xalapa pequeñas, medianas y grandes, públicas y privadas (Población muestral). Figura 2.1. Definición de la población en estudio. 4. Elaboración de los Instrumentos de investigación: se elaboró un cuestionario (Anexo I) destinado a obtener la información de las organizaciones de la región de Xalapa en relación con el MALWARE, referente a conocimiento del mismo, medidas preventivas y correctivas, daños causados, etcétera. 5. Prueba de los instrumentos de investigación: antes de realizar la aplicación de las encuestas a la población total, estos se validaron realizando una prueba piloto a miembros de la población (10 organizaciones) en estudio con la finalidad de corroborar que la información contemplada es la que requería para lograr el objetivo de la investigación. 6. Obtención de la información a través de un estudio de población: una vez que el instrumento fue probado y corregido se procedió a la aplicación siguiendo un plan previamente preparado de tal manera que se lograra la aplicación total en el tiempo previsto. 49 7. Análisis e interpretación de la información: con la información recabada a través de los cuestionarios se realizó un análisis apoyado con una herramienta de software, en este caso la hoja de cálculo de Microsoft Excel 2007 lo cual facilitó el trabajo. Con los resultados del análisis se procedió a hacer la interpretación de la información. 8. Presentación de resultados: con el resultado del análisis y la interpretación de la información se presentó un documento que describe la investigación, la forma en la que se realizó, los resultados y las conclusiones que se obtuvieron. 9. Informe final: de todas las partes de la investigación se integró el documento final que una vez revisado se le dará el nombre de tesis. 2.4 TÉCNICAS E INSTRUMENTOS Los instrumentos son las herramientas que se tomaron como apoyo para recabar la información necesaria para cumplir con el desarrollo de la investigación. Los métodos e instrumentos que se utilizaron en este proyecto son los siguientes: Métodos: o Interrogación. Instrumentos: o Cuestionario 50 De acuerdo a los objetivos del proyecto, se diseñó como instrumento un cuestionario (Anexo I). El contenido del instrumento está en función tanto de los objetivos de la investigación como de la hipótesis, derivándose de las variables relativas los efectos del MALWARE en las organizaciones de la región de Xalapa. El cuestionario está orientado (como ya se hizo mención) a las Organizaciones de la región de Xalapa, de tal forma que nos permita analizar diferentes experiencias sobre la protección y afectación del MALWARE, y así realizar sugerencias para dar solución a la problemática generada por el MALWARE en dichas Organizaciones. El cuestionario fue probado para el diseño del formato definitivo. Esto obedece a que se aplicó como prueba piloto diez Organizaciones de la región de Xalapa que conforman la población en estudio, lo cual permitió realizar los ajustes necesarios logrando su diseño definitivo. 2.5 OBTENCIÓN DE LA INFORMACIÓN Una de las fuentes principales de las cuales se obtuvo la información relacionada con las organizaciones fue del INEGI (Instituto Nacional de Estadística y Geografía) y del SIEM (Sistema Empresarial Mexicano), para de este modo iniciar con la identificación de la población de estudio y posteriormente la delimitación de la muestra. Se hizo un análisis de la información proporcionada y la que no se consideró indispensable fue omitida, por ejemplo tomar en cuenta únicamente a las organizaciones clasificadas como pequeñas, medianas y grandes en los municipios de Xalapa, Banderilla y Coatepec. 51 Una vez identificada y definida la población a considerar se creó una base de datos con los aspectos relevantes, organizándolos por municipio y tamaño de la organización, para así facilitar la identificación de las organizaciones que serían objeto de la investigación. En la siguiente tabla se presenta dicha información. Municipio Xalapa Coatepec Banderilla TOTAL Tamaño Organización Pequeñas Empresas 320 186 87 593 Medianas Empresas 66 54 26 146 Grandes 24 8 4 36 Total 410 248 117 775 Tabla 2.1 Delimitación de la población de estudio (Elaboración propia). Esto me permitió tener una idea clara de la población en estudio (775 Organizaciones) y de sus características, para diseñar el plan que se iba a seguir en la etapa de la obtención de la información. También pude hacer un cálculo del tiempo en el que se podría recabar la información. 52 La siguiente etapa fue la de estimar el tamaño de la muestra representativa a la que se le aplicaría el cuestionario. Se utilizó el método de muestreo aleatorio sin reposición el cual se da cuando el proceso de extracción es tal que garantiza que cada uno de los elementos de la población tiene la misma oportunidad de ser incluidos en dicha muestra, sin embargo no contempla la inclusión de elementos previamente elegidos para conformar la muestra. Para la determinación de la muestra se utilizó la fórmula que se muestra en la figura 2.2: Figura 2.2 Fórmula para el calculo de la muestra aleatoria simple (sitio HSA, 2009). Donde: n es el valor de la muestra, hasta ahora desconocido N es el tamaño de la población, es decir 775 organizaciones α es el porcentaje de error, en este caso 10% z es el nivel de confianza, en nuestra investigación es del 90% Sustituyendo los valores anteriores y realizando las operaciones pertinentes se llega a la resolución de que la muestra debe ser de 62 organizaciones, las cuales serán las representantes de toda la población de estudio. En la tabla 3.2 se 53 describe como quedo delimitada la muestra, es decir el número de organizaciones clasificadas por tamaño y municipio a las que se les aplicó el cuestionario. La distribución se realizó de tal forma que la mayoría de las organizaciones estuvieran ubicadas en la ciudad de Xalapa por motivos de la distancia entre los tres municipios. Municipio Xalapa Coatepec Banderilla TOTAL Tamaño Organización Pequeñas Publicas Privadas Publicas Privadas Publicas Privadas 0 25 0 5 0 5 35 5 5 1 2 1 2 16 Grandes 0 5 0 3 0 3 11 Total 5 35 1 10 1 10 62 Empresas Medianas Empresas Tabla 2.2 Muestra representativa de la población de estudio. (Elaboración propia) Se aplicaron cuestionarios a cada uno de los representantes de las respectivas organizaciones, es decir se considero a un representante de cada empresa con el objeto de obtener la información necesaria que me permitiera cumplir con los objetivos de la investigación. 54 La distribución para la aplicación se hizo de la siguiente forma: 1. Se imprimieron listas con los nombres de las organizaciones en las que seria aplicado el cuestionario, estas incluyen su ubicación y datos generales. 2. Se aplico el cuestionario directamente a cada uno de los representantes de las distintas organizaciones. 2.6 Problemática enfrentada en el Trabajo de Campo Desde el inicio de la investigación me encontré con una serie de problemas que a continuación describo: Inicialmente se planeaba considerar en la investigación a las organizaciones de la región de Xalapa, es decir, pequeñas, medianas y grandes, que contarán con un departamento o área de tecnologías de la información, pero desafortunadamente esto limitaba un poco los horizontes de la investigación. Por lo que se consideró a todas las organizaciones de la región, de forma indistinta. Algunos representantes de varias organizaciones no tienen la cultura de cooperar en proyectos donde no tienen alguna relación directa y mucho menos contestar encuestas para proyectos ajenos, por lo que resulta muy difícil obtener los datos a través de las encuestas. Situación que hizo más difícil la obtención de la información, generando como consecuencia un desfase en el tiempo programado para la aplicación del instrumento. 55 La muestra representativa considerada para la aplicación del instrumento fue de 62 organizaciones en la región de Xalapa, distribuidas como en apartados anteriores se describió. En muchas ocasiones no se coincidió con el personal autorizado para resolver el cuestionario, por lo que el cuestionario se dejó a algún otro elemento de la organización para posteriormente regresar por el instrumento ya contestado, aunque también cabe mencionar que muchos fueron contestados en mi presencia. Hubo ocasiones en que las organizaciones tuvieron que ser visitadas continuamente para recuperar el mayor número de cuestionarios posible. 56 Capítulo III. ANÁLISIS E INTERPRETACIÓN DE LA INFORMACIÓN Con la información recabada a través de los cuestionarios, se generó una Base de Datos en la hoja de cálculo Excel, capturando los datos de las organizaciones. El criterio de codificación se realizó utilizando las columnas para las preguntas y las filas que identifican el número de cuestionario. Se utilizó un criterio de codificación muy sencillo, por ejemplo “cero” representa al “no” y “uno” representa al “sí” y la celda vacía identifica a una pregunta no contestada u omitida. En las preguntas donde hay más de una respuesta, las marcadas se codificaron como “uno” y las vacías como “cero”, utilizando una columna para cada respuesta. Con la ayuda de esta herramienta de software se pudo manejar la información, de tal manera que se generó el análisis que se presenta en los apartados siguientes. 3.1 Datos generales 18% xalapa coatepec 18% 64% banderilla Figura 3.1.1 Instrumentos aplicados por municipio En la gráfica anterior se puede apreciar los porcentajes correspondientes al número de instrumentos aplicados en cada municipio, todo esto tomando en cuenta la distribución de la muestra que previamente se ha explicado. Como se puede observar el mayor número de organizaciones pertenece al municipio de 58 Xalapa (64%), puesto que en este se concentra el mayor número de organizaciones por ser el municipio más grande. Por lo que se refiere a los otros dos municipios, se aplicaron el mismo número de instrumentos (18%), ya que en número de organizaciones en ambos son casi iguales. 13% publicas privadas 87% Figura 3.1.2 Aplicación del Instrumento por tipo de organización En la gráfica 3.1.2, se puede observar la aplicación del instrumento por tipo de organización en la que se nota que del total de instrumentos, el 87% fue en las organizaciones privadas, esto obedece a que en estas organizaciones son más accesibles a responder este tipo de cuestionarios. 59 18% Organizaciones pequeñas Organizaciones medianas 26% 56% Organizaciones grandes Figura 3.1.3 Aplicación del Instrumento por tamaño de la organización En la gráfica 3.1.3 se muestra conforme al tamaño de las organizaciones el porcentaje de instrumentos aplicados en las mismas, se percibe que las pequeñas empresas tienen el porcentaje más alto (56%) esto obedece a que son las que más abundan en la zona, por este mismo criterio el 26 % de organizaciones a las que se les aplicó el cuestionario son medianas y el 18% grandes. 60 9% 46% comercio servicios industrial 45% Figura 3.1.4 Aplicación del instrumento por giro o sector. Cabe mencionar que la mayoría de los cuestionarios fueron aplicados en organizaciones dedicadas a los servicios (46%), casi un porcentaje igual se aplicó al comercio (45%) y finalmente un 9% a la industria. Esta distribución se realizó así, debido a que en esta región predomina el sector comercio y los servicios. 3.2 Datos Específicos En el presente apartado se muestran los datos específicos recabados en la investigación, la parte medular de la investigación, entendiéndose por datos específicos a los reactivos del instrumento que van a cubrir alguno de los objetivos de la investigación. En las siguientes gráficas (3.2.1 y 3.2.2) se muestra una de las comparaciones más importantes de la investigación, es decir, de los encuestados que porcentaje conoce el significado del término MALWARE en las organizaciones públicas (86%) y en las privadas (27%), es importante destacar que las gráficas demuestran que es menor porcentaje de organizaciones públicas que desconocen el significado del 61 término MALWARE (14%) comparado con el 73% por parte de las organizaciones privadas. Es notorio el contraste que se da al analizar ambos gráficos, pues se puede pensar que las organizaciones públicas tienen más oportunidad de informarse acerca de este tipo de terminologías, debido quizás, a que en las organizaciones privadas se enfocan principalmente en la generación de utilidades. 14% 27% Si sabe Si sabe No sabe No sabe 73% 86% Figura 3.2.1 Personas que conocen el término MALWARE en Organizaciones Públicas Figura 3.2.2 Personas que conocen el término MALWARE en Organizaciones Privadas Lo anterior nos da un marco de referencia para lo que es la información que a continuación se presenta. 62 En la gráfica 3.2.3 Y 3.2.4 se ilustra las organizaciones que han sido objeto de algún ataque de tipo MALWARE, en las públicas (86%) y privadas (82%), mientras que 18% de las organizaciones privadas afirmaron nunca haber recibido ataques vía MALWARE y 14% de las organizaciones públicas negó haber recibido ataques MALWARE. Lo que nos hace pensar que el hecho de que sea mayor el porcentaje de incidentes en las organizaciones públicas quizás se deba a la falta de normas y vigilancia que se acostumbra en estos tipos de organización, por ejemplo la falta de restricciones para el uso del internet o los servicios de este. 14% 18% Si Si No No 82% Figura 3.2.3 Organizaciones privadas en las que se ha presentado un ataque de MALWARE. 86% Figura 3.2.4 Organizaciones públicas en las que se ha presentado un ataque de MALWARE. 63 A continuación se presenta en las gráficas 3.2.5 y 3.2.6 la información que detalla el tipo de MALWARE que afecta más a las organizaciones privadas y públicas. Ambas gráficas arrojan datos muy importantes para esta investigación, como por ejemplo, el hecho de que en ambas instituciones, tanto públicas como privadas, los virus son los que más afectan a las organizaciones con un 38% en las organizaciones privadas y un 33% en las públicas. Posteriormente ubicamos en las organizaciones privadas a los gusanos (19%) como el MALWARE más recurrente, mientras que en las públicas son los troyanos (27%), los que secundan a los virus. Es destacable que los virus y troyanos conforman más del 50% del software malo en ambos tipos de organización, por último los datos coinciden en que las bombas lógicas es el tipo de MALWARE menos detectado en ambos tipos de organizaciones. Virus Virus 6% Troyano 10% 38% 14% 13% 13% 33% Lo ignoran Otro Figura 3.2.5 Afectación por tipo de MALWARE en organizaciones privadas Gusano Bomba Bomba Spyware 0% 19% Gusano Troyano 7% Spyware 20% 27% Lo ignoran Otro Figura 3.2.6 Afectación por tipo de MALWARE en organizaciones públicas 64 A continuación se presenta una tabla donde se muestran los porcentajes de los diferentes tipos de malware que afectan a las organizaciones tanto públicas como privadas en su conjunto. 35.5% Virus 20% Troyano 19.5% Gusano 0% Bomba 13.5% Spyware 3% Lo ignoran 8.5% Otro Tabla 3.2.1 Nivel de afectación en Organizaciones públicas y privadas por tipo de MALWARE 65 Ahora que se ha identificado el tipo de MALWARE más recurrente en las organizaciones, es decir, los virus, gusanos y troyanos, es importante determinar en que parte de los sistemas se enfocó el daño causado por todos los tipos de MALWARE. De la siguiente gráfica (3.2.7) se puede concluir que en las organizaciones privadas los archivos que se han visto más afectados por los distintos tipos de MALWARE son los archivos de aplicación (30%), mientras que los que han sufrido menos daño por parte del MALWARE son los archivos del Sistema Operativo (9%). En la gráfica también se puede observar el contraste del daño causado en comparación con las organizaciones públicas, pues los resultados arrojados para este tipo de organización son inversos a los de las privadas, ya que en las públicas los archivos mas afectados por el MALWARE son los del Sistema Operativo (71%) y los menos afectados son los archivos de aplicación. 3000% 30% 2000% 20% 1000% 10% 0% Figura 3.2.7 Tipos de archivos en los cuales se enfoco el daño causado por el MALWARE. 66 En esta investigación resulta interesante la información relacionada con las aplicaciones que utilizan las organizaciones para prevenir y corregir las afectaciones causadas por el MALWARE, a continuación, en la gráfica 3.2.8 se denota de forma clara las aplicaciones utilizadas por las organizaciones privadas para combatir el MALWARE y posteriormente en la gráfica 3.2.9 se presenta la misma información pero relacionada con las organizaciones de tipo públicas. Es importante destacar que en ambos tipos de organizaciones, tanto públicas como privadas la aplicación más utilizada es Kaspersky de Micronet, con un 34% y un 37% respectivamente; las aplicaciones antimalware menos utilizadas son AVG en las organizaciones públicas con un 0% y Mc Afee en las privadas con un 5% del total de organizaciones encuestadas. Se identificó que las organizaciones públicas (13%) y privadas (9%) que marcaron la opción de “otra” para hacer referencia a la aplicación antimalware que emplean, en su mayoría utilizan la aplicación llamada virScan. También es importante identificar que algunas organizaciones marcaron la opción que indica que no utilizan ninguna aplicación para prevenir o corregir las afecciones causadas por el MALWARE, lo cual hace notoria la falta de cultura que aún existe en las mismas organizaciones, relacionada con la seguridad informática y el resguardo de la información. Kaspersky 9% Norton 13% 0% Avira 13% 37% Avast Mc Afee Kaspersky 10% 34% Avira 6% Avast Mc Afee NOD32 AVG 25% 0% 12% Ninguna Otra Norton 10% NOD32 AVG 5% 10% 13% 3% Ninguna Otra Figura 3.2.8 Aplicaciones antimalware Figura 3.2.9 Aplicaciones antimalware utilizadas en las organizaciones utilizadas en las organizaciones privadas. públicas 67 Ahora que se ha identificado que porcentaje de organizaciones combate el MALWARE con una aplicación resulta interesante conocer con que frecuencia actualizan dichas aplicaciones, pues se sabe que cada día aparecen nuevos tipos de MALWARE en la red y si no se cuenta con actualizaciones en las aplicaciones antimalware estás pasan a ser de muy poca utilidad. En la Gráfica 3.2.10 se muestra el porcentaje de organizaciones públicas y privadas que actualizan sus aplicaciones antimalware (84%) y las que no acostumbran esta práctica (16%). 16% Si No 84% Figura 3.2.10 Organizaciones que Actualizan sus aplicaciones antimalware. 68 Tomando como punto de partida la información anterior es preciso definir la frecuencia con que las organizaciones públicas y privadas que dijeron “si” actualizan sus aplicaciones antimalware; lo anterior se distribuyo en diversos periodos: diario (19%), semanal (29%), quincenal (18%), mensual (18%) y semestral (16%). Destaca que la mayoría de las organizaciones llevan a cabo las actualizaciones de sus aplicaciones antimalware semanalmente, lo que nos hace pensar en el grado de riesgo que corren a sabiendas de que diariamente son creadas y detectadas decenas de nuevos virus, troyanos, etcétera, por lo tanto lo ideal sería que diariamente se actualicen en todas las organizaciones. En la siguiente gráfica (3.2.11) se representa lo que se mencionó anteriormente. 16% 19% Diario 18% Semanal 29% Quincenal Mensual 18% Semestral Figura 3.2.11 Frecuencia con que las organizaciones actualizan sus aplicaciones antimalware. 69 Los resultados de la investigación arrojaron que existe un desconocimiento relacionado con la forma en la que el MALWARE se propaga, esto obedece a que también se identificó que son pocas las organizaciones tanto públicas como privadas que se preocupan por capacitar a sus empleados para afrontar la amenaza que representa el MALWARE y en algunos casos se opta, principalmente en la organizaciones públicas, por ser autodidactas en el tema o en su defecto no informarse para nada del mismo. Primeramente, en la gráfica 3.2.12 se muestra el porcentaje de encuestados en organizaciones públicas y privadas que afirmaron saber la forma en que el MALWARE se propaga (42%) y también porcentaje que lo desconoce (58%). 42% 58% Si sabe No sabe Figura 3.2.12 Encuestados que conoce las formas en que el MALWARE se propaga. 70 Junto con la información anterior, también se recabaron los datos relacionados con la forma en que los empleados se asesoran o capacitan para dar solución a las afecciones generadas por el MALWARE, todo esto se plasmó en el cuadro 3.2.2 que a continuación se presenta y que hace clara la falta de interés presentada por parte de las organizaciones por capacitar a su personal en este ámbito. Forma de capacitación o asesoramiento Número de Organizaciones públicas y ante el MALWARE privadas Cursos o capacitaciones internas Cursos o Capacitaciones impartidas por otra empresa 19 17 De forma autodidacta 32 Otra 4 Ninguna 7 Tabla 3.2.2 Forma en que se capacitan las organizaciones para afrontar el MALWARE 71 Por último toma el turno de analizar la que es, quizás la incógnita más importante develada en este trabajo de investigación, es decir, aquella que se relaciona directamente con el efecto causado por el MALWARE en las organizaciones de la región de Xalapa tanto públicas como privadas, pequeñas, medianas y grandes. 1% 10% Pérdida de tiempo 12% Pérdida de dinero Pérdida de Clientes 11% 59% 7% Retraso en pedidos Otra Ninguna Gráfica 3.2.13 Efectos del MALWARE en las organizaciones. Lo que nos muestra la gráfica 3.2.13 es claro, pues en más de la mitad de las organizaciones encuestadas (59%) el efecto más frecuente fue la pérdida de tiempo, lo que nos lleva a pensar que quizás, en alguno de los otros casos, por ejemplo la pérdida de dinero (7%) que en las organizaciones privadas es de vital importancia, es consecuencia de la perdida de tiempo anteriormente generada. El retraso en pedidos que obviamente también está relacionado con la pérdida de tiempo ocupa el segundo lugar con un 12% del total de la muestra. 72 Capítulo IV. Conclusiones Generales y Propuestas Es un hecho que en la actualidad, la mayoría de las organizaciones, de todos lo tamaños y tipos y no solo las de la región de Xalapa, carecen de una cultura relacionada con la seguridad informática, pues existe una serie de desinformación generalizada que se relaciona con el tema del MALWARE, esta Investigación demostró, que son muy pocas las organizaciones que conocen el significado del término MALWARE (33.87% del total de organizaciones públicas y privadas) y sus formas de propagación. En el presente trabajo se clasificó a las organizaciones de la región de acuerdo a su tamaño y tipo para así realizar una muestra representativa de la población de estudio para facilitar la obtención de la información y el análisis de la misma. Ha quedado claro que el tipo de MALWARE que con mayor frecuencia es detectado en las organizaciones de la región de Xalapa son los virus (38% en las organizaciones privadas y 33% en las públicas), junto con los troyanos (13% en las organizaciones privadas y 27% en las públicas) formando en ambos tipos de organización más del 50% del total de tipos de software malo identificados, por último el MALWARE que menos ha dañado a las mismas organizaciones tanto públicas como privadas son las bombas lógicas. Como se planteó en el segundo objetivo específico de este trabajo se ha identificado la aplicación más utilizada tanto por organizaciones privadas (Kaspersky con 37%) como públicas (Kaspersky con 34%) para combatir la amenaza del MALWARE. A su vez, también se logro detectar los métodos más recurrentes utilizados por las organizaciones en la batalla contra el MALWARE, el cual se identifico como la limitación de las cuentas de usuario en los equipos de cómputo. 74 En congruencia con el tercer objetivo específico planteado en esta investigación se identificó que los archivos que con más frecuencia sufren daños a causa del MALWARE son los de aplicación en el caso de las organizaciones privadas con un 30% y en las públicas los archivos propios del sistema operativo (71%). Además es claro que en la mayoría de las organizaciones que se han visto afectadas por el MALWARE han tenido como consecuencia pérdida de tiempo. También es importante destacar que la hipótesis planteada al inicio de esta investigación se comprobó de forma satisfactoria, pues efectivamente en la mayoría de las organizaciones de la región de Xalapa que han presentado ataques vía MALWARE se ha generado como consecuencia la pérdida de tiempo (59% de las organizaciones), entre otros efectos negativos que tienen que ver entre sí, como por ejemplo el retraso en pedidos (12%) y la pérdida de dinero (7%). Por otro lado el hecho de que la mayoría de las organizaciones (69.35%) omita cualquier tipo de capacitación o curso para asesorar al personal sobre como combatir al MALWARE, los riesgos y formas de propagación del mismo, es una alerta y un llamado a los altos mandos de las organizaciones para que empiecen a poner en práctica algún tipo de capacitación referente al MALWARE pues parece ser que no le dan la importancia que requiere y el respeto que se merece el software malo, debido a que es una amenaza de la que obviamente deberían temer, ya que son muchas las cosas que se ponen en riesgo cuando un ataque se presenta, por ejemplo: Información Confidencial. Correcto Funcionamiento de Sistemas 75 o Internos o Externos Información no confidencial, pero importante para las transacciones de los sistemas de la organización o los procesos que se llevan en la misma. Dinero. En primer plano se propone el establecimiento de ciertas políticas relacionadas con la seguridad informática para su implementación en las organizaciones, como por ejemplo crear la costumbre en el personal del análisis de los dispositivos de almacenamiento extraíbles antes de utilizarlos, evitar la instalación de software que propicie la infección vía MALWARE, etcétera. Otra propuesta que se realiza para todas las organizaciones de la región, e inclusive para las de otras regiones es la creación de un calendario con capacitaciones para el personal que integra la organización; en otras palabras se sugiere, con sustento en lo recabado en esta investigación, la intervención del personal calificado y profesional, ya sea propio de la organización o externo, para la impartición de cursos relacionados con la seguridad informática, conceptos básicos, tipos, riesgos, formas de prevención del MALWARE, etcétera. Con la anterior propuesta se pretende dar fin a la desinformación que rodea al MALWARE y a sus distintas clasificaciones, para así algún día cerrar el paso, en medida de lo posible, al software malo que tantas afectaciones realiza en los equipos de cómputo en general, no solo en las organizaciones, sino también en los equipos de cómputo utilizados en los hogares y diversas ubicaciones más. 76 Se concluye este trabajo haciendo un atento llamado a las organizaciones, públicas y privadas, desde micro hasta grandes a no dejar de lado el contenido de este trabajo y los resultados que se han recabado en el; pues es evidente que si empezamos a crear una cultura laboral de prevención y corrección del MALWARE son muchos los beneficios que se obtendrán y los problemas que se reducirán, entre los beneficios más importantes destacan: La reducción de costos relacionados con afectaciones causadas por el MALWARE. Ahorro de tiempo, que probablemente incremente de forma directa la productividad en la organización. Evitar la pérdida de información que frecuentemente causa el MALWARE. Todas las recomendaciones que se han dado en este trabajo son con el fin de contribuir al desarrollo integral de las organizaciones de la región de Xalapa o de cualquier otra que las quiera llevar a cabo. 77 Fuentes de información Gonzalo Asensio (2005). Seguridad en Internet: Una guía práctica y eficaz para proteger su PC con software gratuito, España: Editorial Illustrated. Méndez Morales José S. (2001). Economía y la Empresa. México: Mc Graw Hill. Rodríguez Luis A. (1995), Seguridad de la de información en sistemas de cómputo. México: Ventura. Filmeint (2001). Glosario de términos. Recuperado el 28 de Abril de 2009, de http://www.fimeint.org/glosario.htm Municipio de Xalapa (2008), Portal de Xalapa. Recuperado 2 de Abril de 2009 de http://www.xalapa.gob.mx INEGI (2004), Censo Económico 2004. Portal del INEGI. Recuperado el 30 de Abril de 2009 http://www.inegi.org.mx. Diccionarios web el mundo (2009), recuperado el 20 de Mayo de 2009, de http://diccionarios.elmundo.es Portal de definiciones (2009), Recuperado 22 Marzo 2009, de http://definicion.de/seguridad-informatica/. 78 Jesús Ramón Jiménez Rojas (2007) Portal del Departamento de Seguridad en Cómputo de la UNAM, recuperado 18 de Abril de 2009 de http://www.seguridad.unam.mx Portal de seguridad de Kaspersky y Micronet (2009), Glosario de términos, recuperado 18 de Abril de 2009 de http://www.kantivirus.com/ Portal de Microsoft Corporation (2009), recuperado el 1 de Mayo de 2009 de http://www.microsoft.com Portal de Lycos (2009), recuperado el 1 de Mayo de 2009 de http://www.Lycos.es Dagda Blogia (2009), Blog de seguridad informática. Recuperado el 2 de Mayo de 2009 de http://www.dagdablogia.com Instituto Tecnológico y de Estudios Superiores de Monterrey (2008), recuperado el 2 de Mayo de 2009, de http://www.cem.itesm.mx Portal ESET (2009), recuperado el 2 de Mayo de 2009, de http://www.eset.es/news/glosarios Per Antivirus: Tienda de antivirus online (2009), recuperado el 3 de Mayo de 2009, de http//www.perantivirus.com Videos y Conceptos de seguridad Informática (2008), recuperado el 3 de Mayo de 2009, de http://asecsoporte.wordpress.com/2008/04/16/videos-y-conceptos-de- seguridad-informatica-parte-1-conceptos/ 79 Portal sobre legislación y delitos Informáticos (2008), recuperado el 3 de Mayo de 2009, de http://www.delitosinformaticos.com Revista virtual de seguridad informática de la UNAM (2009), recuperado el 27 de Julio de 2009, de: http://revista.seguridad.unam.mx Portal de Panda Antivirus (2009), recuperado el 27 de Julio de 2009, de http://www.pandasecurity.com/ Portal de la Universidad de Granada (2008), recuperado el 28 de Julio de 2009, de http://www.ugr.es/ José E. Cabrero, Sitio del Diario Ideal de Granada, España (2008), recuperado el 28 de Julio de 2009, de http://www.ideal.es/granada/ Symantec (2007), “Adware.NDotNet” Recuperado 28 de julio de 2009, de http://www.symantec.com/es/mx/security_response/writeup.jsp?docid=2004020511-0558-99. Portal del Poder judicial del estado de Veracruz (2007), recuperado el 28 de Julio de 2009, de http://www.pjeveracruz.gob.mx/ Sitio de investigación del hospital de San Agustín (HSA, 1997), recuperado el 28 de Julio de 2009, de http://www.hsa.es/id/investigacion/uai/uai_docs/muestreo/muestreo.htm. 80 Anexo I UNIVERSIDAD VERACRUZANA Facultad de Contaduría y Administración El MALWARE y sus efectos en las Organizaciones de la región de Xalapa. INTRODUCCIÓN: El presente cuestionario forma parte de una investigación de tesis de la Licenciatura en Sistemas Computacionales Administrativos de la Facultad de Contaduría y Administración, relacionada con los efectos del MALWARE en las Organizaciones de la región de Xalapa. Sus opiniones serán tratadas confidencialmente, por lo que agradecemos su participación. INSTRUCCIONES: Marque la opción que corresponda y/o conteste cada pregunta. 1.- Tamaño de la Organización: a) Pequeña empresa b) Mediana empresa c) Grande empresa 2.- ¿De que tipo es la organización? a) Pública b) Privada 3.- Giro de la organización: a) Comercio b) Industria c) Servicios 4.- ¿Sabe que es el MALWARE? a) Si b) No 82 5.- ¿Se ha presentado algún ataque de Software malo3 en la organización? a) Si b) No 6.- ¿Qué tipo de Software malo fue el que ataco su organización? (puede marcar más de un opción) a)Virus b)Troyano c)Gusano d)Bomba e)Spyware f)Lo ignoro g)otro (¿Cuál?):________________________________________________ 7.- ¿En que parte del sistema se enfoco el daño realizado por el Software malo? (puede marcar más de un opción) a) Bases de Datos b) aplicación c) Sistema Operativo d) otros archivos (¿Cuáles?)________________________ 8.- ¿Con que aplicación combatieron la amenaza del Software malo? (Puede marcar más de una opción) a) Kaspersky b) Norton c) Avira d) Avast e) Mc Afee f) NOD32 g) AVG h) ninguna i) otra ¿cual?____________________________________________________ 9.- ¿Actualiza la aplicación con la que combate el software malo? a) si ¿Con qué frecuencia?___________________________________________ b) no 3 Virus, caballos de Troya, Bombas Lógicas, Gusanos, Spyware, etc. 83 10.- ¿Qué método utiliza para combatir la amenaza del Software malo? (Puede marcar más de una opción) a) Desactivación de la reproducción automática de los dispositivos b) Establecer cuentas de usuario limitadas c) Manejo de un servidor proxy para la restricción de ciertas páginas web d) Establecer el análisis de memorias USB u otros dispositivos extraíbles previo a su utilización. e) Restringir la a instalación de aplicaciones, para que esta se realice solo por personal autorizado. f) formatear el equipo de cómputo g) ninguna. h) otra ¿Cuál?________________________________________________________ 11.- ¿Conoce las formas en las que se propaga o transmite el software malo? a) Si b) No 12.- ¿De que forma se informan o capacitan en la organización sobre los riesgos y formas de prevención del software malo? a) Cursos o capacitaciones internas b) Cursos o capacitaciones impartidos por otras empresas c) De forma autodidacta d) otra ¿Cual?______________________________________________________ e) ninguna 84 13.- ¿Le ha impactado el software malo de alguna de las siguientes formas? (puede marcar más de un opción) a) Pérdida de tiempo b) Pérdida de dinero c) Pérdida de clientes d) Retraso en pedidos e) otra ¿Cuál?_____________________________________________________ f) ninguna 14.- ¿Se ha presentado alguno de los siguientes síntomas en los equipos de cómputo? (puede marcar más de un opción) a) Aparición de procesos desconocidos en el sistema. b) El equipo comenzó a ejecutarse de forma lenta. c) La conexión a Internet se interrumpía en ciertos momentos. d) El sistema se bloqueaba por completo. e) Aparición de distintas ventanas de mensajes emergentes. f) Otra, especifique cual: __________________________________________________ 85 15.- ¿Qué Sistema Operativo utilizan en la organización? a) Windows Vista b) Windows XP c) Linux Fedora d) Linux Ubuntu e) Mac OS X f) Otro ¿cual?___________________________ 16) ¿Con cuales de los siguientes servicios se cuenta en la organización? (puede marcar más de un opción) a) Internet b) Intranet c) Mensajero instantáneo (MSN Messenger, Yahoo Messenger, Google Talk, ICQ, etc.) d) Acceso a correo electrónico e) Ninguno 86 Anexo II Tabla 1 Organizaciones públicas 2)Tamaño 3) Giro 4) ¿Sabe que es Malware? Pequeña Mediana Grande empresa Empresa Empresa 0 2 5 5) ¿Se ha presentado algún ataque de Comercial Industrial Servicios Si No 0 0 7 6 1 6) ¿Qué tipo de software malo fue el que ataco su organización? Software malo en la organización? Si No Virus Troyano Gusano Bomba Spyware Lo ignoro Otro 6 1 5 4 3 0 2 0 1 7) ¿En que parte del sistema se enfocó el daño realizado por el software malo? Bases de datos Aplicación Sistema Operativo Otros archivos 2 0 5 1 8) ¿Con que aplicación combatieron la amenaza del software malo? Kaspersky Norton Avira Avast Mc Afee NOD 32 AVG Otro 3 0 0 1 2 1 0 1 Ninguna Otra 0 0 9) ¿Actualiza la aplicación con que combate el software malo? Si, ¿Con que frecuencia? No Diario Semanal Quincenal Mensual Semestral 4 1 0 2 0 0 10) ¿Actualiza la aplicación con que combate el software malo? Desactivar reproducción Cuentas Servidor Análisis Instalación Formateo de automática limitadas Proxy USB Restringida Equipo 4 4 3 3 3 1 11) ¿Conoce las formas en que se propaga o transmite el software malo? Si No 6 1 12) ¿De que forma se informan o capacitan en la organización sobre los riesgos y formas de prevención del 88 software malo? Capacitación interna Capacitación impartida por Autodidacta Otra Ninguna 3 0 2 otras empresas 2 0 13) ¿Le ha impactado el software malo de alguna de las siguientes formas? Perdida de tiempo Perdida de dinero Perdida de clientes Retraso en pedidos Otra Ninguna 6 1 0 2 1 0 14) ¿Se ha presentado alguno de los siguientes síntomas en los equipos de cómputo? Procesos Ejecución Conexión a Internet desconocidos lenta intermitente 4 6 2 Sistema Bloqueado Ventanas Otras emergentes 1 3 0 15) ¿Qué sistema operativo utilizan en la organización? Windows vista Windows XP Linux Fedora Linux Ubuntu Mac OS X Otro 4 6 0 0 0 2 16) ¿Qué sistema operativo utilizan en la organización? Internet Intranet Mensajero Instantáneo Correo Electrónico Ninguno 7 4 4 7 0 89 Tabla 2 Organizaciones privadas 2)Tamaño 3) Giro 4) ¿Sabe que es Malware? Pequeña Mediana Grande empresa Empresa Empresa 35 9 11 5) ¿Se ha presentado algún ataque de Comercial Industrial Servicios Si No 25 5 25 15 40 6) ¿Qué tipo de software malo fue el que ataco su organización? Software malo en la organización? Si No Virus Troyano Gusano Bomba Spyware Lo ignoro Otro 45 10 26 9 13 0 10 4 7 7) ¿En que parte del sistema se enfocó el daño realizado por el software malo? Bases de datos Aplicación Sistema Operativo Otros archivos 15 29 12 11 8) ¿Con que aplicación combatieron la amenaza del software malo? Kaspersky Norton Avira Avast Mc Afee NOD 32 AVG Otro 23 9 2 7 3 7 4 6 Ninguna Otra 9) ¿Actualiza la aplicación con que combate el software malo? Si, ¿Con que frecuencia? No Diario Semanal Quincenal Mensual Semestral 6 14 9 8 8 10 10) ¿Actualiza la aplicación con que combate el software malo? Desactivar reproducción Cuentas Servidor Análisis Instalación Formateo de automática limitadas Proxy USB Restringida Equipo 7 24 4 12 13 15 3 8 11) ¿Conoce las formas en que se propaga o transmite el software malo? Si No 20 35 12) ¿De que forma se informan o capacitan en la organización sobre los riesgos y formas de prevención del 90 software malo? Capacitación interna Capacitación impartida por Autodidacta Otra Ninguna 29 4 5 otras empresas 17 17 13) ¿Le ha impactado el software malo de alguna de las siguientes formas? Perdida de tiempo Perdida de dinero Perdida de clientes Retraso en pedidos Otra Ninguna 45 6 6 9 4 5 14) ¿Se ha presentado alguno de los siguientes síntomas en los equipos de cómputo? Procesos Ejecución Conexión a Internet desconocidos lenta intermitente 21 22 10 Sistema Bloqueado Ventanas Otras emergentes 14 4 11 15) ¿Qué sistema operativo utilizan en la organización? Windows vista Windows XP Linux Fedora Linux Ubuntu Mac OS X Otro 9 48 1 3 0 2 16) ¿Qué sistema operativo utilizan en la organización? Internet Intranet Mensajero Instantáneo Correo Electrónico Ninguno 40 6 18 17 6 91 INDICE DE FIGURAS Figura1.1 Frecuencia de MALWARE a nivel global…………………………………29 Figura 2.1 Definición de la población de estudio……………………………….49 Figura 2.2 Fórmula para el calculo de la muestra aleatoria simple…………..53 Figura 3.1.1 Instrumentos aplicados por municipio…………………………….58 Figura 3.1.2 Aplicación del instrumento por tipo de organización…………...59 Figura 3.1.3 Aplicación del instrumento por el tamaño de la organización…60 Figura 3.1.4 Aplicación del instrumento por giro o sector……………………..61 Figura 3.2.1 Personas que conocen el término MALWARE en organizaciones públicas………………………………………………………………………………..62 Figura 3.2.2 Personas que conocen el término MALWARE en organizaciones privadas………………………………………………………………………………..62 Figura 3.2.3 Organizaciones privadas en las que se han presentado ataques vía MALWARE………………………………………………………………………………..63 Figura 3.2.4 Organizaciones públicas en las que se han presentado ataques vía MALWARE………………………………………………………………………………..63 . Figura 3.2.5 Afectación por tipo de MALWARE en organizaciones privadas…64 Figura 3.2.6 Afectación por tipo de MALWARE en organizaciones públicas…64 Figura 3.2.7 Tipo de archivos en los que se enfoco el daño causado………66 Figura 3.2.8 Aplicaciones antimalware en las organizaciones privadas…….67 Figura 3.2.9 Aplicaciones antimalware en las organizaciones públicas…….67 Figura 3.2.10 Organizaciones que actualizan sus aplicaciones antimalware…68 Figura 3.2.11 Frecuencia con que actualizan sus aplicaciones antimalware…69 XCII Figura 3.2.12 Encuestados que conocen la forma en que el malware se propaga………………………………………………………………………………..70 Figura 3.2.13 Efectos del MALWARE en las organizaciones…………………72 XCIII INDICE DE TABLAS Tabla 1.1 Clasificación de las organizaciones………………………………………11 Tabla 1.2 Organizaciones ubicadas en la región de Xalapa………………….14 Tabla 1.3 Tipos de MALWARE……………………………………………………..35 Tabla 2.1 Delimitación de la población de estudio……………………………….52 Tabla 2.2 Muestra representativa de la población de estudio…………………54 Tabla 3.2.1 Nivel de afectación por tipo de MALWARE en las organizaciones públicas y privadas……………………………………………………………………65 Tabla 3.2.2 Forma en que se capacitan las organizaciones para combatir el MALWARE…………………………………………………………………………….71 XCIV