«¡Pero si yo no he hecho nada!», argumentan muchos usuarios cuando su sistema claudica ante alguna infección. Se lamentan porque pierden información, porque el rendimiento se degrada hasta que se vuelve insostenible… o bien porque descubren un agujero en su cuenta bancaria. En todo caso, suele ser ya demasiado tarde cuando la mayoría de usuarios se exculpan a ellos mismos. Ha sido «el Windows», el antivirus que no sirve o cualquier extraño sortilegio que sin pecado (del usuario) de por medio ha dado al traste con la higiene tecnológica y ha acabado en un problema irremediable. Pero el usuario nunca ha hecho nada. ¿Estamos eludiendo nuestra responsabilidad?
Siento la sinceridad, pero los milagros no existen y la magia tampoco. Y el campo de la ciberseguridad no se libra de esta lógica, por muy mitificado que lo tenga el usuario de a pie. No utilicemos nuestro desconocimiento como excusa ni eludamos nuestra responsabilidad. Casi todo lo que ocurre en el sistema ocurre por alguna razón, y los atacantes lo saben. De hecho, aunque suene raro, existen muy pocos métodos por los que se puede infectar un sistema. Muchos menos de los que pensamos (aunque con mil variables). Los atacantes emplearán estos pocos métodos que los usuarios no conocen y los aprovecharán de todas las formas que podamos imaginar. Así que en este artículo recordaremos alguno de esos métodos por los que se infecta un sistema, que no son mágicos en absoluto. Como mucho, un elaborado ilusionismo para el usuario. Pero antes identifiquemos el problema. Porque sí, sintetizando, solo hay un gran problema por el que nos infectamos.
El problema: la ejecución
Un ordenador funciona cuando se ejecutan programas y esto crea un proceso. Para entendernos, un doble clic es una ejecución. Arrancar el sistema y los programas al inicio es ejecución. Sin ejecución no hay ‘malware’ en el sistema, no hay forma. La ejecución es el máximo enemigo y es prácticamente lo único contra lo que tenemos que luchar como usuarios de a pie. ¿Demasiado fácil? No, no tanto. Porque ahora queda saber desde dónde puede venir esa ejecución. Pero tranquilos, porque también veremos algunos remedios para evitar la ejecución no deseada.
La ejecución consciente
Aunque suene raro, la mayor parte de las veces nosotros mismos llamamos al enemigo y le pedimos que entre en nuestro sistema bajo cualquier excusa. Ejecutamos ficheros. Todo el tiempo. Para abrir un programa, un documento o una imagen o instalar una ‘app’. La ejecución de ficheros maliciosos llevará a la infección. La pregunta del millón es ¿cómo diferenciarlos? Existen los antivirus, pero no son suficiente (recordad que son un cinturón de seguridad, no un elixir de inmortalidad al volante). Debemos implantar una pequeña metodología antes de hacer doble clic en un archivo (sea cual sea su extensión) por primera vez. Comprobar sus firmas digitales con el botón derecho si es un ejecutable es un buen hábito. Enviarlo un agregador antivirus también. Y si es un documento del que no queremos perder el control, existen otros servicios específicos para mantener la privacidad. Si el archivo viene por correo, podemos preguntar al remitente si de verdad lo ha enviado antes de abrirlo. No es el objetivo de este artículo ahondar en los detalles de estos buenos hábitos para intentar (siempre con un margen de riesgo) conocer si una ‘app’ o un archivo descargado o prestado en un ‘pendrive’ o recibido por cualquier vía es malicioso. Quedémonos al menos con la idea de que debemos tener claro que ese primer clic impulsivo es el que en la mayoría de los casos llevará a una infección.
Y, por favor, dejemos de pensar que nuestro sentido común nos va a librar de las infecciones. Recetar sentido común en un entorno como la ciberseguridad a usuarios sin formación específica es como recomendar a un niño de 10 años que por alguna razón viaja solo a la selva del Amazonas que tenga sentido común ante los peligros a los que se enfrentará… y esperar que tras este consejo todo salga bien. Hay muchos usuarios sin la madurez tecnológica para afrontar ciertos entornos muy hostiles, no seamos ingenuos. Y no sólo se trata de no disponer de la formación necesaria para proteger sus sistemas, sino que algunas personas todavía ni siquiera cuentan con la motivación necesaria para entender la importancia de disponer de estas habilidades. Así que el sentido común (en mi opinión) es un consejo demasiado pobre que está bien como titular pero es poco práctico en la vida real para una inmensa mayoría.
La ejecución inconsciente
A veces es cierto que el usuario no ha hecho nada, pero se ha infectado. En estos casos, lo que ha ocurrido es que han aprovechado una vulnerabilidad en un programa para ejecutar el ‘malware’. En estas situaciones el usuario no hace doble clic: abre su navegador por ejemplo, navega por una web… y queda infectado. O un programa escucha en un puerto, llega una petición maliciosa… y ese es el fin. Lo llamo ejecución inconsciente porque, si bien el usuario no ha ejecutado algo conscientemente en su sistema, sí que ha motivado indirectamente la ejecución al permitir que un atacante aproveche la vulnerabilidad. Actualizar los programas y el sistema operativo, por muy molesto que resulte, es esencial y una responsabilidad del usuario. Se actualizan para tapar vulnerabilidades, y se solucionan vulnerabilidades para evitar la ejecución inconsciente. Los programas vulnerables atraerán al ‘malware’ como la miel (u otras sustancias) atrae a las moscas. La buena noticia es que ante esta situación sí que hay una orden clara y sencilla para evitarlo: actualiza, actualiza y actualiza.
Sí, es cierto que hay vulnerabilidades que son aprovechadas por el ‘malware’ y que no disponen de actualización. Son las llamadas ‘0-day’. Pero en ese caso, debemos apelar a la pericia del usuario de nuevo: un poco de formación sobre cómo mitigar los fallos, buenas configuraciones, estar al tanto de que existe ese fallo y prestar especial atención hasta que pueda actualizar, practicar un poco de «seguridad en profundidad»… De nuevo, no es el objetivo del artículo ahondar en cómo hacerlo, pero sí al menos alertar sobre lo necesario que resulta.
En resumen, hemos localizado al enemigo: la ejecución. Y hemos aprendido que sólo puede venir por dos fórmulas diferentes: la ejecución consciente requiere de algo de autodisciplina y metodología que debemos adquirir con algo de formación; la ejecución inconsciente es más sencilla de solucionar: hay que actualizar siempre todo, y aun así habrá situaciones sin posibilidad de defensa, pero no serán las más comunes. Así que es bueno recordar que se debe actuar con paciencia, algunas pautas adquiridas y formación para no sufrir ningún disgusto. No se trata de culpabilizar, sino de generar una responsabilidad en el usuario y a la vez, una motivación. Sin motivación no habrá acción. La magia en ciberseguridad no existe.
