viernes, 3 de julio de 2015

Estudio sobre el fraude a través de Internet Evolución 2007 – 2009 Búsqueda y análisis documental

Estudio sobre el fraude a través de Internet Evolución 2007 – 2009
Búsqueda y análisis documental
Esta fase tiene como objetivo analizar contenidos publicados en la materia que puedan enriquecer y orientar el proyecto de investigación.
Se han localizado y seleccionado diversas publicaciones consideradas de relevancia por la metodología empleada, el contenido, las conclusiones y los objetivos perseguidos.
Las referencias consultadas pueden encontrase en el anexo bibliográfico al final de este informe.
Panel online dedicado: ficha técnica de la encuesta
Universo
Usuarios españoles de Internet, con acceso frecuente a Internet desde el hogar, mayores de 15 años. Para delimitar con mayor precisión el concepto de usuario, se exige una conexión a Internet desde el hogar de, al menos, una vez al mes.
Tamaño y distribución muestral
La extracción de la muestra de usuarios de Internet, se realiza mediante afijación muestral según un modelo polietápico: estratificación por comunidades autónomas para garantizar un mínimo de sujetos en cada una de estas entidades y muestreo por cuotas de tamaño del hogar, edad, sexo, actividad laboral y tamaño del hábitat5.
La muestra se ha equilibrado al universo en base a los datos poblacionales por CCAA, para el universo descrito anteriormente, y a las variables de cuota, para alcanzar un ajuste más perfecto.
De la muestra se obtienen dos tipos diferentes de información: la proporcionada por los usuarios en las encuestas y la obtenida directamente mediante observación (análisis online de sus equipos). Dado que la periodicidad de extracción de datos es diferente (trimestral en el caso de las encuestas y mensual en el de los escaneos) y que las bases consideradas no son idénticas (por ejemplo, puede haber hogares en que se realice el análisis online pero no la encuesta, o viceversa), se presentan de forma separada: la Tabla 1 describe los tamaños muestrales de la encuesta y la Tabla 2 indica el número de equipos escaneados.
-------------------------------------------
5 Estas cuotas se han obtenido de datos representativos a nivel nacional de internautas mayores de 15 años que se conectan más de una vez al mes desde el hogar facilitados por Red.es, entidad pública empresarial del Ministerio de Industria, Comercio y Turismo.
-------------------------------------------
Análisis de seguridad de los equipos
Para llevar a cabo los análisis en línea se ha utilizado el programa iScan, una herramienta de análisis de seguridad propiedad de INTECO especializada en la detección de medidas activas de seguridad y, sobre todo, de código malicioso (malware).
En el análisis del malware, iScan detecta las incidencias de seguridad con 46 antivirus distintos con el objetivo de asegurar una mayor tasa de detección (especialmente ante las nuevas amenazas de carácter altamente indetectable). Como contrapunto, precisamente con el objeto de minimizar los falsos positivos6, se establecen una serie de filtros y controles posteriores:
4) Filtrado y ponderación de soluciones antivirus. En la selección de los motores se han tenido en cuenta los siguientes factores:
a. En el listado de soluciones antimalware utilizadas por iScan se excluyen productos antivirus de perímetro, altamente paranoicos.
b. Tampoco se consideran algunas soluciones que comparten firmas, para de este modo considerar sólo un motor con el mismo conjunto de firmas.
c. Se ha identificado un subconjunto con los 11 antivirus más reputados, con mejor tasa de detección frente a especimenes detectados por más de 10 antivirus.
Para que un archivo sea marcado como malware, éste debe ser detectado por 5 productos de los 46 considerados, teniendo en cuenta que uno de los 5 necesariamente debe pertenecer al subconjunto de los 11 antivirus más reputados.
5) Verificación manual de un número acotado de ejemplares. Tras una primera capa de filtrado, se ordenan todos los ficheros detectados en los equipos auditados por tasa de penetración (número de equipos en los que han sido avistados). Los 40 ficheros más avistados se analizan manualmente, con el fin nuevamente de filtrar falsos positivos.
6) Comparación de los ficheros marcados como maliciosos con bases de datos de software conocido y de ficheros inocuos. INTECO mantiene una base de datos de software de fabricantes confiables. Todos los ejemplares que siguen siendo detectados tras las dos capas de filtrado anteriores son comparados con esta base de datos para eliminar más falsos positivos. De igual forma, los ficheros son contrastados con la estadounidense National Software Reference Library7 del National Institute of Standards and Technology (NIST). Si se detectase que alguno de los ficheros señalados por iScan está en dicha
------------------------------------
6 Un “falso positivo” es la detección, errónea, de un fichero inocuo como malicioso.
7 National Institute of Standards and Technology: National Software Reference Library. Disponible en http://www.nsrl.nist.gov
---------------------------------
base de datos y no forma parte de un kit de hacking o cracking, el archivo no es considerado como malicioso.
El establecimiento de estos filtros y controles es una medida muy importante de cara a asegurar la fiabilidad del estudio, pero aun así no elimina por completo la problemática de los falsos positivos (una problemática inherente a la industria antivirus), ni la de los falsos negativos.
Asimismo, debe tenerse en cuenta que al comparar todos los ficheros de los equipos inspeccionados con las bases de datos de malware conocido, no es posible detectar ningún especimen desconocido que no se encuentre en dichas librerías. Esto es especialmente acusado en el caso de los gusanos y virus. Los gusanos suelen incluir un motor polimórfico que da lugar a un fichero binariamente distinto en cada replicación del mismo. En consecuencia, es muy difícil que un gusano polimórfico sea detectado, pues muchos de ellos serán únicos para cada infección y por tanto no estarán presentes en la base de datos de malware conocido. El caso de los virus es similar: muchos virus infectan otros archivos, dando lugar a ficheros con nuevas huellas digitales que no están presentes en la base de datos.
Por último, iScan no proporciona información sobre si un determinado código malicioso se encuentra activo en el sistema. Podría darse la posibilidad (ciertamente infrecuente, por otra parte) de un sistema que, aun alojando malware, en realidad no estuviera infectado. Por ejemplo, el caso de un investigador que tuviera un directorio con código malicioso para estudiar, o el caso de que un código malicioso haya sido detectado por un antivirus y movido a una carpeta de cuarentena sin ofuscarlo8. Se trata de una situación que no parece muy probable, pero que sería considerado malware por iScan.
En definitiva, a pesar de la fortaleza de la herramienta iScan y de las medidas adoptadas por INTECO para mitigar la incidencia de falsos positivos, existen limitaciones intrínsecas a la metodología empleada que hacen que el análisis no sea infalible. Por ello los datos que se ofrecen, basados en un análisis sólido y robusto, cuentan con un margen de error que da una perspectiva de los problemas actuales a los que se enfrenta la industria de seguridad a la hora de desarrollar sus programas antivirus.
--------------------------------------------------
8 En informática, la ofuscación consiste en un acto deliberado de realizar un cambio no destructivo, ya sea en el código fuente de un programa informático o código máquina cuando el programa está en forma compilada o binaria, con el fin de que no sea fácil de entender o leer. Es decir, se hace ininteligible específicamente para ocultar su funcionalidad.
----------------------------------------------------
Fuente: Estudio sobre el fraude a través de Internet

Evolución 2007 - 2009 
Estudio sobre el fraude a través de Internet 2007-2009 Página 18 de 89
Instituto Nacional de Tecnologías de la Comunicación

Fraude financiero y banca por Internet:

 Informe Fraude financiero y banca por Internet: Amenazas y medidas para combatirlas Conclusión Nueve años después de la aparición del virus...