Estudio sobre el fraude a través de Internet Evolución 2007
– 2009
Búsqueda y análisis documental
Esta fase tiene como objetivo analizar contenidos publicados
en la materia que puedan enriquecer y orientar el proyecto de investigación.
Se han localizado y seleccionado diversas publicaciones
consideradas de relevancia por la metodología empleada, el contenido, las
conclusiones y los objetivos perseguidos.
Las referencias consultadas pueden encontrase en el anexo
bibliográfico al final de este informe.
Panel online dedicado: ficha técnica de la encuesta
Universo
Usuarios españoles de Internet, con acceso frecuente a
Internet desde el hogar, mayores de 15 años. Para delimitar con mayor precisión
el concepto de usuario, se exige una conexión a Internet desde el hogar de, al
menos, una vez al mes.
Tamaño y distribución muestral
La extracción de la muestra de usuarios de Internet, se
realiza mediante afijación muestral según un modelo polietápico:
estratificación por comunidades autónomas para garantizar un mínimo de sujetos
en cada una de estas entidades y muestreo por cuotas de tamaño del hogar, edad,
sexo, actividad laboral y tamaño del hábitat5.
La muestra se ha equilibrado al universo en base a los datos
poblacionales por CCAA, para el universo descrito anteriormente, y a las
variables de cuota, para alcanzar un ajuste más perfecto.
De la muestra se obtienen dos tipos diferentes de
información: la proporcionada por los usuarios en las encuestas y la obtenida
directamente mediante observación (análisis online de sus equipos). Dado que la
periodicidad de extracción de datos es diferente (trimestral en el caso de las
encuestas y mensual en el de los escaneos) y que las bases consideradas no son
idénticas (por ejemplo, puede haber hogares en que se realice el análisis
online pero no la encuesta, o viceversa), se presentan de forma separada: la
Tabla 1 describe los tamaños muestrales de la encuesta y la Tabla 2 indica el
número de equipos escaneados.
-------------------------------------------
5 Estas cuotas se han obtenido de datos representativos a
nivel nacional de internautas mayores de 15 años que se conectan más de una vez
al mes desde el hogar facilitados por Red.es, entidad pública empresarial del
Ministerio de Industria, Comercio y Turismo.
-------------------------------------------
Análisis de seguridad de los equipos
Para llevar a cabo los análisis en línea se ha utilizado el
programa iScan, una herramienta de análisis de seguridad propiedad de INTECO
especializada en la detección de medidas activas de seguridad y, sobre todo, de
código malicioso (malware).
En el análisis del malware, iScan detecta las incidencias de
seguridad con 46 antivirus distintos con el objetivo de asegurar una mayor tasa
de detección (especialmente ante las nuevas amenazas de carácter altamente
indetectable). Como contrapunto, precisamente con el objeto de minimizar los
falsos positivos6, se establecen una serie de filtros y controles posteriores:
4) Filtrado y ponderación de soluciones antivirus. En la
selección de los motores se han tenido en cuenta los siguientes factores:
a. En el listado de soluciones antimalware utilizadas por
iScan se excluyen productos antivirus de perímetro, altamente paranoicos.
b. Tampoco se consideran algunas soluciones que comparten
firmas, para de este modo considerar sólo un motor con el mismo conjunto de
firmas.
c. Se ha identificado un subconjunto con los 11 antivirus
más reputados, con mejor tasa de detección frente a especimenes detectados por
más de 10 antivirus.
Para que un archivo sea marcado como malware, éste debe ser
detectado por 5 productos de los 46 considerados, teniendo en cuenta que uno de
los 5 necesariamente debe pertenecer al subconjunto de los 11 antivirus más
reputados.
5) Verificación manual de un número acotado de ejemplares.
Tras una primera capa de filtrado, se ordenan todos los ficheros detectados en
los equipos auditados por tasa de penetración (número de equipos en los que han
sido avistados). Los 40 ficheros más avistados se analizan manualmente, con el
fin nuevamente de filtrar falsos positivos.
6) Comparación de los ficheros marcados como maliciosos con
bases de datos de software conocido y de ficheros inocuos. INTECO mantiene una
base de datos de software de fabricantes confiables. Todos los ejemplares que
siguen siendo detectados tras las dos capas de filtrado anteriores son
comparados con esta base de datos para eliminar más falsos positivos. De igual
forma, los ficheros son contrastados con la estadounidense National Software
Reference Library7 del National Institute of Standards and Technology (NIST).
Si se detectase que alguno de los ficheros señalados por iScan está en dicha
------------------------------------
6 Un “falso positivo” es la detección, errónea, de un
fichero inocuo como malicioso.
7 National
Institute of Standards and Technology: National Software Reference Library. Disponible
en http://www.nsrl.nist.gov
---------------------------------
base de datos y no forma parte de un kit de hacking o
cracking, el archivo no es considerado como malicioso.
El establecimiento de estos filtros y controles es una
medida muy importante de cara a asegurar la fiabilidad del estudio, pero aun
así no elimina por completo la problemática de los falsos positivos (una
problemática inherente a la industria antivirus), ni la de los falsos
negativos.
Asimismo, debe tenerse en cuenta que al comparar todos los
ficheros de los equipos inspeccionados con las bases de datos de malware
conocido, no es posible detectar ningún especimen desconocido que no se
encuentre en dichas librerías. Esto es especialmente acusado en el caso de los
gusanos y virus. Los gusanos suelen incluir un motor polimórfico que da lugar a
un fichero binariamente distinto en cada replicación del mismo. En
consecuencia, es muy difícil que un gusano polimórfico sea detectado, pues
muchos de ellos serán únicos para cada infección y por tanto no estarán
presentes en la base de datos de malware conocido. El caso de los virus es
similar: muchos virus infectan otros archivos, dando lugar a ficheros con
nuevas huellas digitales que no están presentes en la base de datos.
Por último, iScan no proporciona información sobre si un
determinado código malicioso se encuentra activo en el sistema. Podría darse la
posibilidad (ciertamente infrecuente, por otra parte) de un sistema que, aun
alojando malware, en realidad no estuviera infectado. Por ejemplo, el caso de
un investigador que tuviera un directorio con código malicioso para estudiar, o
el caso de que un código malicioso haya sido detectado por un antivirus y
movido a una carpeta de cuarentena sin ofuscarlo8. Se trata de una situación
que no parece muy probable, pero que sería considerado malware por iScan.
En definitiva, a pesar de la fortaleza de la herramienta
iScan y de las medidas adoptadas por INTECO para mitigar la incidencia de
falsos positivos, existen limitaciones intrínsecas a la metodología empleada
que hacen que el análisis no sea infalible. Por ello los datos que se ofrecen,
basados en un análisis sólido y robusto, cuentan con un margen de error que da
una perspectiva de los problemas actuales a los que se enfrenta la industria de
seguridad a la hora de desarrollar sus programas antivirus.
--------------------------------------------------
8 En informática, la ofuscación consiste en un acto
deliberado de realizar un cambio no destructivo, ya sea en el código fuente de
un programa informático o código máquina cuando el programa está en forma
compilada o binaria, con el fin de que no sea fácil de entender o leer. Es
decir, se hace ininteligible específicamente para ocultar su funcionalidad.
----------------------------------------------------
Fuente: Estudio sobre el fraude a través de Internet
Evolución 2007 - 2009
Estudio sobre el fraude a través de Internet 2007-2009
Página 18 de 89
Instituto Nacional de Tecnologías de la Comunicación
No hay comentarios:
Publicar un comentario