Hace unos meses que no les acercábamos noticias sobre el gusano Conficker, cuando en febrero les contábamos que seguía afectando organizaciones en todo el mundo. A pesar de ello, el código malicioso que nació en noviembre del 2008 sigue apareciendo como uno de los más detectados, incluso en el primer lugar en nuestro último Ranking de Amenazas Destacadas de Mayo.
Casualmente, me encontraba leyendo por estos días el último Microsoft Security Intelligence Report Volume 8, el informe que la empresa fundada por Bill Gates realiza semestralmente resumiendo varios aspectos de seguridad: malware, vulnerabilidades, spam, phishing, rogue, y otras amenazas; son tratados en el informe.
Y sobre Conficker aparece un dato muy interesante: Conficker afecta más a la empresa que al hogar. Si se analizan los códigos maliciosos más detectados por Microsoft, separando los equipos que pertenecen a un dominio (entornos corporativos) y aquellos que no (usuarios domésticos), se observa que en el primer caso Win32/Conficker aparece en primer lugar con el 24,4%, mientras que en el segundo aparece en décimo lugar con el 3,7%. Estos son los gráficos originales del informe:
Estos datos se condicen con la información que hemos publicado, llegando Conficker incluso a ser detectado en el 25% de las computadoras de Argentina. Pero ante un resumen tan gráfico de las diferencias entre entornos, la pregunta que cabe hacerse es: ¿por qué Conficker afecta más a las redes corporativas? Veamos algunas posibles respuesta a esta pregunta:
- Para que no se propague Conficker es necesario tener instalado el parche de seguridad. ¿Podría concluirse que las empresas instalan menos las actualizaciones de los usuarios? No existen estadísticas para afirmar esto con certeza, aunque el mismo informe de Microsoft certifica que son muchos los usuarios que utilizan Windows Update en lugar de servicios como WSUS, que permiten la gestión centralizada de las actualizaciones de varios productos de Microsoft. Lamentablemente, un servicio como WSUS no es tan utilizado como debiera, dado que es gratuito y ofrece grandes ventajas a las empresas.
- El factor fundamental es que Conficker se propaga por la red, por lo cual en redes corporativas que no posean las medidas de protección ante esta amenaza, el hecho de que se infecte una única máquina tendrá como consecuencia la infección de todos los equipos de la red en un lapso muy corto de tiempo. Además, el gusano seguirá presente en la red hasta que todos los sistemas posean las medidas de seguridad para eliminarlo por completo.
- Por último, el hecho de que Conficker se propaga por explotación de vulnerabilidades, dispositivos USB y carpetas compartidas, hace que sea necesario tener cubiertos los tres aspectos y contar con una solución antivirus para tener el escenario seguro deseado; y por lo tanto la necesidad (en entornos corporativos) de contar con políticas de seguridad. La ausencia de estas es un problema que ya hemos mencionado en Pecados capitales de la seguridad para PyMEs.
Este tipo de datos corroboran cómo las empresas deben mantener mayor cuidado ante las mismas amenazas que se presentan para ambos escenarios. La complejidad de las redes, sumado a la criticidad de la información que allí se maneja (y el impacto que esto tiene en el costo causado por incidente) hace que las empresas deban tener especial cuidado con estas amenazas que, aunque también afectan al usuario hogareño, lo hacen en otra magnitud.
Sebastián Bortnik
Analista de Seguridad
