La palabra software espía o spyware suscita una reacción inmediata por parte de cualquier persona que haya estado navegando en Internet en los últimos dos años. Los anuncios emergentes, las conexiones de Internet que se vuelven bruscamente lentas y los iconos extraños que aparecen de forma misteriosa en el escritorio y no permiten que se eliminen están relacionados con un tipo de programa llamado software espía. Aunque no es muy común, estas simples molestias pueden cruzar la línea y convertirse en comportamientos maliciosos. Por ejemplo, el programa puede buscar y robar información confidencial, como nombres de usuario y contraseñas para fines fraudulentos.
Dado que el software espía es algo relativamente nuevo y los programas que se agruparon en esta categoría son muy diversos, los programas y el riesgo a la seguridad que éstos suponen para los usuarios y las organizaciones son confusos todavía. Con más de 20 años de experiencia protegiendo a personas y empresas contra amenazas de malware, Symantec puede ayudarlo una vez más a comprender y abordar el problema del software espía. El enfoque único de Symantec contra el software espía surge de las necesidades de nuestros clientes y partners, y se basa en nuestros años de liderazgo en el sector de la seguridad. A través de nuestro enfoque contra el software espía, ayudamos a los usuarios y a las organizaciones a recuperar el control de sus entornos y sistemas, lo que les permite conservar el software que necesitan y deshacerse de los programas no deseados.
Mientras algunas amenazas, como Blaster, Welchia y otros tipos de malware que acapararon los titulares y plagaban Internet en 2003, un problema "silencioso", que fue detectado y denominado software espía, proliferaba en los sistemas de los usuarios. En respuesta a esta nueva área de riesgo (que Symantec llamó amenazas ampliadas), se comenzó a ayudar a nuestros clientes con la posibilidad de detectar el software espía y otros programas no deseados en los equipos con los productos Norton™ y Symantec™ AntiVirus. Esta protección hizo posible solucionar un problema del que se sabía muy poco y que fue después eclipsado por verdaderas amenazas destructivas de malware que llamaron más la atención.
Los tiempos han cambiado considerablemente, y el enfoque de Symantec hacia lo que una vez se conoció como amenazas ampliadas ha cambiado para hacer frente a los desafíos de los programas que ahora se conocen como software espía. Nuestro enfoque contra el software espía se centra en definiciones claras, análisis de riesgo prácticos de programas de software espía y adware, así como en ayudar a los clientes a comprender y controlar fácilmente el contenido de sus sistemas a través de instrucciones claras y de la eliminación de programas no deseados.
Este enfoque se basa en años de experiencia en el manejo de temas similares de seguridad. Por ejemplo, durante años, los productos de Symantec han permitido que los usuarios determinaran si cierto contenido aceptable para algunos e inaceptable para otros, como el contenido para adultos, formara o no parte de sus sistemas. Nuestra experiencia en abordar desafíos como éstos, que dependen de las preferencias del usuario y de la ubicación de los equipos (es decir, en el hogar o en la oficina), nos han demostrado que la educación y la flexibilidad son fundamentales. Con esto en mente, el objetivo de Symantec es guiar a los clientes para que tomen la mejor decisión para ellos, su familia o su organización.
También comprendemos la importancia de no exagerar los problemas de seguridad, que crea niveles innecesarios de temor y duda, e insensibiliza a las personas ante las amenazas más críticas. Por lo tanto, Symantec distingue claramente entre las amenazas de malware, como virus, y las aplicaciones no deseadas, como software espía y adware (software de publicidad no deseada), que clasificamos como riesgos a la seguridad. Más allá del software espía y el adware, entre los riesgos a la seguridad también se encuentran programas de conexión telefónica, utilidades de acceso remoto, herramientas de hackeo y otro tipo de aplicaciones que pueden aceptarse o no en un sistema.
Si bien existen similitudes en las definiciones utilizadas por grupos del sector, académicos y empresas contra software espía, el sector todavía tiene que llegar a una descripción común para esta área que evoluciona rápidamente y que suele confundir bastante. A continuación, Symantec define software espía y adware:
Software espía (Spyware): Programas que tienen la capacidad de analizar sistemas, supervisar actividades y enviar información a otros equipos o ubicaciones en el ciberespacio. Contraseñas, datos de inicio de sesión, números de cuentas, información personal, archivos individuales u otros documentos personales son ejemplos de la información que el software espía puede recopilar y diseminar de manera pasiva o activa. Un programa de software espía también puede recolectar y distribuir información del equipo del usuario, aplicaciones que se ejecutan en el equipo, uso del navegador de Internet u otros hábitos informáticos.
Normalemente tratan de pasar inadvertidos, ya sea escondiéndose de forma activa o simplemente ocultándose en un sistema conocido para el usuario. Estos tipos de programas pueden descargarse desde sitios Web (por lo general, en software compartido o gratuito), desde mensajes de correo electrónico y mensajes instantáneos. Además, un usuario puede recibir o activar, sin saberlo, software espía cuando acepta un acuerdo de licencia de usuario final de un programa de software vinculado al software espía, o cuando visita un sitio Web que descarga software espía con o sin un acuerdo de licencia de usuario final.
Adware: Programas que facilitan el envío de contenido publicitario al usuario a través de su propia interfaz o a través de la interfaz de otro programa. En algunos casos, estos programas pueden recopilar información del equipo del usuario, inclusive información relacionada con el uso del navegador de Internet u otros hábitos informáticos, y enviarla a un equipo remoto o a otra ubicación en el ciberespacio.
Los programas de adware pueden descargarse desde los sitios Web (por lo general, en software compartido o gratuito), desde mensajes de correo electrónico y programas de mensajería instantánea. Además, un usuario puede recibir o activar un programa de adware sin saberlo cuando acepta un acuerdo de licencia de usuario final desde un programa de software vinculado al adware o cuando visita un sitio Web que descarga adware con o sin un acuerdo de licencia de usuario final.
Las definiciones de Symantec no pretenden valorar los programas de software espía y adware ni la actividad comercial que respalda su desarrollo y distribución. Las definiciones de Symantec describen las funciones de estos programas para poder clasificarlos según su perfil de riesgo.
Si bien los riesgos a la seguridad como el software espía y el adware pueden considerarse una extensión del malware, la clasificación existente de amenazas, como gusanos y virus, que son siempre no deseados y deberían eliminarse automáticamente de un equipo, no se corresponde con esta nueva categoría de aplicaciones posiblemente no deseadas. Debido a las importantes diferencias entre las amenazas de malware y los programas de riesgo a la seguridad, Symantec diseñó un sistema de clasificación de riesgos para clasificar el adware y las aplicaciones relacionadas y guiar a los usuarios a tomar decisiones sobre qué mantener y qué eliminar del equipo (consulte la figura 1). Con una calculadora de riesgos, este sistema diferencia el impacto general de las aplicaciones en cuatro categorías diferentes proporcionando una designación final de la aplicación como de riesgo "alto", "medio" y "bajo", junto con una recomendación sobre cómo continuar. A continuación, se detallan las cuatro categorías utilizadas en el sistema de clasificación de riesgos (impacto en el rendimiento, impacto en la privacidad, facilidad de eliminación y ocultación), junto con una descripción general del sistema de clasificación de riesgos.
Impacto en el rendimiento
Una de las áreas más problemáticas para los usuarios y administradores es el impacto inesperado que los programas de software espía y adware pueden tener en el rendimiento de un sistema o una red. Los bloqueos del sistema, las conexiones atascadas de Internet y el comportamiento extraño del navegador Web corresponden a la categoría de "impacto en el rendimiento", que mide cómo un programa de riesgos a la seguridad afecta a la estabilidad, la velocidad y el rendimiento de un sistema. Los programas con una clasificación alta en esta categoría pueden ocasionar horas desperdiciadas en tratar de solucionar el problema, llamadas interminables al centro de asistencia técnica de TI e interrupciones molestas. A continuación se describe una pequeña muestra del comportamiento de la aplicación cuando se considera que afecta al rendimiento:
| Clasificación | Descripción básica |
|---|---|
| Alto | Impacto considerable en la estabilidad o el rendimiento del sistema |
| Medio | Ventanas emergentes frecuentes, reemplazo de la página de inicio, redirección de páginas Web y resultados de búsqueda |
| Bajo | Impacto mínimo en el rendimiento del sistema |
Impacto en la privacidad
Si bien suele ser invisible, la violación de la privacidad del usuario y de la organización por parte del software espía, y con menos frecuencia, del adware, es un problema crítico. El nivel de impacto en la privacidad producido por una aplicación de riesgo a la seguridad indica hasta qué punto transmite información sobre los usuarios a otra compañía (por ejemplo, la propia empresa de software espía o adware). La información que captura el programa incluye desde comportamientos básicos de navegación Web hasta datos confidenciales, como nombres de usuario y contraseñas, que pueden usarse para el robo de identidad o para realizar transferencias no autorizadas desde la cuenta bancaria de la víctima. Una vez capturada, la información del usuario suele enviarse a la otra empresa a través de Internet, pero también puede enviarse por otros medios o almacenarse de forma local. A continuación se describe una pequeña muestra del comportamiento de una aplicación que impacta en la privacidad:
| Clasificación | Descripción básica |
|---|---|
| Alto | Divulgación de información confidencial y privada, como números y contraseñas de cuentas de instituciones financieras, otros números y contraseñas de cuentas, identificadores de tarjetas de crédito y del número de la seguridad social u otros datos equivalentes internacionales |
| Medio | Seguimiento de hábitos de navegación Web y otros comportamientos similares del usuario, ausencia de una política de privacidad (p. ej., en un acuerdo de licencia de usuario final), política de privacidad incoherente con los comportamientos observados |
| Bajo | Ningún o casi ningún impacto en la privacidad |
NOTA: Si bien un acuerdo de licencia de usuario final que comunique a los usuarios el tipo de información que se captura y lo que se hace con ésta puede implicar un riesgo menor en comparación con una aplicación que no lo hace, Symantec puede clasificar los programas que presentan este tipo de divulgación como software espía. Un aspecto importante del software espía es tener en cuenta lo que espera el usuario de la actividad del software, que suele no comprenderse del todo en un acuerdo de licencia de usuario final y que, por lo general, aparece en un extenso documento y en una ventana pequeña en lenguaje legal difícil de entender para la mayoría de las personas.
Facilidad de eliminación
Los programas de software espía y adware suelen resistirse a su eliminación para permanecer más tiempo en el sistema. La forma en que Symantec mide el nivel de eliminación se basa en la relativa dificultad de quitar una aplicación no deseada de un sistema. El comportamiento de esta categoría incluye desde aplicaciones que pueden quitarse fácilmente con un programa de desinstalación del fabricante hasta aplicaciones de software espía y adware que se incrustan por sí solas en el equipo y se resisten a su eliminación. A continuación se describe una pequeña muestra del comportamiento de una aplicación que se considera de fácil eliminación:
| Clasificación | Descripción básica |
|---|---|
| Alto | Imposibilidad de desinstalación; desinstalación no funcional o incompleta |
| Medio | Falta de una función de desinstalación o de instrucciones para la desinstalación autoguiada |
| Bajo | El programa de riesgo a la seguridad puede quitarse fácilmente con una función estándar de desinstalación para que no se vuelva a ejecutar en el equipo, y no queda ningún o casi ningún rastro |
Ocultación
Una característica común relacionada con el software espía o cierto tipo de adware es la ocultación: los programas intentan instalarse por sí solos sin que el usuario se dé cuenta y permanecen ocultos para no ser detectados ni eliminados. La naturaleza no esperada, aparentemente invisible de este software, permite que permaneza en el equipo y lleve a cabo sus actividades (p. ej., seguimiento del comportamiento, anuncios emergentes, etc.) sin que el usuario lo note. Los comportamientos de ocultación incluyen desde una instalación completamente "silenciosa" e inadvertida y operaciones ocultas, hasta programas que informan al usuario de la instalación y que pueden verse con facilidad en el equipo (p. ej., los usuarios pueden ver los iconos o procesos del programa y comprender cómo llegó al equipo).
A continuación, se detallan algunos comportamientos de una aplicación que se considera que actúa con ocultación:
| Clasificación | Descripción básica |
|---|---|
| Alto | Presenta casi todos o todos los comportamientos de ocultación, como una instalación silenciosa, ninguna interfaz de usuario, y no muestra los procesos de la aplicación |
| Medio | Presenta algunos pero no todos los comportamientos de ocultación, como una instalación silenciosa, ninguna interfaz de usuario, o no muestra los procesos de la aplicación |
| Bajo | Comportamientos normales de instalación y de la aplicación |
El siguiente ejemplo ilustra de qué forma se utiliza la evaluación de riesgos de seguridad de Symantec para determinar el posible impacto de un programa de adware en el equipo del usuario.
| Categoría | Comportamiento | Puntuación |
|---|---|---|
| Rendimiento | Anuncios emergentes frecuentes y consumo de una cantidad considerable de recursos del sistema | Alto |
| Privacidad | Se hace un seguimiento del comportamiento de navegación Web, y la información de los sitios Web que visita el usuario se envía al proveedor de adware para analizar y enviar anuncios determinados (p. ej., anuncios emergentes) | Medio |
| Eliminación | El programa no incluye ninguna función de desinstalación y no permite que el usuario lo quite manualmente | Bajo |
| Ocultación | El programa se instala silenciosamente en el navegador Web del usuario sin informar de un acuerdo de licencia de usuario final; se pueden ver sus procesos en el Administrador de tareas de Windows | Alto |
Clasificación general: Riesgo alto
Medida recomendada: Eliminación automática
LiveUpdate de Symantec utiliza la clasificación y el puntaje de riesgo general para asegurar que los clientes cuenten con protección actualizada contra el software espía y otros programas de riesgos a la seguridad.
Medidas de reclasificación de riesgos a la seguridad y falsos positivos
A veces, un proveedor de software puede sentir que Symantec ha clasificado su producto de forma injusta o incorrecta como programa de riesgo a la seguridad. En estos casos, Symantec ofrece un formulario en línea (en inglés) en el que el proveedor puede enviar una pregunta a Symantec para que la examine y la resuelva. Además, Symantec ofrece un formulario basado en Web para informar de detecciones de falsos positivos (en inglés) de software espía y adware.
Gracias a su posición de líder de seguridad durante largo tiempo, Symantec es la única solución capaz de abordar los desafíos de software espía y adware. En el corazón de las funciones contra software espía de Symantec se encuentra la mejor infraestructura de seguridad del mundo, la Symantec Global Intelligence Network, con más de 120 millones de instalaciones antivirus en equipos de escritorio, servidores y gateways, que permiten capturar el software espía y el adware y enviarlos a los centros de Symantec Security Response para su análisis. El tamaño y el alcance global de esta red le dan a Symantec un conocimiento inigualable de los problemas de software espía y adware, lo que nos permite mejorar considerablemente la capacidad de protección de las organizaciones y de los usuarios finales en todo el mundo.
Los centros de Symantec Security Response, ubicados en América del Norte, Asia, Australia y Europa, están a cargo de investigadores que representan una muestra de los más destacados expertos en seguridad del sector y ofrecen a los clientes cobertura ante sucesos de seguridad importantes, todos los días, las 24 horas, sin importar cuándo ocurren. La diversidad de amenazas y riesgos a la seguridad que afronta la organización de Symantec Security Response la colocan al frente de la investigación en software espía. Por ejemplo, los investigadores de software espía de Symantec se benefician de la experiencia no sólo del grupo, sino también de los especialistas contra spam de Symantec que supervisan y analizan los mensajes de correo electrónico no solicitados que se utilizan para enviar instaladores de programas de software espía. Del mismo modo, los expertos en intrusiones de Symantec proporcionan un análisis de las formas en las que puede usarse la explotación de vulnerabilidades del navegador Web junto con el software espía para instalar las aplicaciones.
El software espía y el adware son cada vez más sofisticados, con algunos programas que muestran comportamientos de virus para evitar su detección, como cambiar la configuración y el comportamiento, o hurgar en los aspectos internos de un sistema. La experiencia reconocida de Symantec en eliminar malware junto con un equipo de investigadores expertos en antivirus son ventajas importantes que permiten mantenerse a la vanguardia en riesgos a la seguridad.
El enfoque contra el software espía de Symantec, su Global Intelligence Network y la experiencia comprobada en combatir problemas de seguridad similares al software espía proporcionan a nuestros clientes una diversidad de soluciones que les permite recuperar el control de sus sistemas y redes. Finalmente, estas soluciones y medidas hacen posible que personas y organizaciones puedan determinar si mantendrán o quitarán el software espía no deseado para mejorar la productividad y proteger su privacidad.
La mejor defensa contra los riesgos de seguridad emergentes, como el software espía y el adware, es la colaboración mutua entre empresas y organizaciones. Symantec se compromete a trabajar con los grupos del sector, cuerpos legislativos, las autoridades judiciales y otros organismos, para abordar los desafíos y riesgos que el software espía representa para los usuarios y las organizaciones en todo el mundo.
