Blog

El auge del malware para GNU/ Linux

El auge del malware para Linux

Sin lugar a dudas, Linux ha sido el sistema operativo más seguro del mercado. Pero como acostumbra a suceder con todo lo relacionado con la tecnología, era solo cuestión de tiempo que los delincuentes se enfocaran en este sistema operativo, que, afortunadamente, ha dejado de ser minoritario.

La cantidad de malware diseñado para Linux alcanzó un máximo histórico en la primera mitad de 2022, con casi 1,7 millones de muestras detectadas.

Por ejemplo, no hace mucho se descubrió una nueva pieza de malware sigiloso para Linux llamado Shikitega que explota las vulnerabilidades del sistema (CVE-2021-4034 y CVE-2021-3493) para obtener privilegios elevados.

A esto hay que sumar otro software malicioso que afecta a este sistema operativo, como BPFDoor, Symbiote, Syslogk, OrBit y Lightning Framework.

Existen distribuciones como Ubuntu o Linux Mint, que se han vuelto bastante populares gracias a su facilidad de uso.

Los villanos más proactivos, también han adaptado la funcionalidad de las herramientas de Windows a Linux, con el objetivo de poder apuntar a más plataformas.

Un ejemplo es Vermilion Strik: una herramienta para pruebas de penetración que ofrece a las atacantes capacidades de acceso remoto, incluida la manipulación de archivos.

Pero no todo es malware

En cualquier caso, no importa qué sistema operativo estemos utilizando: cuanto más tiempo pasemos interactuando en la red, más probabilidades tenemos de convertirnos en un objetivo.

Aunque en comparación con otros sistemas operativos ofrece una privacidad de primer nivel, decir que Linux nos hace invulnerables a las estafas y otras perpetraciones en línea, sería una falacia.

Página de phishing

Nadie se libra en un momento dado de abrir un archivo adjunto con una carga útil de ransomware, o de pulsar en un enlace de phishing.

Internet no fue diseñado para ser seguro, pero tampoco tiene porque ser necesariamente un lugar infame y peligroso, donde las amenazas nos acechan continuamente.

En líneas generales, tomando una serie de precauciones básicas, se puede navegar por la red con tranquilidad.

Pero no hay que olvidar nunca que por el medio silvestre, pululan personajes dedicados a piratear cuentas, robar información personal, difundir malware y perpetrar todo tipo de engaños.

Internet también interconecta muchos dispositivos, por lo que es posible escanear millones de máquinas e identificar las que son vulnerables.

Afortunadamente, los desarrolladores de código abierto, son muy proactivos a la hora de responder a las exigencias de hoy en día: las vulnerabilidades se descubren muy rápidamente y, a menudo, se corrigen en cuestión de horas o días.

Esta es una de las ventajas del software de código abierto.

Sin embargo, los usuarios también tenemos que poner de nuestra parte.

A todos nos gustaría que nuestra distribución de Linux fuese una plataforma del tipo «instálalo y olvídate», pero hoy en día, ya no lo es.

¿Qué podemos hacer para mantener nuestra distribución de Linux a salvo del software malicioso?

Igual que con Microsoft Windows, lo primero y fundamental es actualizar.

Cuando dejamos de instalar las actualizaciones del sistema operativo y de las aplicaciones, con el tiempo, podemos convertirnos en los orgullosos propietarios de una máquina repleta de vulnerabilidades.

Debemos adquirir el sano hábito de verificar regularmente si existen nuevas versiones de nuestra distribución, y aplicarlas tan pronto como estén disponibles.

Linux Kernel Runtime Guard (LKRG) es un módulo creado por Openwall que realiza una verificación en tiempo real del kernel de Linux para detectar vulnerabilidades de seguridad.

Se puede instalar fácilmente en distribuciones como RHEL, CentOS, Debian, Ubuntu y Whonix.

Conocer bien la distribución que tenemos instalada.

La mayoría de los problemas de seguridad que afectan a los sistemas basados en Linux se pueden atribuir a configuraciones incorrectas o a una administración deficiente del sistema.

Por lo tanto, tenemos que asegurarnos de que conocemos todos los recovecos del sistema operativo.

No hemos de asumir que podemos implementar una distribución de Linux para cualquier propósito, sin invertir tiempo en aprender todas las entretelas de la plataforma.

Imaginar que una vez instalado, nunca tendremos que «meterle mano» al sistema operativo, no es realista.

Pensar que todo siempre funcionará bien, tampoco.

Para los «veteranos» esto no debe suponer demasiado problema, y para los usuarios que empiezan con Linux, existen comunidades en español donde pueden buscar ayuda y consejos.

En las páginas web de muchas distribuciones, también existen guías oficiales, aunque la mayoría están en inglés.

En este sentido, algunas de ellas admiten voluntarios para traducir el texto.

Leer los registros.

Los registros contienen una gran cantidad de información sobre posibles fallos del sistema operativo, y Linux ofrece una tonelada de ellos, como por ejemplo:

  • Los paquetes que se instalan y desinstalan en el sistema operativo.
  • Información sobre los accesos remotos a nuestro equipo.
  • Los intentos fallidos de autenticación de los usuarios.
  • Registro de errores de los programas y servicios.
  • Conexiones entrantes y salientes bloqueadas por el firewall.

Para comprobarlo basta con ir al directorio /var/log / (o a sus subdirectorios).

En cualquier caso, no importa cuántos archivos de registro haya en el sistema: si no les hacemos ni puto caso, no tienen ningún valor.

Si no queremos hacerlo manualmente, hay muchas herramientas, como por ejemplo Graylog 2, Logcheck, Logwatch o Logstash, que pueden hacer el trabajo por nosotros.

¿Utilizar software de seguridad?

Decirle esto a una persona que lleva años utilizando una distro de Linux, puede tener como resultado que se te ría en la jeta, o te diga que no tienes ni idea de lo que estás hablando.

Al fin y al cabo, la estructura basada en permisos de Linux (no procesa ejecutables sin permiso), hace que sea casi imposible que el malware entre en el sistema.

Por otra parte, todas las distribuciones de Linux, cuentan con sus repositorios oficiales de programas, firmados y verificados para su correcto funcionamiento.

A no ser que se instale algún paquete desde fuentes de terceros o sospechosas, no existe prácticamente ningún riesgo de obtener software malicioso.

Y en este sentido no les falta razón.

A no ser que estemos administrando un servidor, no tiene demasiado sentido tener instalado un antivirus con protección en tiempo real en una distribución de Linux.

Pero hoy en día, nunca está de más llevar a cabo de vez en cuando un escáner de rootkits, y también usar una herramienta para analizar los correos electrónicos, que es por donde se cuela casi todo el malware.

Para estos menesteres existen ClamAV o Chkrootkit.

LMD (Linux Malware Detect) es otra potente herramienta para detectar código malicioso.

Adoptar una política de contraseñas seguras

Un control de acceso estricto, es fundamental para evitar que los villanos obtengan acceso administrativo a un sistema para instalar rootkits u otros tipos de malware.

Hay que implementar contraseñas complejas y únicas.

Cuantos más caracteres contengan, más tiempo le llevará a una persona o a una máquina adivinarlas.

También hay que evitar usar palabras que aparezcan en los diccionarios de los distintos idiomas: serán las que probarán primero para intentar acceder al sistema.

Tampoco ninguna información personal, como fechas, números de matrícula o el nombre de cualquier familiar.

La autenticación de dos factores es un método de autenticación que requiere ingresar información adicional, antes de poder iniciar sesión correctamente en una cuenta o dispositivo.

Si la distribución lo permite, es muy recomendable configurarla.

Habilitar el firewall.

Todas las principales distribuciones de Linux vienen con un firewall de software incorporado, ya que es parte del propio kernel de Linux.

Pero existen otras alternativas, como ufw/gufw (una interfaz gráfica para el cortafuegos iptables), IP Fire (muy fácil de utilizar), etc.

En función de tu distribución preferida, puedes habilitar el cortafuegos predeterminado, o implementar uno de diferente, y familiarizarte con su funcionamiento.

Esta aplicación es una buena barrera de seguridad entre el medio silvestre y tus datos.

¿Por qué vas a ignorarla?

Habilitar el cifrado de disco.

Para proteger tu sistema Linux, una buena idea es cifrar todo el contenido del disco duro.

Esto asegurará que tus datos permanezcan seguros en el improbable caso de que alguien aceda a él sin autorización, lo pierdas, o te roben el dispositivo.

Muchas veces, durante la instalación, la propia distribución, da la opción llevar a cabo el cifrado completo del disco.

Desactivar los puertos de red cuando están inactivos

Otro método eficaz para proteger tu sistema Linux es desactivar los puertos de red cuando no los estés utilizando.

Mediante el comando «netstat» puedes saber qué puertos están actualmente abiertos y en uso.

También te informará de qué servicios están usando los puertos abiertos.

Si escribes netstat -help, obtendrás muchas más pautas para poder emplear este comando.

Además, el firewall puede ayudarte a hacer el trabajo.

Temas: ,

Avisos de seguridad

Air VPN - The air to breathe the real Internet

Otros artículos

Los ciberdelincuentes se estafan unos a otros
Los delincuentes distribuyen malware mediante actualizaciones falsas del navegador
ProtonVPN: servicio VPN seguro y gratuito para proteger tu privacidad en línea
Que es un ataque de denegación de servicio distribuido
Cómo borrar evidencias con BleachBit
Ataques mediante archivos XLL habilitados para macros
Cómo funciona un ataque de hombre en el medio