Hasta hace poco era bastante infrecuente disponer en el hogar de una conexión rápida y permanente a Internet. En esa situación el peligro de ser infectado por un virus era la mayor preocupación de los usuarios, porque era bastante más difícil intentar atacar un sistema desde fuera. Un buen programa antivirus, con actualizaciones frecuentes, era un imperativo si no queríamos perder la información almacenada en nuestro disco duro. En la actualidad el hecho de disponer de un buen antivirus sigue siendo condición sine qua non para estar protegidos. Pero ya no es suficiente.

En el artículo mencionado se han estudiado las medidas más recomendables de protección a aplicar para evitar muchos de los ataques más típicos de los que podemos ser objeto cuando nos encontramos conectados. A pesar de ello, en la mayoría de los casos no será suficiente con esto, sobre todo si permanecemos muchas horas conectados a Internet. Aunque evitemos en gran medida el hecho de que alguien nos pueda robar archivos e información comprometida, no estamos
libres de otros tipos de ataques (hay mucha gente con malas intenciones por ahí).

Tipos de Ataques

• Ataques DoS: Es el acrónimo de la expresión inglesa Deny of Service, que significa denegación de servicio. Este tipo de ataques tiene por objeto inutilizar momentáneamente el ordenador atacado, de forma que deje de responder o haya que reiniciarlo. No se consigue penetrar en el sistema, pero puede echar a perder perfectamente una jornada de trabajo, los documentos sin guardar, etc... También puede saturar el ancho de banda de forma que se disminuya mucho la velocidad de descarga o envío de archivos.
• Caballos de Troya: Se trata de programas que se suelen regalar o enviar por correo como si fueran inocentes juegos o bromas. En realidad, una vez introducidos en el ordenador objetivo, permiten a un atacante externo tomar el control del sistema, transferir archivos, e incluso cosas como abrir la puerta del CD-ROM o enviar mensajes desconcertantes. Muchos han nacido como herramientas de administración remota (NetBus, Khe Sanh...) pero luego han sido utilizados con otras intenciones menos prosaicas. Los más conocidos son tal vez BackOriffice, NetBus y Hack’a’Tack, aunque se cuentan ya por decenas los existentes. Si no tenemos un adecuado bloqueo de puertos establecido, estamos a merced de cualquier desaprensivo que los encuentre en nuestro ordenador, ya que hay herramientas que buscan de manera automática sistemas que estén infectados por troyanos. De ese modo pueden aprovecharse de la infección, aunque no la hayan introducido ellos mismos. Un buen Antivirus es indispensable para detectarlos y eliminarlos. Véase el recuadro adjunto Los puertos utilizados por los troyanos.
• Barrido de puertos: Un barrido de puertos trata de identificar qué puertos TCP y UDP están abiertos en nuestro ordenador para poder aprovechar ciertos servicios que dependen de ellos para entrar en el sistema. Existen infinidad de herramientas de barrido de puertos accesibles en la red a cualquiera y ésta será una de las cosas que primero compruebe un atacante.
• Detección de Proxies: Muchos atacantes buscan proxies que puedan estar instalados “delante” de nuestro ordenador. Un proxy sirve, básicamente, para compartir una conexión a Internet entre varios ordenadores. El atacante desea encontrar proxies mal configurados o de mala calidad, pero no para comprometer la seguridad de los equipos a los que éste apantalla, sino para convertir sus ataques en anónimos. Dado que casi todos los servidores llevan un registro de las direcciones IP desde las que se accede a ellos, si un individuo malintencionado quisiera atacarlos sería fácil seguirle la pista a través de su IP. Sin embargo, utilizando un proxie ajeno que enmascararía su verdadera IP, el ataque parecería que proviene de dicho proxie, ocultando las huellas del verdadero agresor y cargando las culpas a quien no las tiene.
• Ataques Smurf/Fraggle: Bajo el nombre de los graciosos personajes de dibujos animados (Smurf es “Pitufo” en inglés), se esconde una técnica de ataque masivo a servidores utilizando para ello a víctimas inocentes que no están bien protegidas. Concretamente el ataque se basa en el envío de paquetes de difusión a los ordenadores de una subred (que llegan a todos los ordenadores). Estos paquetes llevan falseada la dirección de origen, apuntando en realidad a un servidor que se desea atacar (técnica conocida como spoofing). Todos los ordenadores de la subred responden a los paquetes falsos dirigiéndolos a la víctima, la cual se ve sobrecargada instantáneamente por el enorme efecto multiplicador debido a la difusión. La diferencia entre el ataque Smurf y el ataque Fraggle estriba en el tipo de paquete enviado (un Echo UDP al puerto 7 en el caso de éste y un ping en el caso de aquél). Este ataque fue el utilizado durante los famosos asaltos a buscadores y sitios de comercio electrónico el año pasado.

Como se ve, los peligros son muchos y variados, y casi cada día aparecen nuevas técnicas e imaginativos ataques que pueden explotar nuestro sistema mal protegido. Un software especializado que podamos actualizar a menudo es lo que necesitamos para evitarlo. Lo recomendable es, además de un programa antivirus, disponer de un buen Firewall.

Qué es un Firewall y cómo trabaja
Con ese gráfico término, tan propio del espíritu comercial anglosajón, se designa a una utilidad informática que se encarga de aislar redes o sistemas informáticos respecto de otros sistemas informáticos que se encuentran en la misma red. Constituyen una especie de “barrera lógica” delante de nuestros sistemas que examina todos y cada uno de los paquetes de información que tratan de atravesarla. En función de unos criterios establecidos previamente deciden qué paquetes deben pasar y cuáles deben ser bloqueados. Muchos son capaces de filtrar el tráfico de datos que intenta salir de nuestra red al exterior, evitando así que los troyanos sean efectivos. En la figura se muestra gráficamente el concepto. El Firewall actúa de intermediario entre nuestra red local (o nuestro ordenador) e Internet, filtrando el tráfico que pasa por él.

Todas las comunicaciones de Internet se realizan mediante el intercambio de paquetes de información, que son la unidad mínima de datos transmitida por la red. Para que cada paquete pueda llegar a su destino, independientemente de donde se encuentren las máquinas que se comunican, debe llevar aneja la información referente a la dirección IP de cada máquina en comunicación, así como el puerto a través del que se comunican. La dirección IP de un dispositivo lo identifica de manera única dentro de una red. El puerto de comunicaciones es una abstracción lógica que podríamos asimilar a la frecuencia en una emisión radiofónica: del mismo modo que no podemos escuchar una emisora si no sintonizamos su frecuencia, no podremos conectarnos a un servicio de otro ordenador si no usamos el mismo puerto.

Un Firewall, como se ha dicho, intercepta todos y cada uno de los paquetes destinados a o procedentes de nuestro ordenador, y lo hace antes de que ningún otro servicio los pueda recibir. De esto extraemos la conclusión de que el Firewall puede controlar de manera exhaustiva todas las comunicaciones de un sistema a través de Internet.

Se dice que un puerto de comunicaciones está abierto si, cuando llega un paquete de petición de establecimiento de conexión, el sistema devuelve una respuesta. En caso contrario el puerto se considera cerrado y nadie podrá conectarse a él.

La verdadera potencia de un Firewall reside en que al analizar cada paquete que fluye a su través, puede decidir si lo deja pasar en uno u otro sentido, y puede decidir si las peticiones de conexión a determinados puertos deben responderse o no.

Por ejemplo, de este modo podemos configurar un Firewall para que sólo permita las comunicaciones a través de los puertos de correo electrónico, FTP y HTTP, si esos son los únicos servicios que necesitamos.

Otra característica interesante que se refiere a la manera de intercambiar datos a través de TCP/IP es que, gracias al bit ACK de los paquetes, es fácil determinar si un paquete procede de una conexión ya establecida o es un intento de penetración externa. Así es relativamente sencillo que un Firewall pueda dejar pasar aquellas comunicaciones que el sistema interno haya establecido, impidiendo todas aquellas cuyo origen sea el exterior.

Otra función útil de la mayoría de los Firewall es su capacidad para mantener un registro detallado de todo el tráfico e intentos de conexión que se han producido (lo que se conoce como un Log). Estudiando los Log es posible determinar los orígenes de posibles ataques, descubrir patrones de comunicación que identifican ciertos programas malignos (lo que se conoce como Malware), etc... Sólo los usuarios avanzados podrán sacar partido a estos registros, pero es una característica que se le puede exigir perfectamente a estas aplicaciones.

Ventajas
Podemos resumir las ventajas de instalar un Firewall en los siguientes puntos, que son los más importantes:

• Proteger el ordenador de los ataques que se produzcan desde máquinas situadas en Internet.
• Asegurar que nuestro ordenador no se utiliza para atacar a otros.
• Prevenir el uso de troyanos que puedan existir en el sistema debido a que alguien nos los ha introducido a través de correo electrónico o en algún CD o disquete.
• Detectar patrones de ataques e identificar de dónde provienen.
• Evitar que nuestro ordenador pueda ser un punto de entrada a una red privada virtual en el caso de utilizarlo para teletrabajo o acceso remoto a la red de una empresa.
• Al probar nuevas aplicaciones podremos averiguar cuáles son exactamente los puertos de comunicaciones que necesitan usar.

De hecho se están convirtiendo en algo tan indispensable, dada la proliferación de conexiones permanentes a Internet, que se rumorea que el próximo sistema operativo de Microsoft, conocido como Whistler, traerá incorporado directamente un Firewall. Se trata de una evolución lógica.

Si alguien cuela un troyano en nuestro ordenador y pasa inadvertido, cualquiera que sepa que está ahí puede hacer uso de él, aunque no sea el que lo introdujo. Por esto es muy habitual encontrar en los registros los Firewall multitud de pruebas de conexión a determinados puertos, que son los típicos que utilizan dichos troyanos. Se trata de personas o programas automáticos que rastrean la red en busca de ordenadores infectados a los que poder entrar sin ni siquiera trabajar para conseguirlo.

Conviene conocer los puertos típicos que usan los troyanos más conocidos para así, estudiando los registros del Firewall, poder averiguar si estamos infectados por uno de esos indeseables programas o si alguien lo ha estado intentando averiguar desde fuera. Téngase en cuenta que estos puertos son los más típicos, pero que en la mayor parte de los casos se pueden cambiar, así que le valdrán principalmente para detectar rastreos desde el exterior: