Los acuerdos de instalación de spyware
Spyware y adware forman una curiosa familia de códigos maliciosos. Su objetivo no es destruir información ni facilitar la entrada de hackers al sistema, ni realizar acciones atribuibles a virus, gusanos y troyanos.
Básicamente su misión es quedar instalados en el sistema para, o bien robar datos del mismo (como hábitos de navegación, contraseñas, etc.) en el caso del spyware o bien mostrar publicidad no deseada en el caso del adware. Pero para que estos códigos puedan entrar en el ordenador hay que engañar de alguna manera al usuario, ya que generalmente a nadie le gusta ni ser espiado ni que nos muestren anuncios a la fuerza.
La manera típica de instalar spyware y adware es aprovechando alguna vulnerabilidad. Y no se fíe si piensa que su ordenador está a salvo por tener las últimas actualizaciones disponibles, ni por tener el mejor firewall ni por tener su antivirus actualizado hace unos minutos. En cualquier ordenador existe un elemento mucho más vulnerable que cualquier DLL o ActiveX que pueda imaginarse: usted mismo. Sí, ese mismo que está leyendo estas líneas.
Los creadores de este tipo de malware saben que cada vez es más difícil convencer a los usuarios para que pulsen OK ante la instalación de un control ActiveX, o que sigan los enlaces de banners sospechosos. Lo más sencillo es instalarlo delante de sus narices, y además con el consentimiento del usuario. Parece complicado, pero no lo es tanto.
Podemos poner como ejemplo el caso de unos sitios web que ofrecen unos vídeos determinados. Pueden ser divertidos, espectaculares… o generalmente, pornográficos. Para que el usuario pueda ver el vídeo, se le pide que instale un sistema para el visionado. No es demasiado extraño, muchos sistemas de pago dejan instalados ActiveX como control de que el usuario ha pagado para poder entrar en un determinado sitio. El problema viene cuando junto con el mencionado sistema para ver los vídeos, se instala spyware o adware.
“¡Vaya timo!”, podrán pensar. Pues no, en absoluto. Cuando se va a llevar a cabo la instalación, en una de las pantallas aparece el llamado “EULA”, el “End user license agreement” o “Contrato de licencia para usuarios finales”. En él se especifican las cláusulas que el usuario que instala el programa acepta cumplir para usar ese programa. Selecciono unas líneas de un acuerdo de licencia:
“Usted también autoriza a [nombre de la empresa] a recoger y almacenar información sobre sus hábitos en Internet, incluyendo pero no limitado información sobre cada página visitada, con la dirección completa y el contenido de la página”.
¡Pocas veces he visto una definición de spyware tan completa! Pero además, la definición de adware que incluye el contrato de uso es muy buena:
“Usted da permiso a [nombre de la empresa] para instalar una aplicación de publicidad licenciada de terceros. El propósito de esta aplicación de publicidad es mostrar anuncios”
Queda claro, ¿verdad? Y… ¿qué publicidad me van a mostrar? Pues no es sobre bebidas refrescantes, no. Tal y como dicen ellos, “usted puede ser expuesto a contenidos ofensivos, indecentes o cuestionables”.
Evidentemente, ese software que trata de instalarse en nuestro equipo no es precisamente beneficioso. Es como si un ladrón llamara a nuestra puerta, y nos dijera que viene a llevarse las joyas de la familia y le dejamos. ¿Qué podemos hacer? Nosotros le hemos dado permiso, así que la culpa es nuestra.
Antes de dejarnos caer en las manos de los estafadores, conviene que una opinión experta (la de un buen sistema de seguridad) nos indique si lo que vamos a instalar es realmente seguro o es un lobo con piel de cordero. La integridad de nuestro sistema nos lo agradecerá.
Fernando de la Cuadra
Editor Técnico Internacional
Panda Software (http://www.pandasoftware.com)
Básicamente su misión es quedar instalados en el sistema para, o bien robar datos del mismo (como hábitos de navegación, contraseñas, etc.) en el caso del spyware o bien mostrar publicidad no deseada en el caso del adware. Pero para que estos códigos puedan entrar en el ordenador hay que engañar de alguna manera al usuario, ya que generalmente a nadie le gusta ni ser espiado ni que nos muestren anuncios a la fuerza.
La manera típica de instalar spyware y adware es aprovechando alguna vulnerabilidad. Y no se fíe si piensa que su ordenador está a salvo por tener las últimas actualizaciones disponibles, ni por tener el mejor firewall ni por tener su antivirus actualizado hace unos minutos. En cualquier ordenador existe un elemento mucho más vulnerable que cualquier DLL o ActiveX que pueda imaginarse: usted mismo. Sí, ese mismo que está leyendo estas líneas.
Los creadores de este tipo de malware saben que cada vez es más difícil convencer a los usuarios para que pulsen OK ante la instalación de un control ActiveX, o que sigan los enlaces de banners sospechosos. Lo más sencillo es instalarlo delante de sus narices, y además con el consentimiento del usuario. Parece complicado, pero no lo es tanto.
Podemos poner como ejemplo el caso de unos sitios web que ofrecen unos vídeos determinados. Pueden ser divertidos, espectaculares… o generalmente, pornográficos. Para que el usuario pueda ver el vídeo, se le pide que instale un sistema para el visionado. No es demasiado extraño, muchos sistemas de pago dejan instalados ActiveX como control de que el usuario ha pagado para poder entrar en un determinado sitio. El problema viene cuando junto con el mencionado sistema para ver los vídeos, se instala spyware o adware.
“¡Vaya timo!”, podrán pensar. Pues no, en absoluto. Cuando se va a llevar a cabo la instalación, en una de las pantallas aparece el llamado “EULA”, el “End user license agreement” o “Contrato de licencia para usuarios finales”. En él se especifican las cláusulas que el usuario que instala el programa acepta cumplir para usar ese programa. Selecciono unas líneas de un acuerdo de licencia:
“Usted también autoriza a [nombre de la empresa] a recoger y almacenar información sobre sus hábitos en Internet, incluyendo pero no limitado información sobre cada página visitada, con la dirección completa y el contenido de la página”.
¡Pocas veces he visto una definición de spyware tan completa! Pero además, la definición de adware que incluye el contrato de uso es muy buena:
“Usted da permiso a [nombre de la empresa] para instalar una aplicación de publicidad licenciada de terceros. El propósito de esta aplicación de publicidad es mostrar anuncios”
Queda claro, ¿verdad? Y… ¿qué publicidad me van a mostrar? Pues no es sobre bebidas refrescantes, no. Tal y como dicen ellos, “usted puede ser expuesto a contenidos ofensivos, indecentes o cuestionables”.
Evidentemente, ese software que trata de instalarse en nuestro equipo no es precisamente beneficioso. Es como si un ladrón llamara a nuestra puerta, y nos dijera que viene a llevarse las joyas de la familia y le dejamos. ¿Qué podemos hacer? Nosotros le hemos dado permiso, así que la culpa es nuestra.
Antes de dejarnos caer en las manos de los estafadores, conviene que una opinión experta (la de un buen sistema de seguridad) nos indique si lo que vamos a instalar es realmente seguro o es un lobo con piel de cordero. La integridad de nuestro sistema nos lo agradecerá.
Fernando de la Cuadra
Editor Técnico Internacional
Panda Software (http://www.pandasoftware.com)
