Bombas lógicas

Por: Carlos del Porto Blanco

La seguridad siempre es excesiva hasta que no es suficiente. Robbie Sinclair

Amigo lector, quizás haya escuchado o leído en algún momento sobre las bombas lógicas. Pero, ¿qué son?, ¿cómo funcionan? Sobre eso hablaráé en esta entrega. Grosso modo, las bombas lógicas son ataques informáticos sofisticados y sutiles a redes de computadoras, pero que pueden provocar un daño considerable tal y como su nombre indica. Avanti.

Una bomba lógica, time bomb o logic bomb en inglés, es un código malicioso que se inserta secretamente en una red informática, sistema operativo o aplicación de software. El objetivo que persigue es causar daños a un sistema informático en una fecha determinada o ante un evento específico. Esa técnica evita la detección previa y permite que los atacantes tengan acceso no autorizado a un sistema durante un período de tiempo prolongado sin ser descubiertos. La Bomba permanece inactiva hasta que se cumple la condición específica y cuando eso ocurre, se activa, cumpliendo la tarea para la que fue programada. Una vez que se activa ese malware, puede causar una serie de daños, como la eliminación o alteración de ficheros, la interrupción del funcionamiento del sistema, el malware adicional o el borrado de discos duros.

Esa técnica puede usar como vector de penetración un virus o un gusano para establecerse y esparcirse antes de ser notado. Muchos virus atacan sus sistemas huéspedes en fechas específicas, tales como un viernes 13, el April Fools’ Day (1 de abril) o el Día de los Inocentes (28 de diciembre). Dos de las clasificaciones que se utilizan son las siguientes: Activadores positivos: En este caso las Bombas detonan cuando se cumple una condición específica, como abrir un fichero en particular y Activadores negativos: que se activan cuando una condición no se cumple, por ejemplo, si la Bomba no se desactiva a tiempo. Una vez que se alcanza la condición deseada, la bomba lógica inflige daño.

¿Qué hace exactamente una bomba lógica?

Una descripción de lo que hace exactamente una bomba lógica, a continuación:

1. Activación: Una bomba lógica se programa para activarse cuando se cumple una condición específica. Eso podría ser una fecha y hora específicas, como el 1 de enero de un año determinado, o una acción del usuario, como abrir un archivo o ejecutar un programa.
2. Acciones maliciosas: Una vez activada, la bomba lógica puede llevar a cabo una serie de acciones maliciosas. Esas pueden incluir la eliminación o corrupción de datos, la modificación de archivos o configuraciones del sistema, el lanzamiento de otros malware, la interrupción de servicios o la realización de ataques contra otros sistemas.
3. Persistencia: Algunas se diseñan para ser persistentes, lo que significa que pueden permanecer latentes en el sistema durante un período prolongado de tiempo antes de activarse. Eso puede hacer que sea más difícil detectar y eliminar la bomba lógica antes de que se active.
4. Disfraz y ocultamiento: Para evitar la detección, las bombas lógicas pueden estar ocultas dentro de programas legítimos o en el código de sistemas operativos. También pueden utilizar técnicas de ofuscación para ocultar su presencia y evitar ser detectadas por software antivirus y otras herramientas de seguridad.
5. Daño controlado o indiscriminado: Dependiendo de cómo esté diseñada, una Bomba puede causar daños controlados, dirigidos a un objetivo específico, o daños indiscriminados que afecten a cualquier sistema o usuario que cumpla con la condición de activación.

¿Una bomba lógica es un malware?

Las bombas lógicas son pequeños fragmentos de código contenidos en otros programas. Aunque pueden ser maliciosas, no son técnicamente malware: existe una línea muy fina entre estas dos entidades de software. Los tipos de malware más comunes son los virus y los gusanos, algunos pueden contener bombas lógicas como parte de su estrategia de ataque. Un virus de bomba lógica sería entonces un virus que tiene una bomba lógica en su código. A diferencia de los virus y gusanos, que pueden infectar un sistema por sí mismos, una bomba lógica suele ser insertada por alguien con conocimiento interno del sistema, por ejemplo, un empleado descontento que la inserta en la red de su empresa.

Tipos de bombas lógicas y sus características

Existen varios tipos de bombas lógicas que se diferencian por su diseño, su función y su forma de activación. Algunos de los tipos más comunes son los siguientes:
• Bomba lógica de tiempo: ese tipo se activa después de un cierto intervalo de tiempo, una hora, un día o una semana. Una vez transcurrido el tiempo, la bomba lógica se activa y realiza su función.
• Bomba lógica basada en eventos: esta se activa en respuesta a un evento específico, como abrir un archivo o acceder a un sitio web. Una vez que se ha detectado el evento, la bomba lógica se activa.
• Bomba lógica basada en condición: en este caso la activación se produce cuando se cumple una condición específica. Por ejemplo, la introducción de una contraseña incorrecta varias veces. Una vez que se cumple la condición, la bomba lógica se activa y realiza su función.
• Bomba lógica basada en bucle: ese tipo se inicializa repetidamente hasta que se cumpla una condición específica. Por ejemplo, una bomba lógica basada en bucle podría enviar correos electrónicos a una dirección determinada cada cinco minutos hasta que se reciba una respuesta.
• Bomba lógica de respuesta: en este caso la activación es en respuesta a una acción específica, como hacer clic en un botón del mouse o presionar una tecla. Una vez que se ha detectado la acción, la bomba lógica se activa y realiza su función.

En todos los casos, las bombas lógicas se utilizan para realizar una acción no deseada o malintencionada, como puede ser la eliminación de archivos, el robo de información o la interrupción del funcionamiento normal de un sistema. Es importante tomar medidas para evitar su activación y minimizar sus efectos en caso de que se activen.

Riesgos de las bombas lógicas

Las bombas lógicas plantean una serie de riesgos significativos tanto para los usuarios individuales como para organizaciones:
• Pérdida de datos: Una bomba lógica puede borrar, cifrar o corromper datos importantes, lo que puede ocasionar pérdidas económicas y de prestigio sustanciales.
• Paralización del sistema: El consumo excesivo de recursos del sistema puede causar la paralización de servidores y redes, lo que interrumpe las operaciones comerciales y afecta la productividad.
• Costos financieros: Los ataques con bombas lógicas pueden costar millones de dólares en reparaciones, recuperación de datos y pérdida de ingresos debido a la interrupción del negocio.
• Daño a la reputación: La actividad maliciosa que origina una bomba lógica puede dañar la reputación de una organización y erosionar la confianza de sus clientes.

¿Cómo detectar las bombas lógicas?

La detección oportuna de las bombas lógicas es esencial para minimizar el daño. Algunas estrategias para identificar estas amenazas son las siguientes:
1. Programas antivirus y antimalware: Mantener los programas antivirus actualizados es crucial. Esas herramientas pueden detectar patrones de comportamiento sospechosos y archivos infectados por bombas lógicas.
2. Monitoreo de la actividad del sistema: Los administradores de sistemas deben estar atentos a cualquier actividad inusual o consumo anormal de recursos, lo que podría ser un indicio de una bomba lógica en acción.
3. Análisis de archivos adjuntos: Antes de abrir archivos adjuntos de correo electrónico, verifique la fuente y escanee los archivos en busca de amenazas conocidas.

Prevención de bombas lógicas

La prevención es la clave para mitigar los riesgos asociados con las bombas lógicas. Aquí les menciono algunas buenas prácticas que pueden ayudar a la protección:
1. Evitar hacer clic en enlaces sospechosos: No abrir enlaces ni archivos adjuntos de correo electrónico de fuentes desconocidas o sospechosas. La educación y la conciencia son fundamentales.
2. Mantener actualizado el software: Las actualizaciones de software a menudo incluyen parches de seguridad que pueden cerrar las vulnerabilidades utilizadas por las bombas lógicas.
3. Control de acceso: Implementar políticas de control de acceso para restringir quién puede ejecutar scripts y programas en sistemas críticos.
4. Escaneo regular de archivos: Realizar escaneos regulares de archivos en busca de amenazas, especialmente en áreas donde se almacenan datos sensibles.
5. Entrenamiento y concientización: Capacitar a los trabajadores y usuarios para reconocer posibles amenazas y actuar de manera segura.

Algunos casos conocidos de bombas lógicas

Algunos ejemplos de bombas lógicas son los siguientes:
• Un ejemplo famoso de una bomba lógica es el malware Chernobyl, que se activaba el 26 de abril de cada año, coincidiendo con el aniversario del desastre nuclear de Chernobyl. Ese programa maligno causaba daños en el sistema operativo de la computadora, corrompiendo archivos y desactivando el sistema.
• Uno de los ataques con bombas lógicas más famosos y exitosos ocurrió en 1999, cuando un ex-empleado de la empresa informática Sabre Engineering plantó una bomba lógica en el sistema de nóminas de la empresa. La bomba lógica se programó para activarse en un día específico y eliminar los datos de la nómina. Como resultado, la empresa tuvo que pagar a los empleados a mano durante varias semanas y enfrentó una gran pérdida financiera.
• El 2 de octubre de 2003 Yung-Hsun Lin, conocido como Andy Lin, cambió un código en un servidor en Médico Health Solutions Inc., Fair Lawn, New Jersey, donde estaba empleado como administrador de sistema informáticos Unix. El sujeto creó un conjunto de bombas lógicas que debían activarse el día de su cumpleaños en 2004. Falló debido a un error de programación, por lo que Lin corrigió el error y la reajustó para activarse en su siguiente cumpleaños, pero fue descubierta e inhabilitada por un administrador de los sistemas de computación de Medco algunos meses antes de la fecha del disparador. Lin se declaró culpable y fue sentenciado a 30 meses de cárcel en una prisión federal además del pago de 81 200 dólares en restitución.
• En junio de 2006 se juzgó a Rogelio Duronio, un administrador de sistemas disgustado de UBS. Se le imputaron cargos por usar una bomba lógica para dañar la red de computadores de la compañía sumándole el fraude de títulos de valores por su fallido plan para afectar el estocaje de la compañía. Duronio fue posteriormente condenado y sentenciado a ocho años y un mes en prisión, así como una restitución 3.1 millones de dólares a UBS.
• El 29 de octubre de 2008 fue descubierta una bomba lógica en el gigante hipotecario estadounidense Fannie Mae. La bomba fue presuntamente plantada por Rajendrasinh Makwana, un ciudadano indio y contratista de TI que trabajó en la fábrica de Fannie Mae en Urbana, Maryland. La bomba fue ajustada para activarse el 31 de enero de 2009 y habría podido borrar todos los 4000 servidores de Fannie Mae. Makwana había terminado alrededor de la 1:00 p.m. el 24 de octubre de 2008 y logró plantar la bomba antes de que su acceso de red fuera revocado. Makwana fue procesado en una corte de Maryland el 27 de enero de 2009 por acceso desautorizado a la computadora.
• Un caso muy promocionado fue el ataque con bomba lógica de Stuxnet contra las centrifugas del sistema de enriquecimiento de uranio de Irán en 2010. Stuxnet. Diseñado para y creado por una coalición entre Estados Unidos e Israel. El ataque se considera uno de los más sofisticados y exitosos en la historia de la ciberseguridad.
• En 2019 un programador fue condenado por programar bombas lógicas en el software de la compañía Siemens. Lo hizo para asegurarse de que lo llamaran regularmente para arreglar el software que él había desarrollado.

Las bombas lógicas son una amenaza seria y encubierta en el mundo de la informática. Aunque pueden permanecer ocultas y latentes por un tiempo prolongado, el daño que pueden causar es considerable. La detección y prevención tempranas son clave para mitigar los riesgos asociados con estos programas malignos. Con una gestión de sistemas sólida, software antivirus robusto y educación continua en seguridad informática, es posible proteger los activos críticos de la entidad y garantizar un ambiente operativo seguro y confiable.

Como se dará cuenta amigo lector, el peligro siempre está al acecho, pero en este caso agazapado. Usted tiene la posibilidad de no engrosar las estadísticas, tómelo en cuenta.

Referencias.

• Bomba lógica. https://es.wikipedia.org/wiki/Bomba_l%C3%B3gica
• Prevención de Logic Bombs en informática. https://blog.tecnetone.com/prevenci%C3%B3n-de-logic-bombs-en-inform%C3%A1tica
• ¿Qué hace una bomba lógica? https://masterenciberseguridadonline.es/internet/que-hace-una-bomba-logica/

Etiquetas: bombas - Lógicas

L	M	X	J	V	S	D
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

Bombas lógicas

noticias relacionadas

Deja una respuesta