Ha llegado un nuevo virus al mundo ciber con el objetivo de robar tu información clave. Aquí revisamos de qué se trata y cómo evitarlo.

Justo cuando la red venía recuperándose del gusano informático conficker, llega una nueva amenaza en forma de Gumblar. Detectado por primera vez en marzo, Gumblar se trata de un código malicioso que infecta a los sitios web. A contrario de las predicciones de los expertos en ciberseguridad, este nuevo virus se está creciendo, y ya ha infectado a miles de computadores alrededor del mundo.

¿Cómo funciona Gumblar?

Gumblar afecta principalmente a los usuarios de Internet Explorer y Google, aprovechando de una vulnerabilidad en Adobe Acrobat y Flash Player para inyectar resultados de búsqueda maliciosos cuando un usuario busca Google desde Internet Explorer. Los sitios web infectados contienen un script malicioso. Cuando se ejecuta el script (cada vez que alguien accede a un sitio web infectado) se ejecuta un segundo script malicioso también, redireccionando el usuario a otro sitio infectado – originalmente gumblar.cn, y ahora parece que están usando martuz.cn – desde donde se descarga y se instala el código malicioso en el computador del usuario.

Una vez que el PC se ha infectado, el malware se ejecuta para interceptar el tráfico entre el usuario y los sitios visitados, robando las credenciales FTP del sistema de la víctima y usándolas para infectar más sitios web, así permitiendo una propagación exponencial del virus. Cualquier información que el usuario teclee desde un computador infectado puede ser controlada por Gumblar, que aprovecha la vulnerabilidad del sistema para robar información clave, tales como datos personales y contraseñas.

Una proliferación sin precedente

Hasta la fecha más de 3000 sitios web han sido comprometidos por el virus, y no hay indicaciones de que esta cifra se reduzca luego.

Los virus cibernéticos típicamente llegan a su auge dentro de la primera semana de su concepción, y luego pierden intensidad conforme vaya aumentando concienciación por parte de los usuarios y webmasters empiecen a limpiar las páginas infectadas. Sin embargo en el caso de Gumblar, los mismos administradores de sitios web se están infectando al tratar de abarcar el problema, así causando una proliferación sin precedente del virus.

Los ataques comenzaron en marzo, cuando se insertó un código malicioso en una serie de sitios web, comprometiendo su seguridad. Luego, a principios de mayo, a medida que los webmasters fueron limpiando sus sitios, los ciberdelincuentes reemplazaron el código original con un Javascript profundamente ofuscado que se genera dinámicamente. Esto significa que los scripts se modifican de página en página, y por tanto las herramientas de seguridad tienen dificultades en identificarlos.

¿Cómo evitar que tu PC se infecte con Gumblar?

Para evitar que tu PC se infecte con Gumblar hay que tomar las siguientes precauciones:

  1. Instala un programa de anti-virus decente – uno que proporciona protección en tiempo real. Ojo que si el programa simplemente efectúa un escaneo de tu sistema una vez por día, NO ESTÁS PROTEGIDO, ya que te podrías infectar, descargar código malo y ejecutarlo, todo antes de que el programa realice el escaneo diario.
  1. FTP sobre SSL. Si tienes un servidor Linux, simplemente elige una opción encriptada o “SSL” del programa FTP. En Hostname, todos nuestros planes de hosting compartido y VPS ya tendrán esta opción facilitada. Si tienes un servidor dedicado, y quieres activar FTP sobre SSL, contáctanos vía nuestro center de soporte.
  1. En servidores Linux, ejecuta PHP como CGI o FastCGI. De esta manera en el evento de que tu computador se ve comprometido por Gumblar, el virus no podrá salir del directorio raíz del usuario.

¡Esté atento!

En los casos de este tipo de virus, lo único que nosotros como proveedores de hosting podemos hacer, aparte de asegurar que nuestros sistemas sean lo más seguros posibles, es concienciar acerca del tema para que nuestra comunidad pueda tomar las precauciones apropiadas. Entonces asegúrate de seguir las recomendaciones arriba, estar atento a cualquier actividad sospechosa, y nunca entres a un sitio web si aparece un aviso previo tal como este:

gumblar