ESET Glossary El manual del propietario
- Categoría
- Software de seguridad antivirus
- Tipo
- El manual del propietario
Copyright ©2023 de ESET, spol. s r.o.
ESET Glossary está desarrollado por ESET, spol. s r.o.
Para obtener más información, visite https://www.eset.com.
Todos los derechos reservados. Ninguna parte de esta documentación podrá reproducirse, almacenarse en un
sistema de recuperación ni transmitirse en forma o modo alguno, ya sea por medios electrónicos, mecánicos,
fotocopia, grabación, escaneo o cualquier otro medio sin la autorización por escrito del autor.
ESET, spol. s r.o. se reserva el derecho de modificar cualquier parte del software de aplicación descrito sin previo
aviso.
Soporte técnico: https://support.eset.com
REV. 19/04/2023
1 Introducción al glosario de ESET 1 .......................................................................................................
1.1 Adware 1 ......................................................................................................................................
1.2 Botnet 1 .......................................................................................................................................
1.3 Falso positivo (FP) 2 ......................................................................................................................
1.4 Empaquetador 2 ............................................................................................................................
1.5 Aplicaciones potencialmente peligrosas 2 ........................................................................................
1.6 Aplicaciones potencialmente indeseables 2 ......................................................................................
1.7 Ransomware 7 ..............................................................................................................................
1.8 Rootkit 7 ......................................................................................................................................
1.9 Programación orientada al retorno 8 ...............................................................................................
1.10 Spyware 8 ..................................................................................................................................
1.11 Troyano 8 ...................................................................................................................................
1.12 Virus 9 .......................................................................................................................................
1.13 Gusano 9 ....................................................................................................................................
1.14 Relleno de credenciales 10 ...........................................................................................................
1.15 Envenenamiento DNS 10 ..............................................................................................................
1.16 Ataque por denegación de servicio (DoS) 10 ..................................................................................
1.17 Ataque ICMP 10 ..........................................................................................................................
1.18 Análisis de puertos 11 .................................................................................................................
1.19 Transmisión SMB 11 ....................................................................................................................
1.20 Desincronización TCP 11 ..............................................................................................................
1.21 Ataques de gusanos 12 ................................................................................................................
1.22 Envenenamiento de caché ARP 12 .................................................................................................
2 Amenazas de correo electrónico 12 .....................................................................................................
2.1 Publicidad 13 ................................................................................................................................
2.2 Información falsa 13 ......................................................................................................................
2.3 Phishing 14 ..................................................................................................................................
2.4 Reconocimiento de correo no deseado no solicitado 14 .....................................................................
2.4 Reglas 14 .................................................................................................................................
2.4 Lista blanca 15 ...........................................................................................................................
2.4 Lista negra 15 ............................................................................................................................
2.4 Excepción 16 .............................................................................................................................
2.4 Control del servidor 16 ...................................................................................................................
2.5 Análisis avanzado de memoria 16 ...................................................................................................
2.6 Protección de pagos y banca online 16 ............................................................................................
2.7 Protección contra botnets 17 .........................................................................................................
2.8 Detecciones de ADN 17 ..................................................................................................................
2.9 ESET LiveGrid® 18 ........................................................................................................................
2.10 Bloqueador de exploits 18 ............................................................................................................
2.11 Bloqueador de exploits de Java 19 .................................................................................................
2.12 ESET LiveSense 19 ......................................................................................................................
2.13 Aprendizaje automático 20 ...........................................................................................................
2.14 Protección contra los ataques de red 20 ........................................................................................
2.15 Protección contra ransomware 20 .................................................................................................
2.16 Protección contra ataques basados en scripts 21 ............................................................................
2.17 Navegador seguro 21 ...................................................................................................................
2.18 Análisis UEFI 22 ..........................................................................................................................
2.19 Archivo canary 22 .......................................................................................................................
2.20 Interbloqueo 22 ..........................................................................................................................
1
Introducción al glosario de ESET
El glosario de ESET ofrece una completa descripción de las amenazas actuales y las tecnologías de ESET que
protegen frente a dichas amenazas.
Los temas se dividen en los siguientes capítulos, que describen:
• Detecciones: como por ejemplo, los virus de ordenador, los gusanos, los troyanos, las aplicaciones
potencialmente indeseables, etc.
• Ataques remotos: amenazas que se producen en redes locales o en Internet
• Amenazas de correo electrónico: como, por ejemplo, la información falsa, el phishing o los fraudes
• Tecnologías de ESET: características de los productos disponibles en las soluciones de seguridad de ESET
Adware
Adware es la abreviatura del término inglés utilizado para el software relacionado con publicidad. Los programas
que muestran material publicitario se incluyen en esta categoría. Por lo general, las aplicaciones de adware abren
automáticamente una ventana emergente nueva con anuncios en el navegador de Internet o cambian la página
de inicio del mismo. La aplicación de adware suele instalarse con programas gratuitos, lo que permite a los
creadores de esos programas gratuitos cubrir los costes de desarrollo de sus aplicaciones (que suelen ser útiles).
La aplicación de adware no es peligrosa en sí, pero molesta a los usuarios con publicidad. El peligro reside en el
hecho de que la aplicación de adware también puede realizar funciones de seguimiento (al igual que las
aplicaciones de spyware).
Si decide utilizar un producto gratuito, preste especial atención al programa de instalación. La mayoría de los
instaladores le informarán sobre la instalación de un programa de adware adicional. Normalmente, podrá
cancelarlo e instalar el programa sin esta aplicación de adware.
Sin embargo, algunos programas no se instalarán sin la aplicación de adware, o su funcionalidad será limitada.
Esto significa que la aplicación de adware puede acceder al sistema de manera "legal" a menudo, pues los
usuarios así lo han aceptado. En estos casos, es mejor prevenir que curar. Si se detecta un archivo de adware en el
ordenador, es recomendable eliminarlo, pues existen muchas probabilidades de que contenga código malicioso.
Botnet
Un bot (o robot web) es un programa de código malicioso automatizado que analiza bloques de direcciones de
red e infecta a los ordenadores vulnerables. Esto permite a los piratas informáticos tomar el control de muchos
ordenadores a la vez y convertirlos en bots (también llamados zombis). Por lo general, los piratas informáticos
utilizan bots para infectar a un gran número de ordenadores, que conforman una red o una botnet. Una vez que
la botnet se encuentre en su ordenador, se puede utilizar en ataques por denegación de servicio distribuidos
(DDoS), en servidores proxy y para realizar tareas automatizadas a través de Internet sin que usted se dé cuenta
(por ejemplo, para enviar correo no deseado o virus o para robar información personal y privada, como las
credenciales bancarias o números de tarjetas de crédito).
2
Falso positivo (FP)
Hay que ser realista: no existe el 100 % de garantía de detección ni el 0 % de probabilidad de evitar la
categorización incorrecta de objetos seguros como detecciones.
Un falso positivo es un archivo o una aplicación seguros que se clasifican de forma incorrecta como malware o
aplicación potencialmente no deseada.
Empaquetador
Un empaquetador es un archivo ejecutable autoextraíble en tiempo de ejecución que implementa varios tipos de
código malicioso en un solo paquete.
Los más comunes son UPX, PE_Compact, PKLite y ASPack. El mismo código malicioso se puede detectar de forma
diferente cuando se comprime con un empaquetador diferente. Los empaquetadores también tienen la
capacidad de hacer que sus "firmas" muten con el tiempo, haciendo que el código malicioso sea más difícil de
detectar y eliminar.
Aplicaciones potencialmente peligrosas
Existen muchos programas legítimos que sirven para simplificar la administración de ordenadores en red. Sin
embargo, si caen en las manos equivocadas, podrían utilizarse con fines maliciosos. ESET proporciona una opción
para detectar estas aplicaciones.
Aplicaciones potencialmente peligrosas es la clasificación utilizada para el software comercial legítimo. Esta
clasificación incluye programas como herramientas de acceso remoto, aplicaciones para detectar contraseñas y
registradores de pulsaciones (programas que graban todas las teclas pulsadas por un usuario).
Si detecta la presencia de una aplicación potencialmente peligrosa que esté en ejecución en su ordenador (y no la
ha instalado usted), consulte con el administrador de la red o elimine la aplicación.
Aplicaciones potencialmente indeseables
El grayware (o aplicaciones potencialmente indeseables [PUA]) es una amplia categoría de software no
inequívocamente malintencionado, al contrario de lo que sucede con otros tipos de malware, como virus o
troyanos. Sin embargo, puede instalar software adicional no deseado, cambiar el comportamiento del dispositivo
digital o realizar actividades no aprobadas o esperadas por el usuario.
Las categorías que se pueden considerar grayware son las siguientes: software de visualización de publicidad,
wrappers de descarga, barras de herramientas de distintos navegadores, software con comportamiento
engañoso, software agrupado, software de seguimiento, software de proxy (aplicaciones para compartir
Internet), software de minado de criptomonedas, herramientas de limpieza de registros (solo sistemas operativos
Windows) u otro tipo de software borderline, o software que utilice prácticas empresariales ilícitas o, como
mínimo, carentes de ética (a pesar de parecer legítimo) y que pueda ser considerado indeseable por un usuario
final que sepa lo que haría ese software si permitiera su instalación.
Una aplicación potencialmente peligrosa es un software legítimo (posiblemente comercial), pero que un atacante
podría utilizar de forma fraudulenta. Los usuarios del software de ESET pueden activar o desactivar la detección
3
de estos tipos de aplicaciones.
Existen determinados casos en los que un usuario podría creer que las ventajas de una aplicación potencialmente
indeseada compensan los riesgos asociados. Este es el motivo que hace que ESET asigne a dichas aplicaciones una
categoría de riesgo más baja, en comparación con otros tipos de software malicioso, como los troyanos o los
gusanos.
• Advertencia: Se ha encontrado una aplicación potencialmente indeseable.
• Configuración
• Contenedores de software
• Limpiadores del registro
• Contenido potencialmente no deseado
Instrucciones con ilustraciones
Para analizar y eliminar aplicaciones potencialmente indeseables (PUA) de los productos domésticos de
ESET para Windows, consulte nuestro artículo de la base de conocimiento de ESET.
Advertencia: Se ha encontrado una aplicación potencialmente indeseable
Cuando se detecte una aplicación potencialmente indeseable podrá elegir qué medida desea tomar:
1.Desinfectar/Desconectar: esta opción finaliza la acción e impide que la aplicación potencialmente
indeseable acceda a su sistema.
Verá la opción Desconectar para notificaciones de PUA durante la descarga desde un sitio web y la opción
Limpiar para notificaciones para un archivo en disco.
2.Ignorar: esta opción permite que una PUA entre en su sistema.
3.Excluir de la detección: Si desea permitir que el archivo que ya está en el ordenador se ejecute en el
futuro sin que se interrumpa, haga clic en Opciones avanzadas, active la casilla de verificación situada junto
a Excluir de la detección y haga clic en Ignorar.
4.Excluir firma de la detección: si desea permitir que todos los archivos identificados por un nombre de
detección específico (firma) se ejecuten en su ordenador en el futuro sin interrupciones (de archivos
existentes o descarga de la web), haga clic en Opciones avanzadas, active la casilla de verificación situada
junto a Excluir firma de la detección y haga clic en Ignorar. Si justo después se muestran ventanas
adicionales con un nombre de detección idéntico, haga clic en Ignorar para cerrarlas (las ventanas
adicionales están relacionadas con una detección producida antes de excluir la firma de la detección).
4
Configuración
Durante la instalación del producto de ESET puede decidir si desea activar la detección de aplicaciones
potencialmente indeseables, como se muestra a continuación:
Advertencia
Las aplicaciones potencialmente indeseables podrían instalar software publicitario, barras de herramientas
o contener otras características de programa no deseadas e inseguras.
Estos ajustes pueden modificarse en cualquier momento en la configuración del programa. Si desea activar o
5
desactivar la detección de aplicaciones potencialmente indeseadas, inseguras o sospechosas, siga estas
instrucciones:
1. Abra su producto ESET.
2. Pulse la tecla F5 para acceder a Configuración avanzada.
3. Haga clic en Motor de detección (en versiones anteriores también se conocía como Antivirus u Ordenador)
y active o desactive las opciones Activar la detección de aplicaciones potencialmente indeseables, Activar la
detección de aplicaciones potencialmente peligrosas y Activar la detección de aplicaciones sospechosas
según sus propias preferencias. Haga clic en Aceptar para confirmar.
Instrucciones con ilustraciones
Para consultar instrucciones más detalladas sobre cómo configurar los productos para detectar o ignorar
las aplicaciones potencialmente indeseables, lea estos artículos de la Base de conocimiento de ESET:
• ESET NOD32 Antivirus / ESET Internet Security / ESET Smart Security Premium
• ESET Cyber Security para macOS/ESET Cyber Security Pro para macOS
• ESET Endpoint Security / ESET Endpoint Antivirus for Windows
• ESET Mobile Security para Android
Contenedores de software
El software encubierto es un tipo de modificación de aplicación especial que utilizan algunos sitios web de
alojamiento de archivos. Se trata de una herramienta de terceros que instala el programa que quería descargar
pero que incorpora software adicional, como barras de herramientas o software publicitario (o adware, en inglés).
El software adicional podría, además, cambiar la página de inicio de su navegador web y la configuración de
6
búsqueda. Igualmente, los sitios web de alojamiento de archivos no suelen informar al proveedor del software ni
al usuario que realiza la descarga de que se han efectuado dichas modificaciones, y suelen ocultar las opciones
para rechazar la modificación. Por estos motivos, ESET clasifica el software encubierto como un tipo de aplicación
potencialmente indeseable, con el fin de permitir al usuario aceptar o rechazar la descarga.
Limpiadores del registro
Las herramientas de limpieza de registros son programas que nos sugieren que la base de datos del registro de
Windows necesita un mantenimiento o una limpieza regulares. Al utilizar este tipo de herramientas, podrían
introducirse algunos riesgos en el sistema informático. Además, algunas herramientas de limpieza de registros
presumen de una forma poco fiable, demostrable y tolerable de sus beneficios, y generan informes engañosos
sobre el sistema informático que se basan en los resultados de un "análisis gratuito". Estas afirmaciones y estos
informes engañosos pretenden convencerle para adquirir una versión o una subscripción completas,
normalmente sin permitirle evaluar el funcionamiento de la herramienta antes de realizar el pago. Por estos
motivos, ESET clasifica este tipo de programas como aplicaciones potencialmente indeseables y le ofrece la
opción de permitirlos o bloquearlos.
Contenido potencialmente no deseado
Si tiene activada la detección de aplicaciones potencialmente indeseables en su producto de ESET, se bloquearán
los sitios web que se consideran de contenido indeseable por promocionar este tipo de aplicaciones o por
engañar a los usuarios para realizar acciones que puedan afectar de forma negativa a sus sistemas o a sus
experiencias de navegación. Si recibe la notificación de que un sitio web que desea visitar se ha clasificado como
contenido potencialmente indeseable, puede hacer clic en Volver para salir de la página web bloqueada o puede
hacer clic en Ignorar y continuar para permitir que el sitio se cargue.
Si desea obtener más información sobre este tema, consulte este artículo de la base de conocimientos de ESET.
7
Ransomware
El ransomware (llamado también filecoder) es un tipo de malware que bloquea su dispositivo o cifra el contenido
de su dispositivo y le exige dinero a cambio de restaurar el acceso al contenido. Este tipo de malware también
puede tener un temporizador integrado con un plazo de pago preprogramado que debe cumplirse. Si no se
cumple el plazo, el precio aumenta o el dispositivo se vuelve inaccesible.
Cuando el dispositivo se infecta, el filecoder intenta cifrar las unidades compartidas del dispositivo. Este proceso
puede hacer que parezca que el malware se extiende por la red, pero realmente no es así. Esto pasa cuando se
cifra la unidad compartida de un servidor de archivos, pero el servidor no contiene malware (a menos que sea un
servidor de terminales).
Los autores de ransomware generan un par de claves, pública y privada, e insertan la pública en el malware. El
ransomware puede formar parte de un troyano o parecer un archivo o una imagen que puede recibir en un
mensaje de correo electrónico o a través de redes sociales o aplicaciones de mensajería instantánea. Tras
infiltrarse en su ordenador, el malware genera una clave simétrica aleatoria y cifra los datos del dispositivo. Usa la
clave pública del malware para cifrar la clave simétrica. A continuación, el ransomware exige un pago por
descifrar los datos. El mensaje que se muestra en el dispositivo para exigir el pago puede ser una falsa advertencia
de que su sistema se ha usado para actividades ilegales o contiene contenido ilegal. Se exige a la víctima del
ransomware que pague el rescate a través de diferentes métodos de pago. Las opciones suelen ser las difíciles de
seguir, como monedas digitales (criptomonedas), mensajes SMS de tarifas con recargo o bonos prepago. Tras
recibir el pago, el autor del ransomware debe desbloquear el dispositivo o usar su clave privada para descifrar la
clave simétrica y descifrar los datos de la víctima; no obstante, no existe garantía alguna de que esta operación se
lleve a cabo.
Más información acerca de la protección contra ransomware
Los productos de ESET utilizan tecnologías de varias capas que protegen los dispositivos contra el
ransomware. Consulte nuestro artículo de la base de conocimiento de ESET para conocer las prácticas
recomendadas para proteger su sistema frente al ransomware.
Rootkit
Los rootkits son programas malintencionados que conceden a los atacantes de Internet acceso ilimitado a un
sistema, al tiempo que ocultan su presencia. Una vez que han accedido al sistema (normalmente explotando
alguna vulnerabilidad del mismo), usan funciones del sistema operativo para evitar su detección por parte del
antivirus: ocultan procesos, archivos y datos de registro de Windows. Por este motivo, es casi imposible
detectarlos con las técnicas de detección normales.
Hay dos niveles de detección disponibles para evitar los rootkits:
1.Cuando intentan acceder a un sistema: Aún no están presentes y, por tanto, están inactivos. La mayoría
de los sistemas antivirus pueden eliminar rootkits en este nivel (suponiendo que realmente detectan dichos
archivos como infectados).
2.Cuando se ocultan de los análisis habituales. Los usuarios de ESET tienen la ventaja de la tecnología
AntiStealth, que también detecta y elimina rootkits activos.
8
Programación orientada al retorno
La Programación orientada al retorno (ROP) es un ataque típico de reutilización de código mediante el que un
atacante dirige el flujo de control a través de flujo existente con un resultado malicioso. Los ataques ROP son una
versión avanzada de un ataque de aplastamiento de pila. El desbordamiento del búfer de la pila se produce
cuando un programa escribe en una dirección de memoria de la pila de llamadas del programa fuera de la
estructura de datos prevista, normalmente con un búfer de longitud fija.
Los ataques ROP son una técnica de exploit que permite la ejecución de código en el sistema de destino. Al
obtener el control de la pila de llamadas, el atacante controla el flujo del software de confianza existente que se
ejecuta en el ordenador y lo manipula para realizar una tarea distinta de la prevista.
Spyware
Esta categoría abarca todas las aplicaciones que envían información privada sin el consentimiento o conocimiento
del usuario. El spyware usa funciones de seguimiento para enviar diversos datos estadísticos, como una lista de
sitios web visitados, direcciones de correo electrónico de la lista de contactos del usuario o una lista de palabras
escritas.
Los autores de spyware afirman que el objetivo de estas técnicas es averiguar más sobre las necesidades y los
intereses de los usuarios, así como permitir una publicidad mejor gestionada. El problema es que no existe una
distinción clara entre las aplicaciones útiles y las malintencionadas, de modo que nadie puede estar seguro de que
no se hará un mal uso de la información recuperada. Los datos obtenidos por aplicaciones spyware pueden
contener códigos de seguridad, códigos PIN, números de cuentas bancarias, etc. Con frecuencia, el spyware se
envía junto con versiones gratuitas de programas para generar ingresos u ofrecer un incentivo para comprar el
software. A menudo, se informa a los usuarios sobre la presencia de spyware durante la instalación de un
programa para ofrecerles un incentivo para la adquisición de una versión de pago.
Algunos ejemplos de productos gratuitos conocidos que se envían junto con spyware son las aplicaciones cliente
de redes P2P (peer to peer). Spyfalcon o Spy Sheriff (y muchos más) pertenecen a una subcategoría específica de
spyware: parecen programas antispyware, pero en realidad son aplicaciones de spyware.
Si se detecta un archivo de spyware en su ordenador, es aconsejable que lo elimine, ya que es muy posible que
contenga código malicioso.
Como subcategoría del spyware, los registradores de pulsaciones pueden estar basados en hardware o software.
Los registradores de pulsaciones basados en software solo pueden recopilar la información que se escribe en un
solo sitio web o una sola aplicación. Los registradores de pulsaciones más sofisticados pueden registrar todo lo
que escriba, incluida la información que copie y pegue. Algunos registradores de pulsaciones diseñados para
atacar dispositivos móviles pueden registrar llamadas, información de aplicaciones de mensajería, ubicaciones o
incluso capturas de micrófono y cámara.
Troyano
Históricamente, los troyanos informáticos (caballos de Troya) se han definido como una clase de amenaza que
intenta presentarse como un programa útil, engañando así a los usuarios para que permitan su ejecución.
Dado que los troyanos forman una categoría muy amplia, con frecuencia se divide en varias subcategorías:
9
• Descargador: programas maliciosos con capacidad para descargar otras amenazas de Internet.
• Lanzador: programas maliciosos con capacidad para dejar otros tipos de malware en ordenadores
atacados.
• Puerta trasera: programas maliciosos que se comunican con los atacantes remotos, permitiéndoles
acceder al ordenador y controlarlo.
• Registrador de pulsaciones: programa que registra todas las teclas pulsadas por el usuario y envía la
información a atacantes remotos.
• Marcador: programas maliciosos diseñados para conectarse a través de números de teléfono de tarifas
con recargo en lugar de a través del proveedor de servicios de Internet. Es casi imposible que un usuario
note que se ha creado una conexión. Los marcadores solo pueden causar daño a los usuarios con módems
de marcación, que ya casi no se utilizan.
Si se determina que un archivo es un caballo de Troya en su ordenador, es recomendable que lo elimine, ya que lo
más probable es que contenga código malicioso.
Virus
Un virus informático es un código malicioso que puede agregarse al principio o al final de archivos existentes en
su ordenador. Su nombre se debe a los virus biológicos, ya que usan técnicas similares para pasar de un lugar a
otro. En cuanto al término "virus", suele utilizarse de forma errónea para referirse a cualquier tipo de amenaza.
Este término está desapareciendo gradualmente y se está sustituyendo por el nuevo término "malware"
(software malicioso), que es más preciso.
Los virus informáticos atacan principalmente a los archivos y documentos ejecutables. En resumen, así es cómo
funciona un virus informático: tras la ejecución de un archivo infectado, el código malicioso es invocado y
ejecutado antes de la ejecución de la aplicación original. Un virus puede infectar cualquier archivo para el que el
usuario actual tenga permisos de escritura.
Los virus informáticos pueden tener diversos fines y niveles de gravedad. Algunos son muy peligrosos, debido a su
capacidad para eliminar archivos del disco duro de forma deliberada. Sin embargo, otros virus no causan daños
reales, solo sirven para molestar al usuario y demostrar las capacidades técnicas de sus autores.
Si su ordenador está infectado con un virus y la desinfección no es posible, envíelo al laboratorio de investigación
de ESET para su análisis. En ciertos casos, los archivos infectados se pueden modificar hasta tal punto que la
desinfección no sea posible y sea necesario sustituir los archivos por una copia no infectada.
Gusano
Un gusano informático es un programa que contiene código malicioso que ataca a los ordenadores host y se
extiende a través de una red. La principal diferencia entre un virus y un gusano es que estos últimos tienen la
capacidad de propagarse por sí mismos: no dependen de archivos host (ni de sectores de inicio). Los gusanos se
extienden a las direcciones de correo electrónico de la lista de contactos o aprovechan las vulnerabilidades de
seguridad de las aplicaciones de red.
Los gusanos son mucho más viables que los virus informáticos; dada la gran disponibilidad de Internet, se pueden
extender por todo el mundo en cuestión de horas, o incluso minutos, desde su lanzamiento. Esta capacidad para
reproducirse de forma independiente y rápida los hace más peligrosos que otros tipos de código malicioso.
10
Un gusano activado en un sistema puede causar una serie de problemas: puede eliminar archivos, degradar el
rendimiento del sistema o incluso desactivar algunos programas. Además, su naturaleza le permite servir de
"medio de transporte" para otros tipos de amenazas.
Si el ordenador está infectado con un gusano, es recomendable eliminar los archivos infectados, pues podrían
contener código malicioso.
Relleno de credenciales
El relleno de credenciales es un ciberataque que utiliza datos de bases de datos de credenciales filtradas. Los
atacantes utilizan bots y otros métodos de automatización para iniciar sesión en numerosos sitios web utilizando
los datos filtrados. Los atacantes se aprovechan de los usuarios que reciclan sus credenciales de inicio de sesión
en varios sitios web y servicios. Cuando el ataque tiene éxito, los atacantes pueden obtener acceso total a la
cuenta y a los datos que los usuarios tengan almacenados en esta cuenta. Los atacantes pueden aprovechar este
acceso para robar datos personales con el fin de robar identidades, realizar transacciones fraudulentas, distribuir
spam o llevar a cabo otras acciones malintencionadas.
Envenenamiento DNS
Mediante el envenenamiento DNS (servidor de nombres de dominio), los piratas informáticos pueden engañar al
servidor DNS de cualquier ordenador para que crea que los datos falsos que le proporcionan son legítimos y
auténticos. La información falsa se almacena en caché durante un período de tiempo determinado, de modo que
los piratas informáticos pueden volver a escribir las respuestas DNS de direcciones IP. Como resultado, los
usuarios que intentan acceder a sitios web en Internet descargarán virus o gusanos en sus ordenadores en lugar
de su contenido original.
Ataque por denegación de servicio (DoS)
DoS, o denegación de servicio, es un intento de impedir la disponibilidad de un ordenador o una red para sus
usuarios. La comunicación entre usuarios afectados se bloquea y no se puede continuar de una manera funcional.
Normalmente, los ordenadores expuestos a ataques DoS necesitan reiniciarse para funcionar correctamente.
En la mayoría de casos, los objetivos son servidores web y la intención es que no estén disponibles para los
usuarios durante un período de tiempo determinado.
Ataque ICMP
El ICMP (protocolo de mensajes de control de Internet) es un protocolo de Internet muy conocido y utilizado. Se
usa fundamentalmente en ordenadores en red para enviar distintos mensajes de error.
Los ataques remotos intentan aprovecharse de los puntos débiles del protocolo ICMP, que está diseñado para la
comunicación unidireccional sin autenticación. De esta forma, los ataques remotos pueden activar los
denominados ataques DoS (por denegación de servicio) o los ataques que proporcionan a individuos no
autorizados acceso a paquetes entrantes y salientes.
Entre los ejemplos más habituales de ataques ICMP se encuentran los ataques "flood" mediante Ping, "flood" de
ICMP_ECHO y los ataques Smurf (denegación de servicios). Los ordenadores expuestos al ataque ICMP son
significativamente más lentos (afecta a todas las aplicaciones que usen Internet) y tienen problemas para
11
conectarse a Internet.
Análisis de puertos
El análisis de puertos sirve para determinar los puertos del ordenador que están abiertos en un host de red. El
software de análisis de puertos se ha diseñado para encontrar dichos puertos.
Un puerto de ordenador es un punto virtual que administra los datos entrantes y salientes; esto es crucial desde
el punto de vista de la seguridad. En una red grande, la información recopilada por el análisis de puertos puede
ayudar a identificar vulnerabilidades potenciales. Este uso es legítimo.
Sin embargo, con frecuencia, los delincuentes informáticos usan los análisis de puertos para vulnerar la seguridad.
Su primer paso es enviar paquetes a cada puerto. En función del tipo de respuesta, es posible determinar los
puertos que están en uso. El análisis en sí no causa daños, pero tenga en cuenta que esta actividad puede revelar
vulnerabilidades potenciales y permitir a los atacantes tomar el control de ordenadores remotos.
Se aconseja a los administradores de red que bloqueen todos los puertos no usados y protejan aquellos que están
en uso contra el acceso no autorizado.
Transmisión SMB
Transmisión SMB y Transmisión SMB 2 son programas especiales para llevar a cabo un ataque contra ordenadores
remotos. Los programas aprovechan el protocolo para compartir archivos Bloque de mensajes del servidor, que
tiene capas en NetBIOS. La mayoría de los usuarios que comparten una carpeta o directorio en la red local utilizan
este protocolo de uso compartido de archivos.
Dentro de la comunicación de red local, se intercambian hashes de contraseña.
Transmisión SMB recibe una conexión en los puertos UDP 139 y 445, transmite los paquetes intercambiados por
el cliente y el servidor, y los modifica. Una vez realizada la conexión y la autenticación, el cliente se desconecta.
Transmisión SMB crea una nueva dirección IP virtual. Se puede acceder a la nueva dirección con el comando "use
net \\192.168.1.1". Después, cualquiera de las funciones de red de Windows puede usar la dirección. Transmisión
SMB transmite la comunicación del protocolo SMB, excepto la relacionada con la negociación y la autenticación.
Los atacantes remotos pueden usar la dirección IP, siempre que el ordenador cliente esté conectado.
Transmisión SMB 2 funciona según el mismo principio que Transmisión SMB, con la diferencia de que usa
nombres de NetBIOS en lugar de direcciones IP. Ambos pueden realizar ataques "hombre en medio". Estos
ataques permiten a los atacantes remotos leer, insertar y modificar mensajes intercambiados entre dos puntos
finales de comunicación sin ser detectados. Normalmente, los ordenadores expuestos a dichos ataques dejan de
responder o se reinician inesperadamente.
Para evitar ataques, es recomendable utilizar contraseñas o claves de autenticación.
Desincronización TCP
La desincronización TCP es una técnica que se usa en ataques de secuestro de TCP. Se desencadena mediante un
proceso en el que el número secuencial de paquetes entrantes difiere del número secuencial previsto. Se
rechazan los paquetes con un número secuencial no previsto (o se guardan en el almacén del búfer, si están
presentes en la ventana de comunicación actual).
12
En caso de desincronización, ambos puntos finales de comunicación rechazan los paquetes recibidos; en este
punto, los atacantes remotos pueden infiltrar y proporcionar paquetes con un número secuencial correcto. Los
atacantes incluso pueden manipular o modificar la comunicación.
El objetivo de los ataques de secuestro de TCP es interrumpir las comunicaciones servidor-cliente o de igual a
igual. Muchos ataques se pueden evitar usando autenticación para cada segmento de TCP. También se aconseja
usar las configuraciones recomendadas para sus dispositivos de red.
Ataques de gusanos
Un gusano informático es un programa que contiene código malicioso que ataca a los ordenadores host y se
extiende a través de una red. Los gusanos de la red explotan las vulnerabilidades de seguridad de varias
aplicaciones. Debido a la disponibilidad de Internet, se pueden extender por todo el mundo en cuestión de horas
desde su lanzamiento y.
La mayoría de los ataques de gusanos (Sasser, SqISlammer) se pueden evitar usando la configuración de
seguridad predeterminada del cortafuegos o bloqueando los puertos que no están protegidos o no se usan.
También es esencial actualizar el sistema operativo con los parches de seguridad más recientes.
Envenenamiento de caché ARP
El protocolo de resolución de direcciones (ARP) traduce entre direcciones en la capa de enlace de datos
(direcciones MAC) y la capa de red (direcciones IP). Un ataque de envenenamiento de caché ARP permite a los
atacantes interceptar la comunicación entre dispositivos de red dañando las tablas ARP de la red (asignaciones de
dispositivos de MAC a IP).
El atacante envía un mensaje de respuesta ARP falso a la puerta de enlace de red predeterminada, informando de
que la dirección MAC está asociada con la dirección IP de otro objetivo. Cuando la puerta de enlace
predeterminada recibe este mensaje y difunde los cambios entre todos los demás dispositivos de la red, todo el
tráfico del objetivo dirigido a cualquier otro dispositivo de la red pasa por el equipo del atacante. Esta acción
permite al atacante inspeccionar o modificar el tráfico antes de reenviarlo al destino previsto.
Amenazas de correo electrónico
El correo electrónico es una forma de comunicación que ofrece muchas ventajas.
Lamentablemente, a causa de su alto nivel de anonimato, el correo electrónico e Internet dan cabida a
actividades ilegales como la distribución de correo no deseado. El correo no deseado incluye anuncios no
solicitados, información falsa y la difusión de software malicioso (código malware). Sus inconvenientes y peligros
para el usuario son mayores porque el envío de correo no deseado tiene un coste mínimo, y los autores de este
tipo de correo disponen de muchas herramientas para obtener nuevas direcciones de correo electrónico.
Además, la cantidad y la variedad de correo no deseado dificulta en gran medida su regulación. Cuanto más utilice
su dirección de correo electrónico, mayores serán las posibilidades de que acabe en la base de datos de un motor
de correo no deseado.
A continuación, le ofrecemos algunos consejos para su prevención:
• Si es posible, no publique su dirección de correo electrónico en Internet
13
• Proporcione su dirección de correo electrónico únicamente a personas de confianza.
• Si es posible, no utilice alias muy comunes; cuanto más complicados sean, menor será la probabilidad de
que puedan obtenerlos.
• No conteste a los mensajes de spam que lleguen a su bandeja de entrada.
• Tenga cuidado cuando rellene formularios en Internet, preste especial atención a casillas como "Sí, deseo
recibir información".
• Utilice direcciones de correo electrónico "especializadas”; por ejemplo, una para el trabajo, otra para
comunicarse con sus amigos, etc.
• Cambie su dirección de correo electrónico periódicamente.
• Utilice una solución antispam.
Publicidad
La publicidad en Internet es una de las formas de publicidad que presentan un crecimiento más rápido. Sus
principales ventajas de marketing son los costes mínimos, un contacto muy directo y, lo más importante, el hecho
de que los mensajes se entregan de forma casi inmediata. Muchas empresas utilizan herramientas de marketing
por correo electrónico para comunicarse eficazmente con sus clientes actuales y potenciales.
Este tipo de publicidad es legítimo, ya que es posible que el usuario esté interesado en recibir información
comercial sobre algunos productos. No obstante, son muchas las empresas que envían mensajes publicitarios no
deseados en serie. En estos casos, la publicidad por correo electrónico cruza la línea y se convierte en correo no
deseado.
Actualmente, la enorme cantidad de correo no solicitado constituye un problema y no tiene visos de disminuir.
Los autores de correos electrónicos no solicitados intentan disfrazar el correo no deseado como mensajes
legítimos.
Información falsa
La información falsa se extiende a través de Internet. Normalmente, la información falsa se envía mediante
herramientas de comunicación o correo electrónico como ICQ y Skype. El mensaje en sí suele ser una broma o
una leyenda urbana.
La información falsa sobre virus de ordenador pretende generar miedo, incertidumbre y duda en los
destinatarios, haciéndoles creer que existe un "virus indetectable" que elimina archivos y recupera contraseñas, o
que realiza ciertas acciones que pueden provocar daños en el sistema.
Algunos elementos de información falsa solicitan a los destinatarios que reenvíen los mensajes a sus contactos,
divulgando así dicha información. La información falsa también se transmite a través de teléfonos móviles,
peticiones de ayuda, personas que se ofrecen a enviarle dinero desde países extranjeros, etc. Por lo general, es
imposible averiguar la intención del creador.
Si recibe un mensaje donde se le solicita que lo reenvíe a todas las personas que conozca, es muy probable que se
trate de información falsa. En Internet encontrará muchos sitios web que pueden verificar la legitimidad de un
mensaje de correo electrónico. Antes de reenviarlo, realice una búsqueda en Internet sobre cualquier mensaje
14
que sospeche que contiene información falsa.
Phishing
El término phishing define una actividad delictiva que usa técnicas de ingeniería social (manipulación de los
usuarios para obtener información confidencial). Su objetivo es acceder a datos confidenciales como, por
ejemplo, números de cuentas bancarias, códigos PIN, etc.
Normalmente, el acceso se consigue enviando correos electrónicos con remitentes disfrazados de personas o
empresas serias (instituciones financieras, compañías de seguros, etc.). La apariencia del correo electrónico
puede ser muy genuina, y contener gráficos y texto originales de la fuente por la que desean hacerse pasar. En el
mensaje se le pide que escriba, con varios pretextos (verificación de datos, operaciones financieras), algunos de
sus datos personales: números de cuentas bancarias o nombres de usuario y contraseñas. Dichos datos, si se
envían, pueden ser fácilmente sustraídos o utilizados de forma fraudulenta.
Los bancos, las compañías de seguros y otras empresas legítimas nunca le pedirían sus nombres de usuario y
contraseñas en un correo electrónico no solicitado.
Reconocimiento de correo no deseado no solicitado
Por lo general, existen pocos indicadores que puedan ayudarle a identificar el correo no deseado (spam) en su
buzón de correo. Si un mensaje cumple, como mínimo, una de las siguientes condiciones, es muy probable que se
trate de un mensaje de correo no deseado.
• La dirección del remitente no pertenece a ninguna persona de su lista de contactos.
• El mensaje le ofrece una gran cantidad de dinero, pero tiene que proporcionar una pequeña cantidad
previamente.
• El mensaje le solicita que introduzca, con varios pretextos (verificación de datos, operaciones financieras),
algunos de sus datos personales (números de cuentas bancarias, nombres de usuario y contraseñas, etc.).
• Está escrito en otro idioma.
• Le solicita que adquiera un producto en el que no está interesado. Si decide comprarlo de todos modos,
compruebe que el remitente del mensajes es un proveedor fiable (consulte el fabricante del producto
original).
• Algunas palabras están mal escritas para intentar engañar a su filtro de correo no deseado. Por ejemplo,
"vaigra" en lugar de "viagra".
Reglas
En el contexto de las soluciones antispam y los clientes de correo electrónico, las reglas ayudan a manipular las
funciones de correo electrónico. Constan de dos partes lógicas:
1.Condición (por ejemplo, un mensaje entrante de una dirección concreta o con un asunto concreto).
2.Acción (por ejemplo, la eliminación del mensaje o su transferencia a una carpeta específica).
15
El número y la combinación de reglas varía en función de la solución antispam. Estas reglas sirven como medidas
contra el correo no deseado. Ejemplos típicos:
1. Condición: un correo electrónico entrante contiene algunas palabras que suelen aparecer en los mensajes de
correo no deseado.
2. Acción: eliminar el mensaje.
1. Condición: un correo electrónico entrante contiene un archivo adjunto con una extensión .exe.
2. Acción: eliminar el archivo adjunto y enviar el mensaje al buzón de correo.
1. Condición: recibe un correo electrónico entrante de su jefe.
2. Acción: mover el mensaje a la carpeta "Trabajo".
Para facilitar la administración y filtrar el correo no deseado de forma más eficaz, es recomendable que, en los
programas antispam, use una combinación de reglas.
Lista blanca
Por lo general, una lista blanca es una lista de elementos o personas aceptados o a los que se ha concedido
permiso. El término "lista blanca de correo electrónico" (direcciones permitidas) corresponde a una lista de
contactos de los que el usuario desea recibir mensajes. Estas listas blancas se basan en palabras clave que se
buscan en direcciones de correo electrónico, nombres de dominios o direcciones IP.
Si una lista blanca funciona en "modo de exclusividad", no se recibirán los mensajes procedentes de otras
direcciones, dominios o direcciones IP. Si la lista no es exclusiva, estos mensajes no se eliminarán, sino que se
filtrarán de alguna otra forma.
Las listas blancas se basan en el principio opuesto al de las listas negras. Las listas blancas son relativamente
fáciles de mantener, más que las listas negras. Es recomendable que use tanto una lista blanca como una lista
negra para filtrar el correo no deseado de forma más eficaz.
Lista negra
Por lo general, una lista negra es una lista de personas o elementos prohibidos o no aceptados. En el mundo
virtual, es una técnica que permite aceptar mensajes de todos los usuarios que no se incluyan en dicha lista.
Existen dos tipos de listas negras: las que crean los usuarios con su aplicación antispam y las profesionales,
creadas por instituciones especializadas que las actualizan periódicamente y que se pueden encontrar en
Internet.
Las listas negras son esenciales para bloquear con éxito el correo no deseado; sin embargo, son difíciles de
mantener, ya que todos los días aparecen nuevos elementos que se deben bloquear. Le recomendamos que
utilice una lista blanca y una lista negra para filtrar con mayor eficacia el correo no deseado.
16
Excepción
La lista de excepciones suele contener direcciones de correo electrónico que se pueden falsificar y utilizar para el
envío de spam. Los mensajes de correo electrónico cuyo remitente se encuentre en la lista de excepciones no se
analizarán en busca de correo no deseado. De forma predeterminada, la lista de excepciones contiene las
direcciones de correo electrónico de las cuentas existentes del cliente de correo electrónico.
Control del servidor
El control del servidor es una técnica que sirve para identificar correo electrónico no deseado en masa a partir del
número de mensajes recibidos y las reacciones de los usuarios. Cada mensaje deja una "huella" digital única
basada en el contenido del mensaje. El número de identificación exclusivo no indica nada sobre el contenido del
mensaje de correo electrónico. Dos mensajes idénticos tendrán huellas idénticas, mientras que los mensajes
diferentes tendrán huellas diferentes.
Si se marca un mensaje como no deseado, su huella se envía al servidor. Si el servidor recibe más huellas idénticas
(correspondientes a un determinado mensaje no deseado), la huella se guarda en la base de datos de huellas de
correo no deseado. Al analizar mensajes entrantes, el programa envía las huellas de los mensajes al servidor que,
a su vez, devuelve información sobre las huellas correspondientes a los mensajes ya marcados por los usuarios
como no deseados.
Análisis de memoria avanzado
El Análisis de memoria avanzado trabaja conjuntamente con el Bloqueador de exploits para aumentar la
protección contra malware que utiliza los métodos de ofuscación y cifrado para evitar su detección mediante
productos de protección frente a malware. En aquellos casos en los que la emulación o la heurística normales no
detectan una amenaza, el Análisis de memoria avanzado consigue identificar comportamientos sospechosos y
analiza las amenazas que se presentan en la memoria del sistema. Esta solución es eficaz incluso para malware
muy ofuscado.
A diferencia del Bloqueador de exploits, el Análisis de memoria avanzado es un método posterior a la ejecución,
lo cual significa que existe la posibilidad de que haya habido actividad maliciosa antes de la detección de una
amenaza. No obstante, ofrece una capa de seguridad adicional cuando las otras técnicas de detección fallan.
Protección de pagos y banca online
La protección de pago y banca es un nivel de protección adicional diseñado para proteger sus datos financieros
durante las transacciones en línea.
ESET Smart Security Premium y ESET Internet Security contienen una lista integrada de sitios web predefinidos
que activarán la apertura de un navegador seguro. Puede agregar un sitio web o editar la lista de sitios web en la
configuración del producto.
Active Proteger todos los navegadores para iniciar todos los navegadores web compatibles en el modo protegido.
Para obtener más información sobre esta característica, lea los siguientes artículos de la Base de conocimiento de
ESET:
17
• ¿Cómo se usa la protección de banca y pago de ESET?
• Pausar o desactivar Protección de pagos y banca online en los productos domésticos para Windows de
ESET
• Protección de pagos y banca online de ESET: errores comunes
El uso de comunicaciones cifradas HTTPS es necesario para realizar la navegación protegida. La protección de
pagos y banca online es compatible con los siguientes navegadores:
• Internet Explorer 8.0.0.0
• Microsoft Edge 83.0.0.0
• Google Chrome 64.0.0.0
• Firefox 24.0.0.0
Abra Protección de pagos y banca online en su navegador web preferido
Cuando abre Protección de pagos y banca online directamente desde la ficha Herramientas del menú del
producto, se abre en el navegador web que ha establecido como predeterminado en Windows. De lo contrario,
cuando abra su navegador web preferido (no desde el menú del producto), los sitios web de la lista de sitios web
protegidos se redirigirán al mismo tipo de navegador web que protege ESET.
Protección contra botnets
La protección contra botnets detecta malware mediante el análisis de sus protocolos de comunicación de red. A
diferencia de los protocolos de red, que no han cambiado en los últimos dos años, el malware botnet cambia con
frecuencia. Esta nueva tecnología ayuda a ESET a acabar con el malware que intenta sortear los métodos de
detección para conectar su ordenador a la red de botnets.
Detecciones de ADN
Los tipos de detección van de hashes muy específicos a las Detecciones de ADN de ESET, que son definiciones
complejas de comportamiento malintencionado y características de malware. Los atacantes pueden modificar u
ocultar fácilmente el código malicioso, pero el comportamiento de los objetos no es tan sencillo de cambiar, y
Detecciones de ADN de ESET es una herramienta diseñada para aprovechar este principio.
Realizamos un análisis profundo del código, extraemos los "genes" responsables de su comportamiento y
construimos Detecciones de ADN de ESET, herramienta que se usa para evaluar código que puede resultar
sospechoso, tanto si se encuentra en el disco como si está en la memoria de proceso. Detecciones de ADN puede
identificar muestras de malware conocido específicas, nuevas variantes de una familia de malware conocido o
incluso malware no visto anteriormente o desconocido que contiene genes que indican comportamiento
malintencionado.
18
ESET LiveGrid®
ESET LiveGrid® (que se basa en el sistema avanzado de alerta temprana ThreatSense.Net) utiliza los datos
enviados por usuarios de ESET de todo el mundo y los envía al laboratorio de investigación de ESET. ESET
LiveGrid® proporciona metadatos y muestras sospechosas en estado salvaje, lo cual nos permite reaccionar de
forma inmediata a las necesidades de nuestros clientes y hace posible la respuesta de ESET a las amenazas más
recientes.
Los investigadores de malware de ESET utilizan la información para crear una instantánea precisa de la naturaleza
y el alcance de las amenazas globales, de modo que podemos centrarnos en los objetos adecuados. Los datos de
ESET LiveGrid® son fundamentales a la hora de establecer las prioridades en nuestro procesamiento
automatizado.
Además, implementa un sistema de reputación que ayuda a aumentar la eficiencia general de nuestras soluciones
antimalware. Los usuarios pueden comprobar la reputación de los procesos en ejecución y los archivos
directamente desde la interfaz o el menú contextual del programa con información adicional disponible en ESET
LiveGrid®. Cuando se inspeccionan un archivo ejecutable o un archivo comprimido en el sistema de un usuario,
primero se compara el hashtag de estos archivos con una base de datos de elementos de listas blancas y negras.
Si el hashtag está en la lista blanca, el archivo inspeccionado se considera limpio y se le agrega un indicador para
excluirlo de análisis futuros. Si está en la lista negra, se toman las medidas oportunas según la naturaleza de la
amenaza. Si no se encuentra el hashtag en la base de datos, el archivo se analiza a fondo. En función de los
resultados de este análisis, los archivos se categorizan como amenazas o como archivos que no son amenazas.
Este enfoque tiene un importante efecto positivo sobre el rendimiento del análisis. Este sistema de reputación
permite detectar con eficacia las muestras de malware incluso antes de que sus firmas se envíen al equipo del
usuario mediante una base de datos de virus actualizada (lo que sucede varias veces al día).
Además del sistema de reputación ESET LiveGrid®, el sistema de respuesta ESET LiveGrid® recopilará información
anónima del ordenador relacionada con las amenazas detectadas recientemente. Esta información puede incluir
una muestra o copia del archivo donde haya aparecido la amenaza, la ruta a ese archivo, el nombre de archivo, la
fecha y la hora, el proceso por el que apareció la amenaza en el ordenador e información sobre el sistema
operativo del ordenador.
Servidores de ESET LiveGrid®
Los servidores de ESET LiveGrid® están en Bratislava, Viena y San Diego; sin embargo, esos son solo los
servidores que responden a las solicitudes de los clientes. Las muestras enviadas se tratan en Bratislava
(Eslovaquia).
Activación o desactivación de ESET LiveGrid® en los productos de ESET
Para obtener instrucciones más detalladas y con ilustraciones sobre cómo activar o desactivar ESET
LiveGrid® en los productos de ESET, visite el artículo de la Base de conocimiento de ESET.
Bloqueador de exploits
El Bloqueador de exploits se ha diseñado para reforzar aquellas aplicaciones que sufren más ataques, como los
navegadores de Internet, los lectores de archivos PDF, los clientes de correo electrónico y los componentes de
Microsoft Office, y para protegerlos de los ataques ROP. El Bloqueador de exploits está disponible y activado de
forma predeterminada en todos los productos de ESET para Windows Home, los productos ESET para Windows
Server y los productos ESET para puntos de conexión en Windows.
Este producto supervisa el comportamiento de los procesos en busca de actividad sospechosa que pueda indicar
19
la presencia de un exploit.
Cuando el bloqueador de exploits identifica un proceso sospechoso, lo detiene inmediatamente, registra los datos
relativos a la amenaza y los envía al sistema ESET LiveGrid®, que está en la nube. El laboratorio de investigación
de ESET trata estos datos, que se utilizan para proteger mejor a todos los usuarios frente a amenazas
desconocidas y ataques Zero-Day (malware recién publicado, que aún no tiene una solución preconfigurada).
Bloqueador de exploits de Java
El bloqueador de exploits de Java es una extensión de la tecnología de bloqueador de exploits existente.
Supervisa Java y busca comportamientos similares a los de un exploit. Puede informarse de las muestras
bloqueadas a los analistas de malware para que puedan crear firmas con el objetivo de bloquearlas en diferentes
capas (bloqueo de URL, descarga de archivos, etc.).
ESET LiveSense
ESET utiliza numerosas tecnologías únicas, privadas y de protección por capas que funcionan conjuntamente
como ESET LiveSense. En la siguiente ilustración se muestran algunas de las tecnologías principales de ESET y se
ofrece una indicación aproximada de cuándo y dónde pueden detectar, y en caso necesario bloquear, una
amenaza durante su vida útil en el sistema.
20
Aprendizaje automático
ESET ha estado trabajando con algoritmos de aprendizaje automático para detectar y bloquear amenazas desde
1990. En 1998 se agregaron redes neuronales al motor de detección de los productos de ESET.
El aprendizaje automático incluye detecciones de ADN, que utilizan modelos basados en aprendizaje automático
para trabajar de forma eficaz con o sin conexión a la nube. Los algoritmos de aprendizaje automático también son
un componente fundamental del orden y la clasificación iniciales de muestras entrantes, así como del proceso de
colocar dichas muestras en un "mapa de seguridad cibernética" imaginario.
ESET ha desarrollado su propio motor de aprendizaje automático interno. Utiliza la potencia combinada de las
redes neuronales (como el aprendizaje profundo y la memoria a corto y largo plazo) y un grupo cuidadosamente
seleccionado de seis algoritmos de clasificación. Esto permite la generación de una salida unificada y ayuda a
etiquetar correctamente la muestra entrante como limpia, indeseable o maliciosa.
El motor de aprendizaje automático de ESET se ha ajustado para cooperar con otras tecnologías de protección,
como ADN, entornos de prueba y análisis de memoria, así como con la extracción de funciones de
comportamiento, con el fin de ofrecer el mejor porcentaje de detección y el menor número posible de falsos
positivos.
Configuración del análisis en la configuración avanzada del producto de ESET
• Productos domésticos para Windows de ESET (desde la versión 13.1)
• Productos de punto de conexión para Windows de ESET (desde la versión 7.2)
Protección contra los ataques de red
La Protección contra los ataques de red es una extensión del cortafuegos que mejora la detección de exploits
conocidos en la red. Esta función implementa la detección de exploits habituales en los protocolos más usados,
como SMB, RPC y RDP, por lo que constituye otra capa importante de protección frente a la propagación de
malware, ataques dirigidos a la red y aprovechamiento de vulnerabilidades para las que aún no se ha liberado o
implementado ningún parche.
Protección contra ransomware
La protección contra ransomware es una técnica de detección basada en comportamientos que supervisa el
comportamiento de las aplicaciones y los procesos que intentan modificar archivos como suelen hacerlo el
ransomware y los filecoders. Si se considera que el comportamiento de una aplicación es malicioso o el análisis
basado en la reputación indica que una aplicación es sospechosa, la aplicación se bloqueará y el proceso se
detendrá o se pedirá al usuario que la bloquee o la autorice.
Para que la protección contra ransomware funcione correctamente, ESET LiveGrid® debe estar activado.
Consulte nuestro artículo de la base de conocimiento de ESET para asegurarse de que ESET LiveGrid® está
activado y en funcionamiento en su producto ESET.
21
Protección contra ataques basados en scripts
La Protección contra ataques basados en scripts consiste en una protección contra JavaScript en los navegadores
web y la protección de la herramienta Interfaz de análisis contra el código malicioso (AMSI) de Microsoft contra
los scripts de PowerShell.
HIPS
Para que esta función esté disponible, el HIPS debe estar activado.
La protección contra ataques basados en scripts es compatible con los siguientes navegadores web:
• Mozilla Firefox
• Google Chrome
• Internet Explorer
• Microsoft Edge
Use un navegador web compatible
La versión mínima compatible de los navegadores web puede variar, ya que la firma del archivo de los
navegadores cambia con bastante frecuencia. Sin embargo, la versión más reciente del navegador web es
siempre compatible.
Navegador seguro
El Navegador seguro es un nivel de protección adicional diseñado para proteger sus datos confidenciales mientras
navega por Internet (por ejemplo, los datos financieros durante las transacciones en línea).
ESET Endpoint Security 8 y versiones posteriores contiene una lista integrada de sitios web predefinidos que
activarán la apertura de un navegador protegido. Puede agregar un sitio web o editar la lista de sitios web en la
configuración del producto. De forma predeterminada, Navegador seguro está desactivado está desactivado tras
la instalación.
Para obtener más información sobre esta característica, lea el siguiente artículo de la Base de conocimiento de
ESET.
Para llevar a cabo la navegación protegida, se requiere el uso de comunicación HTTPS cifrada. Para utilizar la
navegador seguro, su navegador de Internet debe cumplir los requisitos mínimos que se indican a continuación:
• Internet Explorer 8.0.0.0
• Microsoft Edge 83.0.0.0
• Google Chrome 64.0.0.0
• Firefox 24.0.0.0
Solo Firefox y Microsoft Edge son compatibles con dispositivos que tienen procesadores ARM.
22
Abra Navegador seguro de ESET en su navegador web preferido.
Cuando abre Navegador seguro de ESET directamente desde la ficha Herramientas del menú del producto,
Navegador seguro de ESET se abre en el navegador web que ha establecido como predeterminado. De lo
contrario, cuando abra su navegador web preferido (no desde el menú del producto), la lista interna de ESET se
redirigirá al mismo tipo de navegador web que protege ESET.
Análisis UEFI
El análisis de la interfaz de firmware extensible unificada (UEFI) forma parte del sistema de prevención de
intrusiones del host (HIPS) que protege el firmware UEFI en su ordenador. El firmware UEFI se carga en la
memoria al principio del proceso de inicio. El código está en un chip de memoria flash soldado a la placa base. Al
infectarlo, los atacantes pueden implementar malware que sobreviva a las reinstalaciones y los reinicios del
sistema. Además, es fácil que las soluciones contra malware no lo detecten, pues la mayoría no analizan esta
capa.
Análisis UEFI se activa automáticamente. También puede iniciar un análisis del ordenador manualmente desde la
ventana principal del programa haciendo clic en Análisis del ordenador > Análisis avanzados > Análisis
personalizado y seleccionando el destino Sectores de inicio/UEFI.
Si su ordenador ya está infectado por malware de la UEFI, lea el siguiente artículo de la base de
conocimiento de ESET:
Mi ordenador está infectado por malware de la UEFI, ¿qué debo hacer?
Archivo canary
Un archivo canary es un documento informático falso colocado entre los documentos reales para que ayude a
detectar de forma temprana el acceso, la copia o la modificación de datos no autorizados.
Interbloqueo
Un interbloqueo es una situación en la que cada proceso del equipo espera un recurso asignado a otro proceso.
En esta situación no se ejecuta ninguno de los procesos, ya que el recurso necesario está retenido por otro
proceso que también espera a que se libere otro recurso. Es importante evitar un interbloqueo antes de que se
produzca. El planificador de recursos puede detectar los casos de interbloqueo, lo que ayuda al sistema operativo
a controlar todos los recursos asignados a diferentes procesos. El interbloqueo puede producirse si se dan las
cuatro condiciones siguientes al mismo tiempo:
• Falta de acciones de prevención: el proceso solo puede liberar un recurso de forma voluntaria una vez
que haya finalizado su tarea.
• Exclusión mutua: tipo especial de semáforo binario que se utiliza para controlar el acceso al recurso
compartido. Permite que las tareas actuales de mayor prioridad se bloqueen durante el menor tiempo
posible.
• Retención y espera: en esta condición, los procesos deben dejar de retener uno o varios recursos al
tiempo que esperan otros.
23
• Espera circular: impone un orden total de todos los tipos de recursos. La espera circular también requiere
que los procesos soliciten recursos en orden de enumeración ascendente.
Hay tres formas de gestionar un interbloqueo:
• No permita que el sistema entre en un estado de interbloqueo.
• Deje que se produzca el interbloqueo y, a continuación, dé preferencia a gestionarlo.
• Si se produce un interbloqueo, reinicie el sistema.
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
-
25
-
26
ESET Glossary El manual del propietario
- Categoría
- Software de seguridad antivirus
- Tipo
- El manual del propietario