martes, 14 de noviembre de 2017

El malware tiene un nuevo objetivo: la UEFI de tu ordenador


Cuando hablamos de infecciones de cualquier tipo de malware, tendemos a pensar en infecciones que se producen al instalar una aplicación, abrir un archivo adjunto malicioso en un correo electrónico o al conectar un dispositivo infectado en alguno de los puertos de tu ordenador. Todos, en mayor o menor medida, tenemos alguna noción sobre qué hacer en caso de sufrir uno de estos ataques.

En la mayoría de los casos, el ataque se bloquea ya que el software de seguridad o programas antivirus que la mayoría de usuarios de ordenadores tienen—o al menos deberían tener— instalados en sus equipos, impide la ejecución del código malicioso y la infección del sistema.

Si el malware fuera capaz de burlar la vigilancia del software de seguridad, siempre queda la opción más drástica: desempolvar la copia de seguridad para restaurar el sistema o reinstalarlo de nuevo.

La parte negativa de todo esto es que, desde hace algunos años, existe un tipo de malware capaz de infectar el hardware de tu ordenador, pudiendo instalarse en los archivos de la UEFI para ejecutarse incluso antes de que se haya iniciado el propio sistema operativo, haciendo imposible su eliminación incluso tras reinstalar el sistema, formatear las particiones e incluso sustituir el disco duro. Sin duda, toda una pesadilla para cualquier usuario.

Por suerte, compañías de seguridad informática como ESET ya cuentan con herramientas efectivas integradas en sus productos con las que proteger la UEFI de tu ordenador de este tipo de infecciones por programas maliciosos del firmware.

Veamos con más detalle cómo funcionan este tipo de infecciones al hardware de tu equipo y cómo protegerte de ellas.

¿Gustavo, qué es eso de UEFI?


Lo primero que debes saber es qué es la UEFI y por qué se ha convertido en el objeto de deseo de los cibercriminales.

UEFI (Unified Extensible Firmware Interface) es el relevo generacional del sistema BIOS (Basic Input/Output System), presente en el arranque de los ordenadores desde hace más de 40 años, y al que lleva sustituyendo de forma progresiva en los nuevos ordenadores y dispositivos desde hace casi una década.

Interfaz BIOS 
Interfaz BIOS

Este nuevo estándar fue desarrollado de forma conjunta entre más de 140 compañías tecnológicas con el objetivo de optimizar el uso de la ya obsoleta y limitada capacidad de BIOS pero, sobre todo, para mejorar significativamente la seguridad de los ordenadores.

La función de UEFI en un ordenador es, básicamente, la de un componente de código (firmware) instalado en un chip de memoria flash en la placa base de tu ordenador, que actúa como intermediario entre el hardware que tienes instalado en tu equipo (procesador, RAM, GPU, unidades de almacenamiento, etc.), y los fragmentos de código que se ejecutan para cargar el sistema operativo de tu ordenador.


Cuando pulsas el botón de encendido de tu PC, se activa la UEFI y comienza a comprobar qué hardware tienes conectado a la placa base y si este funciona correctamente. Después, busca el gestor de arranque (Boot loader), el cual contiene la información sobre la ubicación del sistema operativo y las instrucciones para iniciarlo.

El componente de código (firmware) que forma la UEFI puede ser modificado a través de órdenes externas para mantenerlo actualizado y adaptarlo a los requerimientos propios del sistema y el hardware instalado, de forma que, por ejemplo, tu placa base pueda ser compatible con un nuevo hardware. Esta posibilidad de cambiarlo puede ser uno de sus grandes puntos débiles de los sistemas UEFI ya que un malware podría modificar este firmware para iniciar código malicioso incluso antes de que el sistema operativo se haya iniciado, de forma que complica la detección y eliminación de la amenaza para un software antivirus.

El análisis de la UEFI de ESET, disponible en ESET NOD32 Antivirus, ESET Internet Security y ESET Smart Security Premium, detecta las amenazas que pueden alojarse en el firmware y que podrían derivar en ataques por ransomware y otros tipos de malware. A la vez, alerta al usuario para que tome las medidas oportunas, ofreciéndole ayuda para solucionar las incidencias.

Secure boot, el guardián del arranque


Uno de los principales cambios que UEFI ha traído bajo el brazo, ha sido la mejora en la seguridad ya que utiliza un sistema de validación de firmware en el que los componentes que se van cargando durante el arranque deben estar firmados digitalmente, bloqueando todo el código que no puede autenticar su procedencia.


Con el lanzamiento de Windows 8, Microsoft impuso una condición a todos fabricantes que ha resultado clave para frenar el auge del malware orientado al firmware. Esta condición fue la integración de Secure Boot en los nuevos equipos con Windows.

Este componente creó cierta polémica ya que evita el arranque de sistemas operativos cuyo gestor de arranque (boot loader) no cuente con un sistema de autenticado mediante certificado digital para protegerte del malware que se instala desde la UEFI.

Junto a Secure Boot, también se implementa un sistema de protección adicional durante el arranque desde UEFI llamado ELAM (Early Launch Anti Malware) que permite cargar software de seguridad antes de cargar el sistema. Esta implementación es la que permite que la herramienta Análisis de UEFI de ESET proteja el arranque de Windows, facilitando la detección temprana de amenazas.

Bootkit, el enemigo sigiloso


El malware que modifica el firmware UEFI y se activa durante la fase de arranque del ordenador recibe el nombre de Bootkit, un derivado del Rootkit.

Como ya te hemos ido comentando, este malware modifica los parámetros de UEFI y carga otro tipo de malware, ransomware, keylogers, etc., justo antes de que se cargue el sistema para robar datos o tomar el control total de la máquina.

Otra de las variantes de Bootkit, consiste en el Bricking. Con esta alternativa, el malware modifica el ajuste Setup de UEFI a cero, haciendo imposible arrancar el equipo. Esto implicaría poco menos que tener que cambiar de ordenador ya que el problema no se encuentra en su software, sino en su hardware.