¿Qué es una bomba lógica?
Una bomba lógica es una cadena de código malicioso que se inserta intencionalmente en un programa para dañar una red cuando se cumplen ciertas condiciones. El término proviene de la idea de que el código «explota» cuando se desencadena por un evento específico, como una fecha u hora determinada, la eliminación de un registro en particular, por ejemplo, un empleado, de un sistema o el lanzamiento del archivo infectado. Aplicación de software.
También conocido como código de escoria, una bomba lógica a menudo permanece sin ser detectada hasta que ejecuta su función o lanza su carga útil. El conjunto de condiciones capaces de desencadenarlo es prácticamente ilimitado. Además, el grado de destrucción de una bomba lógica puede variar mucho desde eliminar archivos y corromper datos hasta borrar discos duros y causar fallas en la aplicación.
A diferencia de muchos otros tipos de ataques cibernéticos, un ataque con bomba lógica es sutil pero a menudo sofisticado y capaz de causar daños explosivos que son difíciles de rastrear o mitigar. Un fragmento de código malicioso se inserta en secreto en el software existente de una computadora o red. También se puede insertar en otras formas de malware, como virus, gusanos o caballos de Troya.
Una bomba lógica es engañosa porque su código permanece inactivo hasta que se dispara. Este lapso de tiempo deliberado entre la inserción del código y la acción (liberación de carga útil) permite a los bombarderos controlar cuándo ocurre el ataque. Más importante aún, les permite cubrir sus huellas, ya que la bomba lógica generalmente permanece indetectable, a veces durante meses o incluso años.
El «detonador» de la bomba es la condición particular que debe cumplirse. Si el disparador está relacionado con una fecha u hora, la bomba lógica explotará en una fecha determinada, por ejemplo, Y2K, y se conoce como bomba de tiempo. Su carga útil se refiere al componente específico que está programado para causar daños, como eliminar archivos, enviar correos electrónicos no deseados y robar datos.
La carga útil generalmente se desconoce hasta que se activa. Por eso es tan difícil mitigar, y mucho menos prevenir, el daño de las bombas lógicas.
¿Cómo funciona una bomba lógica?
Cualquiera de las condiciones positivas o negativas pueden desencadenar una bomba lógica. Una bomba lógica codificada con una condición positiva estalla cuando esa condición es cumplido, mientras que una bomba codificada con una condición negativa estalla cuando esa condición es no reunió.
Un ejemplo de una condición positiva podría ser la apertura de un archivo en particular. Un ejemplo de una condición negativa es el código que no se detecta o desactiva antes de una fecha determinada.
Ya sea que la condición sea positiva o negativa, siempre que se cumpla, la bomba lógica explotará e infligirá daño a menos que se encuentre una forma de mitigar la condición o eliminar el código.
¿Es una bomba lógica lo mismo que un malware?
El código de una bomba lógica es malicioso, pero técnicamente no es malware. Sin embargo, algunos tipos de malware, como los virus, pueden contener bombas lógicas para dañar un sistema o una red.
Además, a diferencia de algunas formas de malware, como virus o gusanos, que entran en un sistema seguro por sí mismos, un ataque con bomba lógica suele ser una forma de sabotaje cibernético lanzado por un atacante interno, generalmente un atacante malintencionado. Esto podría incluir a un empleado actual o anterior descontento, como un programador o administrador de tecnología de la información con acceso a datos confidenciales o acceso administrativo a los sistemas.
Los empleados que creen que podrían ser despedidos podrían crear bombas lógicas para vengarse de sus empresas. Mientras permanezcan en sus empresas, podrían desactivar las bombas todos los días. Luego, una vez que están fuera, pueden lanzar los ataques en cualquier momento para causar el máximo daño.
Las bombas lógicas también plantean algunos externo amenazas de códigos maliciosos. Un ejemplo es WORM_SOHANAD.FM.
Cuando un usuario desprevenido descarga el gusano de un sitio web malicioso, instala archivos de código malicioso adicionales. Luego crea una tarea programada utilizando el Programador de tareas de Windows para ejecutar los archivos en algún momento posterior.
¿En qué se diferencian las bombas lógicas activadas por tiempo y el software de prueba activado por tiempo?
Algunas aplicaciones de software vienen con una versión de prueba o software de prueba, ofreciendo a los usuarios acceso limitado durante un período específico. Cuando expira el tiempo, el usuario ya no puede acceder al software de prueba ni utilizar sus funciones premium.
Por lo tanto, como una bomba lógica, el software de prueba también tiene una condición lógica incorporada. En este caso, la condición es deshabilitar el acceso cuando haya pasado X período de tiempo.
Pero, a diferencia de una bomba lógica, la carga útil de un software de prueba es conocida y no es maliciosa, ya que no está destinada a causar daño, sino que simplemente deshabilita el acceso a la versión gratuita del software de pago.
Ejemplos de bombas lógicas
A principios de la década de 2000, un empleado descontento de UBS PaineWebber desplegó con éxito una bomba lógica contra su empleador. Su código ejecutó el comando / usr / sbin / mrm –r / &. Este comando de shell de UNIX elimina de forma recursiva la partición raíz, incluidos los archivos y subdirectorios. Se activó para explotar el 4 de marzo de 2002 a las 9:30 am. La bomba lógica afectó a 2.000 servidores de la empresa en 400 sucursales, impidiendo que miles de corredores de la empresa realizaran operaciones. El empleado fue capturado y sentenciado a más de ocho años en una prisión federal.
En 2003, un administrador de sistemas de Medco temía ser despedido. Instaló una bomba lógica diseñada para borrar algunos datos después de dejar la empresa. Fue capturado cuando intentaba corregir sus errores de programación y fue sentenciado a 30 meses de prisión.
En 2019, un programador contratado de Siemens fue declarado culpable de instalar una bomba lógica que causaba fallas frecuentes en el sistema que diseñó para provocar llamadas de servicio y facturar al cliente por tomar medidas. Él colocó estas bombas lógicas en las hojas de cálculo automatizadas personalizadas que creó, causando fallas como mensajes de error y haciendo que los botones en pantalla cambiaran de tamaño. El contratista «solucionó» el problema – y estafó a su cliente por dinero – retrasando la fecha en que las hojas de cálculo dejarían de funcionar. Cuando fue capturado, fue multado y encarcelado.
Los ataques con bombas lógicas no son nuevos. Ya en 1982 y 1988, individuos malintencionados lanzaron tales ataques para paralizar una organización. El incidente de 1982 ocurrió durante la Guerra Fría entre Estados Unidos y la ex Unión Soviética. De hecho, este incidente de sabotaje es ampliamente considerado el ataque con bomba lógica original.
En 1988, un contratista de software creó una bomba lógica tras un desacuerdo con un cliente, una empresa de camiones de Oklahoma; el contratista amenazó con detonar la bomba lógica a menos que el cliente pagara sus facturas. El caso llegó a los tribunales. El cliente ganó.
Las bombas lógicas también han afectado al sector público. En 2018, el Ejército de los EE. UU. Se encontró en el lado equivocado de un ataque con bomba lógica que eliminó cantidades significativas de datos y, por lo tanto, impidió que los reservistas del Ejército fueran desplegados y pagados a tiempo. El Ejército restauró los datos después de gastar más de $ 2.5 millones para investigar el problema y reparar sus sistemas. El criminal recibió tiempo en la cárcel y se le ordenó pagar $ 1.5 millones en restitución.
Cómo protegerse contra las bombas lógicas
Las organizaciones pueden prevenir las bombas lógicas siguiendo algunas de las mejores prácticas de ciberseguridad:
- Utilice software antivirus y actualícelo con regularidad.
- Analice periódicamente todos los archivos, incluidos los archivos comprimidos y los subdirectorios.
- Exija a todos los usuarios que activen funciones de seguridad como protección automática y filtrado de correo electrónico.
- Realice controles de seguridad del sitio web y evite hacer clic en enlaces sospechosos.
- Evite descargar archivos adjuntos de correo electrónico de remitentes desconocidos o que no sean de confianza.
- Actualice y aplique parches a los sistemas operativos con regularidad.
- Capacitar a los usuarios sobre las políticas de seguridad y las mejores prácticas.