Ekoparty

El rogue es uno de los métodos de engaño más difundidos en la red. Lamentablemente también es uno de los métodos más efectivos, por lo que hemos realizado esta guía explicando cómo identificarlos. Para aquellos que no lo saben, se llama rogue al software que simula ser una aplicación antivirus o de seguridad cuando, en realidad, busca instalar malware en el equipo u obtener un rédito económico a raíz de la venta de la aplicación en cuestión. Es importante destacar que la aplicación no brinda protección alguna, sólo simula analizar el equipo y desinfectarlo.

Entonces, ¿cómo identificar un rogue? Los puntos a tener en cuenta son los siguientes:

  1. La amenaza por lo general se descarga sin autorización del usuario o solicita su descarga de forma muy perseverante luego de ingresar a un sitio donde se realiza un falso análisis online de nuestro equipo. Dicha simulación de análisis siempre detecta amenazas e insiste en que nuestro equipo se encuentra en peligro.
  2. Al realizar la exploración desde la supuesta aplicación de seguridad, siempre se encuentra una gran cantidad de amenazas (obviamente esto no es cierto), pero casi nunca se detalla puntualmente qué archivos se encontrarían infectados.
  3. Al querer realizar la limpieza de las amenazas el programa, el mismo lo "invitará" a comprar la licencia del producto, generalmente por medio de un pop-up que lo llevará a un sitio donde puede realizar la transacción con tarjeta de crédito. Es muy importante que bajo ninguna circunstancia se ingresen dichos datos.
  4. El rogue, una vez instalado, tiende a realizar ciertas modificaciones a nuestro sistema operativo para enfatizar el riego que posee el mismo y así incentivar al usuario a realizar la compra del producto. Estos cambios incluyen, por ejemplo, la modificación del fondo de pantalla, constantes y molestos avisos de alertas de seguridad, modificaciones a la pantalla de inicio del sistema operativo e incluso modificaciones a la barra de inicio.
  5. Si se intenta desinstalar la herramienta desde la opción "Agregar o quitar programas" del panel de control, al reiniciar el equipo la misma vuelve a instalarse de forma automática.

5 formas de identificar un rogue

De poseer una solución antivirus con detección proactiva como es ESET NOD32 Antivirus, al intentar realizar la descarga de la amenaza se disparará una alerta del producto informando que el mismo se encuentra infectado con Win32/Adware.[nombre_del_rogue].

Es por esto que siempre es recomendable utilizar herramientas de seguridad reconocidas en el mercado y comprobar su legitimidad en sitios populares de test independiente como son Virus Bulletin y AV Comparatives, entre otros.

Joaquín Rodríguez Varela
Malware Lab Engineer