Seguridad Informática (charla que dí en 2002)
1. Introducción:
Vamos a estudiar la seguridad informática de forma practica: Vamos a presentar casos reales y su análisis. Estoy seguro de que esto les va a resultar divertido. Tomen nota en particular del análisis y plan de contingencia para cada situación planteada.
2. Brechas de seguridad:
Evento: Viernes 4 de Mayo de 2001, en Montevideo.
CASO 1: Una institución sin fines de lucro prepara la presentación de su sitio Web al que aplicó toda la tecnología disponible, para lograr un importante acuerdo de apoyo logístico y económico con dos áreas de nuestro gobierno.
CASO 2: Una empresa de servicios de Internet sirve de soporte para una gran cantidad de empresas comerciales de nuestra plaza.
CASO 3: Una empresa desarrolladora de tecnología en programación prepara la demostración del trabajo de sus últimos meses a través de Internet con inversores europeos.
Desenvolvimiento del problema:
1,2 y 3 inician sus jornadas laborales y tarde o temprano descubren en sus discos duros y particularmente en sus directorios de trabajo hacia Internet archivos desconocidos introducidos en esa misma madrugada, a la 1:30 A.M. aproximadamente.
Los archivos introducidos utilizaban el mismo nombre que las páginas Web de inicio de sus clientes y trabajos, por ende al entrar a sus sitios Web, el mensaje que se despliega es el contenido en estos archivos que misteriosamente aparecieron esa madrugada.
En el caso 2 y 3 nunca habían previsto un ataque.
En el caso 1 este tipo de ataques estaba previsto, y aunque el intruso tuvo suceso en meter estos archivos, los mismos no tuvieron impacto en el sistema. No obstante, el encargado investiga el alcance de la brecha de seguridad y busca la forma de eliminar la posibilidad de que pase nuevamente. NO ENCUENTRA NINGUNA BRECHA.
Luego de investigar, se encuentra en un lugar del disco duro un programa que permite controlar la maquina, si se llega a hacer funcionar desde afuera. En este equipo se restringió la posibilidad de ejecución sólo a los usuarios que tienen permiso explicito. Como el intruso no pudo autenticarse con esa identidad porque la desconocía, si su intención era ejecutar este programa (obviamente lo era), no pudo.
En el caso 2 no se disponían de respaldos de los archivos originales. Tenían que ubicar al responsable del diseño de cada sistema para que les envíe los originales. Por lo tanto CIERRAN LOS SITIOS WEB COMERCIALES que fueron afectados por el fin de semana pero a pesar de todo, el servidor de ellos sigue conectado a la red.
En el caso 3 se contaba con respaldos. Se repara. Se decide montar guardia durante todo ese fin de semana ante el evento de un nuevo ataque. Pero no se intenta buscar la causa.
El Sábado 5 de Mayo vuelve a ocurrir.
En el caso 1 no importó ya que estaba previsto, pero LA BRECHA IGUALMENTE SEGUIA ALLI y los archivos del intruso volvieron a aparecer, aunque sin efectos.
En el caso 2, a pesar de que la parte de paginas web estaba fuera de linea, el servidor estaba conectado a la red, y el intruso vuelve a poner sus archivos pero además realiza otras tareas que dejan el equipo inusable. Se asume que pudo ejecutar el programita que el dia anterior coloco en el sistema, y así modificó todo a sus anchas.
En el caso 3 se resolvió a los pocos segundos de detectar el problema. Los niveles de acceso de los usuarios también habían sido revisados, al igual que en el caso 1, entonces el intruso no pudo hacer uso del programita que inyecto al sistema.
2a.2 ANALISIS:
Es importante notar que en los dos últimos casos es evidente que son empresas dentro del rubro y por ende deben tener los conceptos de seguridad muy claros. Sin embargo el impacto de esta brecha de seguridad fue notorio.
En el caso 2, incluso, nunca se habían revisado los permisos asignados a cada usuario para manipular archivos (lectura/escritura/ejecución). El final de su historia fue que perdieron todo y tuvieron que instalar el sistema operativo de nuevo.
El que mejor manejó la situación fue el caso 1. Esto fue debido principalmente a que SE PREVIERON todas las posibilidades al diseñar el sistema informático. El encargado de ese sistema no tiene ninguna educación formal en informática.
Lo que paso en realidad fue que el intruso utilizó un defecto en el sistema operativo Windows 2000 Server y Advanced Server qué aún no estaba documentado y permitía acceso total al sistema, o sea: leer, grabar, editar y ejecutar archivos en cualquier directorio. No había antídoto para esto. No había protección tampoco ya que se accedía a través de las paginas Web de la víctima, por lo tanto las protecciones habituales en estos casos, los firewalls, no servían.
Microsoft saca el comunicado oficial anunciando este defecto y su corrección el 17 de mayo, luego de que varias empresas de seguridad privadas lo evidencian y los hacen responsables.
Cuantos de ustedes están conectados a Internet… con sistemas operativos NT SERVER y 2000 SERVER de Microsoft, y ni siquiera miraron adentro de sus discos duros? En principio pueden haber sido visitados y no haberlo notado ya que por casualidad o por prevención vuestro encargado de las páginas Web o vuestro sistema informático tuvo las mismas previsiones que en el caso 1. si este es el caso, los archivos del intruso aún deben estar allí, sin haber sido vistos.
2a.3 RESUMEN:
Este es un claro ejemplo de las brechas de seguridad sobre las cuales no tenemos ningún tipo de control.
Podemos prever casos similares.
2a.4 Planes de contingencia para estos casos:
Medidas apropiadas:
• Utilizar sistemas operativos que permitan establecer permisos de acceso para grupos y usuarios.
• Generar una jerarquía de usuarios limitando los accesos a las áreas correspondientes.
• Instalar todos los parches de seguridad que el desarrollador del sistema operativo publica en sus sitios web.
• Instrumentar una forma apropiada de respaldo de los datos.
• Suscribirse a una empresa privada de seguridad que pueda emitir alertas tempranas informando sobre las nuevas brechas de seguridad que aparecen y revisar periódicamente el estado de vuestros sistemas.
Es necesario aquí abrir un paréntesis para hacer notar otro fenómeno: El individuo que tiene la capacidad de introducirse en vuestros sistemas informáticos tiene evidentemente un conocimiento muy importante de los mismos pero además tiene la habilidad de estudiar formas de ataque no convencionales.
En la gran mayoría de los casos esto es debido a la falta de conocimientos formales. Usualmente, en realidad estos sujetos están aún en la etapa adolescente, y debido su gran simbiosis con los elementos informáticos tienen la extraña habilidad de atacar los problemas de seguridad desde ángulos prácticos muy distintos y hasta diametralmente opuestos a los revisados por los responsables del diseño de los sistemas.
Muchas empresas buscan a sus encargados de seguridad entre los usuarios de conferencias en el underground informático. Esto quiere decir que no necesariamente se debe juzgar la calidad de una empresa asesora en seguridad informática por el grado curricular formal de sus responsables. También debe tomarse que la efectividad de la misma va a ser inversamente proporcional a la edad y cantidad de títulos de sus integrantes!. Nadie habla aquí de respetabilidad, sino que de efectividad. Nótese que MICROSOFT tardo varios días en resolver una brecha de seguridad espectacular.
Por otra parte por cada brecha descubierta… cuantas habrán sin descubrir… o mejor aún: ¿ Cuantas habrán sido detectadas por Microsoft pero debido a la política de "ojos que no ven Corazones que no sienten" se han mantenido en secreto? (y si se lo preguntan, si! Esta es la conducta que prevalece en el mercado informático).
(PARA CONTINUAR ES NECESARIO ENTENDER LAS IDIOSINCRASIAS DEL SISTEMA DE CORREO ELECTRONICO.)
2b.1 Evento: Ingenieria social en Montevideo: leer los emails de otro.
Caso 1: Esta empresa maneja sus emails en su propio servidor de correo
Caso 2: Este individuo utiliza el sistema de emails de ANTEL.
Caso 3: Esta empresa tiene sus cuentas de email en un servidor privado de email.
Desenvolvimiento del problema:
Caso 3: nota que sus casillas de correo se han vuelto inaccesibles con el error de "usuario o claves no son válidas". Al tiempo llama al proveedor del servicio de correo de Internet y le pregunta sobre el correcto funcionamiento de las mismas. Le confirman que está todo correcto. No le dan la clave por teléfono pero le ofrecen cambiar la misma, cosa que hace prontamente. Le preguntan su nombre, dirección y cédula de identidad, así como la nueva clave.
Entrega todos los datos. Se conecta y entra a su casilla de correo. Apenas tiene 10 mensajes desde el día en que perdió contacto con la misma hasta la fecha en que retomó el control, cuando estas cuentas de correo reciben 30 o mas correos por día, de carácter fundamentalmente empresarial y muy sensibles. A partir de ese momento no nota nada mas extraño.
Caso 1: Nunca notó algo extraño. Este usuario utiliza un programa de encriptación/desencriptación de correo (el programa gratuito PGP) y hace que todos los que reciben e intercambian información sensible lo instalen y lo utilicen también.
Caso 2: Un par de veces en las últimas semanas, sus programas de correo le han dado error al intentar bajar su correo, en horarios excepcionales (de noche tarde) con el error de "Casilla ya abierta, vuelva a intentar en 10 minutos".
2b.2 ANALISIS:
El caso 3 fue objeto de un ataque de ingeniería social. Alguien hizo exactamente lo mismo que él: llamo al proveedor de sus cuentas de correo, dio sus datos y cambió su clave. Mientras duró el período de gracia, leyó los emails de su víctima y borró los que consideró importantes. El daño que se produjo es incuantificable.
Obtener los datos necesarios para hacerse pasar por el dueño de la cuenta de correo es un asunto trivial. Por otra parte la victima del CASO 3 pensó que había tomado el control de su casilla de correo nuevamente… pero el atacante sigue aún leyendo todos sus emails. Como hace?
La empresa proveedora del servicio de correo tiene una opción dentro de la configuración personal de la casilla de cada cliente que es "REENVIAR COPIA DE CADA EMAIL RECIBIDO A:" (estas opciones son accesibles en aquellos sistemas de correo que permiten su manejo a través de una página Web, usualmente bajo el título de "configuración"). El atacante crea una casilla de correo –preferentemente en otra parte del mundo- con datos falsos y luego introdujo en la configuración de correo de la víctima esta casilla. Mientras la víctima no revise su configuración personal de su casilla de correo (algo que usualmente nadie hace) todos los emails que se reciban, serán con copia a esta otra casilla.
En el caso 2, Este usuario se suscribió a Antel y nunca cambió la clave que Antel asigna por defecto a las casillas de correo: La cédula de identidad. Conseguir este dato para el atacante es asunto trivial. El análisis es similar al caso 3.
Caso 1: Cada vez que envía y recibe emails, los mismos son negociados y almacenados dentro de su propio sistema informático, y en el caso del envío, en el del recipendario. A pesar de que nunca se dio cuenta, sus casillas de correo también fueron comprometidas. El atacante comenzó a correr un programa basado en diccionarios de claves que básicamente prueba todas las claves que puede en la cuenta de correo de la víctima (a partir de un diccionario con cientos de miles de palabras estadísticamente generadas con mayor probabilidad de ser utilizadas como clave). El atacante, suspendió esta modalidad de fuerza bruta de ataque porque se dio cuenta de que el sistema informático de la víctima utiliza un servidor de correo conocido de plaza que tiene una brecha de seguridad evidenciada ya desde hace algún tiempo, para la cual existe un parche que la soluciona, pero su equipo de técnicos informáticos nunca han revisado la existencia de tales parches.
El atacante utiliza esta brecha para acceder a todas las cuentas de correo de la empresa. Se lleva una gran sorpresa al descubrir de que un 70-80% del correo contenido en la casilla de su víctima es ilegible por estar encriptado. El resto es correo legible. Encuentra dentro del correo legible un porcentaje de material utilizable muy pequeño. Su ataque tuvo un éxito muy parcial, si se mide en resultados.
2b.3 RESUMEN:
Es problemático utilizar servicios de correo electrónico comerciales convencionales tales como los ofrecidos por las distintas empresas proveedoras de Internet para algo mas que el uso doméstico.
Las claves de correo deben ser difíciles de sacar (es particularmente indicado utilizar letras y números al azar) y deben ser rotadas periódicamente.
2b.4 Planes de contingencia para estos casos:
• Correr servidores de correo propios
• Implementar esquemas de encriptación, aún a pesar de tener servidores de correo propios.
• Educar al personal encargado del departamento informático a que no revelen datos de la empresa en forma telefónica, en particular claves a nadie, por más de que se identifiquen como propietarios de las cuentas.
• Firmar contratos con el personal haciéndolos responsables de toda la información que comuniquen fuera de la empresa.
• Rotar las claves periódicamente
• Generar claves con varios caracteres y números, sin conexión alguna a datos reales, particularmente a nada asociado con el dueño de la casilla de correo.
2c.1 Evento: Acceso físico al sistema informático del cliente.
Esta empresa, cuyo eje de negocios es el servicio de respaldo y mantenimiento de una red de servicios de proporciones nacionales, tiene todo su sistema informático en red, pero debido a la falta de jerarquías de acceso, problema generado en la anarquía reinante (son miles de empleados), donde cada departamento y cada individuo es responsable de su terminal, es cuestión de azar encontrar accesibles documentación y reportes extremadamente sensibles.
Desenvolvimiento del problema:
Un empleado hace una búsqueda sistemática de una serie de documentos e informes, de interés para terceros, los encuentra y los envía a los interesados. Lo hace en horario de trabajo, e incluso lo envía utilizando los recursos de sus empleadores, o sea sus propios servidores de correo.
2c.2 ANALISIS y RESUMEN:
Este escenario se repite una y otra vez, particularmente en aquellas empresas que no tienen un departamento o un encargado de informática, y carecen de una planificación apropiada.
Esta brecha de seguridad no solo pasa desapercibida, sino que no habían mecanismos regulatorios ni encargados de velar por la seguridad del sistema, y en ultima instancia nadie habría actuado por significar esto el descubrir la incapacidad de proteger la información sensible -no de uno, sino que de varios- mas arriba en la escala jerárquica. El empleado en ningún momento asume el alcance de sus acciones, en particular por la falta de valor aparente que tienen los datos que está copiando.
La educación sobre la práctica de la seguridad informática a todo nivel en las empresas es fundamental. También es fundamental tener personal comprometido con los objetivos de la empresa.
2c.4 Planes de contingencia para estos casos:
• El control, revisación y almacenamiento de la información que fluye entre la empresa y el exterior es otra medida a considerar.
• La limitación de los canales de comunicación entre el exterior y la empresa a lo necesario para el correcto desempeño de sus negocios es una actitud que claramente beneficia la seguridad. Esto se logra implementando firewalls que eliminen la posibilidad de transacciones de información en los canales no deseados, tales como irc, icq, mails o lo que corresponda.
• Comprometer al personal en un marco legal bajo la forma de un contrato de confidencialidad ... Debe ser tomado como una medida extrema a estudiar.
2d1. Acceso físico:
Un troyano es un programa que se introduce en sus equipos de distintas maneras, quedando oculto, y permitiendo a su dueño o atacante, a través de Internet o cualquier otro tipo de red, acceder a casi todas las funciones del sistema informático infectado, incluso al micrófono o cámara web, si tiene una conectada, y transmitir toda esa información.
Hace dos años, un colega que trabaja en una institución pública me comentó que al ejecutar un programa antivirus en su trabajo, el mismo evidenció la presencia de un troyano. Lo elimino de su computadora, pero era consciente de que muy probablemente el mismo se encontraba en todas las computadoras de su sección.
Desenvolvimiento del problema:
Un par de meses después, un alto jerarca de esa institución me comento que algo raro estaba pasando: era como que alguien sabía sus claves, porque determinadas gestiones que se realizaban dentro del sistema informático de la institución, y eran de su dominio, aparentemente eran realizadas por terceros. Este jerarca es muy cuidadoso con sus claves y a pesar de ello estaba seguro de que esto le ocurrió en reiteradas ocasiones.
Una vez alertado de la existencia de los troyanos, se ejecutó un programa antivirus por toda la red. Los resultados fueron los esperados: prácticamente todas las maquinas estaban siendo controladas por alguien adentro de la institución.
Esta situación trascendió a otras grandes instituciones, y en dos instituciones bancarias (en lo que yo por lo menos tengo conocimiento) se encontró el mismo cuadro. Una de las instituciones bancarias resolvió el problema. La otra no. La que resolvió el problema lo hizo por la ayuda de uno de sus empleados de mantenimiento, que estaba al tanto de la tecnología de los troyanos. El encargado de seguridad de esa institución bancaria no tenía la menor idea de lo que era un troyano.
2d.2 ANALISIS y RESUMEN:
En instituciones donde la información tiene un valor capital importante, es imprescindible implementar un aparato de seguridad eficaz y mantenerlo.
2e.4 Planes de contingencia para estos casos:
• Monitorear permanentemente nuestro sistema en busca de troyanos. Hay programas antivirus especialmente diseñados para buscar troyanos.
• Monitorear nuestra red informática en busca de tráfico que evidencie el uso de troyanos.
3. Conclusiones:
No es ninguna novedad el valor que tiene la información y los datos para nuestros negocios. Lo que resulta increíble de esto es la falta de precauciones que solemos tener al confiar el núcleo de nuestros negocios al sistema de almacenamiento de lo que en la mayoría de los casos resulta ser una computadora pobremente armada tanto desde el punto de vista del hardware como del software, y con todas las vulnerabilidades que hemos visto aquí y muchas mas!
Enfrentémonos a la realidad: Tan solo por mencionar un ángulo de este problema, el de los componentes electrónicos que conforman nuestras computadoras: los discos duros de mas venta en nuestro mercado desde hace tres años por lo menos, son rechazos de otras latitudes.
A comienzos de este año, un amigo que trabaja en una empresa de considerables dimensiones, me comentó que tuvo que devolver mas del 10% de un pedido de discos, mientras eran instalados y durante el primer mes de funcionamiento.
Por otra parte, los componentes electrónicos mas utilizados en el interior de nuestras maquinas debido a su bajo costo, no sólo sufren de una alta taza de fallos, sino que también están pobremente diseñados. En particular, las maquinas que ya traen todo integrado y sus chips son de denominación Pcchips o pro o vx pro o pro II, tienen una inestabilidad marcada, además de una disminución de performance del 30% o mas con respecto a los diseños apropiadamente llevados a cabo.
Es necesario verificar el nivel de confiabilidad de todo aquello que tiene el potencial de dar un revés a nuestro negocio. Pero más necesario aún es implementar un esquema de respaldo de todo lo que almacenamos en nuestro sistema informático, y eso es lo que vamos a estudiar para terminar esta charla:
Plan de contingencia genérico:
La prevención en el caso de una posible pérdida o corrupción de datos en nuestro sistema informático tiene una solución infalible:
El Respaldo de la información
Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un medio que cumpla con una serie de exigencias:
1. Ser confiable:
Minimizar las probabilidades de error. Muchos medios magnéticos como las cintas de respaldo, los disquetes, o discos duros tienen probabilidades de error o son particularmente sensibles a campos magnéticos, elementos todos que atentan contra la información que hemos respaldado allí.
Otras veces la falta de confiabilidad se genera al reutilizar los medios magnéticos. Las cintas en particular tienen una vida útil concreta. Es común que se subestime este factor y se reutilicen mas allá de su vida útil, con resultados nefastos, particularmente porque vamos a descubrir su falta de confiabilidad en el peor momento: cuando necesitemos RECUPERAR nuestra información.
2. Estar fuera de línea, en un lugar seguro:
Tan pronto se realiza el respaldo de información, el soporte que almacena este respaldo debe ser desconectado de la computadora y almacenado en un lugar seguro tanto desde el punto de vista de sus requerimientos técnicos como humedad, temperatura, campos magnéticos como de su seguridad física y lógica. Sirve de poco si respaldamos nuestra información y dejamos el respaldo conectado a la computadora donde potencialmente puede haber un ataque de cualquier índole que lo afecte.
3. La forma de recuperación sea rápida y eficiente:
Es necesario probar la confiabilidad del sistema de respaldo no sólo para respaldar sino que también para recuperar. Hay sistemas de respaldo que aparentemente no tienen ninguna falla al generar el respaldo de la información pero que fallan completamente al recuperar estos datos a nuestro sistema informático. Esto depende de la efectividad y calidad del sistema que realiza el respaldo y la recuperación.
Esto nos lleva a que un sistema de respaldo y recuperación de información tiene que ser probado y eficiente.
Resumen: No alcanza con copiar sus archivos mas importantes a un disquete o a otra carpeta en el disco duro.
Por qué respaldar:
Yo creo que esta pregunta ha sido contestada con todo lo expuesto aquí.
Ejemplos de políticas de respaldo:
Las soluciones perfectas no existen, pero podemos llegar a una aproximación satisfactoria:
SOLUCION 1: Esta solución es indicada para aquellos sistemas informáticos que no son servidores críticos, o sea cuyos servicios pueden ser detenidos periódicamente, o en el caso de una falla ser detenidos por un tiempo.
Pasos a seguir:
Dentro del medio de almacenamiento de nuestro sistema informático, agrupar en particiones o compartimientos distintos los siguientes núcleos de datos:
a) El sistema operativo y software que utilizamos para operar ese sistema informático. Esta partición de nuestro sistema informático va a ser respaldada cada vez que se agrega algo nuevo al sistema operativo o al software instalado en esa máquina. No se respalda selectivamente, sino que como bloque entero, sin dejar ningún archivo afuera. Utilitario recomendado el Symantec Norton Ghost. U$S 35-40.
b) La información (documentos y bases de datos) que hacen a nuestro trabajo. Esto puede ser respaldado en forma mas simple: simplemente archivándolo en CDROMS, ZIPS, o copiándolo a disquettes (como es un medio magnético, se copia siempre dos veces en dos disquetes distintos y se guardan en lugares distintos). Esto se realiza en forma diaria, o tantas veces como sea necesario, pudiendo ser incluso en forma automática.
SOLUCION 2: Esta solución es indicada para aquellos sistemas informáticos que están posicionados en un punto clave de nuestra empresa y no pueden suspender actividades bajo ningún concepto, o sería preferible al menos tender a esa premisa (por ejemplo un servidor de intranet en el cual se basan varios sistemas de gestión de la empresa):
Las posibilidades de que DOS discos duros se rompan al mismo tiempo es casi nula. Se efectiviza instalando dos discos duros que guarden exactamente lo mismo por duplicado. A esto se le llama ESPEJAR.
Al esquema de la solución 1 le agregamos un sistema de almacenamiento espejado. Si uno de los discos espejados falla, el sistema utiliza el otro disco, alertando al personal de que debe cambiar el que falló. De esta forma, el personal técnico puede esperar el momento en el cual sea factible suspender el servicio del sistema informático por un periodo de tiempo apropiado para cambiar el disco defectuoso. Una vez cambiado, el sistema informático automáticamente repopula el nuevo disco con todo el material que esta en el disco sano que contiene la copia del dañado.
El espejamiento de discos duros se puede realizar automáticamente desde el sistema operativo (por ejemplo en la línea Microsoft los Windows NT y 2000 pueden manejar el espejamiento de discos) o también se puede realizar por hardware:
Se puede instalar adentro del equipo una tarjeta que se encargue de hacer el espejo entre dos discos sin que los programas o el sistema operativo se vean afectados. Esta es una solución mas cara, pero mas general, rápida y segura.
Seguridad física y lógica:
Es clara la necesidad de educar al personal de la empresa sobre el valor de la información, la importancia de cumplir con el esquema de seguridad que se implanta, así como también de transmitirles la existencia de medidas implementadas para observar de que esto se cumpla.
Es importante no universalizar el acceso a las distintas áreas de su empresa, dentro de la red local, manteniendo círculos y niveles de accesos apropiados al nivel de confianza y áreas de trabajo de cada usuario.
Puede llegar a ser necesario eliminar los medios de entrada/salida innecesarios en algunos sistemas informáticos, tales como disqueteras y cdroms para evitar posible infecciones con virus traídos desde el exterior de la empresa por el personal, o la extracción de información de la empresa.
Es importante inspeccionar física y lógicamente el sistema informático en tiempos no periódicos, para detectar anormalidades.
EL TEMA DE LOS VIRUS:
Por otra parte es importante establecer un esquema de chequeo de antivirus, ya sea centralizado o local a cada equipo informático:
LOCAL: Se instala un antivirus en cada equipo del sistema informático. Dependiendo del antivirus que se utilice, la protección es razonablemente permanente. La contra de esta solución son los recursos que consume el antivirus, que muchas veces pueden enlentecer los procesos mas simples, y esto puede convertirse en una situación frustrante.
CENTRALIZADO: AL estar los equipos en red, el sistema antivirus puede correr en uno de los equipos e ir rotando por cada equipo que conforma la red en busca de virus. Esto es una solución que no consume tantos recursos locales de cada equipo, pero puede generar un tráfico importante en la red. Es por esto que este tipo de soluciones se programan para ser efectuadas en horarios donde el uso de la red es mínimo, pero también dejan una ventana de oportunidad para que un virus se introduzca en el sistema informático durante los períodos de mayor actividad.