Acerca de la provisión de datos al usar Kaspersky Security Network
Al aceptar la Declaración de Kaspersky Security Network, acepta transmitir automáticamente la siguiente información:
Si la casilla Activar Kaspersky Security Network está marcada y la casilla Activar el modo KSN ampliado está desmarcada, se transmite la siguiente información:
Dirección web de la página desde la que se remitió al usuario a la dirección web analizada
Dirección web cuya reputación se solicita
Versión del protocolo usada para conectarse a los servicios de Kaspersky
ID de las bases de datos antivirus
ID de la tarea de análisis que detectó la amenaza
ID del subsistema que inició la solicitud
ID del protocolo de conexión y el número del puerto utilizado
ID de las actualizaciones instaladas
Nombre e ID de la amenaza detectada según la clasificación de Kaspersky
Clave de certificado pública
Tipo y versión completa de Kaspersky Endpoint Security
Hash (SHA256) del certificado con el que se firmó el objeto analizado
Hash del archivo analizado (MD5, SHA2-256 y SHA1) y de las plantillas de archivo (MD5)
Si la casilla Activar el modo KSN ampliado está marcada junto con la casilla Activar Kaspersky Security Network, además de la información mencionada anteriormente, también se transmiten los siguientes datos:
Archivos ejecutables y no ejecutables de confianza, o partes de ellos, transmitidos para impedir falsos positivos.
Se transmite la siguiente información incluida en los informes de actividad de la aplicación:
Direcciones web y direcciones IP llamadas por la aplicación
Direcciones web y direcciones IP desde las que se recibió el archivo ejecutado
Fecha y hora de inicio y caducidad del período de validez del certificado, en caso de que el archivo transmitido tenga una firma digital: fecha y hora de la firma, nombre del emisor del certificado, información sobre el titular del certificado, huella digital y clave del certificado público y sus algoritmos de cálculo, y número de serie del certificado
Encabezamientos de ventanas de proceso
ID de bases de datos antivirus, nombre de la amenaza detectada según la clasificación del titular
Nombres y rutas a los archivos a los que el proceso accedió
Nombres de las claves de registro a las que el proceso accedió y valores de dichas claves
Nombre de la cuenta usada para iniciar el proceso
Nombre, tamaño y versión del archivo transmitido, su descripción y sumas de comprobación (MD5, SHA2-256, SHA1), ID de formato, nombre del programador, nombre del producto al que pertenece el archivo, ruta entera al archivo en el equipo y código de plantilla de la ruta, así como fecha y hora de creación y modificación del archivo
Información acerca de la licencia instalada en el software, ID de la licencia, tipo y fecha de caducidad
sumas de comprobación (MD5, SHA2-256, SHA1) del nombre del equipo en el que se inició el proceso
Hora local del equipo cuando se transmitió la información
Se transmite, además, esta información:
Direcciones web y direcciones IP del recurso web solicitado, información sobre el archivo y cliente web que accedió al recurso web, nombre, tamaño y sumas de comprobación (MD5, SHA2-256, SHA1) del archivo, ruta entera al archivo y código de plantilla de la ruta, resultado de la comprobación de la firma digital y su estado en KSN
Si se detecta un objeto posiblemente malicioso, se proporciona la siguiente información sobre los datos de memoria de proceso: elementos de la jerarquía de objetos de sistema (ObjectManager), datos de memoria de BIOS y UEFI, y nombres y valores de las claves del registro.
Páginas web y correos electrónicos que contienen objetos maliciosos y sospechosos.
Versión del componente de la actualización de software, número de bloqueos del componente de la actualización del software al ejecutar las tareas durante el funcionamiento del componente, ID del tipo de tarea de actualización, número de finalizaciones fallidas de tareas de actualización del componente de actualización de software.
Datos sobre errores ocurridos durante el funcionamiento del componente del software: ID del estado del software, código y tipo de error, así como la hora en la que ocurrió, ID del componente, el módulo y el proceso del producto en el que se produjo el error, ID de la tarea o la categoría de la actualización durante la cual se produjo el error, registros de los controladores usados por el software (código de error, nombre del módulo, nombre del archivo de origen y cadena en la que se produjo el error), ID del método para identificar el error producido en el funcionamiento del software y nombre del proceso que inició la interceptación o el intercambio de tráfico que llevó al error en el funcionamiento del software.
Datos sobre el volcado del sistema (BSOD): indicador de que se está produciendo un BSOD en el equipo, nombre del controlador que causó el BSOD, pila de memoria y dirección en el controlador, indicador de la duración de la sesión del SO anterior al BSOD, pila de memoria del fallo del controlador, tipo de volcado de la memoria guardado, indicador de que la sesión del SO duró más de 10 minutos antes del BSOD, ID exclusivo del volcado y fecha y hora del BSOD.
Datos sobre las actualizaciones de bases de datos antivirus y componentes del software: nombres, fechas, y horas de los archivos de índice cargados como consecuencia de la última actualización y cargados en la actualización actual, así como fecha y hora del momento en el que terminó la última actualización y nombres de las categorías actualizadas de archivos y sus sumas de comprobación (MD5, SHA2-256, SHA1).
ID de la tarea de análisis que detectó la amenaza.
Información para autenticar los certificados con los que se firmaron los archivos: huella digital del certificado, algoritmo de computación de la suma de comprobación, clave pública y número de serie del certificado, nombre del emisor del certificado, resultado de la comprobación del certificado e ID de la base de datos del certificado.
Información sobre la versión del sistema operativo (SO) instalado en el equipo y los paquetes de actualización instalados, velocidad de bits, revisión y configuración del modo de funcionamiento del SO, y versión y sumas de comprobación (MD5, SHA2-256, SHA1) del archivo kernel del SO.
Información sobre anulación de acciones malware: datos del archivo cuya actividad se anuló (nombre del archivo, ruta completa al archivo, tamaño y sumas de comprobación [MD5, SHA2-256, SHA1]), datos de acciones correctas y fallidas para eliminar, renombrar y copiar archivos y restaurar sus valores en el registro (nombres de las claves del registro y sus valores) e información sobre los archivos de sistema modificados por el malware antes y después de la anulación.
Información sobre emulación de archivos ejecutables: tamaño del archivo y sumas de comprobación (MD5, SHA2-256, SHA1), versión del componente de emulación, profundidad de la emulación, vector de características de bloques lógicos y funciones dentro de bloques lógicos obtenidos durante la emulación y datos desde la estructura del encabezado PE del archivo ejecutable.
Información sobre la fecha de instalación y activación del software en el equipo: tipo de licencia instalada y período de validez, ID del asociado al que se compró la licencia, número de serie de la licencia, tipo de instalación del software en el equipo (nueva instalación, actualización, etc.), indicador de instalación correcta o número del error de instalación, ID exclusivo de la instalación del software en el equipo, tipo e ID de la aplicación con la que se hizo la actualización e ID de la tarea de actualización.
Información sobre módulos de software cargados: nombre, tamaño y sumas de comprobación (MD5, SHA2-256, SHA1) del archivo del módulo, ruta entera al archivo y código de plantilla de la ruta, configuración de la firma digital del archivo del módulo, datos y hora de la creación de la firma, nombre del usuario y organización que firmó el archivo del módulo, ID del proceso en el que se cargó el módulo, nombre del proveedor del módulo y número de la secuencia del módulo en la cola de carga.
Información sobre archivos descargados por el usuario: direcciones URL e IP desde las que se descargaron los archivos y páginas de descarga, ID del protocolo de descarga y número de puerto de conexión, indicador de la actividad maliciosa de las direcciones, atributos y tamaño del archivo y sus sumas de comprobación (MD5, SHA2-256, SHA1), información sobre el proceso que descargó el archivo (sumas de comprobación [MD5, SHA2-256, SHA1], fecha y hora de la creación y el enlace, indicador de ejecución automática, atributos, nombres de empaquetadores, información sobre la firma, indicador de archivo ejecutable, ID del formato, entropía), nombre del archivo, ruta del archivo en el equipo, firma digital del archivo e información sobre la firma, URL en la que tuvo lugar la detección, número del script en la página que resultó ser sospechosa o maliciosa, información sobre solicitudes http completadas y respuestas a las solicitudes.
Información sobre aplicaciones en ejecución y sus módulos: datos sobre procesos que se ejecutan en el sistema (ID del proceso [PID], nombre del proceso, información de la cuenta con la que se inició el proceso y aplicación y comando que iniciaron el proceso, así como un indicador de si la aplicación o el proceso son de confianza, ruta completa a los archivos de proceso y la línea de comandos, nivel de integridad del proceso, descripción del producto al que pertenece el proceso [nombre del producto e información del editor], así como información sobre certificados digitales usados actualmente e información necesaria para verificarlos o indicación de la ausencia de firma digital del archivo), así como información sobre módulos cargados en procesos (nombre, tamaño, tipo, fecha de creación, atributos, sumas de comprobación [MD5, SHA2-256, SHA1] y ruta), información de encabezado del archivo PE y nombre del compresor (si el archivo estaba comprimido).
Información sobre el conjunto de todas las actualizaciones instaladas y sobre el conjunto de las actualizaciones instaladas más recientemente o las actualizaciones remotas, tipo de evento que causó el envío de la información de actualización, tiempo transcurrido desde la instalación de la última actualización e información sobre las bases de datos antivirus que se cargaron cuando la información se transmitió.
Información sobre un último reinicio fallido del sistema operativo: número de reinicios fallidos desde que se instaló el SO, datos de volcado del sistema (código de error y parámetros, nombre, versión y suma de comprobación [CRC32] del módulo que causó el error en el funcionamiento del SO, dirección del error como una compensación en el módulo y sumas de comprobación [MD5, SHA2-256, SHA1] del volcado del sistema).
Información sobre el software del titular: versión completa, tipo, ubicación y estado de funcionamiento del software utilizado, versiones de componentes instalados del software y su estado de funcionamiento, datos de actualizaciones del software instalado, valor de filtro TARGET y versión del protocolo utilizado para conectar a los servicios del titular.
Información sobre objetos analizados: grupo de confianza asignado al que se movió el archivo o desde el que se movió el archivo, razón por la que se movió el archivo a la categoría determinada, ID de la categoría, información sobre la fuente de categorías y versiones de la base de datos de categorías, indicador de si el archivo tiene un certificado de confianza, nombre del programador del archivo, versión del archivo, y nombre y versión de la aplicación a la que pertenece el archivo.
Información sobre archivos analizados y URL: sumas de comprobación del archivo analizado (MD5, SHA2-256, SHA1) y patrones de archivo (MD5), tamaño del patrón, tipo de amenaza detectada y su nombre según la clasificación del titular, ID de las bases de datos antivirus, URL cuya reputación se consultó y URL de la página desde la que el usuario se dirigió a la URL analizada, ID del protocolo de conexión y número de puerto utilizado.
Información sobre el proceso que lanzó el ataque contra la autoprotección del software: nombre y tamaño del archivo de proceso, sus sumas de comprobación (MD5, SHA2-256, SHA1), ruta entera al archivo y código de plantilla de la ruta, fechas y horas de creación y enlace al archivo de proceso, indicador de archivo ejecutable, atributos del archivo de proceso, información sobre el certificado con el que se firmó el archivo de proceso, código de la cuenta usada para iniciar el proceso, ID de las operaciones que se realizaron para acceder al proceso, tipo del recurso con el que se realiza la operación (proceso, archivo, objeto de registro, búsqueda de la ventana usando la función FindWindow), nombre del recurso con el que se realiza la operación, indicador del éxito de la operación, estado del archivo de proceso y su firma en KSN.
Información sobre la operación de componentes de protección: versiones completas de componentes, código del evento que desbordó la cola de eventos y número de esos eventos, número total de desbordamientos de la cola de eventos, información sobre el archivo de proceso que inició el evento (nombre del archivo y su ruta en el equipo, código de la plantilla de ruta, sumas de comprobación [MD5, SHA2-256, SHA1] del proceso asociado con el archivo, versión del archivo), ID de la captura del evento completado, versión completa del filtro de captura, ID del tipo de evento capturado, tamaño de la cola del evento y número de eventos entre el primer evento de la cola y el evento actual, número de eventos retrasados en la cola, información sobre el proceso que inició el evento actual (nombre del archivo de proceso y su ruta en el equipo, código de la plantilla de ruta, sumas de comprobación [MD5, SHA2-256, SHA1] del proceso), tiempo de procesamiento del evento, máximo tiempo permisible de procesamiento del evento y valor de probabilidad de la transmisión de información.
Información sobre el funcionamiento del software en el equipo: datos de uso de la CPU, datos de uso de memoria (bytes privados, bloque no paginado, bloque paginado), número de subprocesos activos en el proceso del software y subprocesos pendientes y duración del funcionamiento del software antes del error.
Información sobre los resultados de la clasificación de los recursos web que contienen la URL analizada y la dirección IP del equipo host, versión del componente del software que realizó la clasificación, método de clasificación y conjunto de categorías determinadas para el recurso web.
Información sobre ataques de red: direcciones IP del equipo atacante (IPv4 e IPv6), número de puerto del equipo al que iba dirigido el ataque de red, ID del protocolo del paquete de IP en el que se registró el ataque, objetivo del ataque (nombre de empresa, sitio web), marca de respuesta al ataque, nivel ponderado del ataque y valor del nivel de confianza.
Información sobre conexiones de red: versión y sumas de comprobación (MD5, SHA2-256, SHA1) del archivo de un proceso que abrió el puerto, ruta al archivo de proceso y su firma digital, direcciones IP locales y remotas, números de los puertos de conexión locales y remotos, estado de conexión y hora en la que se abrió el puerto.
Información sobre eventos en registros del sistema: hora del evento, nombre del registro en el que se detectó el evento, tipo y categoría de evento y nombre de la fuente del evento y su descripción.
Información sobre el estado de la protección antivirus del equipo: versiones, fechas y horas de la publicación de las bases de datos antivirus en uso, datos estadísticos sobre actualizaciones y conexiones con los servicios del titular, e ID de la tarea y del componente de software que realizó el análisis.
Información sobre aplicaciones del tercero que causaron un error: nombre, versión y ubicación, código de error e información sobre el error desde el registro del sistema de aplicaciones, dirección en la que sucedió el error y pila de memoria de la aplicación de terceros, indicador del error en el componente de software, período de tiempo durante el que la aplicación de terceros funcionó antes del error, sumas de comprobación (MD5, SHA2-256, SHA1) de la imagen del proceso de aplicación en la que se produjo el error, ruta a esta imagen del proceso de aplicación y código de plantilla de la ruta, información desde el registro del sistema del SO con una descripción del error asociado a la aplicación, información sobre el módulo de la aplicación en el que se produjo el error (ID del error, dirección del error como una compensación en el módulo, nombre y versión del módulo, ID del bloqueo de la aplicación en el complemento del titular y pila de memoria del bloqueo, y período de tiempo que la aplicación funcionó antes de la disfunción).
Información sobre bloqueos del software: fecha y hora de la creación del volcado, tipo de volcado, nombre del proceso asociado al volcado, versión y hora en la que se enviaron las estadísticas con el volcado, tipo de evento que causó el bloqueo del software (corte de corriente inesperado, bloqueo de una aplicación de un titular tercero, errores de procesamiento de intercepción), y fecha y hora del corte de corriente inesperado.
Información sobre ataques relacionados con recursos de red de suplantación de personalidad, y direcciones DNS e IP (IPv4 o IPv6) de sitios web visitados.
Información sobre certificados digitales utilizados necesarios para verificar su autenticidad: sumas de comprobación (SHA256) del certificado con el que se firmó el objeto analizado y la clave del certificado público.
Información sobre vulnerabilidades detectadas: ID de la vulnerabilidad en la base de datos de vulnerabilidades, clase de peligro de la vulnerabilidad y estado de detección.
Información sobre el hardware instalado en el equipo: tipo, nombre, modelo y versión del firmware, especificaciones de los dispositivos integrados y conectados, e ID exclusivo del equipo en el que se instala el software.
Información sobre el software instalado en el equipo: nombre del software y sus desarrolladores, claves de registro utilizadas y sus valores, información sobre archivos del software instalado (sumas de comprobación [MD5, SHA2-256, SHA1], nombre, ruta al archivo en el equipo, tamaño, versión y firma digital), información sobre objetos de kernel, controladores, servicios, extensiones de Microsoft Internet Explorer, extensiones del sistema de impresión, extensiones de Windows Explorer, elementos de instalación activa, applets del panel de control, entradas de los archivos de host y registro del sistema y versiones de navegadores y clientes de correo.
Información sobre todos los objetos y actividades potencialmente maliciosos: nombre del objeto detectado y ruta completa al objeto en el equipo, sumas de comprobación de los archivos procesados (MD5, SHA2-256, SHA1), fecha y hora de detección, nombres y tamaños de los archivos infectados y rutas a estos archivos, código de plantilla de la ruta, indicador de si el objeto es un contenedor o no, nombre del compresor (si el archivo estaba comprimido), código del tipo de archivo, ID del formato de archivo, lista de acciones realizadas por el malware y decisión tomada por el software y el usuario en respuesta, ID de las bases de datos antivirus usadas para tomar la decisión, nombre de la amenaza detectada según la clasificación del titular, nivel de peligro, estado y método de detección, razón por la que se incluyó en el contexto analizado y número de secuencia del archivo en el contexto, sumas de comprobación (MD5, SHA2-256, SHA1), nombre y atributos del archivo ejecutable de la aplicación a través del que se transmitió el mensaje o enlace infectado, direcciones IP despersonalizadas (IPv4 e IPv6) del host del objeto bloqueado, entropía del archivo, indicador de archivo autoejecutable, hora en que el archivo se detectó por primera vez en el sistema, número de veces que se ha ejecutado el archivo desde que se enviaron las últimas estadísticas, información sobre el nombre, sumas de comprobación (MD5, SHA2-256, SHA1) y tamaño del cliente de correo a través del que se recibió el objeto malicioso, ID de la tarea de software que realizó el análisis, indicador de si se comprobaron la reputación del archivo y la firma o no, resultado de procesamiento del archivo, suma de comprobación (MD5) del patrón obtenido para el objeto, tamaño del patrón en bytes y especificaciones técnicas de las tecnologías de detección aplicadas.
Archivos ejecutables y archivos no ejecutables, total o parcialmente.
Número de volcados de software y volcados del sistema (BSOD) desde que se instaló el software y desde la última actualización, ID y versión del módulo del software en el que se produjo la disfunción, pila de memoria del proceso del software e información sobre las bases de datos antivirus cuando se produjo la disfunción.
Descripción de las clases del repositorio de WMI e instancias de clase.
Informes sobre actividades de aplicaciones.
Paquetes de datos del tráfico de red.
Sectores que participan en el proceso de carga del SO.
Información de servicio sobre el funcionamiento del software: versión del compilador, indicador de actividad maliciosa del objeto analizado, versión del conjunto de estadísticas transmitidas, información sobre la disponibilidad y la validez de los datos estadísticos, ID de la condición para generar las estadísticas transmitidas e indicador de si el software está funcionando en el modo interactivo.