DECLARACIÓN DE KASPERSKY SECURITY NETWORK (KSN) - Kaspersky Endpoint Security 11

para Windows

La Declaración de Kaspersky Security Network (en lo sucesivo denominada

"Declaración de KSN") se refiere al programa informático Kaspersky Endpoint
Security (en lo sucesivo denominado "Software").
La Declaración de KSN, junto con el Contrato de licencia de usuario final para el
Software, en concreto en la Sección "Condiciones relativas al procesamiento de
datos", especifica las condiciones, las responsabilidades y los procedimientos
relativos a la transmisión y el procesamiento de los datos, indicados en la
Declaración de KSN. Lea detenidamente los términos de la Declaración de KSN, así
como todos los documentos contemplados en la Declaración de KSN, antes de
aceptarlos.

Cuando el Usuario final activa el uso de KSN, este es plenamente responsable de

garantizar que el procesamiento de los datos personales de los Interesados es
legal, en concreto, con arreglo a lo dispuesto en el Artículo 6 (1) (a) a (1) (f)
del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, "GDPR") si
el Interesado está en la Unión Europea, o las leyes vigentes relativas a la
información confidencial, los datos personales, la protección de datos, o
similares.

Protección y procesamiento de datos

Los datos recibidos por el Titular de los derechos de parte del Usuario final
durante el uso de la KSN se gestionan de acuerdo con la Política de privacidad del
Titular de los derechos publicada en: www.kaspersky.com/Products-and-Services-
Privacy-Policy.

Objetivo del uso de la KSN

El uso de la KSN puede aumentar la velocidad de reacción del Software para las
amenazas de seguridad de información y de red.
El objetivo declarado se consigue al:
- Determinar la reputación de los objetos analizados
- Identificar las amenazas de seguridad de la información que son nuevas y
difíciles de detectar, así como sus fuentes
- Tomar medidas rápidas para aumentar la protección de los datos almacenados y
procesados por el Usuario final con el Ordenador
- Reducir la probabilidad de falsos positivos
- Aumentar la eficiencia de los componentes de Software
- Prevenir incidentes de seguridad de la información e investigar los incidentes
que sí se han producido
- Mejorar el rendimiento de los productos del Titular de los derechos
- Recibir información de referencia sobre el número de objetos con reputación
conocida

Datos procesados
Durante el uso de la KSN, el Titular de los derechos recibirá y procesará
automáticamente los siguientes datos:
- Información sobre actualizaciones de configuración de la KSN: identificador de la
configuración activa, identificador de la configuración recibida, código de error
de la actualización de configuración;
- Información sobre los archivos y las direcciones URL que se van a analizar: las
sumas de comprobación del archivo analizado (MD5, SHA2-256, SHA1) y los patrones de
archivos (MD5), el tamaño del patrón, el tipo de amenaza detectada y su nombre
según la clasificación del Titular de los derechos, el identificador de las bases
de datos antivirus, la dirección URL para la que se solicita la reputación, así
como la dirección URL del remitente, el identificador de protocolo de la conexión y
el número de puerto que se utiliza.
- Información sobre los resultados de la categorización de los recursos web
solicitados, que contiene la dirección URL procesada y la dirección IP del host, la
versión del componente de Software que ha realizado la categorización, el método de
categorización y el conjunto de categorías definidas para el recurso web.
- El identificador de la tarea de análisis que ha detectado la amenaza.
- Información sobre los certificados digitales que se utilizan y se necesitan para
verificar su autenticidad: las sumas de comprobación (SHA2-256) del certificado
utilizadas para firmar el objeto escaneado y la clave pública del certificado.
- Información sobre el Software instalado en el Ordenador: los nombres de las
aplicaciones de Software y los proveedores de software, las claves de registro y
sus valores, información sobre los archivos de los componentes de software
instalados (sumas de comprobación (MD5, SHA2-256, SHA1), nombre, la ruta al archivo
en el Ordenador, tamaño, versión y firma digital);
- Información sobre el estado de la protección antivirus del Ordenador: las
versiones y la fecha y la hora de la versión de las bases de datos antivirus que se
utilizan, el identificador del trabajo y el identificador del componente de
Software que realiza el análisis;
- Información sobre los archivos descargados por el Usuario final: la dirección URL
y la dirección IP de la descarga y dirección URL de la página que se visitó antes
de la página de descarga, el identificador del protocolo de descarga y el número de
puerto de conexión, el estado de las direcciones URL como maliciosas o no, los
atributos de archivo, el tamaño y las sumas de comprobación (MD5, SHA2-256, SHA1),
información sobre el proceso que ha descargado el archivo (sumas de comprobación
[MD5, SHA2-256, SHA1], la fecha y la hora de creación/compilación, el estado de
reproducción automática, los atributos, los nombres de compresores, información
sobre las firmas, el indicador de archivo ejecutable, el identificador de formato y
el tipo de cuenta utilizada para iniciar el proceso), información sobre el archivo
del proceso (nombre, ruta de archivo y tamaño), el nombre del archivo y su ruta en
el Ordenador, la firma digital del archivo y la fecha y la hora de su generación,
la dirección URL donde se produjo la detección, el número de script en la página
que parece sospechosa o dañina;
- Información sobre las aplicaciones que se ejecutan y sus módulos: datos sobre los
procesos que se ejecutan en el sistema (ID de proceso [PID], el nombre del proceso,
información sobre la cuenta desde la que se inició el proceso, la aplicación y el
comando que iniciaron el proceso, la señal de programa o proceso de confianza, la
ruta completa a los archivos del proceso y sus sumas de comprobación [MD5, SHA2-
256, SHA1], la línea de comando de arranque, el nivel de integridad del proceso,
una descripción del producto al que pertenece el proceso [nombre del producto e
información sobre el fabricante], así como los certificados digitales que se
utilizan y la información necesaria para verificar su autenticidad o información
sobre la ausencia de la firma digital de un archivo) e información sobre los
módulos cargados en los procesos (sus nombres, tamaños, tipos, fechas de creación,
atributos, sumas de comprobación [MD5, SHA2-256, SHA1], las rutas de acceso a estos
elementos en el Ordenador), información del encabezado de archivo PE, los nombres
de los compresores (si el archivo estaba comprimido);
- Información sobre todas las actividades y los objetos potencialmente maliciosos:
los nombres de los objetos detectados y la ruta completa al objeto en el Ordenador,
las sumas de comprobación de los archivos procesados (MD5, SHA2-256, SHA1), la
fecha y la hora de detección, los nombres y los tamaños de los archivos procesados
y las rutas a estos archivos, el código de plantilla de la ruta, el indicador de
archivo ejecutable, un indicador de si el objeto es un contenedor, los nombres del
compresor (si el archivo estaba comprimido), el código del tipo de archivo, el ID
del formato del archivo, los ID de las bases de datos antivirus y de los registros
de estas bases de datos antivirus que se utilizaron para tomar la decisión, el
indicador de un objeto potencialmente malicioso, el nombre de la amenaza detectada
de acuerdo con la clasificación del Titular de los derechos, el nivel de peligro,
el estado de detección y el método de detección, el motivo para su inclusión en el
contexto analizado y el número de secuencia del archivo en el contexto, las sumas
de comprobación (MD5, sHA2-256, SHA1), el nombre y los atributos del archivo
ejecutable de la aplicación a través de la que se transmitió el mensaje o el enlace
infectado, las direcciones IP (IPv4 e IPv6) del host del objeto bloqueado, la
entropía del archivo, el indicador de ejecución automática del archivo, la hora en
la que el archivo se detectó por primera vez en el sistema, el número de veces que
el archivo se ejecutó desde que se enviaron las últimas estadísticas, el tipo de
compilador, la información sobre el nombre, las sumas de comprobación (MD5, SHA2-
256, SHA1) y el tamaño del cliente de correo a través del que se recibió el objeto
malicioso, el ID de la tarea de Software que realizó el análisis, un indicador de
si se comprobó la firma o reputación del archivo, los resultados de un análisis
estático del objeto contenido, el patrón del objeto, el tamaño del patrón en bytes
y las especificaciones técnicas de las tecnologías de detección aplicadas;
- Información sobre los objetos analizados: el grupo de confianza asignado al que o
desde el que se ha colocado el archivo, el motivo por el que el archivo se colocó
en esa categoría, el identificador de la categoría, información sobre la fuente de
las categorías y la versión de la base de datos de la categoría, el indicador del
certificado de confianza del archivo, el nombre del proveedor del archivo, la
versión del archivo, el nombre y la versión de la aplicación de software que
incluye el archivo.
- Información sobre vulnerabilidades detectadas: el ID de vulnerabilidad en la base
de datos de vulnerabilidades, la clase de peligro de vulnerabilidad;
- Información sobre la emulación del archivo ejecutable: el tamaño del archivo y
sus sumas de comprobación (MD5, SHA2-256, SHA1), la versión del componente de
emulación, la profundidad de emulación, una matriz de propiedades de bloques
lógicos y funciones dentro de los bloques lógicos obtenidos durante la emulación,
datos de los encabezados PE del archivo ejecutable.
- Información sobre los ataques de red, las direcciones IP del ordenador atacante
(IPv4 e IPv6), el número de puerto en el Ordenador al que está dirigido el ataque
de red, el identificador del protocolo del paquete IP que contiene el ataque, el
objetivo del ataque (nombre de la organización, sitio web), indicador para la
reacción al ataque, el peso del ataque, el nivel de confianza.
- Información sobre los ataques asociados con recursos de red falsificados, las
direcciones DNS e IP (IPv4 e IPv6) de los sitios web visitados.
- Las direcciones DNS e IP (IPv4 o IPv6) del recurso web solicitado, información
sobre el archivo y el cliente web que accede al recurso web, el nombre, el tamaño,
las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo, su ruta completa y el
código de plantilla de la ruta, el resultado de la verificación de la firma digital
y su estado de conformidad con la KSN;
- Información sobre la reversión de las actividades de malware: los datos sobre el
archivo cuya actividad se está revirtiendo (el nombre del archivo, la ruta completa
al archivo, su tamaño y las sumas de comprobación [MD5, SHA2-256, SHA1]), los datos
sobre las acciones exitosas y no exitosas que se van a eliminar, renombrar y copiar
los archivos y restaurar los valores en el registro (nombres de las claves del
registro y sus valores), e información sobre los archivos del sistema modificados
por el malware, antes y después de la reversión;
- Información sobre el conjunto de exclusiones para el componente de control de
anomalía Adaptive: el ID y el estado de la regla que se activó, la acción realizada
por el Software cuando la regla se activó, el tipo de cuenta de usuario bajo la
cual el proceso o el subproceso realiza actividad sospechosa, así como sobre el
proceso que estuvo sujeto a actividad sospechosa (el ID de script o el nombre de
archivo de proceso, la ruta completa al archivo del proceso, el código de plantilla
de la ruta, las sumas de comprobación [MD5, SHA2-256, SHA1] del archivo del
proceso); información sobre el objeto que realizó las actividades sospechosas así
como sobre el objeto que estuvo sometido a las actividades sospechosas (el nombre
de la clave de registro o el nombre del archivo, la ruta completa al archivo, el
código de plantilla de la ruta y las sumas de comprobación [MD5, SHA2-256, SHA1]
del archivo);
- Información sobre los módulos de software cargados: el nombre, el tamaño y las
sumas de comprobación (MD5, SHA2-256, SHA1) del archivo de módulo, su ruta completa
y el código de plantilla de la ruta, los parámetros de la firma digital del archivo
del módulo, la fecha y la hora de la generación de la firma, los nombres de la
persona y la organización que firmaron el archivo del módulo, el ID del proceso en
el que el módulo se cargó, el nombre del proveedor del módulo y el número de
secuencia del módulo en la cola de carga;
- Información sobre la calidad de la interacción del Software con los servicios de
la KSN: la fecha y la hora de inicio y finalización del periodo en el que se
generaron las estadísticas, la información sobre la calidad de las solicitudes y la
conexión a cada uno de los servicios de la KSN utilizados (el ID del servicio de la
KSN, el número de solicitudes con éxito, el número de solicitudes con respuestas de
la memoria caché, el número de solicitudes sin éxito [problemas de red,
desactivación de la KSN en la configuración del software, enrutamiento incorrecto],
duración de las solicitudes con éxito, duración de las solicitudes canceladas,
duración de las solicitudes que han excedido el límite de tiempo, número de
conexiones de la KSN tomadas de la memoria caché, número de conexiones a la KSN con
éxito, número de conexiones a la KSN sin éxito, número de transacciones con éxito,
número de transacciones sin éxito, duración de las conexiones a la KSN con éxito,
duración de las conexiones a la KSN sin éxito, duración de las transacciones con
éxito, duración de las transacciones sin éxito);
- Si se detecta un objeto potencialmente malicioso, se proporciona información
sobre los datos de la memoria del proceso: los elementos de la jerarquía de objetos
del sistema (ObjectManager), los datos de la memoria UEFI BIOS, los nombres de las
claves del registro y sus valores.
- Información sobre los eventos en los registros de los sistemas: la fecha y la
hora del evento, el nombre del registro en el que se encontró el evento, el tipo y
la categoría del evento, el nombre de la fuente del evento y la descripción del
mismo.
- Información sobre las conexiones de red: la versión y las sumas de comprobación
(MD5, SHA2-256, SHA1) del archivo desde el que se inició el proceso de apertura del
puerto, la ruta de acceso al archivo del proceso y su firma digital, las
direcciones IP locales y remotas, el número de puertos de conexión local y remota,
el estado de conexión, la fecha y la hora de la apertura del puerto.
- Información sobre la fecha de instalación y activación del Software en el
Ordenador: el identificador del socio a quien se compró la licencia, el número de
serie de la licencia, el encabezado firmado del ticket del servicio de activación
(identificador del centro de activación regional, suma de comprobación del código
de activación, suma de comprobación del ticket, fecha de creación del ticket,
identificador único del ticket, versión del ticket, estado de la licencia, fecha y
hora de inicio/finalización de validez del ticket, identificador único de la
licencia, versión de la licencia), el identificador del certificado utilizado para
firmar el encabezado del ticket, la suma de comprobación (MD5) del archivo clave,
el identificador único para la instalación del Software en el Ordenador, el tipo y
el identificador de la aplicación que se está actualizando, el identificador del
trabajo de actualización;
- Información sobre el conjunto de todas las actualizaciones instaladas y el
conjunto de actualizaciones instaladas o eliminadas recientemente, el tipo de
evento que provocó el envío de la información de actualización, el tiempo
transcurrido desde la instalación de la última actualización, información sobre las
bases de datos antivirus instaladas actualmente.
- Información sobre la operación del Software en el Ordenador: los datos de uso de
la CPU, los datos de uso de la memoria (bytes privados, grupo no paginado, grupo
paginado), el número de subprocesos del Software activos y de subprocesos en estado
de espera, la duración de la operación del Software antes de que ocurriese el
error, un indicador de si el Software está operando en modo interactivo;
- Número de volcados de software y volcados del sistema (BSOD) desde que se instaló
el Software y desde el momento de la última actualización, el identificador y la
versión del módulo de Software que se bloqueó, la pila de memoria en el proceso del
Software y la información sobre las bases de datos antivirus en el momento del
bloqueo.
- Datos del volcado del sistema (BSOD): un indicador que muestra la incidencia del
BSOD en el Ordenador, el nombre del controlador que provocó el BSOD, la dirección y
la pila de memoria del controlador, un indicador que muestra la duración de la
sesión del SO antes de que se produjera el BSOD, la pila de memoria del controlador
que se bloqueó, el tipo de volcado de memoria almacenada, el indicador de la sesión
del SO antes de que el BSOD durara más de diez minutos, identificador único del
volcado, la fecha y la hora del BSOD.
- Información sobre errores o problemas de rendimiento que se produjeron durante la
operación de los componentes del Software: el ID de estado del Software, el tipo de
error, el código y la causa, así como el momento en el que ocurrió el error, los ID
del componente, el módulo y el proceso del producto en el que ocurrió el error, el
ID de la tarea o la categoría de actualización durante la que ocurrió el error, los
registros de los controladores utilizados por el Software (código de error, nombre
de módulo, nombre del archivo de origen y la línea donde ocurrió el error);
- Información sobre actualizaciones de las bases de datos antivirus y los
componentes del Software: el nombre, la fecha y la hora de los archivos índice
descargados durante la última actualización y que se descargan durante la
actualización actual;
- Información sobre la terminación anormal de la operación del Software: la fecha y
la hora de la creación del volcado, su tipo, el tipo de evento que causó la
terminación anormal de la operación del Software (apagado inesperado, fallo de la
aplicación de terceros), la fecha y la hora del apagado inesperado;
- Información sobre la compatibilidad de los controladores del Software con
hardware y Software: información sobre las propiedades del sistema operativo que
restringen la funcionalidad de los componentes del Software (arranque seguro, KPTI,
WHQL Enforce, BitLocker, sensibilidad de mayúsculas y minúsculas), tipo de Software
de descarga instalado (UEFI, BIOS), el identificador del Módulo de Plataforma de
Confianza (TPM), la versión de la especificación del TPM, la información sobre la
CPU instalada en el Ordenador, el modo de funcionamiento y los parámetros de la
integridad de código y el Device Guard, el modo de funcionamiento de los
controladores y la razón para el uso del modo actual, la versión de los
controladores del Software, el estado de soporte de virtualización de hardware y
software del Ordenador;
- Información sobre las aplicaciones de terceros que provocaron el error: el
nombre, la versión y la localización, el código de error e información sobre el
error del registro del sistema de aplicaciones, la dirección del error y la pila de
memoria de la aplicación de terceros, un indicador que muestra la incidencia del
error en el componente de Software, el tiempo durante el que la aplicación de
terceros estaba en funcionamiento antes de que se produjera el error, las sumas de
comprobación (MD5, SHA2-256, SHA1) de la imagen del proceso de la aplicación en el
que se produjo el error, la ruta a la imagen del proceso de la aplicación y el
código de la plantilla de la ruta, información del registro del sistema con una
descripción del error asociado con la aplicación, información sobre el módulo de la
aplicación, en el que se produjo un error (el identificador de la excepción, la
dirección de la memoria de bloqueo como un desplazamiento en el módulo de la
aplicación, el nombre y la versión del módulo, el identificador del bloqueo de la
aplicación en el complemento del Titular de los derechos y la pila de memoria del
bloqueo, la duración de la sesión de la aplicación antes de que se produjera el
bloqueo).
- La versión del componente de actualización de Software, el número de bloqueos del
componente de actualización mientras se ejecuta tareas de actualización durante la
vida útil del componente, el ID del tipo de tarea de actualización, el número de
intentos fallidos del componente de actualización para completar las tareas de
actualización.
- Información sobre el funcionamiento de los componentes de supervisión del sistema
de Software: las versiones completas de los componentes, la fecha y la hora en la
que se iniciaron los componentes, el código del evento que desbordó la cola de
eventos y el número de tales eventos, el número total de eventos de desbordamiento
de cola, información sobre el archivo del proceso del iniciador del evento (el
nombre del archivo y su ruta en el Ordenador, el código de plantilla de la ruta del
archivo, las sumas de comprobación [MD5, SHA2-256, SHA1] del proceso asociado al
archivo, la versión del archivo), el identificador de la intercepción del evento
que se ha producido, la versión completa del filtro de la intercepción, el
identificador del tipo de evento interceptado, el tamaño de la cola de eventos y el
número de eventos entre el primer evento en la cola y el evento actual, el número
de eventos retrasados en la cola, información sobre el archivo del proceso del
iniciador del evento actual (el nombre del archivo y su ruta en el Ordenador, el
código de plantilla de la ruta del archivo, las sumas de comprobación [MD5, SHA2-
256, SHA1] del proceso asociado al archivo), la duración del procesamiento del
evento, la duración máxima del procesamiento del evento, la probabilidad de enviar
estadísticas, información sobre eventos del sistema operativo para los que se
excedió el tiempo límite (la fecha y hora del evento, el número de inicializaciones
repetidas de las bases de datos antivirus, la fecha y hora de la última
inicialización repetida de las bases de datos antivirus tras su actualización, el
tiempo de retraso del procesamiento del evento para cada componente de supervisión
del sistema, el número de eventos en cola, el número de eventos procesados, el
número de eventos retrasados del tipo actual, el tiempo total retrasado para los
eventos del tipo actual, el tiempo total retrasado de todos los eventos);
- Información de la herramienta de seguimiento de eventos de Windows (Event Tracing
para Windows, ETW) en caso de problemas de rendimiento del software, proveedor de
eventos SysConfig / SysConfigEx / Win SATAssessment de Microsoft: información sobre
el Ordenador (modelo, fabricante, diseño de la carcasa, versión), información sobre
las métricas de rendimiento de Windows (evaluaciones de WinSAT, índice de
rendimiento de Windows), nombre de dominio, información sobre procesadores lógicos
y físicos (número de procesadores lógicos y físicos, fabricante, modelo, nivel de
revisión, número de núcleos, frecuencia de reloj, CPUID, características de la
memoria caché, características del procesador lógico, indicadores de modos
soportados e instrucciones), información sobre módulos RAM (tipo, diseño,
fabricante, modelo, capacidad, granularidad de la asignación de memoria),
información sobre interfaces de red (direcciones IP y direcciones MAC, nombre,
descripción, configuración de interfaces de red, desglose del número y tamaño de
paquetes de red por tipo, velocidad de intercambio de red, desglose del número de
errores de red por tipo), configuración del controlador IDE, direcciones IP de los
servidores DNS, información sobre la tarjeta de vídeo (modelo, descripción,
fabricante, compatibilidad, capacidad de memoria de vídeo, permiso de pantalla,
número de bits por píxel, versión del BIOS), información sobre dispositivos plug-
and-play (nombre, descripción, identificador del dispositivo [PnP, ACPI],
información sobre discos y dispositivos de almacenamiento (número de discos o
unidades flash, fabricante, modelo, capacidad de disco, número de cilindros, número
de pistas por cilindro, número de sectores por pista, capacidad del sector,
características de la memoria caché, número secuencial, número de particiones,
configuraciones del controlador SCSI), información sobre discos lógicos (número
secuencial, capacidad de la partición, capacidad del volumen, letra del volumen,
tipo de partición, tipo del sistema de archivo, número de clústeres, tamaño del
clúster, número de sectores por clúster, número de clústeres vacíos y ocupados,
letra de volumen de arranque, dirección de desplazamiento de la partición en
relación con el inicio del disco), información sobre la placa base del BIOS
(fabricante, fecha de publicación, versión), información sobre la placa base
(fabricante, modelo, tipo), información sobre la memoria física (capacidad libre y
compartida), información sobre los servicios del sistema operativo (nombre,
descripción, estado, etiqueta, información sobre procesos [nombre y PID]),
parámetros de consumo de energía del Ordenador, configuración del controlador de
interrupción, ruta a las carpetas de sistema de Windows (Windows y System32),
información sobre el sistema operativo (versión, compilación, fecha de publicación,
nombre, tipo, fecha de instalación), tamaño del archivo de página, información
sobre monitores (número, fabricante, permiso de pantalla, capacidad de resolución,
tipo), información sobre el controlador de la tarjeta de vídeo (fabricante, fecha
de publicación, versión);
- Información de la ETW, proveedores de eventos EventTrace / EventMetadata de
Microsoft: información sobre la secuencia de eventos del sistema (tipo, hora,
fecha, zona horaria), metadatos sobre el archivo con resultados de seguimiento
(nombre, estructura, parámetros de seguimiento, desglose del número de operaciones
de seguimiento por tipo), información sobre el sistema operativo (nombre, tipo,
versión, compilación, fecha de publicación, hora de inicio);
- Información de la ETW, proveedores de eventos Process / Microsoft Windows Kernel
Process/Microsoft Windows Kernel Processor Power de Windows: información sobre
procesos iniciados y completados (nombre, PID, parámetros de inicio, línea de
comando, código de retorno, parámetros de administración de energía, hora de inicio
y finalización, tipo de token de acceso, SID, ID de la sesión, número de
descriptores instalados), información sobre cambios en las prioridades de
subprocesos (TID, prioridad, hora), información sobre operaciones de disco del
proceso (tipo, hora, capacidad, número), historial de cambios de la estructura y la
capacidad de los procesos de memoria utilizables;
- Información de la ETW, proveedores de eventos StackWalk / Perfinfo de Microsoft:
información sobre contadores de rendimiento (rendimiento de secciones de código
individuales, secuencia de llamadas a funciones, PID, TID, direcciones y atributos
de las rutinas de servicio de interrupción (ISR) y llamadas de procedimiento
diferido (DPC));
- Información de la ETW, proveedor de eventos KernelTraceControl-ImageID de
Microsoft: información sobre archivos ejecutables y librerías dinámicas (nombre,
tamaño de imagen, ruta completa), información sobre archivos PDB (nombre,
identificador), datos de origen VERSIONINFO para archivos ejecutables (nombre,
descripción, creador, ubicación, versión e identificador de aplicación, versión e
identificador de archivo);
- Información de la ETW, proveedor de eventos FileIo / DiskIo / Image / Windows
Kernel Disk de Microsoft: información sobre operaciones de archivos y discos (tipo,
capacidad, hora de inicio, hora de finalización, duración, estado de finalización,
PID, TID, direcciones de llamada de la función del controlador, Paquete de
Solicitud de I/O (IRP), atributos del objeto de archivo de Windows), información
sobre archivos involucrados en operaciones de archivos y discos (nombre, versión,
tamaño, ruta completa, atributos, desplazamiento, suma de comprobación de imagen,
opciones de apertura y acceso);
- Información de la ETW, proveedor de eventos PageFault de Microsoft: información
sobre errores de acceso de la página de memoria (dirección, hora, capacidad, PID,
TID, atributos del objeto de archivo de Windows, parámetros de asignación de
memoria);
- Información de la ETW, proveedor de eventos Thread de Microsoft: información
sobre la creación/finalización de subprocesos, información sobre subprocesos
iniciados (PID, TID, tamaño de pila, prioridades y asignación de recursos de la
cPU, recursos de I/O, páginas de memoria entre subprocesos, dirección de la pila,
dirección de la función init, dirección del Thread Environment Block (TEB),
etiqueta de servicio de Windows);
- Información de la ETW, proveedor de eventos Microsoft Windows Kernel Memory de
Microsoft: información sobre las operaciones de administración de memoria (estado
de finalización, hora, cantidad, PID), estructura de asignación de memoria (tipo,
capacidad, ID de la sesión, PID);
- Información sobre el funcionamiento del Software en caso de problemas de
rendimiento: identificador de instalación del Software, tipo y valor de la caída en
el rendimiento, información sobre la secuencia de eventos dentro del Software
(hora, zona horaria, tipo, estado de finalización, identificador del componente del
Software, identificador del escenario operativo del Software, TID, PID, direcciones
de llamadas de función), información sobre conexiones de red que se deben comprobar
(URL, dirección de la conexión, tamaño del paquete de red), información sobre
archivos PDB (nombre, identificador, tamaño de imagen del archivo ejecutable),
información sobre archivos que se van a comprobar (nombre, ruta completa, suma de
comprobación), parámetros de seguimiento de rendimiento del Software;
- Información sobre el último reinicio del SO incorrecto: el número de reinicios
incorrectos desde la instalación del SO, los datos en el volcado del sistema (el
código y los parámetros de un error, el nombre, la versión y la suma de
comprobación [CRC32] del módulo que provocó un error en el funcionamiento del SO,
la dirección del error como desplazamiento en el módulo, las sumas de comprobación
[MD5, SHA2-256, SHA1] del volcado del sistema).
- Información para verificar la autenticidad de los certificados digitales que se
utilizan para firmar archivos: la huella digital del certificado, el algoritmo de
la suma de comprobación, la clave pública y el número de serie del certificado, el
nombre del emisor del certificado, el resultado de la validación del certificado y
el identificador de la base de datos del certificado.
- Información sobre el proceso que ejecuta el ataque sobre la capacidad del
Software para defenderse a sí mismo: el nombre y el tamaño del archivo de proceso,
sus sumas de comprobación (MD5, SHA2-256, SHA1), la ruta completa al archivo de
proceso y el código de plantilla de la ruta del archivo, la fecha y la hora de
creación/compilación, el código de tipo de archivo del proceso, el indicador del
archivo ejecutable, los atributos del archivo de proceso, información sobre el
certificado que se ha utilizado para firmar el archivo de proceso, el tipo de
cuenta utilizada para realizar la actividad sospechosa dentro del proceso o
subproceso, los ID de las operaciones realizadas para acceder al proceso, el tipo
de recurso con el que se realiza la operación (el proceso, el archivo, el objeto de
registro, la función de búsqueda FindWindow), el nombre del recurso con el que se
realiza la operación, el indicador que muestra el éxito de la operación, el estado
del archivo del proceso y su firma de conformidad con la KSN;
- Información sobre el Software del Titular de los derechos: su versión completa,
el tipo, el idioma local y el estado de funcionamiento, la versión de los
componentes de Software instalados y su estado de funcionamiento, información sobre
las actualizaciones instaladas, el valor del filtro TARGET, la versión del
protocolo utilizado para conectarse con los servicios del Titular de los derechos;
- Información sobre el hardware instalado en el Ordenador: el tipo, el nombre, el
nombre del modelo, la versión del firmware, los parámetros de los dispositivos
integrados y conectados, el identificador único del Ordenador con el Software
instalado.
- Información sobre las versiones del sistema operativo y las actualizaciones
instaladas, el tamaño de la palabra, la edición y los parámetros del modo de
ejecución del sistema operativo, la versión y las sumas de comprobación (MD5, SHA2-
256, SHA1) del archivo del kernel del sistema operativo, y la fecha y la hora de
inicio del sistema operativo.

Además, para lograr el objetivo declarado de aumentar la eficacia de la protección

proporcionada por el Software, el Titular de los derechos puede recibir objetos que
los intrusos podrían explotar para dañar el Ordenador y crear amenazas de seguridad
de la información. Entre tales objetos se incluyen los siguientes:
- Archivos ejecutables y no ejecutables, o bien partes de estos.
- Partes de la RAM del ordenador.
- Sectores involucrados en el proceso de arranque del sistema operativo.
- Paquetes de datos de tráfico de red.
- Páginas web y correos electrónicos que contienen objetos sospechosos y
maliciosos.
- Descripción de las clases e instancias de clases del repositorio WMI.
- Informes de actividad de la aplicación.

Tales informes de actividad de la aplicación contienen los siguientes datos sobre

los archivos y procesos:
- El nombre, el tamaño y la versión del archivo que se envía, su descripción y las
sumas de comprobación (MD5, SHA2-256, SHA1), el identificador del formato de
archivo, el nombre del proveedor del archivo, el nombre del producto al que
pertenece el archivo, la ruta completa en el Ordenador, el código de plantilla de
la ruta de archivo, la fecha y la hora de la creación y modificación del archivo.
- La fecha y la hora de inicio y finalización del periodo de validez del
certificado (si el archivo tiene una firma digital), la fecha y la hora de la
firma, el nombre del emisor del certificado, información sobre el titular del
certificado, la huella digital, la clave pública del certificado y los algoritmos
apropiados, y el número de serie del certificado.
- El nombre de la cuenta desde la que se ejecuta el proceso.
- Sumas de comprobación (MD5, SHA2-256, SHA1) del nombre del Ordenador en el que se
ejecuta el proceso.
- Títulos de las ventanas de proceso.
- El identificador de las bases de datos antivirus, el nombre de la amenaza
detectada según la clasificación del Titular de los derechos.
- Los datos sobre la licencia instalada, su identificador, el tipo y la fecha de
caducidad.
- Hora local del Ordenador en el momento de la provisión de información.
- Nombres y rutas de los archivos a los que se accedieron mediante el proceso.
- Nombres de las claves del registro y sus valores a los que se accedieron mediante
el proceso.
- Direcciones URL y direcciones IP a las que se accedieron mediante el proceso.
- Direcciones URL y direcciones IP desde las que se descargó el archivo ejecutable.

Además, para lograr el objetivo declarado con respecto a la prevención de falsos

positivos, el Titular de los derechos puede recibir archivos ejecutables y no
ejecutables de confianza, o bien partes de estos.

Proporcionar la información anterior a la KSN es un acto voluntario. Después de

instalar el Software, el Usuario final puede en cualquier momento activar o
desactivar el uso de la KSN en la configuración del Software tal como se describe
en el Manual del usuario.

© 2018 AO Kaspersky Lab. Todos los derechos reservados.