¿Qué es el malware?
Malware, abreviatura de software malicioso, es un término genérico para virus, gusanos, troyanos y otros programas informáticos dañinos que los hackers utilizan para sembrar la destrucción y acceder a información confidencial. En otras palabras, el software se identifica como malicioso en función de su uso malintencionado previsto, y no de una técnica o tecnología concreta utilizada para crearlo.
Esto significa que la cuestión de, por ejemplo, cuál es la diferencia entre un malware y un virus no viene al caso: un virus es un tipo de malware, por lo que todos los virus son malware (pero no todos los malware son virus).
Historia del malware
El malware tiene una larga historia, que se remonta a los disquetes infectados que intercambiaban los aficionados a Apple II en los años 80 y al gusano Morris, que se propagó por las máquinas Unix en 1988.
Otros ataques de malware de gran repercusión a lo largo de los años han sido:
ILOVEYOU, un gusano que se propagó como la pólvora en 2000 y causó daños por valor de más de 15.000 millones de dólares.
SQL Slammer, que paralizó el tráfico de Internet en cuestión de minutos tras su rápida propagación en 2003.
Conficker, un gusano que se aprovechaba de fallos sin parche en Windows y utilizaba diversos vectores de ataque -desde la inyección de código malicioso hasta correos electrónicos de phishing- para acabar descifrando contraseñas y secuestrando dispositivos Windows para convertirlos en una red de bots.
Zeus, un troyano registrador de pulsaciones de teclado de finales de los años 00 que se centraba en la información bancaria.
CryptoLocker, el primer ataque generalizado de ransomware, cuyo código sigue siendo reutilizado en proyectos de malware similares.
Stuxnet, un gusano extremadamente sofisticado que infectó ordenadores de todo el mundo, pero que sólo causó daños reales en un lugar: las instalaciones nucleares iraníes de Natanz, donde destruyó centrifugadoras de enriquecimiento de uranio, misión para la que fue creado por las agencias de inteligencia estadounidenses e israelíes.
Ryuk, ransomware dirigido a organizaciones vulnerables susceptibles de pagar un rescate, incluidos hospitales y gobiernos. Suele distribuirse a través del troyano TrickBot.
¿Cómo se producen las infecciones por malware?
Las infecciones por malware se producen en dos fases: Primero está la infección inicial (cómo el malware entra en un ordenador o red) y luego el malware se propaga.
Según el informe M-Trends de Mandiant para 2024, los exploits fueron el principal vector de infección inicial en 2023, utilizados en el 38 % de los ataques, seguidos del phishing (17 %), el compromiso previo (15 %), el robo de credenciales (10 %) y la fuerza bruta (6 %) para completar los cinco primeros.
Cómo se propaga el malware
Es probable que haya oído utilizar indistintamente las palabras virus, troyano y gusano. En realidad, estos términos describen tres tipos diferentes de malware, que se distinguen entre sí por el proceso mediante el cual se reproducen y propagan.
Un gusano es una pieza independiente de software malicioso que se reproduce a sí misma y se propaga de un ordenador a otro. Los creadores de los gusanos conocen las vulnerabilidades de los sistemas operativos, y un programa gusano las busca en los ordenadores a los que puede acceder desde donde se esté ejecutando y hace copias de sí mismo en esas máquinas inseguras. Algunos de los primeros gusanos se diseñaron para copiarse a sí mismos en disquetes y otros soportes extraíbles, y luego volver a copiarse cuando ese disco se insertaba en un nuevo ordenador, pero hoy en día la mayoría de los gusanos buscan ordenadores vulnerables conectados a su anfitrión a través de una red corporativa o de Internet.
Un virus es un fragmento de código informático que se inserta en el código de otro programa independiente y fuerza a éste a realizar acciones maliciosas y propagarse. El programa infectado se propaga de la misma forma que un gusano, buscando vulnerabilidades en otros ordenadores a los que puede acceder a través de Internet o de una red local. Pero el código del virus se esconde dentro de programas que parecen legítimos, por lo que hay otros vectores por los que podría propagarse: si un hacker puede infectar una aplicación en su origen, una aplicación que incluya código de virus podría estar disponible para su descarga en repositorios de código abierto, tiendas de aplicaciones o incluso en los propios servidores del fabricante del software.
Un troyano es un programa que no puede activarse por sí mismo, sino que se hace pasar por algo que el usuario desea y le engaña para que lo abra mediante técnicas de ingeniería social. A menudo, los troyanos llegan como adjuntos de correo electrónico con nombres como "sueldo.xls" o "currículum.doc", con el código malicioso acechando como una macro de Microsoft Office. Una vez que se ejecuta, una de sus primeras tareas es propagarse, por lo que puede secuestrar el cliente de correo electrónico y enviar más copias de sí mismo a posibles víctimas.
El malware también puede ser instalado en un ordenador "manualmente" por los propios atacantes, ya sea obteniendo acceso físico al ordenador o utilizando la escalada de privilegios para obtener acceso de administrador remoto.
¿Cuáles son los tipos de malware?
Hay varias formas de clasificar el malware; la primera es por cómo se propaga el software malicioso. Ya hemos tratado este tema en la sección anterior sobre cómo se producen las infecciones de malware.
Otra forma de clasificar el malware es por lo que hace una vez que ha infectado con éxito los ordenadores de sus víctimas. Existe una amplia gama de posibles técnicas de ataque utilizadas por el malware:
El spyware, como su nombre indica, es un software que espía su comportamiento cuando utiliza el ordenador y los datos que envía y recibe, normalmente con el fin de enviar esa información a terceros. Un keylogger es un tipo específico de spyware que registra todas las pulsaciones de teclado que realiza un usuario, lo que resulta ideal para robar contraseñas.
Un rootkit es un malware que ataca el sistema operativo subyacente para dar al atacante el control definitivo. Su nombre se debe a que se trata de un conjunto de herramientas que (generalmente de forma ilícita) obtienen acceso root (control a nivel de administrador, en términos de Unix) sobre el sistema objetivo y utilizan ese poder para ocultar su presencia.
El adware es un programa malicioso que obliga al navegador a redirigir al usuario a anuncios de Internet, que a menudo intentan descargar software aún más malicioso. Como señala The New York Times, el adware suele ir a remolque de tentadores programas "gratuitos", como juegos o extensiones del navegador.
El ransomware es un tipo de malware que cifra los archivos del disco duro y exige un pago, normalmente en Bitcoin, a cambio de la clave de descifrado. Varios de los brotes de malware más conocidos de los últimos años, como Petya, son ransomware. Sin la clave de descifrado, es matemáticamente imposible que las víctimas recuperen el acceso a sus archivos. El llamado scareware es una especie de versión en la sombra del ransomware; afirma haber tomado el control de su ordenador y exige un rescate, pero en realidad sólo está utilizando trucos como bucles de redirección del navegador para que parezca que ha hecho más daño del que realmente ha hecho, y a diferencia del ransomware puede desactivarse con relativa facilidad.
El cryptojacking es otra forma en que los atacantes pueden forzarle a suministrarles Bitcoin, sólo que funciona sin que usted lo sepa necesariamente. El malware de minería de criptomonedas infecta su ordenador y utiliza sus ciclos de CPU para minar Bitcoin en beneficio de su atacante. El software de minería puede ejecutarse en segundo plano en su sistema operativo o incluso como JavaScript en una ventana del navegador.
El malvertising es el uso de anuncios legítimos o redes publicitarias para introducir de forma encubierta malware en los ordenadores de usuarios desprevenidos. Por ejemplo, un ciberdelincuente puede pagar para colocar un anuncio en un sitio web legítimo. Cuando un usuario hace clic en el anuncio, el código del mismo le redirige a un sitio web malicioso o instala malware en su ordenador. En algunos casos, el malware incrustado en un anuncio puede ejecutarse automáticamente sin ninguna acción por parte del usuario, una técnica conocida como "drive-by download".
Un troyano de acceso remoto (RAT) es un malware que permite al atacante controlar el ordenador de la víctima, de forma similar a como el software de acceso remoto legítimo permite a los empleados del servicio de asistencia tomar el control de los escritorios de los usuarios para solucionar problemas; en esencia, se trata de rootkits que se propagan como troyanos.
Un downloader es un tipo de troyano que, como su nombre indica, descarga otras piezas de malware (a veces en múltiplos).
El malware polimórfico, también conocido como malware mutante, cambia para evitar ser detectado por el software antivirus y de detección de intrusos. El gusano Storm es un ejemplo de ello.
Cualquier pieza específica de malware tiene tanto un medio de infección como una categoría de comportamiento. Así, por ejemplo, WannaCry es un gusano ransomware. Y un malware concreto puede tener diferentes formas con diferentes vectores de ataque: por ejemplo, el malware bancario Emotet se ha detectado en la naturaleza como troyano y como gusano.
Identificación de indicios de malware
Es totalmente posible -y quizás incluso probable- que su sistema se infecte por malware en algún momento a pesar de sus mejores esfuerzos. ¿Cómo saberlo con seguridad? El experto en seguridad Roger Grimes tiene una guía excelente sobre los signos reveladores de que ha sido pirateado, que pueden ir desde una disminución repentina del rendimiento del equipo hasta movimientos inesperados del puntero del ratón. También ha escrito un artículo sobre cómo diagnosticar y detectar malware en equipos Windows que puede resultarte útil.
Cuando se llega al nivel de las TI corporativas, también existen herramientas de visibilidad más avanzadas que se pueden utilizar para ver lo que ocurre en las redes y detectar infecciones de malware. La mayoría de los programas maliciosos utilizan la red para propagarse o enviar información a sus controladores, por lo que el tráfico de red contiene señales de infección de programas maliciosos que, de otro modo, podrían pasar desapercibidas. También existen herramientas SIEM, que evolucionaron a partir de los programas de gestión de registros; estas herramientas analizan los registros de varios ordenadores y dispositivos de toda la infraestructura en busca de señales de problemas, incluida la infección por malware. Los proveedores de SIEM van desde incondicionales del sector como IBM y HP Enterprise hasta especialistas más pequeños como Splunk y Alien Vault.
Cómo prevenir el malware
Gran parte de la prevención del malware se reduce a una buena higiene cibernética. Como mínimo, deberías seguir estos 7 pasos:
Imparta formación periódica sobre seguridad a los usuarios
Disponga de un sólido programa de gestión de parches
Mantenga actualizado el software
Mantenga actualizado el inventario de activos
Realice evaluaciones periódicas de vulnerabilidades
Supervise el tráfico de red
Mantenga buenas copias de seguridad
Dado que el spam y el correo electrónico de phishing son sistemáticamente uno de los principales vectores por los que el malware infecta los ordenadores, una de las mejores formas de prevenir el malware es asegurarse de que sus sistemas de correo electrónico están bien bloqueados y de que sus usuarios saben cómo detectar el peligro. Recomendamos una combinación de comprobación cuidadosa de los documentos adjuntos y restricción de las conductas potencialmente peligrosas de los usuarios, así como familiarizar a los usuarios con las estafas de phishing más comunes para que pongan en marcha su sentido común.
Cuando se trata de medidas preventivas más técnicas, hay una serie de pasos que puedes dar, como mantener todos tus sistemas parcheados y actualizados, llevar un inventario del hardware para saber qué necesitas proteger y realizar evaluaciones continuas de vulnerabilidad en tu infraestructura. Para los ataques de ransomware en particular, una forma de estar preparado es hacer siempre copias de seguridad de sus archivos, asegurándose de que nunca tendrá que pagar un rescate para recuperarlos si su disco duro está cifrado.
Protección contra malware
El software antivirus es el producto más conocido en la categoría de productos de protección contra malware; a pesar de que "virus" está en el nombre, la mayoría de las ofertas se ocupan de todas las formas de malware. Aunque los profesionales de la seguridad de alto nivel lo tachan de obsoleto, sigue siendo la columna vertebral de la defensa antimalware básica. El mejor software antivirus actual es el de Kaspersky Lab, Symantec y Trend Micro, según pruebas recientes de AV-TEST.
Cuando se trata de redes corporativas más avanzadas, las ofertas de seguridad para puntos finales proporcionan una defensa en profundidad contra el malware. No sólo proporcionan la detección de malware basada en firmas que se espera de un antivirus, sino también antispyware, cortafuegos personal, control de aplicaciones y otros estilos de prevención de intrusiones en el host. Gartner ofrece una lista de sus principales selecciones en este ámbito, que incluye productos de Cylance, CrowdStrike y Carbon Black.
Eliminación de malware
Cómo eliminar el malware una vez infectado es, de hecho, la pregunta del millón. La eliminación del malware es un asunto delicado, y el método puede variar en función del tipo al que nos enfrentemos. CSO tiene información sobre cómo eliminar o recuperarse de rootkits, ransomware y cryptojacking. También tenemos una guía para auditar el registro de Windows y averiguar cómo seguir adelante.
Si buscas herramientas para limpiar tu sistema, Tech Radar tiene un buen resumen de ofertas gratuitas, que contiene algunos nombres conocidos del mundo de los antivirus junto con recién llegados como Malwarebytes.
Fuente: CSO
コメント