¿Qué es el malware?

Definición

El término “malware” se usa para designar a una amplia gama de programas malintencionados que se insertan e instalan en los sistemas y servidores de los usuarios finales. Estos ataques están diseñados para dañar un ordenador, una red de ordenadores o un servidor, y son usados por ciberdelincuentes para obtener datos para conseguir ganancias financieras.

Un fragmento de código de inicialización variable de la gran variedad de cadenas codificadas

Historia del malware

La mayoría de los historiadores de la informática coinciden en que el primer virus fue creado en 1970. El gusano “Creeper” (en español: “Enredadera”) se autorreplicaba y se copiaba a sí mismo en la ARPANET (una primera versión de internet). Cuando se activaba, mostraba el mensaje: “Soy la enredadera, ¡atrápame si puedes!”.

El término “virus” no apareció hasta 1986, cuando un estudiante de doctorado, llamado Fred Cohen, describió un virus informático como un programa capaz de infectar a otros programas y crear una versión evolucionada de sí mismo. La mayoría de los primeros virus destruían archivos o infectaban los sectores de arranque. Los sofwares maliciosos de hoy en día son mucho más siniestros, y están diseñados para robar datos, espiar a empresas, crear condiciones de denegación de servicio o bloquear archivos para extorsionar dinero a las víctimas.

Tipos de malware

Los tipos de programas de malware caen dentro de categorías bien definidas, como:

  • Ransomware: Cifra los archivos, que no se pueden recuperar a menos que la víctima pague un rescate. Los ataques de ransomware son enormemente comunes hoy en día.
  • Adware: Muestra anuncios (a veces son anuncios malintencionados) a los usuarios cuando estos trabajan en sus ordenadores o navegan por internet.
  • Malware sin archivos: En vez de usar un archivo ejecutable para infectar a sistemas informáticos, el malware sin archivos usa macros de Microsoft Office, scripts de WMI (Windows Management Instrumentation), scripts de PowerShell y otras herramientas de gestión.
  • Virus: Un virus infecta a un ordenador y despliega una amplia gama de cargas útiles diferentes. Puede corromper archivos, destruir sistemas operativos, eliminar o desplazar archivos o desplegar una carga útil en una fecha dada.
  • Gusanos: Un gusano es un virus autorreplicante, pero que no afecta a archivos locales, sino que se propaga a otros sistemas y agota los recursos.
  • Troyanos: Los troyanos se llaman así en memoria de la estrategia militar griega, en la que los soldados aqueos usaron un caballo de madera (el Caballo de Troya), para poder entrar a la ciudad de Troya sin ser detectados. El malware se hace pasar por un programa inofensivo, pero se ejecuta en segundo plano, robándose los datos y permitiendo el control remoto del sistema, o esperando una orden por parte del atacante para desplegar una carga útil.
  • Bots: Los ordenadores infectados pueden convertirse en parte de una botnet que se utiliza para lanzar un ataque denegación de servicio distribuido, mediante el envío de un enorme volumen de tráfico a un anfitrión específico.
  • Spyware: Es malware que se instala, recopila datos sigilosamente y los envía a un atacante que continuamente “espía” a los usuarios y a sus actividades. El objetivo del spyware es recopilar tantos datos importantes como sea posible antes de ser detectado.
  • Puertas traseras: los usuarios remotos pueden acceder a un sistema, y posiblemente también trasladarse lateralmente. Los troyanos inyectan código para generar puertas traseras durante la instalación.
  • Troyanos de banca: Sirven para ver o robar credenciales bancarias o acceder a cuentas. Típicamente, manipulan a navegadores web para engañar a los usuarios y lograr que develen su información bancaria.
  • Keyloggers: Captan las pulsaciones de teclas cuando los usuarios escriben URL, credenciales e información personal, y se la envían al atacante.
  • RAT: Acrónimo del inglés “Remote Access Tools” (herramientas de acceso remoto), que les permiten a los atacantes obtener acceso remoto y controlar al dispositivo objetivo.
  • Descargadores: Descargan otros softwares maliciosos, basándose en una cierta cantidad de factores. El tipo de malware a utilizar depende de los motivos de los atacantes.
  • POS (punto de venta): Compromete un dispositivo de punto de venta para robar números de tarjeta de crédito, tarjetas de débito y números de PIN, historial de transacciones e información de contacto.
Email Security Policy Management Code Example

Técnicas de evasión del malware

La identificación de técnicas de evasión del malware es clave, porque cuando funciona, disminuye en gran medida la eficacia de las herramientas de seguridad. Proofpoint ofrece un paquete completo de protección contra el malware, y un subconjunto de estas técnicas de ataque al malware se incluyen a continuación:

  • Ofuscación de código: Usa codificación para esconder la sintaxis del código y evitar ser detectado.
  • Compresión de código: Usa formatos de compresión como gzip, zip, rar, etc.., para esconder código de los antivirus o antimalwares en mensajes de correo electrónico.
  • Cifrado de código: Aplicando encriptado para esconder sintaxis de código.
  • Esteganografía: Esconde código o software malicioso en imágenes.
  • Evasión de dominio o rango de IP: Identifica dominios o rangos de IP de compañías de seguridad y desactiva malware en ellos.
  • Detección de acciones de usuarios: Busca acciones como clics, movimientos de ratón y más.
  • Tiempo de retardo: Permanece dormido por un periodo de tiempo, para luego activarse.
  • Detección de archivos recientes: Busca acciones pasadas, como abrir o cerrar archivos desde diferentes aplicaciones.
  • Huellas en dispositivos: Solo se ejecuta en determinadas configuraciones de sistema.

Los atacantes pueden emplear una o más de estas tácticas de evasión para tener una oportunidad mayor de éxito, evitando ser detectado y funcionar solamente en sistemas ejecutados por humanos.

Estadísticas de malware

A partir de los confinamientos de la pandemia, los autores del malware han incrementado sus ataques para aprovecharse de malas prácticas de ciberseguridad. Los investigadores de AV-TEST detectan más de 450.000 nuevos programas malintencionados al día. En el 2021, AV-TEST registró más de 1.300 millones de aplicaciones de malware, en comparación con poco más de 182 aplicaciones de malware en 2013. Se estima que la cantidad de aplicaciones de malware existentes en 2022 duplicará a las del 2021.

Google ofrece un explorador de malware al público general para hallar páginas web malintencionadas y evitar que se indexen. Estos esfuerzos de búsqueda segura detectan que un 7% de las páginas web alojan malware o están infectadas con malware. Tan solo en el primer semestre de 2020 se detectaron 20 millones de ataques de malware, y el número sigue creciendo. Symantec estima que tres de cada cuatro dispositivos IoT infectados son routers.

¿Por qué se usa el Malware?

El hackeo es un negocio, y el malware es simplemente una de las herramientas que usan los hackers para robarse datos o controlar dispositivos. Los cibercriminales usan malware específico para ejecutar ciertas funciones. Por ejemplo, el ransomware es útil para extorsionar dinero a empresas, pero el Mirai se utiliza para controlar dispositivos IoT en un ataque de denegación de servicio distribuido (DDoS).

Por qué los atacantes usan malware:

  • Para lograr que los usuarios ingresen información personal de identificación (PII).
  • Robar información financiera, como números de tarjetas de crédito o cuentas bancarias.
  • Darles a los atacantes acceso remoto y control sobre dispositivos.
  • Usar recursos informáticos para minar bitcóin u otras criptomonedas.

¿Cómo puede entrar el malware en un dispositivo?

Un buen antivirus o antimalware evita que el malware infecte a un ordenador, así que los autores de malware desarrollan diversas estrategias para evadir a la ciberseguridad instalada en la red. Un usuario puede resultar víctima de diversos vectores de malware.

Cómo caer víctima del malware:

  • Descargando un instalador que instala un programa legítimo, pero el instalador también contiene malware.
  • Visitando una web con un navegador vulnerable (p. ej., Internet Explorer 6), y la web contiene un instalador de software malicioso.
  • Abriendo un correo electrónico de phishing y abriendo un script malintencionado que se usa para descargar e instalar malware.
  • Descargando un instalador de un proveedor no oficial e instala malware en vez de una aplicación legítima.
  • Haciendo clic en un anuncio en una página web que le convence de descargar malware.

¿Cómo puedo saber si tengo malware?

Incluso cuando el malware se ejecuta silenciosamente y en segundo plano en su ordenador, los recursos que utiliza y su carga útil son señales que indican una infección. A veces hace falta ser un usuario experto para poder detectar algunas infecciones, pero usted puede investigar más después de notar ciertas señales.

Algunas señales de que podría tener malware:

  • Ordenador lento: Algunos malwares, como los cryptojackers, precisan de una gran cantidad de CPU y de memoria para ejecutarse. Su ordenador estará inusualmente lento, incluso después de reiniciarlo.
  • Ventanas emergentes: El adware se incrusta en el sistema operativo, o su navegador muestra anuncios continuamente. Usted cierra un anuncio y otro se abre de inmediato.
  • Pantalla azul de la muerte: También conocido por el acrónimo BSOD (del inglés “Blue Screen Of Death”) consiste en que el sistema Windows se cuelga y muestra una pantalla azul que muestra un error, pero esto es algo que casi nunca ocurre. El que se produzcan problemas de BSOD constantemente podría significar que el ordenador tiene malware.
  • Exceso de almacenamiento o pérdida de memoria en disco: El malware podría eliminar datos, liberando gran cantidad de espacio de almacenamiento, o agregar varios gigabytes de datos al almacenamiento.
  • Actividad desconocida de internet: Su router muestra un exceso de actividad, incluso cuando usted deja de usar su conexión a internet.
  • Cambio en la configuración del navegador: El malware es capaz de cambiar las páginas de inicio o la configuración del buscador para redirigirle a páginas web de spam o páginas que contienen programas malintencionados.
  • El antivirus se desactiva: Algunos malwares están diseñados para desactivar los antivirus para inyectar su carga útil, y este se desactiva incluso después de haberlo activado manualmente.

¿Los móviles pueden infectarse de malware?

La mayoría de los ordenadores de sobremesa tienen antimalware instalado, ya sean de un tercero o suministrados por el sistema operativo. Los smartphones y las tablets no tienen la misma clase de protecciones instaladas de manera predeterminada, lo que los vuelve objetivos perfectos para los atacantes. La estrategia de instalar malware en smartphones se está volviendo cada vez más popular entre los atacantes. Apple y Android incluyen seguridad con el sistema operativo, pero no es suficiente como para detener a todo el malware.

Los smartphones contienen más datos privados que los ordenadores, debido a su mayor popularidad. Los usuarios llevan los móviles consigo a todas partes, así que estos contienen información financiera, ubicaciones de viajes, rastreo de GPS, historial de compras, historial de navegación y muchos más datos que podrían serle útiles a un atacante. Los usuarios tienen mayor probabilidad de instalar aplicaciones en sus smartphones, pensando que es más seguro que instalar software en un ordenador de sobremesa. Todos estos factores hacen que los smartphones sean objetivos más jugosos que los ordenadores de sobremesa para algunas amenazas.

Las amenazas pueden aprovecharse de la conexión constante de un smartphone a la wifi o los datos móviles, haciendo que la conexión a internet siempre esté disponible. Mientras el malware se ejecuta en segundo plano, puede cargar datos robados y credenciales furtivamente a un servidor controlado por el atacante, sin importar la ubicación del propietario del smartphone.

Prevención del malware

Los individuos y corporaciones deben tomar los pasos necesarios para proteger sus equipos tanto móviles como de sobremesa. Esto significa ejecutar software antimalware en ordenadores y dispositivos móviles, lo que reduce significativamente las amenazas de malware.

Más maneras de evitar que el malware afecte a los dispositivos:

  • Incluir autenticación multifactorial (MFA) tal como biometría (como huellas digitales o reconocimiento facial) o PIN de mensajes de texto.
  • Imponer reglas de uso de contraseñas seguras de alta complejidad y gran longitud, para forzar a los usuarios a crear contraseñas eficaces.
  • Obligar a los usuarios a cambiar sus contraseñas cada 30-45 días para reducir la ventana de oportunidad de un atacante para usar una cuenta vulnerada.
  • Usar cuentas de administrador solo cuando sea necesario para evitar tener que ejecutar software malicioso externo con privilegios de administrador.
  • Actualizar sistemas operativos y software con las más recientes actualizaciones tan pronto como los proveedores las lanzan.
  • Instalar sistemas de detección de intrusiones, cortafuegos y protocolos de cifrado de comunicaciones para evitar el espionaje de datos.
  • Usar seguridad para correo electrónico para bloquear mensajes sospechosos o que se determine que sean de phishing.
  • Monitorizar una red corporativa en busca de tráfico sospechoso.
  • Capacitar a los empleados para que identifiquen correos electrónicos malintencionados y eviten instalar software de fuentes no oficiales.

Cómo eliminar el malware

Si le parece que su ordenador puede tener malware, es necesario tomar medidas para eliminarlo. Para estaciones de trabajo empresariales, la eliminación de malware se puede hacer de manera remota con herramientas empresariales antivirus. Los malwares capaces de evadir los antivirus pueden precisar de métodos más sofisticados para su eliminación.

El primer paso de la eliminación es actualizar el software antimalware en el equipo y ejecutar un escaneo del sistema entero. Asegúrese de que su antimalware esté activado antes de comenzar un escaneo, porque algunos malwares los desactivan. Pueden transcurrir varios minutos antes de que un escaneo esté completo, así que es mejor dejar que se ejecute durante la noche.

Después de que el antimalware completa el escaneo, genera un informe de resultados. La mayoría de los software antivirus ponen en cuarentena a los archivos sospechosos y le preguntan qué desea hacer con ellos. Después del escaneo, reinicie el ordenador. El software antimalware debería tener una configuración que le indique que debe escanear periódicamente al ordenador cada semana. Escanear su ordenador según una cierta programación garantiza que el malware no quede instalado sin su conocimiento.

En el peor caso posible, habría que restablecer el ordenador a su configuración de fábrica. Si usted tiene un respaldo completo de su sistema operativo y sus archivos, podrá crear una imagen de este. La recreación de la imagen lo instala todo, incluyendo archivos, para que pueda recuperarse desde su último punto de almacenamiento. Si no tiene este tipo de respaldo, puede restablecer su PC a la configuración de fábrica. Recuerde que perderá todos los archivos y el software si hace esto, y que el ordenador quedará en el mismo estado en que lo compró.

Es importante asegurarse de que el malware se elimine completamente. Si usted no elimina completamente el malware de un entorno, este podría recodificarse para volver a infectar un ordenador recién escaneado y desinfectado. Para evitar que el malware vuelva a infectar a un ordenador, es importante tener siempre activadas las funciones de monitorización y protección de datos en todos los recursos de la red. Los sistemas de detección de intrusiones monitorizan activamente la red en busca de patrones de tráfico sospechosos y alertan a los administradores acerca de potenciales amenazas para evitar proactivamente que las incidencias de ciberseguridad se conviertan en filtraciones de datos.

Ataques de malware dentro de organizaciones

Han ocurrido ataques prácticamente en todas las verticales posibles. Si bien algunos criminales usan el software malicioso para atacar directamente a una empresa, hemos visto ataques que intentan evadir la distribución normal mediante archivos adjuntos de correo electrónico.

Los criminales han descubierto que las empresas que dependen del intercambio de documentos externos resultan buenas presas. Como todas las organizaciones dependen de las personas, los criminales han encontrado en ello una oportunidad para realizar ataques de malware contra empresas específicas mediante la función de RR. HH. Usando la carga directa o enviando currículos mediante páginas web de búsqueda de empleo, los atacantes han logrado enviar currículos directamente a los empleados, evitando un mecanismo clave de detección, la pasarela segura de correo electrónico.

Mujer ejecutiva explica una solución de seguridad de red a los empleados

Cómo puede ayudar Proofpoint

Proofpoint emplea diversas estrategias antimalware y herramientas de infraestructura que detienen a las amenazas antes de que estas puedan instalar e infectar al entorno entero. Nosotros adoptamos un enfoque estratificado hacia la ciberseguridad y la protección de su red.

Algunas estrategias que Proofpoint emplea para su seguridad empresarial:

  • Protección para correo electrónico y cuarentenas para archivos adjuntos de malware y phishing.
  • La protección contra ataques dirigidos (TAP, del inglés “Targeted Attack Protection”), detecta y bloquea ransomware, archivos y documentos adjuntos malintencionados de correo electrónico, y también URL.
  • Protección para la información y gestión sencilla de contenidos sensibles.
  • Cifrado de las comunicaciones.
  • Extracción automática en respuesta a amenazas (TRAP, del inglés “Threat Response Auto Pull”) de malware potencial enviado en el correo electrónico o alojado en una página web malintencionada.
  • Inteligencia de amenazas: uso del análisis dinámico de amenazas de datos recopilados de diversas fuentes.