Cerrar

Saltar navegación. Ir directamente al contenido principal

Acceso zona privada

Está usted en:
  1. Malware

Malware

Malware

Malware¿Qué es?

Malware (del inglés,  malicious software), también llamado badware, código maligno, software malicioso o software malintencionado. es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o Sistema de información sin el consentimiento de su propietario.

El software se considera malware en función de los efectos que, pensados por el creador, provoque en un computador. El término incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware, etc.)

 ¿Qué busca el creador de malware?

Dinero
  • Datos de formularios (relativos a compras online, servicios de banca electrónica.).
  • Envío no consentido de mensajes Premium (Números de tarificación especial que ofrecen servicios de notificación y envío de SMS a un precio superior al habitual).
  • Extorsión (actualmente posibilita el secuestro de los dispositivos, pudiendo pedirse un rescate para devolver el control del equipo).
 Información
  • Datos de acceso a información personal sensible, cuentas de correo de conocidos para el envío de correo basura o estadísticas para la personalización de mensajes de correo no solicitados, por mencionar algunos ejemplos.
  • Datos y documentos privados (el espionaje industrial, el robo de documentos de ámbito personal, fotografías, mensajes, correos electrónicos, etc.).
Control de los recursos de procesamiento del equipo

Por ejemplo utilizar el equipo para enviar correo basura o atacar a otros sistemas (conocido como sistemas "zombi").

¿Cómo se disemina el malware?

Es necesario señalar que todo malware necesita ser ejecutado, es decir, una vez en el sistema, el malware necesita que una orden lo ponga en funcionamiento. A pesar de que lo habitual es que el usuario sea quien ejecute el malware, consciente o inconscientemente, no necesariamente es así, ya que existen ciertas formas de ejecución “automática” realizada por otros programas o por el sistema operativo.

Principales técnicas y vías utilizadas para intentar llegar a sus objetivos:

Dispositivos extraíbles

Actualmente esta funcionalidad está en desuso. Sin embargo, aún puede infectar estos dispositivos, y a través de ellos otros equipos, en caso de que el usuario o algún programa lo autorice, con o sin conocimiento de ello.

Vulnerabilidades

 Ningún software está exento de fallos, situaciones inesperadas, falta de comprobaciones, etc. Estos posibles errores de diseño se conocen como vulnerabilidades. Los ejemplos más habituales son abrir con un lector de archivos PDF un documento especialmente manipulado o utilizar un editor de texto para acceder a un archivo DOC. Señalar también que el simple hecho de visitar una página web puede llegar a explotar una vulnerabilidad del navegador. Habitualmente, se intenta atacar equipos cuyo sistema operativo y software se encuentre desactualizado, ya que de este modo los ataques son más efectivos al explotarse vulnerabilidades ya conocidas pero para las que no se han puesto en funcionamiento las soluciones existentes.

 Ingeniería social

Intentar que el propio usuario introduzca la amenaza en su equipo sin ser consciente de ello. Se le presentarán aplicaciones con alguna funcionalidad interesante y aspecto inofensivo. Así, se puede intentar infectar mediante el envío de archivos adjuntos al correo, falsas actualizaciones de flash, Java, etc. Esta forma de ataque se centra en la premisa más actual en seguridad: el componente más débil de los sistemas es el componente humano, por lo que los ataques más simples se llevan a cabo centrándose en ese componente.

Tipología del malware y sus funcionalidades

Tipología del malware y sus funcionalidadesEn la mayoría de las muestras de malware que son procesadas a diario por las casas antivirus, se suelen presentar simultáneamente varias de las características o funcionalidades existentes. Esto se debe a que los atacantes persiguen crear un software que consiga llevar a cabo su labor de la forma más eficaz y efectiva posible. Por tanto, la frontera que diferencia un tipo de malware de otro puede llegar a ser bastante difusa. En la actualidad no existe ninguna directiva o norma común consensuada sobre cómo asignar las diversas denominaciones al malware o las familias.

Virus

Fue el primer tipo de malware creado, y por tanto este término se ha convertido en una de las formas más comunes de referirse a todos los tipos de malware. Cualquier programa cuyo objetivo sea asegurar su propia existencia, replicándose a sí mismo infectando a otros programas. Recibe su nombre por la similitud con los agentes biológicos que únicamente buscan la manera de sobrevivir multiplicándose una y otra vez infectando a los seres vivos con los que entran en contacto. En la actualidad, sin embargo, es muy poco común encontrar muestras de malware que realmente se comporten como virus "infectando a otros programas". Para replicarse ya no buscan otros programas donde esconderse y ejecutarse, sino que se copian a sí mismos.

Dialers o marcadores telefónicos

 Se trata de otro de los primeros tipos de malware que se crearon, aunque actualmente se considera prácticamente desaparecido. La principal causa de su “extinción” se debe a que su funcionamiento se basa en la modificación del comportamiento de los módems, dispositivos de conexión en desuso debido a la implantación de tecnologías superiores para realizar llamadas dirigidas a números de tarificación adicional controlados por los atacantes.

Redireccionadores

Su fin es redirigir al usuario a ciertas páginas web, habitualmente páginas que se hacen pasar por otras ya existentes. En estas páginas, la víctima introducirá sus datos personales o su nombre de usuario y contraseña, pensando que se trata de la web legítima. De este modo el atacante podría hacerse con los datos de acceso a diferentes servicios, especialmente servicios bancarios y de comercio electrónico. Estas redirecciones se llevan a cabo esencialmente de dos maneras, modificando el archivo “hosts” de un equipo o sus servidores DNS.

Gusanos

Al igual que los virus, se caracterizan por su objetivo de replicarse a sí mismos. La diferencia entre ambos radica en la forma de reproducirse, ya que en este caso su objetivo no es infectar o afectar a otros programas, sino replicarse haciendo copias de sí mismos de forma automática. Su aparición también es de las primeras en el mundo del malware, dando lugar a especímenes bastante conocidos, como "Sasser", "Blaster" o "I Love You". Los gusanos, o las técnicas de gusano en malware, son todavía habituales. Se considera que el malware utiliza características de gusano cuando se copian a sí mismos dentro de las memorias USB y también cuando busca en la red nuevos equipos a los que infectar a través de algún servicio, por ejemplo entre las carpetas compartidas.

Troyanos

Se conoce como caballos de Troya o simplemente troyanos a los programas que, presentándose a la víctima como legítimos, esconden una funcionalidad oculta, principalmente con fines maliciosos. En la actualidad es el tipo de malware al que más recurren los atacantes a la hora de buscar nuevas infecciones. En la actualidad, se le llama troyano a todo software que, sin advertir a la víctima, es capaz de recibir o enviar órdenes a un tercero y ejercer control sobre el sistema infectado, independientemente de cómo se presente a la víctima y cómo ésta sea infectada. Este comportamiento es muy utilizado en el malware actual. Entre ellos, según su funcionalidad, se pueden diferenciar varios tipos, por ejemplo:

  • Downloader: Descarga ficheros de Internet, principalmente archivos de configuración y nuevas versiones del troyano, que permiten seguir teniendo el control del equipo al tiempo que intenta pasar desapercibido.
  • Bancario: se orientan al robo de credenciales.
  • Backdoor: Funcionalidad utilizada para que el atacante pueda acceder de forma remota al dispositivo infectado.
Backdoors (o puertas traseras)

Pese a considerarse un tipo de troyano, o de funcionalidad de ellos por ser este el grupo en que más se presenta, esta funcionalidad está ampliamente extendida debido al gran abanico de posibilidades que ofrece.

Su objetivo es permitir al atacante controlar el sistema infectado a través de una vía de acceso y control que se encuentra oculta para el usuario legítimo del equipo. A partir de aquí el controlador remoto puede realizar cualquier acción sobre el equipo (siempre que disponga de los permisos adecuados), desde instalar un "Keylogger" hasta mandar instrucciones para atacar otros ordenadores o enviar correos basura. En estas posibilidades de acción se pone de manifiesto la importancia de utilizar de forma habitual un perfil de usuario con permisos reducidos, en lugar de un perfil de administrador. La existencia de un "backdoor", deja la máquina bajo el control del atacante. Este estado del equipo es comúnmente conocido como "zombi" o "bots", y desde el momento en el que se infecta puede pasar a formar parte de de las llamadas "botnets" o red de "zombis".

  • Ataques DDoS (Denegación de Servicio Distribuida por sus siglas en inglés): Se trata de ataques realizados por gran cantidad de máquinas con el fin de saturar al equipo atacado (normalmente un servidor web). El objetivo es generar desde los equipos infectados una gran cantidad de tráfico y solicitudes de acceso a información de la máquina víctima, llegando al punto en que ésta no sea capaz de satisfacer todas las peticiones y, por lo tanto, se produzca una denegación de acceso a los usuarios legítimos de los servicios. De este modo se utilizan los equipos infectados para que un determinado servicio web (una página, un servidor, etc.) no esté disponible para ningún usuario. En este caso se abusa del ancho de banda de la conexión que utilizan los equipos infectados.
  • Generación de bitcoins: Se pueden aprovechar todas las máquinas infectadas para generar este tipo de monedas, ya que esta labor requiere una gran capacidad de cómputo. Estas monedas podrán ser intercambiadas posteriormente por otras divisas. El equipo infectado ve mermada su capacidad de cómputo (o más bien la capacidad a disposición de su legítimo usuario) ya que es utilizada por el atacante.
  • Spam: Los equipos infectados también se pueden utilizar para el envío de correos electrónicos no deseados. Este uso se debe a que el hecho de que el origen del correo basura se encuentre repartido entre diversas localizaciones dificulta en gran medida el bloqueo de todas ellas, además de proteger así la estructura central de control.
  • Alojar otras muestras de malware: Los equipos infectados se pueden usar también como repositorio de nuevas muestras de malware que serán descargadas por otras víctimas. También pueden utilizarse como servidores donde alojar páginas de phishing, spam online, contenidos ilícitos, etc.
Adware (o software publicitario)

 Se trata de un tipo de software destinado a generar un beneficio económico directo a su creador o comprador6 a través de la publicidad no deseada e intrusiva. Su funcionamiento se basa en mostrar publicidad esperando que el usuario acceda a las páginas webs anunciadas.

Existen otras variedades de "adware" que en lugar de mostrar anuncios, realizan un trabajo más discreto, como es el caso de los llamados "clickers". Su objetivo es pulsar de forma automática (y inadvertida para la víctima) sobre ciertos anuncios de publicidad para generar así beneficios para el anunciante. Esto les permite eludir los controles de las compañías de publicidad, que penalizan las pulsaciones sobre anuncios que parezcan provenir de sistemas automatizados. Con una gran cantidad de usuarios infectados con estos "clickers" se puede conseguir que las visitas a la publicidad, aunque automatizada, provenga de diferentes equipos y con una cadencia más "aleatoria", simulando el comportamiento "normal" del usuario.

También existe "adware" que modifica los anuncios aparecidos en el navegador anteponiéndose a los legítimos.

Spyware (o software espía)

Se incluye en esta categoría el malware cuya función es recolectar información de la máquina infectada, monitorizando sus movimientos. Por ello son también conocidos como stealers (en inglés, ladrones).

Entre los datos de interés que se encarga de recolectar se encuentran las credenciales almacenadas en el equipo (en el navegador o archivos de configuración), claves privadas, datos de tarjetas de crédito, etc.

También se puede recopilar otro tipo de información, con un beneficio menos directo, como son los hábitos de navegación de internet, útiles para conocer gustos, últimas tendencias, etc. y así poder presentar una publicidad más atractiva para los infectados (estas técnicas también suelen ser utilizadas por ciertas páginas con cookies de rastreo).En este punto en el que se llega a alterar el comportamiento del navegador, es donde la diferencia entre "adware" y "spyware" empieza a difuminarse. En todo caso podría considerarse que es "adware" que incluye características de "spyware".

Keyloggers (o capturadores de pulsaciones)

 Se trata del software malicioso que registra todas las pulsaciones de teclas realizadas en la máquina infectada. Podría considerarse un tipo de spyware, pero actualmente suele incluirse dentro de los troyanos bancarios. Su principal fin es el obtener claves y cuentas de usuarios. La recopilación de todo el contenido tecleado suele ser enviada a través de internet a servidores controlados por el atacante. Para evitar este tipo de malware, los bancos suelen poner a disposición de sus clientes unos teclados virtuales, evitando así que las credenciales de los clientes puedan ser obtenidas. En este sentido, el malware ha evolucionado de forma que es capaz de capturar pequeñas imágenes de las pulsaciones en pantalla o grabaciones en vídeo del teclado virtual.

Además de poder utilizarse programas o malware para registrar las pulsaciones de teclado, también existen dispositivos físicos o hardware capaces de realizar estas funciones.

Rootkit

Este caso, más que un tipo de software malicioso, se puede considerar una característica presente en otros tipos de malware. El término "rootkit" se emplea para referirse a un conjunto de herramientas (kit) que tienen como objetivo que un atacante pueda conseguir y mantener acceso con los máximos privilegios o permisos de actuación (root), intentando pasar desapercibido para cualquier usuario del sistema.

Hasta este punto, la definición de "rootkit" se asemeja a la de un "backdoor", sin embargo, se incluye otra característica básica que los diferencia: se centran en una ocultación mucho más compleja. Modifican en mayor medida las raíces del sistema, y esto les permite permanecer ocultos ante el sistema y las soluciones de seguridad que se ejecuten en él. A efectos prácticos, las técnicas de "rootkit" suelen ser utilizadas para evitar o dificultar que tanto los antivirus como los usuarios o analistas los detecten.

Bomba lógica

Se trata de una funcionalidad incluida en diferentes tipos de malware que permite que un código o programa se ejecute cuando se cumplen ciertas condiciones preestablecidas. De este modo, el malware constaría de dos partes: una carga útil y un disparador. La llamada carga útil es el código que se ejecutará, "lo que ocurrirá" cuando se den las condiciones para las cuales está preparada la bomba lógica, pudiendo ser un virus, un troyano, etc. El disparador es el código que se encarga de comprobar si se dan las condiciones idóneas o necesarias para lanzar su contenido.

Ransomware

Se trata de una variedad de malware aparecida en la década de los 90, pero que ha tenido su mayor auge en los últimos años. Como otros tipos de malware, busca un beneficio económico directo, en este caso recurriendo al chantaje a los usuarios del dispositivo infectado.

Al contrario que en la gran mayoría del malware, en este caso es necesario que el usuario sea consciente de la existencia de un comportamiento anómalo, que será utilizado para la coacción al plantearse el pago como única solución a ese comportamiento. Para aumentar su efectividad, se suele recurrir al bloqueo de cualquier tipo de acceso e interacción con el equipo (programas, archivos, administrador de tareas, etc.) que no sea estrictamente necesario para el envío del dinero. Algunos de los casos más conocidos cifran los datos de interés para el usuario (documentos y fotografías) y piden el pago una cantidad económica para obtener la clave que era capaz de descifrar los archivos del usuario. En la gran mayoría de los casos, tras el pago no se obtiene el control de la máquina ni de los archivos cifrados.

Rogueware o Scareware

Este malware puede considerarse una variante del "ransomware". Suele presentarse en forma de antivirus, aunque realmente se trata de un falso antivirus. Su método para causar alarma en la víctima es informar sobre la presencia de diversos tipos de malware en el dispositivo tras simular haber realizado un escaneo del equipo. El "rogueware" se ofrece entonces a desinfectar la máquina, intentando descreditar así a la actual solución antivirus. Su único objetivo una vez instalado en la máquina del usuario es requerir la activación del supuesto producto a través de diversas formas de pago.

 Fuente: Inteco | Ver artículo completo

Métodos de protección

Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son:

  • Tener el sistema operativo y el navegador web actualizados.
  • Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automáticamente de forma regular ya que cada día aparecen nuevas amenazas.
  • Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cuándo sea necesario cambiar la configuración o instalar un nuevo software.
  • Tener precaución al ejecutar software procedente de Internet o de medios extraíbles como CD o memorias USB. Es importante asegurarse de que proceden de algún sitio de confianza.
  • Evitar descargar software de redes P2P, ya que realmente no se sabe su contenido ni su procedencia.
  • Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies sólo en páginas web de confianza.
  • Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.
  • Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extraíbles como CD o DVD para poderlos recuperar en caso de infección por parte de algún malware

Fuente: Wikipedia

Preguntas frecuentes

Red FADE

Para más información contacte:

redfade@fade.es

EFQM - 4 estrellas de excelencia

Oviedo

Oficinas centrales

Pintor Luis Fernández, 2. 33005

Tlf: 985 23 21 05

Gijón

Edificio FADE - Parque Científico y Tecnológico
Profesor Potter, 51 - 33203

Tlf: 985 30 80 13

Avilés

La Curtidora - Centro Municipal de Empresas
Gutiérrez Herrero, 52 - 33402

Tlf: 985 12 91 09