Blog

Amenazas de malware para Linux

El auge del malware para Linux

Sin lugar a dudas, Linux es conocido por sus robustas características de seguridad. Pero como acostumbra a suceder con todo lo relacionado con la tecnología, era solo cuestión de tiempo que los delincuentes se fijaran en el sistema operativo del pingüino.

Eso se debe a varios motivos.

Entre ellos:

  • Empresas de todo tipo migran a servidores y redes basados ​​en Linux.
  • Muchos dispositivos IoT utilizan sistemas operativos basados ​​en Linux. Los más económicos presentan una seguridad deficiente, lo que los convierte en un objetivo atractivo.
  • También existen distribuciones como Ubuntu o Linux Mint, que se han vuelto bastante populares gracias a su facilidad de uso.

Más allá de la ingeniería social de la que no se libra nadie, también hay malware específico para Linux

Un ejemplo es una familia de malware, llamada sedexp.

Este software malicioso ha estado activo (que se sepa) desde  2022, pero ha permanecido sin detectar durante años, y solamente se ejecuta cada vez que ocurre un evento específico.

Se carga en  /dev/random, un archivo especial que funciona como generador de números aleatorios, utilizado por diversos procesos y aplicaciones del sistema para operaciones criptográficas, comunicaciones seguras, y otras funciones que requieren aleatoriedad.

Es particularmente insidioso, ya que utiliza persistencia para cargarse en cada reinicio.

Entre otras cosas, permite al atacante mantener el control de forma remota sobre el sistema comprometido.

Linux, también es susceptible de infectarse con el mismo malware que hace estragos en Windows o macOS.

Por ejemplo:

  • Troyanos.
  • Gusanos.
  • Rootkits.
  • Criptojackers.
  • Spyware.
  • Keyloggers.

Pero si hemos de ser sinceros, el software malicioso, muchas veces se cuela en Linux con nuestro permiso.

¿Qué podemos hacer para mantener nuestra distribución de Linux a salvo del software malicioso?

Igual que con Microsoft Windows, lo primero y fundamental es actualizar.

Cuando dejamos de instalar las actualizaciones del sistema operativo y de las aplicaciones, con el tiempo, podemos convertirnos en los orgullosos propietarios de una máquina repleta de vulnerabilidades.

Para evitar cualquier vulnerabilidad conocida, debemos adquirir el sano hábito de verificar regularmente si existen nuevas versiones de nuestra distribución, y aplicarlas tan pronto como estén disponibles.

Linux Kernel Runtime Guard (LKRG) es un módulo creado por Openwall que realiza una verificación en tiempo real del kernel de Linux para detectar vulnerabilidades de seguridad.

Se puede instalar fácilmente en distribuciones como RHEL, CentOS, Debian, Ubuntu y Whonix.

Conocer bien la distribución que tenemos instalada.

La mayoría de los problemas de seguridad que afectan a los sistemas basados en Linux se pueden atribuir a configuraciones incorrectas o a una administración deficiente del sistema.

Por lo tanto, tenemos que asegurarnos de que conocemos todos los recovecos del sistema operativo.

No hemos de asumir que podemos implementar una distribución de Linux para cualquier propósito, sin invertir tiempo en aprender todas las entretelas de la plataforma.

Imaginar que una vez instalado, nunca tendremos que «meterle mano» al sistema operativo, no es realista.

Pensar que todo siempre funcionará bien, tampoco.

Para los «veteranos» esto no debe suponer demasiado problema, y para los usuarios que empiezan con Linux, existen comunidades en español donde pueden buscar ayuda y consejos.

En las páginas web de muchas distribuciones, también existen guías oficiales, aunque la mayoría están en inglés.

En este sentido, algunas de ellas admiten voluntarios para traducir el texto.

Leer los registros.

Los registros contienen una gran cantidad de información sobre posibles fallos del sistema operativo, y Linux ofrece una tonelada de ellos, como por ejemplo:

  • Los paquetes que se instalan y desinstalan en el sistema operativo.
  • Información sobre los accesos remotos a nuestro equipo.
  • Los intentos fallidos de autenticación de los usuarios.
  • Registro de errores de los programas y servicios.
  • Conexiones entrantes y salientes bloqueadas por el firewall.

Para comprobarlo basta con ir al directorio /var/log / (o a sus subdirectorios).

En cualquier caso, no importa cuántos archivos de registro haya en el sistema: si no les hacemos ni puto caso, no tienen ningún valor.

Si no queremos hacerlo manualmente, hay muchas herramientas, como por ejemplo Graylog 2, Logcheck, Logwatch o Logstash, que pueden hacer el trabajo por nosotros.

¿Utilizar software de seguridad?

Decirle esto a una persona que lleva años utilizando una distribución de Linux, puede tener como resultado que se te ría en la jeta, o te diga que no tienes ni idea de lo que estás hablando.

Al fin y al cabo, la estructura basada en permisos de Linux (no procesa ejecutables sin permiso), hace que sea casi imposible que el malware entre en el sistema.

Por otra parte, todas las distribuciones de Linux, cuentan con sus repositorios oficiales de programas, firmados y verificados para su correcto funcionamiento.

A no ser que se instale algún paquete desde fuentes de terceros, no existe prácticamente ningún riesgo de obtener software malicioso.

Y en este sentido no les falta razón.

Pero nunca está de más habilitar el cortafuegos (en la mayoría de distribuciones viene desactivado por defecto.)

Tampoco está de más instalar un antivirus como ClamAV.

  • Su utilidad «clamscan» permite analizar archivos manualmente. 
  • También es posible ejecutar un análisis regular del sistema, mediante una tarea programada.

Otro software de seguridad es Rootkit Hunter.

Escanea los sistemas en busca de rootkits, puertas traseras, sniffers y exploits.

  • Comprueba cambios en el hash SHA256; que suelen ser creados por rootkits.
  • Ejecutables con permisos de archivo anómalos.
  • Cadenas sospechosas en módulos del kernel.
  • Archivos ocultos en directorios del sistema.

Conclusión

Si bien Linux se ha mantenido alejado del malware tradicional, el panorama reciente de ataques resalta la necesidad de estar alerta.

Instalar software de seguridad de terceros, no es imprescindible.

  • El acceso administrativo (root) impìde que se produzcan cambios no autorizados en el sistema.
  • Las herramientas de código abierto, como SELinux y AppArmor, implementan políticas de seguridad estrictas para las interacciones entre aplicaciones.
  • Linux aísla los recursos del sistema para diferentes procesos, lo que mejora la seguridad.

Pero, las credenciales débiles, y los servicios mal configurados, son más fáciles de explotar por parte de los atacantes.

Por otro lado, los exploits del kernel y los módulos inseguros, pueden otorgar a un ciberdelincuente el control del sistema.

Por lo tanto, la aplicación inmediata de parches y una política de autenticación robusta, son medidas preventivas que reducen la probabilidad de infectar el sistema operativo.

Contenido relacionado

Información

Artículos actualizados

Temas

Privacidad Amenazas Estafas Internet Ingeniería social Seguridad informática Herramientas Teléfonos móviles Contraseñas Malware Seguridad de sitios web Software malicioso Redes VPN Windows Software de código abierto Redes sociales
© 2019 - 2025 Infosegur.net

Contenido bajo una licencia de Creative Commons 4.0