En ciberseguridad, la palabra polimorfismo se utiliza para describir una clase o, en ocasiones, un tipo de malware en concreto, capaz de cambiar sus características identificables para eludir los métodos de detección con el fin de lograr su objetivo final.
Esto hace que muchas herramientas de seguridad tradicionales, como las soluciones antimalware, que se basan en la detección basada en firmas, no reconozcan ni bloqueen la amenaza.
Los virus polimórficos surgieron por primera vez en la década de 1990 como parte de un programa de investigación para demostrar las limitaciones de los escáneres antivirus existentes.
El primero, un virus llamado 1260, o V2PX, estaba destinado a servir como advertencia a los usuarios de Internet, aunque casi sin querer, inspiró una ola de actividad criminal.
En las décadas siguientes, surgieron innumerables virus polimórficos y hoy en día casi todas las infecciones de malware emplean alguna forma de polimorfismo.
En la actualidad, es uno de los métodos más utilizados para una amplia gama de propósitos malignos, incluido el secuestro de redes, la destrucción o el saqueo de datos, el robo de información e incluso la perpetración de ataques de ransomware.
Como se oculta y evade la detección con tanta eficacia
- Está diseñado para modificar su estructura, reescribiendo completamente su código, cifrando los archivos y modificando sus firmas.
- Utiliza técnicas avanzadas de ofuscación de código para evadir la detección, o incorpora código exótico o irrelevante para dificultar el análisis.
- Su patrón de comportamiento puede ser único y difícil de detectar por parte de los programas de seguridad.
Método de difusión
Como el resto de malware, generalmente se propaga mediante los sospechosos habituales: correo electrónico, sitios web infectados, descargas de software, torrents e intercambio de archivos P2P, o mediante el uso de kits de exploits u otro malware.
- El ciberdelincuente oculta el código malicioso mediante cifrado, lo que le permite eludir la mayoría de las herramientas de seguridad tradicionales.
- El malware se instala en un dispositivo y el archivo infectado se descarga y descifra.
- Una vez descargado, un motor de mutación crea una nueva rutina de descifrado que se adjunta al virus (u otro malware), haciéndolo parecer un archivo diferente y, por lo tanto, irreconocible para las herramientas de seguridad.
Si bien el malware polimórfico puede cambiar en términos de nombre de archivo, tamaño o ubicación, su función y objetivo siguen siendo los mismos.
Por ejemplo, un troyano que tiene propiedades polimórficas siempre funcionará como un troyano, incluso si cambia la firma del archivo.
Cómo deshacerse del malware polimórfico
El malware polimórfico a menudo muestra ciertos comportamientos maliciosos que pueden detectarse mediante análisis basado en el comportamiento.
Por lo tanto, es muy recomendable instalar soluciones de seguridad que cuenten con técnicas de análisis heurístico, y que supervisen el comportamiento del sistema, el tráfico de la red y la actividad de las aplicaciones, en busca de «actitudes» sospechosas.
En última instancia, también se puede restaurar el sistema.
Pero para utilizar este método, hay que estar seguro de que el punto de restauración elegido no está infectado.
Si no se ha tenido la precaución de crear un punto de restauración, entonces no queda otra que reinstalar el sistema operativo.
Prevenir infecciones por malware polimórfico
Básicamente, hay que tomar las mismas precauciones que con cualquier otro tipo de software malicioso.
- Di no a los archivos adjuntos a los correos electrónicos sospechosos.
- No visites sitios web que puedan ocultar contenido malicioso.
- Aplica los últimos parches de seguridad al sistema operativo, y mantén todo el software actualizado.
- Utiliza un programa antivirus con capacidades heurísticas y detección basada en el comportamiento.
- Descarga software solamente de sitios confiables, a poder ser desde la página del desarrollador.
- No conectes cualquier dispositivo USB (por ejemplo uno encontrado en la calle).
En el caso de los teléfonos móviles, es muy importante establecer el bloqueo de pantalla, y revisar detenidamente los permisos que otorgamos a las aplicaciones en el momento de la instalación.
