Básicamente, malware (abreviatura de software malicioso en inglés) es un término genérico que hace referencia al todo el software diseñado para interrumpir, dañar u obtener acceso a un sistema informático.
El malware puede comprometer las funciones de un dispositivo, robar datos, omitir los controles de acceso y causar otros tipos de daños.
Tipos más comunes de malware
Una pieza de malware se clasifica en función de la intención del creador y las formas que adopta.
Por ejemplo, si se trata de código ejecutable, un script, contenido activo u otro tipo de código malicioso.
A continuación explicamos de forma abreviada los tipos más comunes de software malicioso.
Virus informático
Un virus informático es un tipo código malicioso que se replica al copiarse a otro programa, sector de arranque, archivo ejecutable, o documento, y altera el funcionamiento normal de un dispositivo.
Para poder colarse en un sistema, requiere necesariamente de la colaboración (normalmente inconsciente) del usuario.
Troyano
En informática, se denomina caballo de Troya, o troyano, a un tipo de malware que suele «presentarse» en forma de cualquier programa aparentemente legítimo e inofensivo.
Al ejecutarse, le brinda a su perpetrador acceso remoto al equipo infectado.
Básicamente, funciona mediante el método cliente-servidor.
- El servidor se instala en el dispositivo comprometido.
- El cliente se encuentra en poder del pirata informático.
Mediante el uso de troyanos, los ciberdelincuentes pueden realizar diferentes tareas disruptivas. Para ello crean una puerta trasera que permite la administración remota de un equipo.
Ransomware
El ransomware es un subconjunto de malware en el que los archivos del dispositivo de la víctima (y a veces el dispositivo entero) son bloqueados, generalmente mediante cifrado.
Posteriormente, el atacante exige el pago de un rescate, en alguna criptomoneda como Bitcoin, para facilitar la clave de descifrado con la que poder restablecer el acceso.
Sus perpetradores también pueden robar datos almacenados en el dispositivo, y amenazar a la víctima con divulgarlos.
Pero el pago del rescate no garantiza que los delincuentes cumplan con su parte del trato.
Rootkit
El término «rootkit» proviene de la combinación (en inglés) de dos palabras:
- Root: cuenta de usuario con privilegios de lectura y escritura en todas las áreas del sistema.
- Kit: conjunto de herramientas. En este caso de software.
Esta combinación describe acertadamente la capacidad de este tipo de malware, para tomar el control total de un dispositivo de forma sigilosa, manipulando archivos, procesos y memoria.
Para infectar un dispositivo se vale de los sospechosos habituales: campañas de phishing, y archivos maliciosos ejecutables.
Permanece oculto en partes del sistema operativo y está diseñado para evadir la detección por parte de las herramientas de seguridad.
Phishing
El phishing es una forma de engaño mediante ingeniería social dirigido tanto a usuarios particulares como corporativos, con el objetivo de que faciliten al perpetrador información confidencial.
Para ello, los villanos utilizan principalmente el correo electrónico, las redes sociales, mensajes de texto, llamadas telefónicas o cualquier otra forma de comunicación.
Los mensajes de phishing, simulan proceder de una entidad legítima e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar.
Gusanos
Un gusano es un tipo de malware que tiene la curiosa propiedad de replicarse a sí mismo sin necesidad de intervención humana.
A diferencia de los virus informáticos, funciona de forma completamente independiente, y no necesita ocultarse en otro programa, sector de arranque, archivo ejecutable, o documento.
Basicamente, reside en la memoria.
Puede propagarse entre dispositivos utililizando una conexión de red de área local (LAN) consumiendo ancho de banda.
Su objetivo suele ser colapsar los ordenadores y las redes informáticas.
También puede modificar o eliminar archivos, o introducir otro malware.
Adware
Adware es cualquier aplicación de software en la que se muestra publicidad mientras se ejecuta el programa, o después de su instalación.
Su objetivo es generar ingresos para sus creadores, bombardeando a los usuarios con anuncios, que se entregan a través de ventanas emergentes, o que aparecen en la interfaz de usuario del software.
Puede llegar a ser bastante insidioso.
La justificación para el adware es que ayuda a recuperar los costes de desarrollo y de esta forma se pueden ofrecer programas de forma gratuita.
El adware en un principio se diseñó para ordenadores, pero ahora es todo un clásico en las aplicaciones gratuitas para dispositivos móviles.
Spyware
Familia de malware que recopila información de un dispositivo sin el conocimiento o el consentimiento de su propietario, y después la transmite a una entidad externa aprovechando la conexión a internet.
Cualquier software puede clasificarse como spyware si realiza estas acciones sin autorización.
A veces se instala por razones relativamente inocuas, pero en otros casos puede atentar contra la seguridad y la privacidad.
Es capaz de monitorizar la actividad de Internet, rastrear credenciales de inicio de sesión, obtener números de tarjetas de crédito, información bancaria, contraseñas, etc.
Además, el spyware puede modificar las bibliotecas de enlaces dinámicos (DLL) del sistema que se utilizan para conectarse a Internet, lo que produce fallos de conectividad que pueden ser difíciles de diagnosticar.
Malvertising
No debe confundirse con el adware.
La publicidad maliciosa es el uso de redes publicitarias para entregar malware de forma encubierta.
En algunos casos, el malware incrustado en un anuncio puede ejecutarse automáticamente sin ninguna intervención por parte del usuario, una técnica denominada «Descarga Automática» (en inglés Drive-by-Download).
Malware sin archivos (Fileless)
Este tipo de malware, no se sirve del sistema de archivos para propagarse.
Utiliza funciones del sistema operativo, como por ejemplo:
- PowerShell.
- El Registro de Windows.
- NET Framework.
- Microsoft Office.
Sin un ejecutable, no hay firma que el software antivirus pueda detectar.
Esto es lo que hace que los ataques sin archivos sean tan peligrosos, ya que pueden evadir fácilmente los productos de seguridad.
Pero tiene un inconveniente para el atacante: se acostumbra a eliminar al reiniciar el equipo, pues la RAM solo mantiene los datos cuando el ordenador está encendido.
Esto obliga a que los cibercriminales establezcan algún tipo de mecanismo de persistencia para que el software malicioso sobreviva a cada reinicio.
Híbridos o amenazas combinadas
Se trata una combinación de programas maliciosos tradicionales.
Por ejemplo, puede incluir un troyano (para la administración remota de un equipo) un gusano informático (para ocultarse en la memoria) y, en ocasiones, un virus informático (para alterar el código de un programa).
Es el caso típico de los bots, cuyo objetivo es explotar máquinas individuales para que formen parte de una botnet.
Keylogger
Los registradores de teclas o registradores de pulsaciones son programas de software o dispositivos de hardware que rastrean y registran todas las actividades que se realizan en un teclado.
Pueden usarse para diferentes propósitos; los delincuentes pueden utilizarlos para tener acceso a información privada, mientras que las empresas pueden usarlos para monitorear las actividades de sus empleados.
Algunos keyloggers también pueden capturar la pantalla a intervalos aleatorios o programados. Estos se conocen como grabadores de pantalla.
- El software Keylogger generalmente almacena las pulsaciones de las teclas en un archivo, al que se puede accederse más tarde.
- También puede enviar la información automáticamente a la persona que supervisa las actividades.
Se pueden instalar mediante el acceso físico a un ordenador, o pueden venir como parte integrante de una aplicación troyanizada descargada de internet.
Bots/Botnets
Una botnet es una colección de dispositivos conectados a Internet infectados por un tipo común de malware (bots) controlados de forma remota.
El objetivo de crear una botnet es infectar tantos dispositivos conectados como sea posible con el fin de usar la potencia informática y los recursos de esos dispositivos para tareas automatizadas.
Son utilizados para funciones específicas como enviar spam por correo electrónico, participar en campañas de fraude de clics o generar tráfico malicioso para ataques de denegación de servicio distribuido.
Estos ataques, con frecuencia, pasan bastante desapercibidos porque involucran una amplia red de dispositivos y consumen poco ancho de banda.
Puerta trasera (Backdoor)
Una puerta trasera es una herramienta de administración remota que permite a un usuario acceder y controlar un dispositivo a través de una red o Internet.
- Los administradores de sistemas pueden usar puertas traseras para actividades legítimas como solucionar problemas.
- Algunos desarrolladores de software para dar soporte técnico o estudiar el comportamiento de sus aplicaciones.
- Los delincuentes para obtener el control de un dispositivo sin el conocimiento o consentimiento de su propietario.
Los atacantes pueden implementar una puerta trasera de numerosas maneras, por ejemplo, como parte de la carga útil de un gusano o un troyano, camuflada en un archivo adjunto a un correo electrónico, en un archivo descargado en redes punto a punto (P2P), etc.
Cryptojacking
Cryptojacking es el uso no autorizado de un ordenador, tableta, teléfono móvil o cualquier dispositivo conectado a internet para el minado de criptomonedas.
A diferencia de la mayoría de malware, los scripts de criptojacking no dañan los dispositivos ni roban los datos de las víctimas. Su objetivo es utilizar los recursos de procesamiento de la CPU.
Exploit
Un exploit es un programa o fragmento de código diseñado para encontrar y aprovechar un fallo o vulnerabilidad de seguridad en una aplicación o sistema informático.
No es malware en sí mismo, sino más bien un método utilizado por los ciberdelincuentes para distribuirlo.