Malware (abreviatura de software malicioso) es un término genérico que hace referencia al software diseñado para interrumpir, dañar u obtener acceso a un sistema informático, sin el conocimiento o consentimiento de su propietario.
El malware puede comprometer las funciones de un dispositivo, robar datos, omitir los controles de acceso y causar otro tipos de daños.
Tipos más comunes de malware
Una pieza de malware generalmente se clasifica en función de la intención del creador y las formas que adopta.
Por ejemplo, si se trata de código ejecutable, un script, contenido activo u otro tipo de software malicioso.
Virus informático
Un virus informático es un código malicioso que se replica al copiarse a otro programa, sector de arranque o documento y altera el funcionamiento de un dispositivo.
Requiere necesariamente la colaboración del usuario o del administrador de un sistema para propagar la infección.
Un virus puede instalarse en un dispositivo oculto en un archivo adjunto de correo electrónico, al hacer clic en un archivo ejecutable, visitando un sitio web infectado, insertado en un anuncio, en un crack de software, o en un programa descargado de internet.
También se puede transmitir a través de dispositivos de almacenamiento extraíbles infectados, como unidades USB.
Una vez que un virus ha infectado al host, puede propagarse a otros recursos o software del sistema, modificar o deshabilitar funciones y las aplicaciones principales, así como copiar, eliminar o cifrar datos.
Algunos virus comienzan a replicarse tan pronto como infectan al dispositivo, mientras que otros permanecen inactivos hasta que un disparador específico hace que se ejecute el código malicioso.
Troyano
En informática, se denomina caballo de Troya, o troyano, a un tipo de malware que se presenta al usuario en forma de programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.
Básicamente funcionan mediante el método cliente - servidor.
El servidor se instala en el dispositivo comprometido, y recibe las ordenes del cliente que normalmente se encuentra en poder del pirata informático.
Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, su misión es crear una puerta trasera que permite la administración remota de un equipo a un usuario no autorizado.
Los usuarios de ordenadores portátiles o de escritorio no son los únicos que corren el riesgo de una infección por troyanos.
Los troyanos también pueden atacar dispositivos móviles.
Esta forma de infección podría provocar que un atacante redirija el tráfico de los dispositivos conectados mediante wifi y los use para cometer delitos informáticos.
También hacer todo lo que podamos imaginar en nuestro teléfono móvil.
Ransomware
El ransomware es un subconjunto de malware en el que los datos del dispositivo de la víctima (y a veces el dispositivo entero) son bloqueados, generalmente mediante cifrado.
Posteriormente el atacante exige el pago de un rescate, en alguna criptomoneda como Bitcoin, para facilitar la clave de descifrado y poder restablecer el acceso.
Uno de los sistemas de entrega más comunes de este tipo de malware es mediante un archivo adjunto (Excel, PowerPoint, PDF, BIN, AU3, PY, DLL, BAT, etc.) insertado en un mensaje de correo electrónico
En el caso de los usuarios domésticos, estos ataques se producen mediante el envío de spam de forma indiscriminada.
Pero también pueden llevarse a cabo ataques dirigidos contra una empresa en concreto, ya que la perdida de datos corporativos puede representar un grave problema.
Y esto incrementa significativamente el precio que los delincuentes pueden pedir por el rescate y la predisposición de la víctima para pagar.
Si no se ha tenido la precaución de realizar una copia de seguridad de los datos, la víctima se enfrenta al dilema de tener que pagar el rescate para recuperar la información que ha sido cifrada.
Muchas empresas no denuncian y ceden a la extorsión para no perder su reputación y los datos de sus clientes.
Pero el pago del rescate no garantiza que el pirata informático cumpla con su parte del trato (estamos tratando con delincuentes) y es posible que cada vez exija una cantidad de dinero mayor.
Rootkit
Un rootkit es un programa o más a menudo una colección de herramientas de software, que le dan a un actor malintencionado acceso remoto con privilegios y el control sobre un ordenador u otro dispositivo.
Permanece oculto en partes del sistema operativo y esta diseñado para evadir la detección por parte de aplicaciones antimalware y otras herramientas de seguridad.
Si bien existen usos legítimos para este tipo de software, como por ejemplo proporcionar soporte remoto a un usuario, la mayoría de los rootkits abren una puerta trasera en los sistemas de las víctimas para introducir todo tipo de software malicioso, como troyanos, virus, ransomware, keyloggers u otros tipos de malware.
Phishing
El phishing es una forma de estafa mediante ingeniería social dirigido tanto a usuarios particulares como corporativos, con el objetivo de obtener acceso a contraseñas de diferentes servicios en línea u otra información confidencial.
Para ello, los villanos utilizan principalmente el correo electrónico, las redes sociales, llamadas telefónicas o cualquier otra forma de comunicación.
Los mensajes de phishing, simulan proceder de una entidad legítima (compañía telefónica, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar.
Si bien los ataques tradicionales de phishing son algo parecido a echar un anzuelo y esperar a ver quien pica sin importar el tipo de pez, también existen ataques de phishing personalizados dirigidos contra un individuo, o una organización en concreto.
Gusanos
Un gusano es un tipo de malware que tiene la propiedad de duplicarse a sí mismo sin necesidad de intervención por parte del usuario.
Su objetivo suele ser colapsar los ordenadores y las redes informáticas, y a diferencia de los virus, los gusanos no infectan archivos sino que residen en la memoria.
A diferencia de otro tipo de malware que actúa de forma silenciosa para pasar desapercibido, sospechar de la presencia de gusanos en un sistema es relativamente fácil.
Consumen tantos recursos que llegan a ralentizarlo notablemente llegando a veces al punto de imposibilitar la realización de las tareas más básicas.
Adware
Adware es cualquier aplicación de software en la que se muestra publicidad mientras se ejecuta el programa, o después de su instalación.
Los anuncios se entregan a través de ventanas emergentes o barras que aparecen en la interfaz de usuario del software o mientras navegamos por internet.
El adware en un principio se diseñó para ordenadores, pero ahora es todo un clásico en las aplicaciones gratuitas para dispositivos móviles.
La justificación para el adware es que ayuda a recuperar los costes de desarrollo y de esta forma se puede ofrecer un programa de forma gratuita.
El adware ha sido criticado porque a menudo puede incluir código que rastrea y registra la información personal de los usuarios y sus hábitos de navegación en Internet.
Si bien estos datos se pueden usar con el consentimiento de la persona que instala el programa (por ejemplo aceptando los términos de uso) el adware se puede clasificar como spyware si realiza estas acciones sin su consentimiento informado.
Spyware
Malware que recopila información de un dispositivo y después la transmite a una entidad externa aprovechando la conexión a internet, sin el conocimiento o el consentimiento del usuario .
Cualquier software puede clasificarse como spyware si realiza estas acciones sin autorización.
A veces se instala por razones relativamente inocuas, pero en otros casos puede atentar contra la seguridad y la privacidad.
Es capaz de monitorizar la actividad de Internet, rastrear credenciales de inicio de sesión, obtener números de tarjetas de crédito, información bancaria, contraseñas etc.
También puede cambiar la página de inicio del navegador para redirigir las búsquedas web y controlar los resultados.
Además, el spyware puede modificar las bibliotecas de enlaces dinámicos (DLL) del sistema que se utilizan para conectarse a Internet, lo que produce fallos de conectividad que pueden ser difíciles de diagnosticar.
Malvertising
No debe confundirse con el adware.
La publicidad maliciosa es el uso de anuncios legítimos o redes publicitarias para entregar malware de forma encubierta.
Por ejemplo, un cibercriminal podría pagar para colocar un banner en un sitio web legítimo, y cuando el usuario hace clic en el anuncio, el código malicioso incrustado en el mismo lo redirige a un sitio web malicioso o instala malware en su dispositivo.
En algunos casos, el malware incrustado en un anuncio puede ejecutarse automáticamente sin ninguna intervención por parte del usuario, una técnica denominada Descarga Automática (en inglés Drive-by-Download) .
Malware sin archivos (Fileless)
El malware sin archivos, que actualmente comprende más del 50 por ciento de todo el software malicioso que pulula por el medio silvestre, no utiliza el sistema de archivos para propagarse.
Utiliza funciones del sistema operativo como PowerShell de Microsoft, el Registro de Windows, .NET Framework /.NET Core, Windows Management Instrumentation, Microsoft Office, WMI y otras herramientas en contra del propio usuario.
Sin un ejecutable, no hay firma que el software antivirus pueda detectar. Esto es lo que hace que los ataques sin archivos sean tan peligrosos ya que pueden evadir fácilmente los productos de seguridad.
Pero tiene un inconveniente para el atacante: se acostumbra a eliminar al reiniciar el equipo ya que la RAM solo mantiene los datos cuando el ordenador está encendido.
Esto obliga a que los cibercriminales establezcan algún tipo de mecanismo de persistencia para que el software malicioso sobreviva a cada reinicio.
Los expertos creen que el aumento de este tipo de ataques es debido a que este software malicioso se puede encontrar fácilmente en repositorios de malware y kits de exploits.
Algunos ciberdelincuentes también ofrecen ataques de malware sin archivos como un servicio.
Híbridos o amenazas combinadas
Se trata una combinación de programas maliciosos tradicionales que por ejemplo puede incluir un troyano (para la administración remota de un equipo ) un gusano (para ocultarse en la memoria) y, en ocasiones, un virus informático (para alterar el código de un programa).
Es el caso típico de los bots, cuyo objetivo es explotar máquinas individuales para que formen parte de una botnet .
Keylogger
Los registradores de teclas o registradores de pulsaciones son programas de software o dispositivos de hardware que rastrean y registran todas las actividades que se realizan en un teclado.
Pueden usarse para diferentes propósitos; los delincuentes pueden utilizarlos para tener acceso a información privada, mientras que las empresas pueden usarlos para monitorear las actividades de sus empleados.
Algunos keyloggers también pueden capturar la pantalla a intervalos aleatorios o programados. Estos se conocen como grabadores de pantalla.
El software Keylogger generalmente almacena las pulsaciones de las teclas en un archivo, al que puede accederse más tarde, o lo envía automáticamente por correo electrónico a la persona que supervisa las actividades.
Se pueden instalar mediante el acceso físico a un ordenador, o pueden venir como parte integrante de una aplicación troyanizada descargada de internet.
Esta es una de las razones por la cual siempre debemos descargar software desde fuentes confiables.
Bots/Botnets
Una botnet es una colección de dispositivos conectados a Internet infectados por un tipo común de malware y controlados de forma remota.
Son utilizados para funciones específicas como enviar spam por correo electrónico, participar en campañas de fraude de clics o generar tráfico malicioso para ataques de denegación de servicio distribuido.
El objetivo de crear una botnet es infectar tantos dispositivos conectados como sea posible (el tamaño importa) y usar la potencia informática y los recursos de esos dispositivos para tareas automatizadas que generalmente permanecen ocultas para sus dueños.
La reciente cantidad de dispositivos con capacidad para conectarse a Internet (Smart TV, routers, grabadoras digitales de vídeo, cámaras IP de vigilancia, electrodomésticos, etc.) con configuraciones de seguridad limitadas (contraseñas de fábrica fáciles de obtener o firmware desactualizado) los hace vulnerable a los ataques de botnet.
Estos ataques, con frecuencia pasan desapercibidos porque involucran una amplia red de dispositivos y consumen poco ancho de banda.
Puerta trasera (Backdoor)
Una puerta trasera es una herramienta de administración remota (RAT) que permite a un usuario acceder y controlar una dispositivo de forma remota a través de una red o Internet.
Si bien los administradores de sistemas pueden usar puertas traseras para actividades legítimas como solucionar problemas o dar soporte técnico, los delincuentes también pueden usarlas para obtener el control de una dispositivo sin el conocimiento o consentimiento de su propietario.
Los atacantes pueden implementar una puerta trasera de numerosas maneras, por ejemplo, como parte de la carga útil de un gusano o un troyano, camuflada en un archivo adjunto a un correo electrónico, en un archivo descargado en redes punto a punto (P2P), etc.
Dependiendo de lo sofisticada que sea puede realizar acciones como por ejemplo: enviar y recibir archivos, navegar por los discos duros y las unidades de red, obtener información del sistema, hacer capturas de pantalla, cambiar la fecha y la hora, alterar configuraciónes, o gilipolleces como como abrir y cerrar la unidad de DVD.
Madware
Es esencialmente el adware dirigido específicamente a teléfonos inteligentes y tabletas, especialmente con el sistema operativo Android que por ser de código abierto es el preferido por los ciberdelincuentes para perpetrar sus fechorías.
A menudo se instala en un dispositivo móvil cuando el usuario descarga una aplicación gratuita repleta de publicidad.
Algunos programas maliciosos también pueden actuar como software espía o realizar cambios no deseados en el dispositivo.
- Reemplazar el tono de marcado de un teléfono por anuncios de audio.
- Enviar automáticamente mensajes de texto.
- Mostrar anuncios en la barra de notificaciones del teléfono.
- Agregar iconos o accesos directos no deseados en la pantalla de inicio.
- Grabar el número de teléfono y la ubicación del dispositivo (a través de GPS)
- Escapar de la detección del software de seguridad.
Si no se controla, no solo puede ser molesto, sino que también puede ser costoso en términos de uso de datos.
También puede exponer al usuario a riesgos de robo de identidad si la información recopilada se vende en el mercado negro a gente sin escrúpulos.
Se puede evitar tomándose el tiempo necesario para leer el acuerdo de usuario final de cada aplicación antes de aceptarlo, y ser muy cauteloso al descargar aplicaciones que solicitan permiso para usar la ubicación del dispositivo, tener acceso al teléfono y al sistema de mensajería.
Secuestradores de navegador (Browser Hijackers )
Las acciones más habituales que suelen realizar es la de mostrar publicidad invasiva mediante el uso de pop-ups, instalar inútiles barras de herramientas en el navegador, bloquear el acceso a determinadas páginas web y en los casos más extremos pueden llegar a falsear las búsquedas que hagamos en Google o cualquier otro buscador.
Suele tratarse de ataques poco peligrosos, ya que no es habitual que roben información o intenten algún tipo de estafa aunque pueden redirigirnos a otras páginas que si realizan este tipo de prácticas.
La forma más habitual que tienen para infectar los equipos es mediante la descarga de un programa desde una página no oficial, en la que el atacante ha camuflado el hijacker.
Cryptojacking
Cryptojacking es el uso no autorizado de un ordenador, tableta, teléfono móvil o cualquier dispositivo doméstico conectado a internet para el minado de criptomonedas.
Los piratas informáticos pueden comprometer un sistema haciendo que la víctima haga clic en un enlace malicioso que carga el malware en su dispositivo, infectando un sitio web legítimo con código JavaScript malicioso (que se ejecuta automáticamente en el navegador de la víctima cuando visita la página), o mediante técnicas de phishing y otros tipos de ingeniería social.
A menudo, usan varios de estos métodos a la vez para maximizar los resultados.
A diferencia de la mayoría de malware, los scripts de criptojacking no dañan los dispositivos ni roban los datos de las víctimas. Su objetivo es utilizar los recursos de procesamiento de la CPU.
Raspador de RAM
Es un tipo de malware que recolecta los datos almacenados temporalmente en la memoria RAM.
Este tipo de malware a menudo se dirige a los sistemas de punto de venta como las cajas registradoras y terminales de tarjetas de crédito porque pueden almacenar números de tarjetas sin cifrar durante un breve período de tiempo (a veces milisegundos) antes de cifrarlos y luego pasarlos al back-end que procesa la transacción.
Software de seguridad falso (Rogueware o FakeAV )
Básicamente, es una forma de fraude que utiliza código malicioso en un intento de engañar a los usuarios para que paguen por una falsa herramienta de eliminación de malware, haciéndoles creer mediante una ventana emergente que su sistema está infectado por una cantidad ingente de malware.
También es posible recibir mensajes del tipo "Windows ha encontrado un error inesperado" y piden al usuario que haga clic en un botón para diagnosticar y solucionar el problema.
A veces, estas advertencias pueden adquirir la forma del propio sistema de seguridad de Windows.
Si la víctima cae en la trampa, se le pide que pague una cantidad de dinero para descargar una falsa solución de seguridad (lo que puede conllevar el robo de sus credenciales bancarias) para eliminar un malware que no existe.
Otras veces al pulsar en el boton de Analizar o Eliminar, el programa puede instalar virus, troyanos, spyware, ransomware etc.
Los delincuentes distribuyen este tipo de software malicioso utilizando principalmente páginas web legítimas infectadas con código malicioso (o directamente fraudulentas) y anuncios en Internet.
En algunos casos el software también puede propagarse mediante descargas que aprovechan los agujeros de seguridad de los navegadores web, visores de documentos PDF o clientes de correo electrónico.
Exploit
Un exploit es una pieza de software, una secuencia de comandos o incluso una cadena de caracteres, que aprovecha un error o vulnerabilidad no parcheada en una aplicación de software, sistema operativo o dispositivo de hardware para provocar un comportamiento imprevisto o disruptivo.
Entre los ejemplos más conocidos se encuentran: ataques de inyección SQL, secuencias de comandos, falsificación de solicitudes entre sitios (Cross Site Request Forgery ) código de autenticación roto y configuraciones incorrectas de seguridad.
Muchos exploits están diseñados para proporcionar acceso a un sistema con privilegios de administrador para robar datos o realizar otras acciones maliciosas.
Dado que los exploits aprovechan los agujeros de seguridad en el software, el sistema operativo y dispositivos de hardware, un usuario no tiene forma de saber si ha sido afectado hasta que es demasiado tarde.
Por lo tanto, es muy importante (imprescindible) mantener tanto el sistema operativo, como todas las aplicaciones de terceros instaladas en el mismo, actualizados con los últimos parches de seguridad.
