¿Qué es el malware, como puede dañar el equipo y qué diferencias hay entre los distintos tipos de malware? Y sobre todo, como protegerse. Aquí lo explicamos.
En la primera sección hablaremos sobre las características generales del malware, la diferencia existente con un virus y sobre cómo podemos ayudar a protegernos.
Después entraremos en detalle sobre los tipos de malware y medidas de protección para de cada uno de ellos.
En primer lugar, responderemos a la siguiente pregunta:
¿Que es un malware?
Malware es la abreviatura de “malicious software” o en español, software malicioso. Lo que trata de hacer este software es infectar un equipo (ordenador, móvil, tablet…) con varias finalidades. Entre ellas esta el extraer información personal, obtener contraseñas, acceso a cuentas bancarias o evitar que los propietarios accedan a sus dispositivos. En otras palabras, la finalidad es causar daño.
10 amenazas principales de malware en 2023
1. Generic.Malware.AI.DDS
2. Exploit.CVE202121551.Vulnerable
3. Generic.Malware/Suspicious
4. RiskWare.AutoKMS
5. RiskWare.KMS
6. Trojan.BitCoinMiner
7. HackTool.AutoKMS
8. Trojan.Agent
9. Malware.AI
10. RiskWare.HackTool
Fuente: Malwarebytes
Bitdefender ofrece un mapa virtual de ataques de ciberseguridad en tiempo real, que se puede consultar aquí https://threatmap.bitdefender.com/
¿Por dónde puede acceder un malware?
Estos malwares están por la red (Internet), así que pueden acceder desde casi cualquier punto.
Algunos ejemplos son
- el correo electrónico
- un archivo descargado de internet
- las barras de tareas que se instalan muchas veces al instalar algún programa
Como el malware puede acceder desde muchos sitios, es muy importante tener instalado en todos los equipos un buen antivirus. No solo eso, sino además debemos asegurarnos de que el antivirus cuente con antimalware. En caso contrario, debemos instalar adicionalmente un antimalware.
Es posible que ahora surja otra duda. Sí todo esto es malware, ¿entonces que es un virus?
¿Que es un virus?
Un virus es un tipo de malware que tiene como objetivo alterar el buen funcionamiento de un dispositivo. Lo hace infectando los ficheros del equipo con un código malicioso. Una de sus principales características es que necesita de la intervención del usuario para poder ejecutarse. Además, suele buscar la propagación.
Estos virus suelen estar dentro de los archivos .exe. Esta abreviatura al final de un archivo, significa que se va a ejecutar. Adoptan el nombre de un programa, instando así de forma engañoso, al usuario para que ejecute el archivo. Ejemplos son archivos adjuntos en un email, que parecen imágenes (.jpg) u hojas de cálculo (.xlsx), pero en formato .jpg.exe o .xlsx.exe.
Los tipos de Malware y Medidas de Protección
Pasemos ahora a hablar de los diferentes tipos de malware, que circulan por la red y que pueden afectar a los equipos. Explicaremos en detalle qué hace cada uno, y además indicaremos algunos consejos de seguridad para protegernos ante ellos.
Troyano
También conocido como caballo de Troya, es el malware más popular, diseñado para controlar de forma remota un ordenador. Es el malware más temido por empresas y usuarios. Es capaz de eliminar y modificar archivos y capturar y enviar información confidencial.
Su principal objetivo es crear una puerta trasera que dé acceso a una administración remota por parte del atacante, para robar información personal y confidencial. Es un tipo de malware que suele ir camuflado dentro de otro programa, foto, archivo, etc.
¿Como nos protegemos?
- sistema operativo actualizado
- antivirus instalado y actualizado
- evitar las descargas en páginas de dudosa reputación
- analizar todos los archivos descargados a través de aplicaciones p2p
Backdoor
Es un tipo de troyano que permite el acceso al sistema infectado y su control remoto. El atacante podría entonces eliminar o modificar archivos, ejecutar programas, enviar correos masivamente o instalar aplicaciones maliciosas.
Muchos de estos troyanos incorporan la función de backdoor para poder acceder a la maquina infectada cuando desee el atacante y con ello seguir con sus actividades maliciosas.
Hay que tener en cuenta que no todos los backdoors tienen porque ser peligrosos, puesto que los desarrolladores de los programas suelen dejar backdoors para realizar tareas de mantenimiento o actualizaciones de estos programas, siempre que estén bien configurados y permitan el paso a los usuarios legítimos, no tiene porqué ser un problema.
¿Como nos protegemos?
Lo primero es diferenciar entre los backdoors que se intentan instalar en nuestro sistema (normalmente utilizando troyanos) y los que vienen incluidos en alguna aplicación de confianza.
Podemos tomar 3 medidas
- un análisis de trafico de nuestra red
- comprobación del antivirus actualizado
- no descargar nada de sitios que no sean de confianza
Botnet o Zombis
Es un tipo de virus capaz de controlar nuestros ordenadores de forma remota y se suele utilizar para propagar virus por la red. Convierte a los ordenadores infectados en esclavos del hacker , que los utilizará para sus propios fines. Los botnets pequeños pueden incluir cientos de equipos infectados, mientras que los mayores utilizan millones de equipos infectados.
Los hackers utilizan varios métodos para infectar los equipos. Uno de ellos es buscando la vulnerabilidad de una página web, para cargar su código malicioso. En consecuencia, el navegador web del usuario que visita la web,es redirigido al sitio controlado por el delincuente. Es aquí donde este código malicioso se descarga y se instala en el equipo.
Otra forma consiste en que el atacante envía una gran cantidad de spam donde va adjuntando un archivo Word o PDF con un código malicioso o un enlace donde se encuentra el código alojado. Así el código entra en el equipo y este pasa a ser parte del botnet. El atacante pasa a tener el control de equipo y puede hacer lo que quiera con ellos. Los creadores venden estos códigos a quien esté dispuesto a pagar por ellos.
¿Como nos protegemos?
Recomendamos estas medidas
- tener todo el software del equipo actualizado
- evitar hacer click sobre enlaces sospechosos
- no descargar nada de paginas que no sean de confianza
Exploit
Podemos definirlo como un programa o código que se aprovecha de un agujero de seguridad(vulnerabilidad) en una aplicación o sistema, de forma que el atacante podría usarla en su propio beneficio.
No es un código malicioso en si mismo, se puede decir que es la llave para que estos accedan a nuestro sistema. De esta forma, puede proporcionarles los permisos necesarios para poder ejecutarse en un sistema e infectarlo aprovechándose de una vulnerabilidad.
Podemos distinguir entre dos tipos de exploits, los conocidos y los desconocidos también llamados 0-days.
Exploits conocidos
Los conocidos son aquellos de los que si se tiene constancia y podemos tomar las medidas necesarias para evitar infectarnos. Estos suelen aparecer en la mayoría de noticias sobre seguridad, al igual que van apareciendo las vulnerabilidades que tratan de aprovechar.
Exploits desconocidos 0-days
Los desconocidos también llamados 0-days, suponen una grave amenaza, puesto que se aprovechan de las vulnerabilidades que aún no han sido reportadas al público y por lo tanto no se conocen todavía.
¿Como nos protegemos?
- Aplicaciones y sistema operativo actualizado. Los exploits se aprovechan de estos agujeros de seguridad y es importante cerrarlos cuanto antes.
- EMET – Es posible que el fabricante del software todavía no haya lanzado una actualización para solucionar esta vulnerabilidad, en este caso podemos ayudarnos de herramientas como el Kit de herramientas de experiencia de mitigación mejorada(EMET) para el sistema Windows. Este kit puede ayudar a evitar que el sistema se infecte hasta que aparezca una solución.
- un antivirus capaz de detectar y bloquear exploits pensados para aprovechar vulnerabilidades en navegadores web, lectores PDF etc.
Gusanos
Los gusanos informáticos son programas que realizan copias de si mismo y se propagan a otros equipos por medio del correo electrónico y dispositivos de almacenamiento entre otros.
A diferencia de los virus los gusanos no infectan archivos.
Actualmente los gusanos están más orientados a buscar beneficios económicos. Suelen ser utilizados para crear grandes redes de bots para controlar miles de ordenadores en todo el mundo. Estos delincuentes envían a estos ordenadores denominados “zombis” instrucciones para enviar spam, lanzar ataques de denegación de servicios y descargar códigos maliciosos entre otras acciones.
Los gusanos Gaobot o Sdbot son dos ejemplos de gusanos diseñados con este fin.
¿Como nos protegemos?
- desactivar la opción “ocultar las extensiones para todo tipo de archivos”. Así podremos ver las extensiones de los archivos, pues los gusanos suelen tener doble extensión.
- tener un buen antivirus instalado, el cual actualizaremos periódicamente
- descargar las actualizaciones de parches de seguridad del sistema operativo
Ransomware
Es un programa malicioso (malware) que bloquea los ordenadores, dispositivos móviles, tablets. Cifra los archivos de los equipos infectados para impedir el acceso al usuario. Normalmente tiene el fin de pedir dinero a cambio de desbloquear estos equipos. De ahí el nombre de ransom, que se traduce como rescate.
El usuario normalmente encuentra una nota de rescate en cada carpeta, con las instrucciones para efectuar el pago y recuperar sus archivos. Esta nota lleva una vía de contacto, como un email o una URL .onion, habitualmente accesible via Tor. A continuación, se indica una cuenta de BTC, donde se efectúa el pago del importe de rescate solicitado. En cambio, los hackers prometen la clave desencriptadora, con la cual el usuario puede desencriptar sus archivos.
Las infecciones más comunes con este tipo de códigos dañinos se dan a través del correo electrónico, que remite a un enlace de una página de internet o al descargar un fichero adjunto, instalándose así el programa que bloquea el equipo.
Ejemplos de Ransomware
En 2017, fueron noticia primero WannaCry, seguido de NotPetya.
Wannacry infecta al ordenador, cifrando todos sus archivos, y los de otros dispositivos que estén conectados a una red local. Así se pueden infectar todos los equipos de una misma empresa. Este malware aprovechó una vulnerabilidad del sistema operativo Windows. La compañía dio cuenta de este agujero de seguridad en su sistema a través de un boletín y lanzó varios parches de seguridad para corregir este fallo.
NotPetya salió pocos días después de Wannacry, en junio del 2017, y llegó a causar un daño sin precedentes comparado con los ciberataques hasta entonces conocidos. Las ultimas estimaciones son de unos 2 billones de dolares en daños. Infectó a multinacionales como el gigante naviero Maersk, o Merck y Mondelez y causó daños importantes en España.
En el caso de Maersk, la reinstalación incluyó más de 4.000 servidores, 45.000 PC y 2.500 aplicaciones en solo 10 día. La instalación de una infraestructura así normalmente puede llevar hasta 6 meses.
Mientras que inicialmente se identificó como una variante más sofisticada de Petya, resultó no ser un ransomware típico. Mientras que en otros ataques se paga una cantidad a cambio de la recuperación de datos, NotPetya, también llamado Nyetya, si solicitaba un pago pero no devolvía los datos una vez efectuado el pago.
¿Como nos protegemos?
- Actualizar los sistemas Windows, con la ultima versión o descargar el parche de seguridad diseñado expresamente por Microsoft para cerrar este punto débil.
- En el caso de tener un sistema operativo más antiguo para el que no está el parche de seguridad, se recomienda actualizar el sistema operativo, como es el caso de Windows 7 o anteriores.
Herramientas de ransomware
Si hemos recibido un ataque de ransomware, existen algunas herramientas que pueden ayudar. Esto depende de si existe una solución de desencriptado, o si todavía no se ha encontrado.
En primer lugar, hay herramientas que ayudan a identificar el tipo de ransomware que haya encriptado los archivos. Suelen utilizar entre otras, la extensión del archivo utilizado además de la nota de rescate, para identificar el tipo de malware.
Estas son algunas de las mas importantes:
El proyecto No More Ransom Proyect, que se puede encontrar en este enlace, proporciona la herramienta de identificación Crypto Sheriff. Otra herramienta valiosa es ID Ransomware, en este enlace.
A continuación, varios fabricantes ofrecen herramientas para desencriptar los archivos de manera gratuita.
Un referente es Emsisoft, que ofrece soluciones para varios tipos de ransomware: https://decrypter.emsisoft.com/
Bitdefender: https://labs.bitdefender.com/tag/bitdefender-ransomware-recognition/
Trend Micro Ransomware File Decrypter: https://blog.trendmicro.com/trend-micro-ransomware-file-decryptor-updated/
Kaspersky: https://support.kaspersky.com/viruses/disinfection
Todos recomiendan no pagar el rescate, sino de esperar a que algún fabricante pueda descifrar la clave desencriptadora. En algunos casos, los propios hackers se arepienten y publican la clave. Este fue el caso de TeslaCrypt. En otras, hackers publican la clave de un malware competidor.
La eliminación de ransomware
Mientras que el desencriptado de los archivos es una parte, por otra es importante eliminar correctamente cualquier rastro y cerrar todos los puntos de acceso al equipo infectado.
Solo cuando nos hayamos asegurado de que el equipo vuelve a estar seguro, podemos recurrir a las copias de seguridad para restaurar los archivos.
Enlace de interés de INCIBE
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/importante-oleada-ransomware-afecta-multitud-equipos
Hoax
En español llamados bulos, no son considerados como uno de los tantos peligros que existe en internet, debido a que no llevan consigo un código malicioso. No representan un peligro para los equipos, pero pueden hacer que el usuario ocasione daños de importancia a un ordenador.
Se puede considerar que son un peligro para la sociedad, pues el objetivo de los hoax es ser difundidos lo más ampliamente posible, engañando a la mayor cantidad de internautas posibles.
Pueden ocasionar numerosas consecuencias:
• La pérdida de credibilidad de la información difundida por email. ¿Como seguir creyendo en un medio que difunde información con el propósito de engañar?
• La desinformación de personas que creerán en el hoax y lo difundirán con el rumor que esto conlleva.
• La gran cantidad de mensajes que saturaran los correos electrónicos.
• La saturación de la red en proporción directa a la gran cantidad de spam, generando un tráfico inútil.
• La circulación de rumores falsos sobre una persona, empresa, asociación, etc.
• En algunos casos, perjudicar a los internautas haciendo pasar un archivo del sistema como un virus para que sea eliminado.
Aquí unos ejemplos de hoax.
¿Como nos protegemos?
- Recomendamos este artículo publicado en Xataka sobre los Hoax Hunters.
- Como regla general no deberíamos transferir ningún email de manera masiva si no estamos seguros de su veracidad. Esto es una buena práctica que deberíamos tener todos los internautas.
Keylogger
Se conoce también como “capturador de teclas”. Son programas o pequeños dispositivos que se instalan en los ordenadores y son capaces de grabar todo lo que se teclea en ese ordenador. Recopila todo lo que escribimos y lo guarda en un fichero. Lo puede enviar a través de internet a un correo electrónico de forma diaria o semanal de manera automática.
Hay dos variantes: el keylogger software y el keylogger hardware
Keylogger Software
El más utilizado es el keylogger software, que forma parte de los malwares como troyanos o rootkits. Este es sencillo de instalar, pues no se necesita acceder físicamente al equipo. Puede ser enviado para su instalación sin que nos demos cuenta. Se integra en cualquier programa, y sobre todo en los anexos de los emails, ocultándose en nuestro ordenador y funcionando de forma imperceptible.
Keylogger hardware
El otro tipo es el keylogger hardware y no es tan frecuente. Para poder instalar este tipo se tiene que tener acceso físico al equipo. Suele ser un dispositivo con conexión USB como un pendrive.
Este programa, una vez instalado en el ordenador, tiene la capacidad de registrar y memorizar todo lo que se teclee en el teclado que va unido al ordenador, según se va pulsando cada tecla. Los ciberdelincuentes pueden robar un gran volumen de información confidencial sin que las víctimas se den cuenta. Por lo tanto, es un riesgo cuando introducimos nuestras contraseñas o datos personales. Algunas empresas lo utilizan para controlar a sus empleados.
¿Como nos protegemos?
- Para evitar el keylogger la mejor medida de seguridad que podemos utilizar es tener instalado y actualizado un buen antivirus.
- Muchas páginas de entidades bancarias utilizan lo que se llama un teclado virtual. Esto evita la captura de lo tecleado cuando accedemos a nuestro banco online. Es un teclado que aparece en pantalla y donde seleccionamos nuestro código o contraseña con el ratón. De esta manera el keylogger no puede capturar nada.
Phishing
Es una forma de conseguir datos del usuario y consiste en engañar al usuario haciéndose pasar por una empresa de confianza para que el usuario proporcione esos datos.
El estafador conocido como phisher se vale de cualquier técnica de ingeniería social, en una aparente comunicación oficial, por lo general un correo electrónico, algún sistema de mensajería instantánea, redes sociales, por un malware o incluso haciendo llamadas telefónicas.
¿Como nos protegemos?
- Una de las reglas de oro es la de no entregar datos por correo electrónico. Ni los bancos ni las empresas en general solicitan los datos financieros o las tarjetas de crédito por correo.
- Si aun así se quiere consultar el contenido, no se debe acceder a través del enlace proporcionado. Escribe la dirección o el nombre de la empresa en su navegador de confianza.
- Ante cualquier duda, lo mejor es ponerse en contacto con el banco o la empresa para verificar que es un comunicado seguro.
- Comprueba que la página web a la que has entrado es una dirección segura. Debe empezar con https:// y tendrá un pequeño candado cerrado en la barra de estado del navegador.
- Si se recibe un email de este tipo, la mejor práctica es ignorarlo y no responder en ningún caso.
- Si crees que has sido víctima de phishing, cambia las contraseñas y ponte en contacto con tu banco o entidad financiera para informarles.
Rogue
Son programas falsos de seguridad, que no son realmente lo que dicen ser. Al instalar estos programas para solucionar estas falsas infecciones lo que estamos haciendo es infectar el equipo.
Estos falsos antivirus o antispyware están diseñados para mostrar un resultado predeterminado (siempre de infección) y no hacen ningún tipo de escaneo real en el sistema. No eliminará ninguna infección que podamos tener. Lo que van a hacer es mostrar una pantalla con varias infecciones y nos recomendarán comprar su versión completa para poder eliminar esas infecciones.
Aquí unos ejemplos de rogue.
¿Como nos protegemos?
- sistema operativo actualizado
- antivirus instalado y actualizado
- no comprar nunca un producto sin investigar su reputación.
- no comprar nunca un producto que se recomiende por emails no solicitados (spam).
- descargar los programas de seguridad únicamente desde la web del fabricante o desde sitios autorizados
- mantenerse informado sobre las nuevas amenazas que circulan por la red
Rootkit
Es un conjunto de herramientas usadas frecuentemente por los intrusos informáticos o crackers, que consiguen acceder ilícitamente a un sistema informático.
Estas herramientas sirven para esconder los procesos y archivos que mantienen al intruso conectado al sistema, a menudo con fines maliciosos. Hay rootkits para una amplia variedad de sistemas operativos como Linux o Windows.
El objetivo es encubrir otros procesos que están llevando a cabo acciones maliciosas. En el caso de que haya una puerta trasera en un sistema, con el fin de llevar a cabo tareas de espionaje, el rootkit ocultará los puertos abiertos que delaten la comunicación. Otro ejemplo es la presencia de un sistema para enviar spam. En este caso, el rootkit ocultará la actividad del sistema de correo.
Los rootkits esta diseñados para pasar desapercibidos. No pueden ser detectados. Si un usuario intenta analizar el sistema para ver que procesos están ejecutándose, este mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está ocultando.
¿Como nos protegemos?
Un rootkit necesita llevar a cabo algunas tareas que se podrían considerar “típicas”. Debe adquirir derechos de root (Administrador), modificar llamadas básicas al sistema operativo, falsear sistemas de reporte de información del sistema…
Todas estas tareas, una a una, entrañan poco peligro. Pero todas ellas juntas y en el mismo momento, llevadas a cabo por el mismo programa, proporcionan información clara de que algo extraño está pasando en el equipo.
Si las soluciones antivirus fracasan definitivamente a la hora de detectar un rootkit, las nuevas tecnologías de detección de amenazas por comportamiento tienen su mejor prueba de eficacia en la detección y bloqueo de rootkits.
- sistema operativo actualizado
- antivirus instalado y actualizado
Spam
Normalmente son correos electrónicos no deseados, habitualmente con contenido publicitario y se envían de forma masiva.
¿Como nos protegemos?
- no enviar mensajes en cadena. Su contenido suele ser algún tipo de engaño
- no responder a este tipo de mensajes ya que envía confirmación de que la dirección de email esta activa y en consecuencia recibirá más correo basura
- tener un filtro anti spam
Spyware/Adware
El adware es el software que despliega publicidad de distintos productos o servicios. Estas aplicaciones incluyen código adicional que muestra la publicidad en ventanas emergentes, o a través de una barrea que aparece en la pantalla simulando ofrecer distintos servicios útiles para el usuario.
Normalmente estas aplicaciones añaden iconos gráficos en la barra de herramientas del navegador de internet o en los clientes de correo. Estas barras de tareas personalizadas tienen palabras clave predefinidas para que el usuario llegue a sitios de publicidad, cual sea la búsqueda introducida.
El spyware o software espía son las aplicaciones que recopilan información sobre una persona u organización sin su conocimiento ni consentimiento. El objetivo más común es distribuirlo a empresa de publicidad u otras organizaciones interesadas.
Normalmente estos tipos de software envían información a sus servidores en función de los hábitos de navegación del usuario. También recopila datos acerca de las webs que se visitan y la información que se solicita en estos sitios, así como direcciones IP y URLs que se navegan.
¿Como nos protegemos?
- verificar cuidadosamente los sitios por lo que se navega, ya que es muy común que estas aplicaciones ofrezcan su instalación o que esta misma instalación sea ofrecida por empresas de dudosa reputación
- prometen ser barras con funciones extras que se instalan sobre el explorador
- estas aplicaciones evolucionan continuamente por lo que contar con un antivirus actualizado nos ayudará a detectar estas aplicaciones y así evitar su instalación.