¿Qué es el malware?

El malware es el nombre genérico que recibe el código malicioso diseñado para alterar el funcionamiento normal del equipo, teléfono, tablet o cualquier otro dispositivo del usuario, o causar daños en ellos. Existen muchas categorías de malware diferentes como, por ejemplo, gusanos, troyanos, spyware y keyloggers. Estos términos se usan indistintamente y cada vez más variantes de malware suelen integrar una combinación de diversas técnicas.

La inmensa mayoría del malware que existe en la actualidad tiene como objetivo recaudar dinero para sus creadores.1 Esto se consigue normalmente robando datos confidenciales, como nombres de usuario, contraseñas, información de tarjetas de crédito u otros datos financieros. Esta información confidencial se utiliza después para lanzar nuevos ataques contra los individuos y las empresas, o se vende a otros delincuentes. Para recaudar dinero, es cada vez más frecuente el uso del ransomware, un tipo de malware que bloquea un dispositivo y requiere el pago de un rescate para recuperar el acceso a los archivos.

Se calcula que todos los días se detectan 390 000 nuevas variantes de malware.

El malware está diseñado para eludir los sistemas de seguridad y evitar su detección, lo que hace extremadamente difícil la labor de los equipos de seguridad para garantizar que los usuarios y la empresa no se vean afectados negativamente. Los creadores del malware utilizan diversos métodos para poder eludir los sistemas de seguridad; por ejemplo, usan nombres de archivos ilegibles, modifican los atributos de los archivos, imitan operaciones de programas fiables y ocultan procesos y conexiones de red. A estas técnicas de confusión y evasión hay que añadir el elevado número de malware que aparece a diario; se calcula que todos los días se detectan 390 000 variantes nuevas.2

¿Cómo se distribuye el malware?

Existen varios métodos de distribución de malware para infectar los dispositivos. Se incluyen los siguientes:

  • Un archivo malicioso adjunto a un mensaje de correo electrónico de phishing: el correo electrónico utilizará técnicas de ingeniería social para convencer al destinatario para que abra el archivo adjunto. Una vez abierto, se distribuye el código del malware.
  • Una URL maliciosa en el cuerpo del mensaje de un correo electrónico: el correo electrónico utilizará técnicas de ingeniería social para convencer al destinatario para que haga clic en el enlace. Una vez que haga clic, la URL abrirá una página web donde se aloja el malware.
  • Descarga involuntaria: el código de malware se distribuye cuando el usuario accede directamente al sitio donde se aloja el malware o se le redirige a dicha página por medio de un anuncio malicioso (malvertising).
  • Un dispositivo USB infectado.
  • Intrusión directa en la red a través de puertos abiertos en firewalls perimetrales.
  • Una vulnerabilidad en el sistema operativo del dispositivo o en las aplicaciones instaladas: imagine, por ejemplo, que el usuario tiene un plugin de Flash antiguo, obsoleto o mal configurado en un navegador. Los sitios web afectados pueden diseñarse para que detecten esta vulnerabilidad en el dispositivo de un usuario en cuanto acceda al sitio. El malware de dicha página identifica qué vulnerabilidades se pueden aprovechar y, a continuación, distribuye el código del malware específico para atacar la vulnerabilidad en cuestión.

Fácil acceso

Hasta hace poco, un ciberdelincuente necesitaba unos conocimientos amplios sobre ingeniería de software, seguridad y redes para lanzar un ataque de malware. Sin embargo, se ha desarrollado un ecosistema completo que permite a los ciberdelincuentes generar e implementar malware, y recaudar dinero con él por tan solo 39 dólares.3 De hecho, hay malware como servicio (MaaS) y ransomware como servicio (RaaS) que se puede adquirir a bajo precio y que se anuncia en sitios populares. A continuación se muestra un ejemplo de este tipo de sitios web en los que se venden varias opciones de MaaS.

Malware Seller

Tipos de malware

Spyware: realiza un seguimiento de la actividad de navegación y recopila información sobre una persona u organización. Envía esta información de forma encubierta a otra entidad para que haga un uso malicioso de ella o para controlar un dispositivo sin que el usuario se percate.

Keyloggers: registra las teclas pulsadas por el usuario para averiguar nombres de usuario, contraseñas y otra información confidencial. Los ciberdelincuentes suelen utilizar después esta información para otras actividades maliciosas.

Troyanos: se camuflan como software fiable para espiar o acceder al sistema del usuario a fin de robar, eliminar, bloquear o modificar los datos, así como para alterar el rendimiento de la red o el dispositivo. Hay muchos tipos de troyanos como, por ejemplo, los troyanos de puerta trasera, que proporcionan a los ciberdelincuentes un control remoto total del dispositivo infectado; los troyanos DDoS, que incorporan un dispositivo en una botnet para usarlo después con el fin de iniciar ataques de denegación de servicio; y troyanos por correo electrónico, que permiten usar un dispositivo para iniciar ataques de spam.4

Gusano: se replica a sí mismo desde un dispositivo, una unidad o una red a través de conexiones de red. Los gusanos se propagan automáticamente, sin que nadie intervenga, y se replican de forma automática; consumen ancho de banda y sobrecargan los servidores web.5

Rootkit: su diseño le permite tomar el control administrativo remoto de un dispositivo. Una vez instalado, los autores del rootkit pueden rastrear todo lo que se realice en el dispositivo, ejecutar archivos, instalar programas y otro malware, y realizar cambios en el software, incluido el antivirus. Los rootkits son muy difíciles de detectar y eliminar.6

Ransomware: cifra los archivos en un dispositivo del usuario o en los dispositivos de almacenamiento de una red. Para restaurar el acceso a los archivos cifrados, el usuario debe pagar un "rescate" a los ciberdelincuentes, normalmente a través de un método de pago electrónico difícil de rastrear como Bitcoin.

Reducción del riesgo del malware en su negocio

Ofrezca formación al eslabón más débil. La inmensa mayoría de ataques de malware requiere que alguien intervenga de algún modo para activar la carga. Es fundamental formar a los empleados sobre cómo reconocer y defenderse contra los ciberataques. Muchos ataques utilizan el correo electrónico y técnicas de ingeniería social para engañar al empleado y así descargar el malware o divulgar su nombre de usuario y contraseña. Por ello, la formación debería centrarse en estos vectores de ataque habituales. Los ejercicios en los que se envían correos electrónicos de "phishing" falsos a los empleados son muy útiles para enseñar a los usuarios a diferenciar entre un mensaje fiable de un proveedor y un correo electrónico de phishing con el asunto "Factura adjunta, consúltela".

Parches y más parches. Tal como pusieron de manifiesto los ataques recientes WannaCry y Petya, no adoptar una estrategia rigurosa para la instalación de parches que solucionen vulnerabilidades de seguridad puede poner en riesgo una empresa. Incluso meses después del uso de la vulnerabilidad EternalBlue por parte de los ataques WannaCry y NotPetya, se calcula que al menos 38 millones de equipos siguen sin parches.7 Es relativamente sencillo para los ciberdelincuentes identificar software y dispositivos sin parches en la red de una empresa y, una vez identificados, aprovecharse de las vulnerabilidades conocidas.

Se calcula que al menos 38 millones de equipos siguen sin parches.

Realice una copia de seguridad de sus datos y haga otra copia de esta copia. Para algunos, esto puede parecer obvio, pero el malware puede cifrar las copias de seguridad almacenadas en servidores en red. Por ello, las empresas deben revisar la estrategia adoptada con las copias de seguridad. ¿Están realizando los empleados copias de seguridad de archivos importantes en una unidad de red? ¿Se realiza una copia de seguridad de las copias de estos dispositivos y servidores de archivos en un servicio en la nube? ¿Se verifica si las copias de seguridad se pueden restaurar? De ese modo, si el malware cifra todos los archivos locales y las copias de seguridad, la empresa podrá restaurarlos rápidamente con un impacto mínimo en el negocio.

Confiar en una sola capa de seguridad contra esta amenaza en constante evolución no es lo más recomendable.

Póngaselo difícil a los malos: use varias capas de defensa. Los ciberdelincuentes dedican cada vez más tiempo y dinero a desarrollar formas de malware avanzado cada vez más sofisticadas cuyo diseño les permita sortear las defensas y los sistemas de seguridad de una empresa. Confiar en una sola capa de seguridad contra esta amenaza en constante evolución no es lo más recomendable. Al usar diversas capas de seguridad, en caso de que una capa no pueda detener el ataque, contará con otras capas que podrán combatir la amenaza. ¿Qué capas de seguridad usa su empresa en la actualidad? ¿Cuenta con varias soluciones de seguridad para ayudar a mitigar el riesgo durante todas las etapas de un ataque? ¿Existe alguna brecha en su sistema de seguridad que los ciberdelincuentes puedan aprovechar?


1 https://securityintelligence.com/know-your-enemy-understanding-the-motivation-behind-cyberattacks/
2 https://www.av-test.org/en/statistics/malware/
3 https://www.forbes.com/sites/kevinmurnane/2016/07/15/ransomware-as-a-service-being-offered-for-39-on-the-dark-net/#b45e97955a63
4 https://usa.kaspersky.com/resource-center/threats/trojans
5 https://www.veracode.com/security/computer-worm
6 https://heimdalsecurity.com/blog/rootkit/
7 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
8 https://www.gdatasoftware.com/blog/2017/04/29666-malware-trends-2017
9 https://www.forbes.com/sites/jameslyne/2013/09/06/30000-web-sites-hacked-a-day-how-do-you-host-yours/#6d04c3481738
10 https://www.theguardian.com/technology/2016/mar/16/major-sites-new-york-times-bbc-ransomware-malvertising
11 https://www.malwarebytes.com/pdf/labs/Cybercrime-Tactics-and-Techniques-Q1-2017.pdf
12Kruegel, D. C., Labs Report at RSA: Evasive Malware’s Gone Mainstream. Recuperado de http://labs.lastline.com/evasive-malware-gone-mainstream