Guía Completa sobre Malware: Tipos, Ataques y Prevención

By /

El rápido desarrollo tecnológico ha traído consigo una proliferación de diversos tipos de software malicioso, comúnmente conocido como malware. Este término abarca cualquier programa o código diseñado para infiltrarse en sistemas, causar daño, robar información sensible o tomar el control de dispositivos sin el conocimiento del usuario.

Los desarrolladores de malware, a menudo denominados ciberdelincuentes, hackers o adversarios, ocultan sus identidades para evitar la responsabilidad legal. Es crucial comprender los vectores de ataque y los diferentes tipos de malware para implementar una defensa cibernética adecuada y mantener la seguridad de los equipos y la información.

¿Qué es el Malware y Cómo Funciona?

El malware es un software malicioso que busca invadir, dañar o deshabilitar computadoras, sistemas informáticos, redes, tabletas y dispositivos móviles, a menudo controlando parcialmente sus operaciones. Al igual que una enfermedad humana, interfiere con el funcionamiento normal de un sistema.

Los motivos detrás del malware varían: puede buscar obtener dinero a costa de la víctima, sabotear la capacidad de trabajo, hacer una declaración política o simplemente por fanfarronería. Aunque generalmente no puede dañar el hardware físico de los sistemas, sí puede robar, cifrar o eliminar datos, alterar o secuestrar funciones básicas de la computadora y espiar la actividad sin consentimiento.

La infección de un dispositivo generalmente comienza con la descarga o instalación de software de internet. Esta descarga no siempre es consciente, sino que puede ser resultado de un clic involuntario en un enlace o página web infectada, o al descargar archivos gratuitos de fuentes no confiables. El malware también puede estar presente en dispositivos USB que, al conectarse, infectan automáticamente el equipo.

Infografía: Ciclo de vida del malware y sus etapas de ataque

¿Cómo Puedo Saber si mi Dispositivo Está Infectado con Malware?

El malware puede manifestarse con una variedad de comportamientos anómalos. Algunas señales reveladoras de una infección incluyen:

  • Rendimiento lento: La computadora se ralentiza significativamente, ya sea al navegar por internet o usar aplicaciones locales, con un uso anormalmente alto de los recursos del sistema. El ventilador puede funcionar a toda velocidad, indicando que algo consume recursos en segundo plano, a menudo cuando la máquina es parte de una botnet.
  • Anuncios molestos: La pantalla se inunda de ventanas emergentes inesperadas, un signo típico de adware, que a menudo vienen con otras amenazas ocultas.
  • Bloqueos del sistema: Congelaciones o pantallas azules de la muerte (BSOD en Windows) ocurren después de errores fatales.
  • Pérdida misteriosa de espacio en disco: Puede ser causada por malware voluminoso oculto o bundleware.
  • Aumento inusual de la actividad de internet: Troyanos, botnets o spyware pueden conectarse a servidores de comando y control (C&C) para descargar infecciones secundarias, como ransomware.
  • Cambios en la configuración del navegador: La página de inicio, las barras de herramientas, extensiones o plugins cambian sin consentimiento, indicando una descarga de software no deseado.
  • Antivirus desactivado: El producto antivirus deja de funcionar y no puede reactivarse, dejando el sistema desprotegido.
  • Pérdida de acceso a archivos o a la computadora: Síntoma de una infección de ransomware, donde los atacantes exigen un rescate a cambio del descifrado de los datos.

Incluso si todo parece funcionar bien, un malware sofisticado puede ocultarse profundamente, evadiendo la detección y realizando actividades maliciosas sin levantar sospechas.

¿Cómo Llega el Malware a los Dispositivos?

Las vías más comunes de acceso del malware son internet y el correo electrónico. Por lo tanto, mientras se está conectado a internet, se es vulnerable. El malware puede penetrar en la computadora al:

  • Navegar por sitios web pirateados o legítimos que sirven anuncios maliciosos.
  • Descargar archivos infectados, programas o aplicaciones de proveedores desconocidos.
  • Abrir un archivo adjunto de correo electrónico malicioso (malspam).
  • Descargar contenido de la web en un dispositivo sin una aplicación de seguridad antimalware de calidad.

Las aplicaciones maliciosas pueden ocultarse en aplicaciones aparentemente legítimas, especialmente al descargarlas de sitios web o enlaces directos (en correos, SMS o chats) en lugar de tiendas de aplicaciones oficiales. Es vital prestar atención a los mensajes de advertencia durante la instalación, sobre todo si solicitan permisos para acceder a información personal.

Tipos de Malware Comunes

Existe una amplia variedad de malware, cada uno con sus propias características y métodos de ataque:

Virus

Los virus son una de las formas más antiguas de malware. Se adjuntan a otros programas y, al ejecutarse (a menudo sin que el usuario se dé cuenta), se replican modificando otros programas informáticos e infectándolos con su propio código. Necesitan un anfitrión para ejecutarse y generalmente buscan ejecutarse como parte de procesos legítimos. Los virus pueden interrumpir o destruir datos.

Un ejemplo infame es la cepa ILOVEYOU, que hace más de veinte años infectó a millones de computadoras. Los virus modernos están más orientados financieramente, con los mineros de criptomonedas representando la mayor parte de ellos.

Gusanos

Los gusanos también pueden replicarse innumerables veces, profundizando en las redes y consumiendo ancho de banda. A diferencia de los virus, no se adhieren a otros programas y no requieren interacción humana, como hacer clic en un enlace o un archivo, para propagarse. Se distribuyen a través de una red aprovechando vulnerabilidades de seguridad y copiándose a sí mismos.

WannaCry es un conocido gusano ransomware que atacó el sistema operativo Windows, utilizando el exploit EternalBlue robado a la NSA.

Troyanos (Caballos de Troya)

Un troyano se disfraza de algo que la víctima desea tener, como un juego o un software descargado de una fuente no confiable. Uno de los ejemplos más desagradables es un programa antivirus gratuito que en realidad es un virus. Incluso pueden venir como una extensión del navegador o documentos de Word infectados.

La carga útil del troyano varía según los objetivos del atacante: puede exigir pagos, robar o cifrar datos, bloquear la pantalla, consumir recursos del sistema, deshabilitar controles y distribuir otros virus. Una vez en el sistema, los atacantes obtienen acceso no autorizado, pudiendo robar información financiera o instalar otros tipos de malware.

Bombas Lógicas

Una bomba lógica es un tipo de malware que se ejecuta bajo ciertas condiciones específicas, como una fecha determinada, la apertura de un programa o la eliminación de un usuario. Permanece dormida y oculta hasta que se cumplen los criterios.

Un caso famoso involucra a un desarrollador de software que, tras ser despedido, provocó un destructor de datos masivo en la red de su antigua empresa en cuanto se fue.

Puertas Traseras (Backdoors)

Una puerta trasera es un tipo de malware que permite a los atacantes eludir los métodos estándar de autenticación y autorización. Básicamente, pueden entrar y salir del sistema infectado sin ser detectados hasta que se detecta actividad sospechosa.

A menudo son instaladas por archivos de malware relacionados que primero buscan obtener acceso inicial y luego conectarse a un servidor malicioso. Sin embargo, algunas puertas traseras son características predeterminadas en software y hardware legítimos, que los atacantes aprovechan.

Herramientas de Acceso Remoto (RAT)

Las RAT (Remote Access Tools) permiten a los adversarios tomar el control remoto del sistema de la víctima. El daño inmediato o la ganancia financiera rara vez son el objetivo principal. En este caso, los atacantes pueden tomarse su tiempo para descubrir otras máquinas en la red, usuarios y sus privilegios, y moverse lateralmente hacia activos más críticos.

Las RAT también pueden registrar credenciales, pulsaciones de teclas, mensajes en correos electrónicos y chats, y tomar capturas de pantalla, enviando esta información a un servidor malicioso.

Ransomware

El ransomware es un tipo de malware que cifra y bloquea los datos de una víctima, exigiendo un rescate para restaurar el acceso. Es uno de los mayores mercados de ciberataques, con sus altos y bajos debido a picos en las campañas.

Las últimas tendencias incluyen la doble y triple extorsión: la doble extorsión ocurre cuando un atacante roba y cifra datos, amenazando con venderlos si no se paga el rescate. Los ataques controlados por humanos apuntan a organizaciones, utilizando configuraciones erróneas y robo de credenciales para infiltrarse. Se ha observado un modelo de "ransomware como servicio", donde desarrolladores y afiliados comparten las ganancias.

Infografía: Funcionamiento del ransomware y sus fases de ataque

Keyloggers (Registradores de Pulsaciones de Teclas)

Un keylogger es un malware que registra cada acción realizada en el teclado de una computadora. Pueden registrar credenciales, números de tarjetas de crédito, conversaciones, historial de navegación e incluso controlar remotamente la máquina.

El malware puede descargarse sin el conocimiento del usuario y ejecutarse sigilosamente en segundo plano. Los registros se almacenan en archivos, por lo que una forma de detectarlos es examinar archivos que se actualizan con frecuencia.

Spyware

El spyware está diseñado para monitorear, registrar, cifrar y exfiltrar los datos personales de la víctima a un servidor malicioso. También puede realizar "beaconing" para notificar al servidor C&C cuándo descargar malware adicional.

El spyware avanzado puede infiltrarse en grandes organizaciones, como el malware presuntamente patrocinado por el Estado que infectó la cadena hotelera Starwood. Puede espiar navegación web, entradas/salidas de datos, ubicación, software en uso, y recopilar contenido audiovisual, activando micrófonos y cámaras en secreto. Pegasus es un ejemplo notorio, capaz de usar exploits "zero-click" sin dejar rastros.

Adware

El adware toma diferentes formas. Algunos son benignos, recopilan datos y muestran publicidad dentro de una aplicación. Sin embargo, muchos son maliciosos, instalándose sin consentimiento para mostrar o descargar anuncios (a menudo ventanas emergentes) con el fin de obtener ingresos por clics. Esto puede ralentizar el rendimiento del dispositivo.

Los tipos más peligrosos de adware pueden instalar software adicional, cambiar la configuración del navegador y hacer que el dispositivo sea vulnerable a otros ataques. Es común en sitios web que ofrecen contenido gratuito y se manifiesta con redirecciones y anuncios emergentes.

Bots y Botnets

Los bots, en el contexto de la ciberseguridad, son tipos de malware con capacidad de autorreplicarse, similar a los virus y gusanos. Una botnet es una red interconectada de bots que trabajan juntos para alcanzar un objetivo común, a menudo orquestados por un servidor C&C malicioso. Una víctima podría no ser consciente de que su máquina es parte de una botnet.

Cuando los bots forman parte de una infraestructura P2P en lugar de un único servidor malicioso, la detección de la fuente del ciberataque se vuelve más difícil. Las botnets se usan para ataques DDoS, envío de spam, robo de datos o minado de criptomonedas.

Rootkits

Un rootkit es un tipo de malware que obtiene acceso no autorizado al directorio raíz de una computadora (kernel). Puede bloquear llamadas antivirus al sistema, haciendo que los escaneos reporten que todo está bien mientras el malware tiene control total. Un rootkit típico es una colección de malware que contiene keyloggers, botnets, puertas traseras, herramientas de recolección y exfiltración de datos, reemplazos de cargadores de arranque, y consumidores de RAM.

En modo kernel, el rootkit puede cambiar configuraciones del sistema y ser extremadamente difícil de eliminar. También pueden conceder permisos administrativos elevados a los ciberdelincuentes, dándoles control total del dispositivo.

Criptojacking (Minado Malicioso de Criptomonedas)

El criptojacking se refiere a un tipo de malware diseñado para minar criptomonedas de forma discreta utilizando los recursos del dispositivo de una víctima. Este malware, a menudo instalado por un troyano, permite a otra persona usar la computadora para minar criptomonedas como Bitcoin o Monero.

Aunque no causa daño directo, consume muchos recursos del sistema, electricidad y aumenta el desgaste del equipo, enviando las monedas recolectadas a las cuentas de los atacantes.

Exploits y Kits de Exploits

Los exploits son un tipo de malware que aprovecha fallas y vulnerabilidades en un sistema para dar al atacante acceso al mismo. Una vez dentro, el atacante puede robar datos o instalar otro malware. Un exploit de día cero se refiere a una vulnerabilidad de software para la cual no hay defensa o solución disponible actualmente.

Los kits de exploits son herramientas automatizadas que usan los ciberdelincuentes para buscar y aprovechar vulnerabilidades de software conocidas (Adobe Flash Player, Adobe Reader, navegadores web, Oracle Java), permitiendo ataques rápidos y eficaces. Suelen basarse en sitios web malintencionados o adjuntos de correo electrónico, pero también pueden ocultarse en anuncios de sitios legítimos.

Malware sin Archivos (Fileless Malware)

Este tipo de ciberataque describe el malware que no se ampara en archivos (como adjuntos de correo electrónico) para vulnerar una red. Puede llegar a través de paquetes de red malintencionados que aprovechan una vulnerabilidad e instalan malware que solo reside en la memoria del kernel (RAM).

Las amenazas sin archivos son especialmente difíciles de descubrir y eliminar porque la mayoría de los programas antivirus no están diseñados para analizar el firmware ni la memoria volátil.

Ataques a la Cadena de Suministro

Este malware tiene como objetivo a proveedores y desarrolladores de software, accediendo a códigos fuente, procesos de compilación o mecanismos de actualización en aplicaciones legítimas. Cuando un ciberdelincuente encuentra un protocolo de red inseguro, una infraestructura de servidor desprotegida o prácticas de codificación no seguras, se infiltra, cambia los códigos fuente y oculta el malware en los procesos de compilación y actualización. El software afectado, al ser enviado a los clientes, infecta sus sistemas.

Estafas de Soporte Técnico

Utilizan tácticas intimidatorias para engañar a las personas y hacer que paguen por servicios de soporte técnico innecesarios, para solucionar un problema falso en un dispositivo, plataforma o software. Un ciberdelincuente puede llamar directamente haciéndose pasar por un empleado de una empresa de software o crear anuncios que parecen avisos del sistema.

Una vez ganada la confianza del usuario, los atacantes instan a las víctimas a instalar aplicaciones o a proporcionar acceso remoto a sus dispositivos.

Diagrama de flujo: Cómo las estafas de soporte técnico manipulan a las víctimas

Híbridos

Los híbridos combinan características de varios tipos de malware, por ejemplo, un troyano que instala un ransomware o un gusano que incluye un spyware, complejizando los ataques.

PUP (Programas Potencialmente No Deseados)

Los PUP no son técnicamente maliciosos, pero sí molestos. Se instalan junto a otros programas y cambian configuraciones, muestran anuncios, ralentizan el sistema o recopilan información sin el consentimiento explícito del usuario.

Recorrido Histórico del Malware

La historia del malware es una evolución constante de la creatividad de los ciberdelincuentes y la resiliencia de los expertos en ciberseguridad:

  • Década de 1980 en adelante: La base teórica de los "autómatas autorreproducibles" (virus) data de John von Neumann en 1949. El primer malware "moderno" fue Elk Cloner en 1982, que infectó sistemas Apple II a través de disquetes, siendo el primer brote a gran escala. En 1971, Creeper, el primer gusano, se extendió por ARPANET.
  • Años 1990: Con la popularidad de Microsoft Windows, surgieron numerosos virus para la plataforma, incluyendo virus macro que infectaban documentos y plantillas de Word.
  • 2002 a 2007: Proliferaron los gusanos de mensajería instantánea (IM) en redes como AOL AIM y MSN Messenger, propagándose a través de engaños de ingeniería social con enlaces maliciosos.
  • 2005 a 2009: Los ataques de adware aumentaron, presentando anuncios no deseados. Aunque inicialmente se aprovechaban de software legítimo, las demandas por fraude llevaron al cierre de muchas compañías de adware.
  • 2007 a 2009: Los estafadores de malware recurrieron a redes sociales como Myspace para entregar anuncios engañosos, enlaces de phishing y aplicaciones maliciosas.
  • 2010: El gusano informático Stuxnet demostró el devastador efecto que el malware puede tener en infraestructuras físicas.
  • 2013 a 2017: El ransomware se convirtió en el "rey" del malware, con brotes masivos en 2017 que afectaron a todo tipo de empresas. CryptoLocker logró que las víctimas pagaran millones de dólares.
  • 2017: El interés en las criptomonedas llevó a la aparición del cryptojacking, utilizando secretamente dispositivos ajenos para minar criptomonedas.
  • 2018 a 2019: El ransomware regresó con fuerza, enfocándose en objetivos empresariales, con un aumento del 365% en ataques a empresas.
  • 2022: Los hackers comenzaron a usar exploits de malware para comprometer la información de muchos consumidores en algunas de las mayores fugas de datos corporativos hasta la fecha.

Virus Letales - Documental

Malware Bancario: El Riesgo Invisible

Uno de los riesgos menos visibles, pero más relevantes, es el malware bancario, diseñado específicamente para atacar cuentas bancarias y robar información financiera sin que el usuario lo perciba. Comúnmente conocido como troyano bancario, su objetivo principal es obtener acceso no autorizado a datos financieros como usuarios, contraseñas o información sensible de transacciones.

Este tipo de amenaza opera de forma silenciosa y puede afectar tanto a computadoras como a dispositivos móviles, poniendo en riesgo la confianza y seguridad en la banca digital.

Formas de Operación del Malware Bancario

  1. Keyloggers: Capturan cada tecla digitada, obteniendo credenciales de acceso a la banca en línea o información financiera relevante.
  2. Alteración de transferencias ("cambia-cuentas"): El malware modifica el número de cuenta destino durante una transferencia, redirigiendo los recursos a terceros sin que el usuario lo advierta.
  3. Superposición de pantallas (Overlay Attacks): El malware es capaz de mostrar pantallas falsas por encima de aplicaciones legítimas (ej. apps bancarias), solicitando credenciales, PINs o confirmaciones sin levantar sospechas.
  4. Transferencias Automáticas de Dinero (ATS): El malware reconoce interfaces bancarias y automatiza operaciones como nuevas transferencias, envíos y confirmaciones, incluso insertando PINs interceptados.
  5. Fraude con Criptomonedas: Amplía su alcance a monederos digitales como MetaMask, Trust Wallet, Blockchain.com y Phantom, extrayendo frases de recuperación para robar carteras de criptomonedas.

El Caso del Malware RatOn

Recientemente, el equipo de ThreatFabric identificó RatOn, un troyano de última generación que representa una amenaza inédita para los móviles Android. Este malware, desarrollado desde cero por el grupo NFSkate, logra tomar el control del dispositivo, obtener credenciales bancarias y ejecutar transferencias automáticas de dinero sin que la víctima lo note. Su sofisticación técnica dificulta la detección por antivirus tradicionales.

RatOn utiliza técnicas de ingeniería social y páginas falsas (a menudo relacionadas con contenido para adultos) para engañar a los usuarios. El proceso implica la descarga de un "dropper" que instala software adicional, solicitando privilegios críticos como el servicio de accesibilidad y acceso de administrador. En etapas posteriores, despliega su carga útil principal, exige permisos para controlar el móvil y puede instalar un módulo especializado para ataques NFC.

RatOn agrupa múltiples métodos delictivos en una estructura modular, incluyendo superposición de pantallas, transferencias automáticas de dinero (manipulando apps financieras como George Česko), fraude con criptomonedas (extrayendo frases de recuperación de monederos digitales) y control remoto avanzado (monitorizando la pantalla, modificando el portapapeles, enviando notificaciones falsas, etc.). Además, puede activar un bloqueo completo del terminal y exigir un rescate.

Medidas de Prevención y Cómo Actuar ante una Infección

Si bien no se puede eliminar por completo la probabilidad de infección, implementar un buen programa antimalware y seguir ciertas medidas de seguridad aumentará significativamente las posibilidades de mantener el equipo a salvo.

Medidas de Prevención

  1. No hacer clic en elementos sospechosos: Evitar ventanas emergentes, banners, enlaces, archivos y descargas de fuentes no confiables.
  2. Instalar aplicaciones de fuentes oficiales: En móviles, asegurarse de que las apps provengan de la App Store de Apple o Google Play.
  3. Investigar antes de descargar: Leer comentarios y opiniones sobre programas antes de instalarlos.
  4. Tener precaución con redes P2P: Son un foco común de archivos infectados.
  5. Realizar copias de seguridad regulares: Mantener copias de seguridad de datos importantes en lugares seguros y desconectados de la red.
  6. Mantener el software actualizado: Los sistemas operativos, navegadores y programas antivirus deben estar siempre al día para parchear vulnerabilidades conocidas.
  7. Usar autenticación de dos factores (2FA): Añade una capa extra de seguridad a las cuentas.
  8. Educar al personal: Desarrollar un programa de concientización y cultura en seguridad de la información para empresas.

¿Qué Hacer si mi Dispositivo se Infecta?

Cuando un equipo sufre una infección por malware, es posible restaurarlo y eliminar el virus. Sin embargo, algunos tipos son más complicados de localizar y erradicar. Los pasos a seguir son:

  1. Instalar un programa antimalware confiable: Ejecutar un análisis para confirmar la infección.
  2. Ejecutar el programa y eliminar el malware: Utilizar la herramienta para borrar la infección.
  3. Cambiar contraseñas: Con el equipo limpio, establecer nuevas contraseñas para todas las cuentas, especialmente si los ciberdelincuentes pudieron robar las anteriores.
  4. Para iPhones: Reiniciar el dispositivo a valores de fábrica, ya que Apple restringe el análisis por terceros. Luego, recuperar la información desde una copia de seguridad reciente.

Ilustración: Proceso de eliminación de malware paso a paso

tags: #mach #dinero #vulnerable

Publicaciones populares:

  • Todo sobre Residencias Geriátricas en la Región Metropolitana
  • Desafíos en la inclusión y el envejecimiento
  • Guía de uso de Uber para la tercera edad
  • Conoce las oportunidades laborales en el sector de residencias de ancianos.
  • cómo evaluar y mejorar el equilibrio en discapacidad visual