Software Malicioso (MALWARE)

El concepto malware engloba todo el ecosistema de software malicioso.

El primer virus conocido, Creeper, se remonta al año 1971, y se limitaba a mostrar el mensaje «Soy una enredadera… ¡atrápame si tú puedes!».
Creeper fue un experimento diseñado para demostrar que un programa podía ser capaz de recorrer la red saltando de un ordenador a otro mientras realizaba una tarea concreta.

Al poco tiempo apareció el primer antivirus, Reaper, que significa segadora por eso de ir contra la «enredadera», y fue diseñado muy poco después por el padre del correo electrónico Ray Tomlinson. Su única misión era la de ir eliminando a Creeper de los ordenadores de en los que se escondía, para lo cual imitaba su actitud viajando y replicándose a sí mismo entre los equipos de la red.

Si bien inicialmente el objetivo del malware era únicamente los ordenadores, en la actualidad, cualquier equipo conectado a una red puede ser su objetivo, ordenadores, smartphones, electrodomésticos inteligentes, cámaras, sensores, PLCs, SCADAs, en definitiva, cualquier equipo con conectado.
Además, el grado de sofisticación actual es tal, que utilizan técnicas de evasión para no ser detectados y pasar desapercibidos en los sistemas. [3]

El primer virus conocido, Creeper, se remonta al año 1971, y se limitaba a mostrar el mensaje: «Soy una enredadera… ¡atrápame si tú puedes!».

Virus

Tipo de malware en forma de archivo cuyo objetivo es infectar un equipo generando algún tipo de alteración en su comportamiento. Infecta archivos .EXE o archivos con macros, se reproduce añadiendo su código dentro de otros archivos.
Algunos de los síntomas son que el equipo empieza a comportarse de forma extraña, tarda mucho en arrancar, hay aplicaciones que no se abren o se apaga sin motivo aparente.

Gusano

Tipo de malware cuyo objetivo es propagarse por un sistema sin necesidad de que el usuario haga de hacer nada. Para propagarse busca otros destinos, direcciones de red, cuentas de correo electrónico o listas de contactos, pendrives.
Algunos de los síntomas son que el equipo se queda sin recursos al poco de iniciarse, el sistema operativo, los programas e internet van lentos. Al propagarse lo mismo ocurre en otros equipos en red o de los contactos.

Troyano

Tipo de malware cuyo objetivo es ocultarse en un equipo para recolectar información del mismo. Suelen propagarse utilizando un gusano. Una vez dentro de un equipo abre un enlace al exterior mediante una puerta trasera e informa al atacante de que el equipo ha sido infectado. El atacante puede recopilar información sensible de la víctima (contraseñas, documentos confidenciales, fotografías comprometidas, espionaje de comunicaciones, etc.), puede reclutar el equipo para una botnet convirtiéndolo en un zombi, puede utilizar el equipo como pivote para atacar a otros equipos y dificultar su rastro.
Lo más probable es que no se note ningún síntoma en el funcionamiento del equipo afectado, o incluso que mejore su funcionamiento ya que al atacante le interesa que el usuario no note nada. La mejor manera de detectarlo es haciendo un escaneo de puertos del equipo o utilizar algún comando como TCPView o netstat que indique los puertos y las aplicaciones que los utilizan.

Ransomware

Tipo de malware que una vez asentado en el equipo encripta toda o parte de la información que reside en el mismo, con el objetivo de pedir un rescate para recuperar la información. Es la principal amenaza en la actualidad. Se introduce en el equipo camuflado en otro archivo, como adjunto a un correo electrónico o como un enlace de descarga. Una vez en el equipo procede al cifrado de todos o parte de los archivos del sistema, de manera que el usuario deja de tener acceso a su información y el equipo deja de funcionar.
Algunos ransomware, incluyen la función de gusano buscando nuevos equipos a infectar en la red aprovechando de alguna vulnerabilidad. Las últimas versiones además roban la información antes de encriptarla, y amenazan en difundirla si no se realiza el pago. Una vez infectado, aparecerá una pantalla de bloqueo en la que se pide el pago del rescate para recuperar la información.

Spyware

Tipo de malware que tiene como objetivo recolectar información del usuario o del equipo sin que el usuario sea consciente. La recolección de información puede incluir credenciales, datos sensibles, datos bancarios, datos personales, datos de navegación. Se suelen esconder en herramientas, como optimizadores del sistema, exploradores de archivos, gestores de descargas, o incluso antivirus gratuitos, que realizan la función principal pero que en segundo plano van recolectando la información.
La detección no es sencilla, pero puede observarse una bajada de rendimiento en el equipo o analizando el tráfico de red i las conexiones.

Keylogger

Tipo de malware diseñado para capturar la actividad realizada por el usuario. Pueden capturar las pulsaciones del teclado, la actividad del ratón, del monitor o de otros dispositivos conectados al equipo. También pueden existir como dispositivo que se conecta al equipo.
Su detección puede ser complicada ya que no se percibirá nada por parte del usuario. Se tendría que comprobar los procesos que corren en el equipo por si se detecta alguno no habitual.

Backdoor

Es una función de un programa que permite el acceso al mismo de forma alternativa a la habitual. Pueden estar incorporados a programas, firmwares, etc. Son legales si cuentan con el consentimiento del usuario, aunque generalmente no es así y se justifican por motivos de monitorización o asistencia remota. Pueden ser legítimos si el desarrollador lo ha contemplado así, o pueden ser debidas a un bug en alguna aplicación, convirtiéndose en una vulnerabilidad que podría ser aprovechada mediante un exploit. Este tipo de vulnerabilidades son muy habituales y son recogidas en listados CVE.
Se puede detectar analizando las conexiones de red, en búsqueda de puertos abiertos o tráfico de red sospechoso.

Rootkit

Tipo de malware empleado para alterar el comportamiento habitual de un programa para ocultar lo que realmente se está ejecutando, con la finalidad de que el malware introducido en el sistema no sea detectado por el usuario o el propio sistema.
Es prácticamente imposible detectar un rootkit, ya que cualquier programa (antivirus, software de análisis, etc.) en ejecución puede estar manipulado por el rootkit y mostrar información falseada.

Rogue Software

Es un programa que aparenta hacer funciones que en realidad no hace. Generalmente simulan un antivirus o un software de seguridad, por lo que habitualmente se les conoce como FakeAV (falsos antivirus). Aparecerá al acceder al navegar por páginas poco recomendables, en forma de alertas o pestañas que avisan de que nuestro equipo está infectado y que tenemos que descargar y ejecutar un programa que solucionará el problema.

Como puede verse hay malware de todo tipo y para todos los gustos, existen auténticas navajas suizas que permiten a cualquier usuario sin conocimientos previos crear cualquier tipo de malware a medida de sus necesidades.
Si se desean hacer ataques más sofisticados o complejos, se puede recurrir a grupos organizados de ciberdelincuentes, que ofrecen todo tipo de servicios como puedan ser: alquiler de botnets para ataques DDoS, ataques dirigidos de ingeniería social, espionaje industrial, etc. De hecho, las posibilidades son prácticamente infinitas.

Formación y Concienciación en Ciberserguridad

Además de contar con un buen antivirus, es esencial que todo el personal reciba formación continuada sobre ciberseguridad.

No se trata de hacerlos expertos en ciberseguridad, sino en concienciarlos de los peligros de Internet, que conozcan los tipos de ataques que pueden sufrir, a reconocerlos, a evitarlos y en caso de sufrir un incidente saber cómo actuar para minimizar las consecuencias del ataque.

La seguridad no depende únicamente de la tecnología, la formación del
personal en Ciberseguridad es clave para prevenir incidentes.