Lathack

MALWARE

El término malware es el acrónimo de Malicious-Software (software malicioso). Hace referencia a aquellos programas cuya función es generar daño en uno o más equipos a través de diferentes maneras, ya sea robando información o dañando un sistema sin consentimiento del usuario.

Un poco de historia

Fue en 1972 cuando Robert Morris creó el que es considerado como el primer virus propiamente dicho: el Creeper (enredadera). Era capaz de infectar máquinas IBM 360 de la red ARPANET (precedente de Internet) y emitía un mensaje en pantalla que decía “Atrápame si puedes”. Para eliminarlo, se creó otro virus llamado Reaper (segadora) que estaba programado para buscarlo y eliminarlo. Este es el origen de los actuales antivirus.

En 1984, Frederick B. Cohen, acuña por primera vez el término virus informático en uno de sus estudios definiéndolo como “Programa que puede infectar a otros programas incluyendo una posible evolución de sí mismo”.

En 1987 hace su aparición el virus Jerusalem o “Viernes 13”, que era capaz de infectar archivos .EXE y .COM. Su primera aparición fue reportada desde la Universidad Hebrea de Jerusalén y ha llegado a ser uno de los virus más famosos de la historia.

En 1999, por primera vez, fue creado el gusano “Happy” desarrollado por el francés Spanska el cual desarrolla un famoso malware que persiste hasta el día de hoy: el envío de gusanos por correo electrónico. Es decir, este gusano estaba encaminado y programado para propagarse a través del correo electrónico y esparcirse de uno a varios equipos.

Y así podemos seguir con la evolución de diferentes tipos de malware a través del tiempo. Sin embargo, si algo podemos destacar de su evolución, es que los creadores de los mismos se dieron cuenta de que sus conocimientos podían servir para algo más que sólo una repercusión mediática: GANAR DINERO.

Ingeniería social

malware

Antes de hablar y especificar los tipos de malware, debemos saber qué es y cómo se aplica la ingeniería social, también conocida como “el arte del engaño”.

Introducción

La ingeniería social se la define como la aplicación de aquellas técnicas que intentan manipular a las personas para que realicen acciones o divulguen información confidencial. Los cibercriminales se centran en la vulnerabilidad más grande, las personas. Aprovechándose de sus emociones y aspectos psicológicos. Por ejemplo, un atacante puede llamar a un empleado autorizado con un problema urgente que requiere acceso inmediato a la red. El atacante puede atraer la vanidad o la codicia del empleado, incluso invocar la autoridad mediante técnicas de nombres.

Algunos de estos pueden ser:

  • Algo a cambio (quid pro quo): Esto es cuando un atacante solicita información personal de una parte a cambio de algo, por ejemplo, un obsequio.
  • Pretexto: Esto es cuando un atacante llama a una persona y miente en el intento de obtener acceso a datos privilegiados. Un ejemplo implica a un atacante que pretende necesitar datos personales o financieros para confirmar la identidad del objetivo.
  • Seguimiento: Esto es cuando un atacante persigue de forma rápida a una persona autorizada a un lugar seguro.

Teniendo esto en cuenta, el más famoso y usado hoy en día por cibercriminales es el famoso Phishing (pesca).

También conocido como suplantación de identidad. El phishing es una técnica usada para captar la atención de una persona, por lo general, a través de correos electrónicos cuyos mensajes suelen ser de “entidades bancarias”, “premios ganadores”, “violación en la seguridad de la contraseña de alguna red social”. Todo esto con el fin de que la víctima haga click sobre dicho “anuncio” para así, lograr introducir algún malware a su dispositivo o lograr el envío de dinero de la misma (normalmente a través de criptomonedas por su anonimidad).

Tipos de Malware

Existen diferentes tipos de malware, no solo por su función, sino por su criticidad. Desde robar contraseñas hasta producir la aceleración de turbinas de una central nuclear o energética para generar un daño enorme en las mismas. A continuación, explicaremos los malware más comunes.

Virus

El virus, y quizá el malware más conocido, es un código malicioso ejecutable que se adjunta a otros archivos ejecutables, generalmente programas legítimos.

malware

 La mayoría de los virus requiere la activación del usuario final y puede activarse en una fecha o un momento específico. Este malware puede ser inofensivo y simplemente mostrar una imagen o pueden ser destructivos, como los que modifican o borran datos. Los virus también pueden programarse para mutar a fin de evitar la detección. La mayoría de estos ahora se esparcen por unidades USB, discos ópticos, recursos de red compartidos o correo electrónico.

Creo que los virus informáticos deberían ser considerados como vida. Quizás dice algo sobre la naturaleza humana que la única forma de vida que hemos sido capaces de crear hasta ahora sea puramente destructiva. Habla elocuentemente de lo que es crear vida a nuestra propia imagen.”- Stephen Hawking

Spyware

Este malware está diseñado para rastrear y espiar al usuario.

malware

El spyware a menudo incluye rastreadores de actividades, recopilación de pulsaciones de teclas y captura de datos. Incluso puede llegar a modificar las configuraciones de seguridad para su funcionamiento, como también captar todos los detalles a través de la intervención en micrófonos o cámaras. El principal problema de este software, es que es creado para pasar desapercibido la mayor cantidad de tiempo posible (ya que su función principal no es la de generar cambios o daños en el sistema). Y no solo esto, sino que suele consumir muy pocos recursos del sistema. Lo que lo hace difícil de detectar.

Adware

Este malware, también llamado “software de publicidad”, está diseñado para brindar anuncios automáticamente.

malware

Este malware, también llamado “software de publicidad”, está diseñado para brindar anuncios automáticamente. También podemos encontrarlo instalado en algunas versiones de software. Si bien es normal que un sitio web posea publicidad para generar ganancias, en el caso de una computadora infectada por este, los anuncios aparecerán de forma excesiva e inesperada. Hasta incluso puede abrirse la publicidad en ventanas del navegador web aun cuando el usuario no esté utilizando internet.

Backdoor

Justamente, como su nombre lo indica, este malware hace referencia a una puerta trasera.

 Generalmente, una vez que el equipo ha sido comprometido por otro tipo de malware o técnica de intrusión, el atacante instalará un backdoor de manera que pueda mantener el acceso al sistema aún si se corrige el medio por el cual se consiguió comprometer el sistema originalmente. Por lo general, este malware suele estar programado para habilitar conexiones entrantes a un puerto específico, en el firewall que posea la máquina donde ha sido ejecutado. También, adicionalmente, puede agregar una cuenta al grupo administradores con credenciales conocidas por el atacante.

Rootkit

Este malware está diseñado para modificar el sistema operativo a fin de crear una puerta trasera. Los atacantes luego utilizan la puerta trasera para acceder a la computadora de forma remota. La mayoría de los rootkits aprovecha las vulnerabilidades de software para realizar el escalamiento de privilegios y modificar los archivos del sistema.

malware

Inicialmente los rootkit aparecieron en el sistema operativo UNIX y eran una colección de una o más herramientas que le permitían al atacante conseguir y mantener el acceso mediante el usuario con más privilegios del equipo (en los sistemas UNIX se llama root y de ahí su nombre). En Windows, los rootkit se han asociado en general con herramientas usadas para ocultar programas o procesos al usuario. Un rootkit ataca el funcionamiento de base de un sistema operativo. En Linux, modifica y trabaja directamente en el kernel del sistema. En Windows, interceptando los APIs (Interfaz de Aplicaciones de Programación) del sistema operativo. Estas, interactúan entre el usuario y el kernel; de esta forma, el rootkit manipula el kernel sin trabajar directamente en él.

También es común que los rootkits modifiquen las herramientas forenses de supervisión del sistema, por lo que es muy difícil detectarlos. A menudo, una computadora infectada por un rootkit debe limpiarse y reinstalarse.

Gusanos

Los gusanos son códigos maliciosos que se replican mediante la explotación independiente de las vulnerabilidades en las redes.

Mientras que un virus requiere la ejecución de un programa del host, los gusanos pueden ejecutarse por sí mismos. A excepción de la infección inicial, ya no requieren la participación del usuario. Una vez infectado el host, el gusano puede propagarse rápidamente por la red hacia otros equipos. Esto puede hacerlo mediante los siguientes medios:

  • Red LAN, P2P, USB, entre otros

  • URL de un archivo a descargar en el equipo infectado (comúnmente un troyano)

  • Auto-iniciarse junto al sistema operativo

Actualmente son mucho más complejos y se utilizan como transportadores de otros subtipos de malware.

Troyano

Un troyano es aquel tipo de malware que ejecuta operaciones maliciosas bajo la apariencia de una operación deseada.

malware

A menudo, los troyanos se encuentran en archivos de imagen, audio o juegos. La idea es engañar al usuario a través de técnicas como la estenografía (Se le llama así al arte de ocultar un mensaje o contenido en criptografía). Este código malicioso ataca los privilegios de usuario que lo ejecutan y se diferencia de un virus en que se adjunta a archivos no ejecutables.

Keylogger

Un keylogger, o registro de teclado, tiene la capacidad de grabar todas las teclas pulsadas por el usuario del equipo infectado.

Por lo tanto, este malware atrapará todo tipo de credenciales de acceso. Sin embargo, y peor aún, los keyloggers más avanzados pueden realizar capturas de pantalla sobre el click del mouse para capturar contraseñas que se escriban mediante un teclado virtual. Adicionalmente también se guarda el título de la ventana donde se pulsan las teclas, fecha y hora del momento.

Estos se pueden aplicar de dos formas

  • En el caso de la forma local, este malware se puede instalar por alguna persona con acceso físico al mismo. Ya sea, descargando un archivo o pasándolo a través de un pendrive.

  • En el caso remoto es más difícil, ya que un atacante tendrá que tener en cuenta el medio y el tamaño en bytes en un tiempo específico que se pasarán los datos. Se suele usar un servidor FTP o un correo electrónico para enviar dicha información.

Ransomware

Un ransomware (del inglés ransom, rescate y ware, software) es un tipo de código malicioso que restringe el acceso al sistema, o incluso a toda una red, y pide un rescate a cambio de quitar esta restricción.

malware

 La mayoría de estos cifran los archivos del sistema operativo inutilizando el dispositivo y “obligando” al usuario a pagar el rescate. Suelen dejar un mensaje en el equipo con los pasos a realizar para que el usuario pueda tener devuelta su información. Usan la amenaza, y a veces la extorsión, en las personas para obtener su beneficio. Sin embargo, ¿Devolverán la información? Dudoso, y de ser así, ya saben que usted es “un cliente que paga”. Por lo tanto, nada quita que lo vuelvan a intentar.

Por casos como estos, puede notar que es fundamental el uso de buenas prácticas de seguridad de la información como el respaldo de información o backup, actualización de los programas con sus respectivos parches de seguridad, contraseñas robustas, etc.

Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló que sólo en el primer trimestre del 2013 ya se habían detectado más de 250.000 tipos de ransomwares únicos.

Miremos la siguiente imagen, ésta ilustra el famoso ransomware teslacrypt difundido en el año 2015. Este malware encriptaba solamente archivos relacionados con videojuegos para presionar a sus víctimas. Sin embargopoco tiempo después evolucionó y fue capaz de cifrar todo tipo de archivos.

 malware

Conclusión

En la actualidad de hoy, las plataformas más atacadas son a Windows y Android (que, a su vez, son las más utilizadas por los usuarios). Como hemos mencionado anteriormente, los creadores de malware han visto en esta actividad un método de enriquecimiento. Pensando en términos económicos, es lógico que busquen establecer el target más amplio posible.

Pero ¿A qué se debe esto? Bueno, estas plataformas no solo poseen muchos servicios y grandes comodidades, sino que están muy bien desarrolladas para usuarios que no poseen un gran conocimiento en materia de tecnología y seguridad. Por lo tanto, podríamos suponer que priorizan la “usabilidad” por sobre la “seguridad”. Siendo esta, la primera vulnerabilidad: La falta de conocimiento.

Sin embargo, esto no suele ser así para plataformas de estilo UNIX/LINUX tiene que ver con la usual capacitación media/alta de los usuarios de este tipo de plataformas, por lo que la Ingeniería Social (principal método de engaño psicológico) no resulta tan eficiente con estos usuarios. De igual modo, volvemos a repetir, ningún sistema es 100% seguro. Nuestra mayor seguridad radica en nuestro conocimiento.

En el siguiente artículo detallamos las formas para prevenir y cuidarse frente a estas amenazas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

8 + trece =

Lathack
Scroll al inicio