http://www.redjaen.es/francis/?m=c&o=174710
Software. Malware
Informática
Software. Malware
  • Malware (malicious software) es todo software malicioso.
    • Virus es un programa de código malicioso, creado con el objetivo de que se propague de un equipo a otro. Puede penetrar tu PC sin tu autorización y sin que lo sepas. En términos más técnicos, el virus clásico se insertará en uno de tus programas ejecutables y se copiará sistemáticamente en cualquier ejecutable que ejecutes. Osea se adjunta a otro programa y, cuando se ejecuta, normalmente sin que lo advierta el usuario, se replica modificando otros programas del ordenador e infectándolos con sus propios bits de código. El primer virus registrado fue creado en el año 1971 por Robert Thomas Morris que atacaba a los IBM 360, emitiendo periódicamente en la pantalla el mensaje: "I`m a creeper... catch me if you can!" (Soy una enredadera, agárrenme si pueden). Para eliminar este problema se creó el primer programa antivirus denominado Reaper (segadora), aunque por aquella época se desconocía el concepto del software antivirus.
      • Gusano (Worm) es un tipo de virus particular. Concretamente, son programas capaces de propagarse de un PC a otro a través de redes informáticas y ejecutar ciertas acciones que pueden afectar la integridad del sistema operativo. Sin embargo, un worm no requiere que el usuario abra un archivo infectado, pues es autónomo en su funcionamiento. Por sí sólo se reproduce y esparce a otros ordenadores. Osea se replica por sí solo con el fin de diseminarse por otros ordenadores en una red, normalmente provocando daños y destruyendo datos y archivos.
    • Troyano es un programa que aparentemente no presenta ningún peligro y que es algo útil para el usuario, pero que en realidad oculta en su interior un programa peligroso para el sistema, que puede acceder a nuestros archivos, modificarlos, destruirlos e incluso hacer que un tercero tome el control del PC de forma remota. A diferencia de un virus, los troyanos no se reproducen, pueden permanecer inofensivos, en el interior de un juego o una utilidad, hasta la fecha en que se ha programado su entrada en acción.
      • Droppers troyanos que son usados para empezar la propagación de un gusano inyectándolo dentro de la red local de un usuario.
      • Malware macro - Vienen escondidos en documentos de software de offimática. Algunos pueden hacer copias de si mismos y entonces están considerados como Virus de Macro.
    • Spyware (o programa espía) también se le conoce como snoopware y ambos términos aluden a lo mismo: vigilancia de actividad. Con programas de este tipo se puede monitorear lo que realizas en tu ordenador. Las páginas que visitas, los programas que usas, tus contraseñas, las palabras que más tecleas, y todo se incluye en la información que se reúne. Muchas veces uno descarga spyware sin darse cuenta. Viene escondido con otros programas o archivos que bajas (troyano). Puede ser usado para propósitos de marketing inofensivos hasta intenciones mucho más dañinas, como el uso de tu información personal.
      • Keyloggers es un programa que registra todas las pulsaciones que se realizan sobre las teclas del teclado para robar, por ejemplo, una contraseña.
    • Stealer roban información privada guardada en el equipo. Típicamente al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas recordadas, por ejemplo en los navegadores web o en clientes de mensajería instantánea.
    • Adware programa que se apoya en el uso de anuncios y publicidad. En algunos casos se les considera malware.
      • Malvertising se aprovecha de recursos disponibles por ser un anunciante publicitario, para buscar puertas traseras y poder ejecutar o instalar otro malware. Por ejemplo anunciante publicitario en una página web aprovecha brecha de seguridad de navegador para instalar malware.
    • Ransomware Ransom se traduce a “rescate”. El programa toma a la información en tu computadora como rehén. Generalmente se apodera de tus archivos y los cifra de tal manera que no puedes tener acceso a ellos. Para poder recuperarlos te piden dinero vía electrónica. Ataques así no son muy comunes debido a que el culpable se expone al momento de la transacción, pero es verdad que todavía siguen vigentes. Algunos de los ataques más conocidos de Rasomware fueron el Petya, el Reveton, el CryptoLocker, el CryptoLocker.F y TorrentLocker, el CryptoWall, el TeslaCrypt, el Mamba, el WannaCry, CriptXXX, Crysis, BlackShades, Jigsaw, Apocalypse, Flocker, RAA, GOOPIC, Kozy.Jozy, MIRCOP, Locky, TeslaCrypt, MSIL o Samas (SAM-SAM), Xorist, CryptorBit, Criptowall y CTB-Locker.
      • Criptovirus es un tipo especial de programa malicioso que tiene como fin proteger con una contraseña desconocida para el usuario final una serie de archivos en su equipo de cómputo. Si el nivel de encriptación es demasiado elevado, el descifrar la contraseña por medio de ataques de fuerza bruta se vuelve insostenible por el tiempo a invertir requerido
    • Scareware (del inglés scare, «miedo» y software) abarca varias clases de software para estafar con cargas maliciosas, o con limitados o ningún beneficio, que son vendidos a los consumidores vía ciertas prácticas no éticas de comercialización. El enfoque de venta usa la ingeniería social para causar choque, ansiedad, o percepción de una amenaza, generalmente dirigida a un usuario confiado, nada suspicaz. ¿Has tenido que cerrar ventanas emergentes que te advierten haber encontrado un virus en tu sistema? Es la estrategia de este engañoso software. Te hacen pensar que te ayudarán a encontrar el archivo en cuestión, cuando en realidad descargarás malware, no un antivirus o lo que prometen inicialmente. Ten cuidado, pues sus “advertencias” imitan a las de una compañía de seguridad oficial, lo que lleva a que muchos den clic. Algunas formas de spyware y de adware también usan las tácticas del scareware.
      • Rogueware (en español conocido como software bandido o también falso antivirus) es un tipo de programa informático malicioso cuya principal finalidad es la de hacer creer que una computadora está infectada por algún tipo de virus, induciendo a pagar una determinada suma de dinero para eliminarlo.
    • Rootkit permite un acceso de privilegio (como Administrador o root) continuo a una computadora pero que mantiene su presencia oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa root, que significa `raíz` (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa kit, que significa `conjunto de herramientas` (en referencia a los componentes de software que implementan este programa).
    • Cryptojacking o Criptominado malicioso es un malware que se oculta en un ordenador y se ejecuta sin consentimiento utilizando los recursos de la máquina (CPU, memoria, ancho de banda,...) para la minería de criptomonedas y así obtener beneficios económicos. Este tipo de software se puede ejecutar directamente sobre el sistema operativo de la máquina o desde plataforma de ejecución como el navegador.
    • Bomba Lógica o Time Bomb o Bomba de Tiempo - es un programa que se instala en un equipo y se mantiene inactivo, en espera de que se cumplan una serie de requisitos o condiciones, como por ejemplo: que el usuario pulse una tecla o una combinación de teclas concretas, que el reloj del sistema marque una hora determinada, etc. Cuando se ejecutan las condiciones de activación, el programa comienza a llevar a cabo las acciones para las que ha sido diseñado, que pueden ser: ordenar que se realice una transferencia bancaria, dañar el sistema, borrar datos del disco duro, etc.
    • Dialer Programa que se instala en un equipo con el fin de modificar los datos de acceso a internet, para que al realizar la conexión a través de un módem, se utilice un número de tarificación adicional (Los números de tarificación adicional o NTA son aquellos cuyo coste es superior al de una llamada nacional, por ejemplo aquellos que empiezan por prefijos como 806, 907, etc.). La utilización de dialers o marcadores telefónicos es lícita si se informa al usuario de los costes, se le avisa del la redirección de la conexión y si se instala el programa con su consentimiento.
    • Exploit Programa que aprovecha los fallos de seguridad, defectos o vulnerabilidades de otros programas o sistemas informáticos, con el fin de obtener algún tipo de beneficio o de llevar a cabo una acción concreta, como acceder a recursos protegidos, controlar sistemas sin autorización, etc.
    • WindowsKey - aplicación que permite recuperar o reiniciar las contraseñas de las cuentas de Windows.
    • Programas conejo o bacterias o Wabbit. Bajo este nombre se conoce a los programas que no hacen nada útil, sino que simplemente se dedican a reproducirse hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco...), produciendo una negación de servicio.
    • Backdoor o puerta trasera este tipo de malware crea una “entrada secreta” dentro del ordenador del objetivo. A través de esta puerta de atrás, los cibercriminales tienen la capacidad de acceder al ordenador sin el conocimiento del usuario. Los backdoors son creados por otros tipos de malware, como gusanos o caballos de Troya. Con el uso de backdoor, los cibercriminales también eluden los programas de seguridad del ordenador.
      • Rat - Remote Administration Tool o Remote Administration Trojan; en español, herramienta o troyano da administración remota, es el programa o software usado para la administración remota de un sistema a través de una red, ya sea de forma legítima o no con o sin autorización del usuario del equipo. Su uso es habitual entre los ciberdelincuentes para controlar una máquina infectada mediante una puerta trasera o backdoor.
    • Decoy o señuelo: software que imita la interfaz de otro programa para solicitar el usuario y contraseña y así poder obtener esa información.
    • Secuestrador de navegador son programas que realizan cambios en la configuración del navegador web. Por ejemplo, algunos cambian la página de inicio del navegador por páginas web de publicidad o páginas pornográficas, otros redireccionan los resultados de los buscadores hacia anuncios de pago o páginas de phishing bancario.
    • Wiper es un malware orientado al borrado masivo de datos. Por ejemplo discos duros o bases de datos.
    • Gremlin app una vez que te has instalado un app en tu terminal Android, si has configurado la actualización automática de nuevas versiones de las aplicaciones, cuando el desarrollador saca una nueva versión se instalará en el sistema operativo sin decir nada. Esto puede ser utilizado de forma maliciosa para infectar equipos que tienen instaladas ya una determinada app, haciendo que una app inicialmente inocua se convierta en un Gremlin malo.
    • Web skimming malware que los atacantes instalan en aplicaciones webs de comercio electrónico con el fin de recopilar información de pago (datos personales y de tarjetas de crédito fundamentalmente) de los usuario que visiten dicho sitio web.
    • Apropiador de formulario malware que permite robar información que es introducida en formularios web.
    • Greyware o Software Gris está entre el software normal y un virus. A pesar de no ser consideradas maliciosas, son aplicaciones que pueden afectar a sistemas, redes y la confidencialidad de la información.
  • Los malware más famosos de la historia:
    • Creeper (Enredadera) (1971) fue un programa informático experimental autoreplicante escrito por Bob Thomas Morris. No estaba diseñado para causar daño sino para comprobar si se podía crear un programa que se moviera entre ordenadores. Es comúnmente aceptado como el primer virus informático pese a no existir el concepto de virus en 1971.​ Creeper infectaba ordenadores DEC PDP-10 que utilizaban el sistema operativo TENEX.
    • Viernes 13 (1988) - Fue creado en Israel en 1988 para celebrar el 40 aniversario de la creación del Estado Judío. Tan sólo se activaba cuando en el calendario coincidían viernes y 13 y eliminaba todos los programas y ficheros que eran ejecutados en el sistema infectado. Para propagarse este virus no utilizaba un método específico, sino que lo hacía a través de los sistemas normales como los disquetes, CD-ROM o adjuntos en correos electrónicos.
    • Morris (1988) - En 1988 apenas había cerca de 60.000 ordenadores con conexión a internet en todo el mundo, pero este gusano infectó a más del 10% de esos usuarios.
    • CIH/Chernobyl (1998) - CIH afectó a más de 60 millones de usuarios en todo el mundo. Una vez instalado dentro del ordenador, acababa infectando y eliminando la información de todo el equipo. En ocasiones incluso llegaba a afectar a la BIOS, con lo que el ordenador, una vez infectado, era incapaz de arrancar.
    • Melissa (1999) - Venía en un archivo llamado List.doc que contenía un sinfín de contraseñas y registros para acceder de manera gratuita a diversas webs pornográficas. En cuanto abrías el documento, el virus accedía a tus contactos y reenviaba el correo a otras 50 personas. Además, infectaba todos tus archivos de Word.
    • I love you (2000) - Eliminaba todos los archivos jpg del ordenador, afectó a más de 50 millones de usuarios.
    • Mydoom (2004) - Inutilizaba gran parte de las herramientas de seguridad de Windows, con lo que era capaz de moverse a sus anchas por todo el sistema operativo y el ordenador del usuario infectado. La histeria llegó hasta tal punto que Microsoft llegó a ofrecer 250.000 dólares a quien encontrase al responsable de este ataque informático. Durante su época de mayor actividad, redujo hasta en un 10% el tráfico global en internet.
    • Conficker (2008) - Una vez dentro del ordenador, Conficker desactivaba herramientas como Windows Automatic Update, Windows Security Center, Windows Defender y Windows Error Reporting. Además, su ámbito de actuación era casi ilimitado: se difundía entre contactos, recolectaba información y datos personales del usuario e infectaba otros archivos. Microsoft también ofreció una recompensa de 250.000 dólares para encontrar a su responsable.
    • WannaCry (2017) - Capaz de meterse en las entrañas de grandes corporaciones e instituciones públicas, infectar sus equipos y robarles información, creando un pánico a nivel mundial.
  • Daños ocasionados por el malware:
    • Daños triviales: daños que no ocasionan ninguna pérdida grave de funcionalidad del sistema y que originan una pequeña molestia al usuario. Deshacerse del malware implica, generalmente, muy poco tiempo.
    • Daños menores: daños que ocasionan una pérdida de la funcionalidad de las aplicaciones que poseemos. En el peor de los casos se tendrá que reinstalar las aplicaciones afectadas.
    • Daños moderados: los daños que el malware provoca son formatear el disco rígido o sobrescribir parte del mismo. Para solucionar esto se deberá utilizar la última copia de seguridad que se ha hecho y reinstalar el sistema operativo.
    • Daños mayores: algunos malwares pueden, dada su alta velocidad de infección y su alta capacidad de pasar desapercibidos, lograr que el día que se detecta su presencia tener las copias de seguridad también infectadas. Puede que se llegue a encontrar una copia de seguridad no infectada, pero será tan antigua que se haya perdido una gran cantidad de archivos que fueron creados con posterioridad.
    • Daños severos: los daños severos son hechos cuando un virus realiza cambios mínimos, graduales y progresivos. No se sabe cuando los datos son correctos o han cambiado, pues no hay unos indicios claros de cuando se ha infectado el sistema.
    • Daños ilimitados: el malware "abre puertas" del sistema a personas no autorizadas. El daño no lo ocasiona el malware, sino esa tercera persona que, gracias a él, puede entrar en el sistema.
  • Algunos de los efectos que pueden causar son:
    • Mensajes: Visualizan mensajes molestos por pantalla.
    • Denegación de acceso: protegen con contraseña algunos documentos. El usuario no puede abrir el documento en cuestión.
    • Robo de datos: mandan por correo electrónico información de los datos del usuario, incluso archivos guardados en el disco duro infectado.
    • Corrupción de datos: alterar el contenido de los datos de algunos archivos.
    • Borrado de datos.
    • Publicidad no deseada.
    • Redirección a web falsas.
  • Análisis heurístico - Detección proactiva y autónoma de malware u otras amenazas en un sistema, mediante la utilización de técnicas heurísticas; es decir, basadas en la experiencia. Para ello, realizan la comparación de ficheros sospechosos con fragmentos de código de malware de similar comportamiento o detectan actividades sospechosas de un programa por similitud con actividades conocidas de programas maliciosos. El análisis heurístico trata de detectar la presencia de nuevos malware de reciente aparición que aún no han sido documentados por los fabricantes de soluciones de seguridad, y por tanto, no se encuentran aún en la base de datos de los antivirus.
  • Herramientas:
    • Antispyware - Herramienta de software diseñada para detectar y eliminar programas maliciosos del tipo spyware.
    • Antivirus - También conocido como Antimalware. Software de protección para evitar que ejecutemos algún tipo de software malicioso en nuestro equipo que infecte al equipo.
    • Cortafuegos o Firewall - Sistema de seguridad compuesto o bien de programas (software) o de dispositivos
      hardware situados en los puntos limítrofes de una red que tienen el objetivo de permitir y limitar, el flujo de tráfico entre los diferentes ámbitos que protege sobre la base de un conjunto de normas y otros criterios.
    • Honeypot o Señuelo - Herramienta de seguridad instalada en una red o sistema informático que permite, ante un ataque informático por parte de terceros, poder detectarlo y obtener información tanto del ataque como del atacante.
    • IDS - Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es una aplicación usada para detectar accesos no autorizados a un ordenador o a una red. Estos accesos pueden ser ataques realizados por usuarios malintencionados con conocimientos de seguridad o usando herramientas automáticas. A diferencia de los IPS, estos sistemas sólo detectan intentos de acceso y no tratan de prevenir su ocurrencia.
    • IPS - Intrusion Prevention System (sistema de prevención de intrusiones). Es un software que se utiliza para proteger a los sistemas de ataques y abusos. La tecnología de prevención de intrusos puede ser considerada como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad es una tecnología más cercana a los cortafuegos.
    • SIEM - Acrónimo de las siglas en inglés Security Information and Event Management; en español, gestión de eventos e información de seguridad. Se trata de un software con el que se intenta detectar y prevenir amenazas para atajarlas antes de que ocurran. El término comprende, por un lado, el almacenamiento y análisis de eventos en tiempo real SEM; y por otro, el almacenaje para su posterior análisis SIM. De la unión de los dos nace el SIEM, su objetivo es recopilar, identificar y analizar los eventos de seguridad de forma rápida para prevenir posibles ataques y vulnerabilidades.
    • UTM - Unified Threat Management; en español, gestión unificada de amenazas, es el software de seguridad
      perimetral que permite la gestión centralizada de las amenazas que pueden afectar a una organización. Para ello, se ubica la misma en un punto intermedio de la red interna para inspeccionar la información en tránsito desde y hacia Internet.