El software malicioso, o malware, es cualquier código de software o programa informático, incluidos ransomware, troyanos y spyware, escrito intencionadamente para dañar los sistemas informáticos o a sus usuarios.
Casi todos los ciberataques modernos implican algún tipo de malware. Estos programas maliciosos pueden adoptar muchas formas, desde el coste y muy dañino ransomware hasta adware meramente molesto, dependiendo de lo que pretendan hacer los ciberdelincuentes.
Los ciberdelincuentes desarrollan y utilizan malware para:
Hay miles de millones de ataques de malware cada año, y las infecciones de malware pueden producirse en cualquier dispositivo o sistema operativo. Los sistemas Windows, Mac, iOS y Android pueden ser víctimas.
Cada vez más, los ataques de malware se dirigen a empresas en lugar de usuarios individuales, ya que los piratas informáticos han aprendido que es más lucrativo perseguir a las organizaciones. Las empresas suelen poseer grandes cantidades de datos personales, y los hackers se aprovechan de este hecho para extorsionarles grandes sumas de dinero. Los hackers pueden utilizar estos datos personales para el robo de identidad o venderlos en la dark web.
La ciberdelincuencia es un sector enorme. Según una estimación, sería la tercera economía más grande del mundo por detrás de EE. UU. y China, y se prevé que costará 10,5 billones de dólares en 2025.
Dentro de este sector, los hackers desarrollan constantemente nuevas cepas de malware con nuevas características y funcionalidades. Estas cepas individuales de malware generan nuevas variantes con el tiempo para evadir mejor el software de seguridad. Se estima que se han creado más de mil millones de cepas y variantes de malware diferentes desde los 80, lo que dificulta que los profesionales de la ciberseguridad sigan el ritmo.
Los hackers suelen compartir su malware haciendo que el código sea de código abierto o vendiéndolo a otros delincuentes. Los acuerdos de malware como servicio son frecuentes entre los desarrolladores de ransomware, por lo que incluso los delincuentes con poca experiencia técnica pueden cosechar los frutos de la ciberdelincuencia.
Aunque el panorama siempre cambia, las cepas de malware se pueden clasificar en algunos tipos comunes.
Los términos "malware" y "virus informático" se utilizan a menudo como sinónimos, pero un virus es técnicamente un tipo particular de malware. Específicamente, un virus es un código malicioso que oculta software legítimo para dañar y distribuir copias de sí mismo.
Los virus no pueden actuar por sí solos. En su lugar, ocultan fragmentos de su código en otros programas ejecutables. Cuando un usuario inicia el programa, el virus también comienza a ejecutarse. Los virus generalmente están diseñados para eliminar datos importantes, interrumpir las operaciones normales y propagar copias de sí mismos a otros programas en el ordenador infectado.
La mayoría de las primeras amenazas de malware eran virus. Elk Cloner, quizás el primer malware que se propagó a través de dispositivos públicos, era un virus dirigido a equipos Apple.
El ransomware bloquea los dispositivos o datos de una víctima y exige el pago de un rescate, generalmente en forma de criptomoneda, para desbloquearlos. Según el X-Force Threat Intelligence Index de IBM, el ransomware es el segundo tipo más común de ciberataque y representa el 17 % de los ataques.
Los ataques de cibersecuestro más básicos hacen que los activos sean inutilizables hasta que se pague el rescate, pero los ciberdelincuentes pueden utilizar tácticas adicionales para aumentar la presión sobre las víctimas.
En un ataque de doble ataque, los ciberdelincuentes roban datos y amenazan con filtrarlos si no se les paga. En un ataque de triple extorsión, los hackers cifran los datos de la víctima, los roban y amenazan con desconectar los sistemas a través de un ataque de denegación de servicio distribuido (DDoS).
Las demandas de rescate pueden variar de decenas de miles a millones de dólares estadounidenses. Según un informe, el pago promedio del rescate es de 812 360 USD. Incluso si las víctimas no pagan, el ransomware es costoso. El informe "Cost of a Data Breach" de IBM reveló que el coste medio de un ataque de ransomware oscila entre los 4,38 millones de dólares con la participación de las fuerzas de seguridad y los 5,37 millones de dólares sin ella; estas cifras de coste no incluyen el rescate en sí.
Los hackers utilizan malware de acceso remoto para obtener acceso a ordenadores, servidores u otros dispositivos mediante la creación o explotación de puertas traseras. Según el X-Force Threat Intelligence Index, la colocación de puertas traseras es el objetivo más común de los hackers, con un 21 % de los ataques.
Las puertas traseras permiten a los ciberdelincuentes hacer muchas cosas. Pueden robar datos o credenciales, tomar el control de un dispositivo o instalar malware aún más peligroso, como ransomware. Algunos piratas informáticos utilizan malware de acceso remoto para crear puertas traseras que pueden vender a otros piratas informáticos, y que pueden alcanzar varios miles de dólares estadounidenses cada una.
Algunos malware de acceso remoto, como Back Orifice o CrossRAT, se crean de manera intencionada con fines maliciosos. Los hackers también pueden modificar o utilizar de forma incorrecta software legítimo para acceder de forma remota a un dispositivo. En particular, los ciberdelincuentes utilizan credenciales robadas para el protocolo de escritorio remoto (RDP) de Microsoft como puertas traseras.
Una botnet es una red de dispositivos infectados con malware conectados a internet bajo el control de un pirata informático. Las botnets pueden incluir PC, dispositivos móviles, dispositivos de Internet de las cosas (IoT) y más. A menudo, las víctimas no se dan cuenta de que sus dispositivos forman parte de una botnet. Los piratas informáticos suelen utilizar botnets para lanzar ataques DDoS, que bombardean una red objetivo con tanto tráfico que se ralentiza o se apaga por completo.
Mirai, una de las redes de bots más conocidas, fue responsable de un ataque masivo en 2016 contra el proveedor de sistemas de nombres de dominio Dyn. Este ataque paralizó sitios web populares como Twitter y Reddit para millones de usuarios en Estados Unidos y Europa.
Un cryptojacker es un malware que toma el control de un dispositivo y lo utiliza para extraer criptomonedas, como bitcoin, sin el conocimiento del propietario. Básicamente, los cryptojackers crean botnets de criptominería.
La minería de criptomonedas es una tarea extremadamente intensiva y costosa. Los ciberdelincuentes se benefician mientras que los usuarios de ordenadores infectados sufren ralentizaciones y caídas del rendimiento. Los cryptojackers suelen apuntar a la infraestructura en la nube de las empresas, lo que les permite movilizar más recursos para la minería de criptomonedas que al apuntar a computadoras individuales.
El malware sin archivos es un tipo de ataque que utiliza vulnerabilidades en programas de software legítimos como navegadores web y procesadores de texto para inyectar código malicioso directamente en la memoria de un ordenador. Dado que el código se ejecuta en memoria, no deja rastros en el disco duro. Como utiliza software legítimo, suele eludir la detección.
Muchos ataques de malware sin archivos utilizan PowerShell, una interfaz de línea de comandos y una herramienta de scripts integrada en el sistema operativo Microsoft Windows. Los hackers pueden ejecutar scripts de PowerShell para cambiar configuraciones, robar contraseñas o hacer otros daños.
Las macros maliciosas son otro vector común para los ataques sin archivos. Aplicaciones como Microsoft Word y Excel permiten a los usuarios definir macros, conjuntos de comandos que automatizan tareas simples como dar formato a texto o realizar cálculos. Los piratas informáticos pueden almacenar scripts maliciosos en estas macros. Cuando un usuario abre el archivo, esos scripts se ejecutan automáticamente.
Los gusanos son programas maliciosos autorreplicantes que pueden propagarse entre aplicaciones y dispositivos sin interacción humana. (Compárese con un virus, que solo puede propagarse si un usuario ejecuta un programa comprometido). Si bien algunos gusanos no hacen más que propagarse, muchos tienen consecuencias más graves. Por ejemplo, el ransomware WannaCry, que causó unos daños estimados en 4.000 millones de USD, era un gusano que maximizó su impacto propagándose automáticamente entre dispositivos conectados.
Los caballos de Troya se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen. Un troyano de acceso remoto o "RAT" crea una puerta trasera secreta en el dispositivo infectado. Otro tipo de troyano llamado "dropper", instala malware adicional una vez que se afianza. Ryuk, una de las cepas de ransomware recientes más devastadoras, utilizó el troyano Emotet para infectar dispositivos.
Los rootkits son paquetes de malware que permiten a los hackers obtener acceso privilegiado, a nivel de administrador, al sistema operativo de un ordenador o a otros activos. Los hackers pueden entonces utilizar estos permisos elevados para hacer prácticamente lo que quieran, como añadir y eliminar usuarios o reconfigurar aplicaciones. Los hackers suelen utilizar rootkits para ocultar procesos maliciosos o desactivar el software de seguridad que podría detectarlos.
El scareware asusta a los usuarios para que descarguen malware o pasen información confidencial a un estafador. El scareware aparece a menudo como una ventana emergente repentina con un mensaje urgente, que normalmente avisa al usuario de que ha infringido la ley o que su dispositivo tiene un virus. La ventana emergente obliga al usuario a pagar una "multa" o a descargar un falso software de seguridad que resulta ser un auténtico malware.
El spyware se esconde en un ordenador infectado, recopilando en secreto información confidencial y transmitiéndola a un atacante. Un tipo común de spyware, llamado keylogger, registra todas las pulsaciones de teclas de un usuario, lo que permite a los piratas informáticos recopilar nombres de usuario, contraseñas, números de cuentas bancarias y tarjetas de crédito, números de la Seguridad Social y otros datos confidenciales.
El adware envía spam a un dispositivo con anuncios emergentes no deseados. El adware suele incluirse con el software gratuito, sin que el usuario lo sepa. Cuando el usuario instala el programa, también instala involuntariamente el adware. La mayoría de los programas publicitarios son poco más que una molestia. Sin embargo, algunos programas publicitarios recopilan datos personales, redireccionan los navegadores web a sitios web maliciosos o incluso descargan más malware en el dispositivo del usuario si hace clic en una de las ventanas emergentes.
Un ataque de malware tiene dos componentes: la carga útil del malware y el vector de ataque. La carga útil es el código malicioso que los hackers quieren introducir, y el vector de ataque es el método utilizado para hacer llegar la carga útil a su objetivo.
Algunos de los vectores de malware más comunes son:
Los ataques de ingeniería social manipulan psicológicamente a las personas para hacer cosas que no deberían hacer, como descargar malware. Los ataques de phishing, que utilizan correos electrónicos fraudulentos o mensajes de texto para engañar a los usuarios, son particularmente comunes. Según el X-Force Threat Intelligence Index, el phishing es un factor en el 41 % de las infecciones de malware.
Los correos electrónicos y mensajes de phishing suelen estar diseñados para que parezcan proceder de una marca o persona de confianza. Normalmente intentan evocar emociones fuertes como el miedo ("¡Hemos encontrado nueve virus en su teléfono!"), la codicia ("¡Tiene un pago sin reclamar esperándole!") o la urgencia ("¡Se le acaba el tiempo para reclamar su regalo gratis!") para conseguir que los usuarios realicen la acción deseada. Por lo general, la acción consiste en abrir un archivo adjunto de un correo electrónico malicioso o visitar un sitio web malicioso que carga malware en el dispositivo.
Los ciberdelincuentes buscan constantemente vulnerabilidades sin parches en software, dispositivos y redes que les permitan inyectar malware en el software o firmware del objetivo. Los dispositivos IoT, muchos de los cuales se venden e implementan con una seguridad mínima o nula, son un campo especialmente fértil para los ciberdelincuentes que siembran malware.
Mediante una táctica llamada "baiting", los hackers pueden colocar unidades USB infectadas adornadas con etiquetas que captan la atención en lugares públicos como espacios de coworking o cafeterías. Atraídos por estas unidades, los usuarios desprevenidos pueden conectarlas a sus dispositivos para ver qué contienen, y el malware infecta su sistema. Un estudio reciente descubrió que el 37 % de las ciberamenazas conocidas están diseñadas para explotar los medios extraíbles.
Muchas formas de malware, como los troyanos y el adware, se disfrazan como software útil o copias gratuitas de películas y música. Irónicamente, a menudo se enmascaran como aplicaciones o programas antivirus gratuitos que mejorarán el rendimiento del dispositivo. Aunque las redes de torrents en las que los usuarios comparten contenidos pirateados son un terreno de juego famoso para los ciberdelincuentes, el malware oculto también puede abrirse paso en los mercados legales. Recientemente, el malware Goldoson pudo infectar millones de dispositivos al ocultarse en las aplicaciones disponibles a través de Google Play Store.
El malvertising o publicidad maliciosa se produce cuando los hackers colocan anuncios maliciosos en redes publicitarias legítimas o secuestran anuncios legítimos para distribuir código malicioso. Por ejemplo, el malware Bumblebee se propagó a través de un anuncio malicioso de Google que se hacía pasar por Cisco AnyConnect. Los usuarios que buscaban el producto real veían el anuncio en sus resultados de búsqueda, hacían clic en él y descargaban el malware sin darse cuenta.
Una técnica relacionada llamada "drive-by downloads" hace que los usuarios no tengan que hacer clic en nada: tan pronto como visitan un sitio web malicioso, la descarga comienza automáticamente.
En las redes corporativas, los dispositivos personales de los usuarios pueden ser los principales vectores de malware. Los smartphones y los ordenadores portátiles de los usuarios pueden infectarse durante su tiempo personal, cuando se conectan a redes no seguras sin el beneficio de las soluciones de seguridad de la empresa. Cuando los usuarios traen esos dispositivos al trabajo, el malware puede propagarse a la red corporativa.
Si la red de un proveedor se ve comprometida, el malware puede propagarse a las redes de las compañías que utilizan los productos y servicios de ese proveedor. Por ejemplo, los ciberdelincuentes se beneficiaron de un defecto en la plataforma VSA de Kaseya para difundir ransomware a los clientes bajo la apariencia de una actualización de software legítima.
Algunas infecciones de malware, como el ransomware, se anuncian por sí solas. Sin embargo, la mayoría intenta permanecer fuera de la vista mientras causan estragos. Aun así, las infecciones de malware suelen dejar tras de sí señales que los equipos de ciberseguridad pueden utilizar para identificarlas. Estas señales incluyen:
El rendimiento disminuye: los programas de malware utilizan los recursos del ordenador infectado para ejecutarse, lo que a menudo consume espacio de almacenamiento e interrumpe los procesos legítimos. El equipo de soporte de TI puede darse cuenta de una afluencia de tickets de usuarios cuyos dispositivos se ralentizan, se bloquean o se inundan de ventanas emergentes.
Actividad de red nueva e inesperada: el personal de TI y seguridad puede notar patrones extraños, como procesos que utilizan más ancho de banda de lo normal, dispositivos que se comunican con servidores desconocidos o cuentas de usuario que acceden a activos que normalmente no utilizan.
Configuraciones modificadas: algunas cepas de malware alteran las configuraciones de los dispositivos o desactivan las soluciones de seguridad para evitar su detección. Los equipos de TI y de seguridad pueden darse cuenta de que, por ejemplo, han cambiado las reglas del Firewall o se han elevado los privilegios de una cuenta.
Alertas de eventos de seguridad: para las organizaciones que cuentan con soluciones de detección de amenazas, es probable que la primera señal de una infección de malware sea una alerta de evento de seguridad. Soluciones como los sistemas de detección de intrusiones (IDS), las plataformas de gestión de eventos e información de seguridad (SIEM) y el software antivirus pueden señalar posibles actividades de malware para que el equipo de respuesta a incidentes (RI) las revise.
Los ataques de malware son inevitables, pero hay medidas que las organizaciones pueden tomar para reforzar sus defensas. Estos pasos incluyen:
Formación en concienciación sobre seguridad: muchas infecciones de malware se deben a que los usuarios descargan software falso o son víctimas de estafas de phishing. La formación para la concienciación sobre la seguridad puede ayudar a los usuarios a detectar ataques de ingeniería social, sitios web maliciosos y aplicaciones falsas. La formación para la concienciación sobre la seguridad también puede educar a los usuarios sobre qué hacer y a quién dirigirse si sospechan que existe una amenaza de malware.
Políticas de seguridad: solicitar contraseñas seguras, autenticación multifactor y VPN al acceder a activos confidenciales a través de wifi no seguro puede ayudar a limitar el acceso de los hackers a las cuentas de los usuarios. La implementación regular de una gestión de parches, evaluaciones de vulnerabilidades y pruebas de penetración también puede ayudar a detectar vulnerabilidades de software y dispositivos antes de que los ciberdelincuentes las exploten. Las políticas para administrar dispositivos BYOD (bring your own device) y prevenir la TI invisible pueden ayudar a evitar que los usuarios, sin saberlo, introduzcan malware en la red corporativa.
Copias de seguridad: mantener copias de seguridad actualizadas de datos confidenciales e imágenes del sistema, idealmente en discos duros u otros dispositivos que se pueden desconectar de la red, puede facilitar la recuperación de ataques de malware.
Arquitectura de red de confianza cero: zero trust es un enfoque de seguridad de red en el que los usuarios nunca son confiables y siempre están verificados. En particular, zero trust implementa el principio del mínimo privilegio, la microsegmentación de la red y la autenticación adaptativa continua. Esta implementación ayuda a garantizar que ningún usuario o dispositivo pueda acceder a datos o activos confidenciales a los que no debería. Si el malware ingresa a la red, estos controles pueden limitar su movimiento lateral.
Planes de respuesta a incidentes: crear planes de respuesta a incidentes para diferentes tipos de malware con antelación puede ayudar a los equipos de ciberseguridad a erradicar las infecciones de malware más rápidamente.
Además de las tácticas manuales descritas anteriormente, los equipos de ciberseguridad pueden utilizar soluciones de seguridad para automatizar aspectos de la eliminación, detección y prevención de malware. Entre las herramientas más comunes se incluyen:
Software antivirus: también llamado software "antimalware", los programas antivirus escanean los sistemas en busca de signos de infección. Además de alertar a los usuarios, muchos programas antivirus pueden aislar y eliminar automáticamente el malware al detectarlo.
Firewall: Firewall puede bloquear parte del tráfico malicioso para que no llegue a la red en primer lugar. Si el malware logra ingresar a un dispositivo de red, los firewalls pueden ayudar a frustrar las comunicaciones salientes a los piratas informáticos, como un keylogger que envía las pulsaciones de teclas al atacante.
Plataformas de gestión de eventos e información de seguridad (SIEM): las SIEM recopilan información de las herramientas de seguridad internas, la agregan en un registro central y señalan las anomalías. Dado que los SIEM centralizan las alertas de múltiples fuentes, pueden facilitar la detección de signos sutiles de malware.
Plataformas de orquestación, automatización y respuesta de seguridad (SOAR): las SOAR integran y coordinan herramientas de seguridad dispares, lo que permite a los equipos de seguridad crear guías de estrategias semiautomatizados o totalmente automatizados para responder al malware en tiempo real.
Plataformas de detección y respuesta de endpoints (EDR): las EDR supervisan los dispositivos de endpoint, como smartphones, ordenadores portátiles y servidores, en busca de signos de actividad sospechosa, y pueden responder automáticamente al malware.
Plataformas de detección y respuesta extendidas (XDR): las XDR integran herramientas y operaciones de seguridad en todas las capas de seguridad, usuarios, endpoint, correo electrónico, aplicaciones, redes, carga de trabajo en la nube y datos. Las XDR pueden ayudar a automatizar procesos complejos de prevención, detección, investigación y respuesta a malware, incluyendo la búsqueda proactiva de amenazas.
Herramientas de gestión de la superficie de ataque (ASM): las herramientas ASM descubren, analizan, remedian y supervisan continuamente todos los activos de la red de una organización. La ASM puede ser útil para ayudar a los equipos de ciberseguridad a detectar aplicaciones y dispositivos de TI invisible no autorizados que puedan portar malware.
Gestión unificada de endpoints (UEM): el software UEM supervisa, administra y protege todos los dispositivos de usuario final de una organización, incluidas computadoras de escritorio, ordenadores portátiles y dispositivos móviles. Muchas organizaciones utilizan soluciones UEM para ayudar a garantizar que los dispositivos BYOD de los empleados no introduzcan malware en la red corporativa.