¿Qué es el malware?

Casi todos los ataques cibernéticos modernos implican algún tipo de malware. Estos programas maliciosos pueden tomar muchas formas, que van desde un ransomware altamente dañino y costoso hasta un adware meramente molesto, dependiendo de lo que pretendan hacer los delincuentes cibernéticos.

Los delincuentes cibernéticos desarrollan y utilizan malware para:

• Mantener como rehenes dispositivos, datos o redes empresariales enteras por grandes sumas de dinero
  
  
• Obtener acceso no autorizado a datos confidenciales o activos digitales.
  
  
• Robar credenciales de inicio de sesión, números de tarjetas de crédito, propiedad intelectual u otra información valiosa.
  
  
• Interrumpir los sistemas críticos en los que confían las empresas y las agencias gubernamentales.

Hay miles de millones de ataques de malware cada año, y las infecciones de malware pueden ocurrir en cualquier dispositivo o sistema operativo. Los sistemas Windows, Mac, iOS y Android pueden ser víctimas.

Cada vez más, los ataques de malware se dirigen a empresas en lugar de usuarios individuales, ya que los hackers han aprendido que es más lucrativo dañar a las organizaciones. Las empresas suelen tener cantidades significativas de datos personales, y los hackers explotan este hecho para extorsionarlas con grandes sumas de dinero. Los hackers pueden usar estos datos personales para el robo de identidad o venderlos en la dark web.

El crimen cibernético es una industria masiva. Según una estimación, sería la tercera economía más grande del mundo detrás de Estados Unidos y China y se prevé que costará 10.5 billones USD en 2025.

Dentro de esta industria, los hackers desarrollan constantemente nuevas cepas de malware con nuevas características y funcionalidades. Con el tiempo, estas cepas individuales de malware generan nuevas variantes para eludir mejor el software de seguridad. Se estima que más de 1 billón de cepas y variantes de malware diferentes han sido creadas desde los 1980, lo que dificulta que los profesionales de ciberseguridad se mantengan al día.

Los hackers suelen compartir su malware haciendo un código abierto o vendiéndolo a otros delincuentes. Los acuerdos de malware como servicio prevalecen entre los desarrolladores de ransomware, de modo que incluso los delincuentes con poca experiencia técnica pueden cosechar los beneficios de los delitos cibernéticos.

Si bien el panorama es siempre cambiante, las cepas de malware pueden clasificarse en algunos tipos comunes.

Los términos "malware" y "virus de computadora" se utilizan a menudo como sinónimos, pero un virus es técnicamente un tipo particular de malware. Específicamente, un virus es un código malicioso que secuestra software legítimo para hacer daño y difundir copias de sí mismo.

Los virus no pueden actuar por sí solos. En cambio, ocultan fragmentos de su código en otros programas ejecutables. Cuando un usuario inicia el programa, el virus también comienza a ejecutarse. Los virus generalmente están diseñados para eliminar datos importantes, interrumpir las operaciones normales y propagar copias de sí mismos a otros programas en la computadora infectada.

La mayoría de las primeras amenazas de malware eran virus. Elk Cloner, quizás el primer malware que se propagó a través de dispositivos públicos, fue un virus que se dirigía a las computadoras Apple.

El ransomware bloquea los dispositivos o datos de una víctima y exige un pago de rescate, generalmente en forma de criptomoneda, para desbloquearlos. Según el índice X-Force Threat Intelligence Ide IBM, el ransomware es el segundo tipo más común de ciberataque y representa el 17 % de los ataques.

Los ataques de ransomware más básicos hacen que los activos sean inutilizables hasta que se pague el rescate, pero los delincuentes cibernéticos pueden usar tácticas adicionales para aumentar la presión sobre las víctimas.

En un doble ataque de extorsión, los delincuentes cibernéticos roban datos y amenazan con filtrarlos si no se les paga. En un ataque de triple extorsión, los hackers cifran los datos de la víctima, los roban y amenazan con desconectar los sistemas a través de un ataque de denegación distribuida del servicio (DDoS).

Las demandas de rescate pueden oscilar entre decenas de miles y millones de dólares estadounidenses. Según un informe, el pago promedio de rescate es de 812 360 USD. Incluso si las víctimas no pagan, el ransomware es costoso. El informe del costo de una filtración de datos de IBM encontró que el costo promedio de un ataque de ransomware es de USD 4,38 millones con la participación de las fuerzas del orden y USD 5,37 millones sin la participación de las fuerzas del orden; estas cifras de costo no incluyen el rescate en sí.

Los hackers utilizan malware de acceso remoto para obtener acceso a computadoras, servidores u otros dispositivos mediante la creación o el aprovechamiento de puertas traseras. Según el índice X-Force Threat Intelligence, sembrar puertas traseras es el objetivo más común de los hackers, y representa el 21 % de los ataques.

Las puertas traseras permiten a los delincuentes cibernéticos hacer mucho. Pueden robar datos o credenciales, tomar el control de un dispositivo o instalar malware aún más peligroso como ransomware. Algunos hackers utilizan malware de acceso remoto para crear puertas traseras que pueden vender a otros hackers, lo que puede darles varios miles de dólares estadounidenses cada uno.

Algunos malware de acceso remoto, como Back Orifice o CrossRAT, se crean intencionalmente con fines maliciosos. Los hackers también pueden modificar o dar un mal uso a software legítimo para acceder de forma remota a un dispositivo. En particular, los delincuentes cibernéticos utilizan credenciales robadas para el protocolo de escritorio remoto (RDP) de Microsoft como puertas traseras.

Una botnet es una red de dispositivos conectados a Internet e infectados con malware bajo el control de un hacker. Las botnets pueden incluir PC, dispositivos móviles, dispositivos de Internet de las Cosas (IoT), etc. Las víctimas a menudo no se dan cuenta cuando sus dispositivos forman parte de una botnet. Los hackers suelen utilizar botnets para lanzar ataques DDoS, que bombardean una red objetivo con tanto tráfico que se ralentiza o se apaga por completo.

Mirai, uno de los botnets más conocidos, fue responsable de un ataque masivo en 2016 contra el proveedor del sistema de nombres de dominio Dyn. Este ataque derribó sitios web populares como Twitter y Reddit para millones de usuarios en Estados Unidos y Europa.

Un cryptojacker es un malware que toma el control de un dispositivo y lo utiliza para extraer criptomonedas, como bitcoin, sin el conocimiento del propietario. Básicamente, los cryptojackers crean botnets de criptominería.

La minería de criptomonedas es una tarea extremadamente costosa y que requiere mucha computación. Los delincuentes cibernéticos lucran mientras que los usuarios de computadoras infectadas experimentan ralentización de rendimiento y bloqueos. Los criptojackers suelen apuntar a la infraestructura de nube empresarial, lo que les permite obtener más recursos para la criptominería que atacando computadoras individuales.

El malware sin archivos es un tipo de ataque que utiliza vulnerabilidades en programas de software legítimos, como navegadores web y procesadores de texto, para inyectar un código malicioso directamente en la memoria de una computadora. Como el código se ejecuta en memoria, no deja rastro en el disco duro. Como utiliza software legítimo, suele eludir la detección.

Muchos ataques de malware sin archivos usan PowerShell, una interfaz de línea de comandos y una herramienta de scripts integrada en los sistemas operativos Microsoft Windows. Los hackers pueden ejecutar scripts de PowerShell para cambiar configuraciones, robar contraseñas o causar otros daños.

Las macros maliciosas son otro vector común para los ataques sin archivos. Aplicaciones como Microsoft Word y Excel permiten a los usuarios definir macros, conjuntos de comandos que automatizan tareas simples como formatear texto o realizar cálculos. Los hackers pueden almacenar scripts maliciosos en estas macros; cuando un usuario abre el archivo, esos scripts se ejecutan automáticamente.

Los gusanos son programas maliciosos autoreplicantes que pueden propagarse entre aplicaciones y dispositivos sin interacción humana. (A diferencia de un virus, que solo puede propagarse si un usuario ejecuta un programa comprometido). Si bien algunos gusanos no hacen más que propagarse, muchos tienen consecuencias más severas. Por ejemplo, el ransomware WannaCry, que causó un estimado de cuatro mil millones USD en daños, fue un gusano que maximizó su impacto al propagarse automáticamente entre los dispositivos conectados.

Los caballos de Troya se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen. Un troyano de acceso remoto o "RAT" crea una puerta trasera secreta en el dispositivo infectado. Otro tipo de troyano, llamado "dropper", instala malware adicional una vez que logra establecer. Ryuk, una de las cepas de ransomware más devastadoras recientes, empleó el troyano Emotet para infectar dispositivos.

Losrootkits son paquetes de malware que permiten a los hackers obtener acceso privilegiado a nivel de administrador al sistema operativo de una computadora u otros activos. Los hackers pueden usar estos permisos elevados para hacer prácticamente cualquier cosa que quieran, como agregar y eliminar usuarios o reconfigurar aplicaciones. Los hackers suelen utilizar rootkits para ocultar procesos maliciosos o deshabilitar el software de seguridad que podría atraparlos.

El scareware asusta a los usuarios para que descarguen malware o pasen información confidencial a un estafador. El scareware a menudo aparece como una ventana emergente repentina con un mensaje urgente, generalmente advirtiendo al usuario que ha infringido la ley o que su dispositivo tiene un virus. La ventana emergente indica al usuario que pague una "multa" o descargue un software de seguridad falso que resulta ser malware real.

El spyware se esconde en una computadora infectada, recopilando secretamente información confidencial y transmitiéndola de vuelta a un atacante. Un tipo común de software espía, llamado keylogger, registra todas las pulsaciones de teclas de un usuario, lo que permite a los piratas informáticos recopilar nombres de usuario, contraseñas, números de cuentas bancarias y tarjetas de crédito, números de Seguro Social y otros datos confidenciales.

El adware envía spam a un dispositivo con anuncios emergentes no deseados. El adware a menudo se incluye con el software gratis, sin que el usuario lo sepa. Cuando el usuario instala el programa, también instala el adware sin saberlo. La mayoría de los adware son poco más que una molestia. Sin embargo, algunos programas publicitarios recopilan datos personales, redirigen los navegadores sitio web a sitios web maliciosos o incluso descargan más malware en el dispositivo del usuario si hace clic en una de las ventanas emergentes.

Un ataque de malware tiene dos componentes: la carga útil del malware y el vector de ataque. La carga útil es el código malicioso que los hackers quieren sembrar, y el vector de ataque es el método empleado para entregar la carga útil a su objetivo.

Algunos de los vectores de malware más comunes son:

Algunas infecciones de malware, como el ransomware, se anuncian. Sin embargo, la mayoría trata de mantenerse fuera de la vista mientras causan estragos. Aun así, las infecciones por malware suelen dejar señales que los equipos de ciberseguridad pueden usar para identificarlas. Estos signos incluyen:

Disminuye el rendimiento: los programas malware utilizan los recursos de la computadora infectada para ejecutar, a menudo consumiendo espacio de almacenamiento e interrumpiendo procesos legítimos. El equipo de soporte de TI puede notar una afluencia de tiquetes de usuarios cuyos dispositivos se ralentizan, se bloquean o se inundan de ventanas emergentes.

Actividad de red nueva e inesperada: el personal de TI y de seguridad puede notar patrones extraños, como procesos que utilizan más ancho de banda de lo normal, dispositivos que se comunican con servidores desconocidos o cuentas de usuario que acceden a activos que normalmente no usan.

Configuraciones cambiadas: Algunas cepas de malware alteran las configuraciones de los dispositivos o deshabilitan las soluciones de seguridad para evitar la detección. Los equipos de TI y seguridad pueden notar que, por ejemplo, las reglas de cortafuegos han cambiado o que los privilegios de una cuenta han sido elevados.

Alertas de eventos de seguridad: para las organizaciones con soluciones de detección de amenazas, es probable que la primera señal de una infección de malware sea una alerta de evento de seguridad. Soluciones como los sistemas de detección de intrusos (IDS), las plataformas de gestión de eventos e información de seguridad (SIEM) y el software antivirus pueden señalar la posible actividad de malware para que el equipo de respuesta a incidentes la revise.

Los ataques de malware son inevitables, pero hay medidas que las organizaciones pueden tomar para fortalecer sus defensas. Estos pasos incluyen:

Capacitación en seguridad: muchas infecciones de malware son el resultado de que los usuarios descargan software falso o caen ante estafas de phishing. La capacitación en seguridad puede ayudar a los usuarios a detectar ataques de ingeniería social, sitios web maliciosos y aplicaciones falsas. La capacitación en seguridad también puede educar a los usuarios sobre qué hacer y a quién contactar si sospechan una amenaza de malware.

Políticas de seguridad: solicitar contraseñas seguras, autenticación multifactor y VPN al acceder a activos confidenciales a través de wifi no seguro puede ayudar a limitar el acceso de los hackers a las cuentas de los usuarios. Instaurar un programa regular para la gestión de parches, las evaluaciones de vulnerabilidades y las pruebas de penetración también puede ayudar a detectar vulnerabilidades de software y dispositivos antes de que los delincuentes cibernéticos las exploten. Las políticas para administrar dispositivos BYOD (bring your own device) y prevenir la TI en la sombra pueden ayudar a evitar que los usuarios inconscientemente traigan malware a la red corporativa.

Backups: mantener copias de seguridad actualizadas de datos sensibles y de imágenes del sistema, idealmente en discos duros u otros dispositivos que puedan desconectarse de la red, puede facilitar la recuperación de ataques de malware.

Arquitectura de red de confianza cero: la confianza cero es un enfoque de seguridad de red en el que nunca se confía en los usuarios y siempre se verifican con Verify. En particular, la confianza cero implementa el principio de privilegio mínimo, microsegmentación de red y autenticación adaptativa continua. Esta implementación ayuda a garantizar que ningún usuario o dispositivo pueda acceder a datos o activos confidenciales que no deberían. Si el malware entra en la red, estos controles pueden limitar su movimiento lateral.

Planes de respuesta a incidentes: la creación de planes de respuesta a incidentes para diferentes tipos de malware con anticipación puede ayudar a los equipos de ciberseguridad a erradicar las infecciones de malware más rápidamente.

Además de las tácticas manuales descritas anteriormente, los equipos de ciberseguridad pueden utilizar soluciones de seguridad para automatizar aspectos de la eliminación, la detección y la prevención de malware. Las herramientas comunes incluyen:

Software antivirus: también denominado software "antimalware", los programas antivirus analizan sistemas para detectar signos de infecciones. Además de alertar a los usuarios, muchos programas antivirus pueden aislar y eliminar automáticamente el malware en cuanto lo detectan.

Cortafuegos: los cortafuegos pueden bloquear parte del tráfico malicioso para que no llegue a la red en primer lugar. Si el malware logra ingresar a un dispositivo de red, los cortafuegos pueden ayudar a frustrar las comunicaciones salientes a los hackers, como un keylogger que envía las pulsaciones de teclas al atacante.

Plataformas de gestión de eventos e información de seguridad (SIEM): las SIEM recopilan información de las herramientas de seguridad internas, la agregan en un registro central y señalan las anomalías. Debido a que los SIEM centralizan las alertas de múltiples fuentes, pueden facilitar la detección de signos sutiles de malware.

Plataformas de orquestación, automatización y respuesta de seguridad (SOAR): SOARs integran y coordinan herramientas de seguridad dispares, lo que permite a los equipos de seguridad crear playbooks semi o totalmente automatizados para responder al malware en tiempo real.

Plataformas de detección y respuesta de endpoint (EDR): las EDR monitorean los dispositivos de endpoint, como smartphones, computadoras portátiles y servidores, en busca de signos de actividad sospechosa, y pueden responder automáticamente al malware detectado.

Plataformas de detección y respuesta extendidas (XDR): las XDR integran herramientas de seguridad y Operaciones de seguridad en todas las capas de seguridad, usuarios, endpoint, email, aplicaciones, redes, cargas de trabajo en la nube y datos. Los XDR pueden ayudar a automatizar procesos complejos de prevención, detección, investigación y respuesta al malware, incluida la caza de amenazas.

Herramientas de gestión de la superficie de ataque (ASM): Las herramientas ASM descubren, analizan, reparan y monitorear continuamente todos los activos de la red de una organización. La ASM puede ser útil para ayudar a los equipos de ciberseguridad a detectar aplicaciones y dispositivos de TI en la sombra no autorizados que puedan portar malware.

Gestión unificada endpoint (uem): el software uem monitorea, gestiona y protege todos los dispositivos de usuario final de una organización, incluidas computadoras de escritorio, computadoras portátiles y dispositivos móviles. Muchas organizaciones emplean soluciones UEM para ayudar a garantizar que los dispositivos BYOD de los empleados no introduzcan malware en la red corporativa.