¿Qué es el malware?

14 de abril de 2022

¿Qué es el malware?

El software malicioso, o malware, es cualquier código de software o programa informático, incluidos ransomware, troyanos y spyware, escrito intencionalmente para dañar los sistemas informáticos o a sus usuarios.

Casi todos los ataques cibernéticos modernos implican algún tipo de malware. Estos programas maliciosos pueden tomar muchas formas, que van desde un ransomware altamente dañino y costoso hasta un adware meramente molesto, dependiendo de lo que pretendan hacer los delincuentes cibernéticos.

Los delincuentes cibernéticos desarrollan y utilizan malware para:

  • Mantener como rehenes dispositivos, datos o redes empresariales enteras por grandes sumas de dinero

  • Obtener acceso no autorizado a datos confidenciales o activos digitales.

  • Robar credenciales de inicio de sesión, números de tarjetas de crédito, propiedad intelectual u otra información valiosa.

  • Interrumpir los sistemas críticos en los que confían las empresas y las agencias gubernamentales.

Hay miles de millones de ataques de malware cada año, y las infecciones de malware pueden ocurrir en cualquier dispositivo o sistema operativo. Los sistemas Windows, Mac, iOS y Android pueden ser víctimas.

Cada vez más, los ataques de malware se dirigen a empresas en lugar de usuarios individuales, ya que los hackers han aprendido que es más lucrativo dañar a las organizaciones. Las empresas suelen tener cantidades significativas de datos personales, y los hackers explotan este hecho para extorsionarlas con grandes sumas de dinero. Los hackers pueden usar estos datos personales para el robo de identidad o venderlos en la dark web.

Hombre mirando una computadora

Fortalezca su inteligencia de seguridad 


Adelántese cada semana a las amenazas con novedades e información sobre seguridad, IA y más con el boletín Think. 


Tipos de malware

El crimen cibernético es una industria masiva. Según una estimación, sería la tercera economía más grande del mundo detrás de Estados Unidos y China y se prevé que costará 10.5 billones USD en 2025.

Dentro de esta industria, los hackers desarrollan constantemente nuevas cepas de malware con nuevas características y funcionalidades. Con el tiempo, estas cepas individuales de malware generan nuevas variantes para eludir mejor el software de seguridad. Se estima que más de 1 billón de cepas y variantes de malware diferentes han sido creadas desde los 1980, lo que dificulta que los profesionales de ciberseguridad se mantengan al día.

Los hackers suelen compartir su malware haciendo un código abierto o vendiéndolo a otros delincuentes. Los acuerdos de malware como servicio prevalecen entre los desarrolladores de ransomware, de modo que incluso los delincuentes con poca experiencia técnica pueden cosechar los beneficios de los delitos cibernéticos.

Si bien el panorama es siempre cambiante, las cepas de malware pueden clasificarse en algunos tipos comunes.

Virus de computadoras

Los términos "malware" y "virus de computadora" se utilizan a menudo como sinónimos, pero un virus es técnicamente un tipo particular de malware. Específicamente, un virus es un código malicioso que secuestra software legítimo para hacer daño y difundir copias de sí mismo.

Los virus no pueden actuar por sí solos. En cambio, ocultan fragmentos de su código en otros programas ejecutables. Cuando un usuario inicia el programa, el virus también comienza a ejecutarse. Los virus generalmente están diseñados para eliminar datos importantes, interrumpir las operaciones normales y propagar copias de sí mismos a otros programas en la computadora infectada.

La mayoría de las primeras amenazas de malware eran virus. Elk Cloner, quizás el primer malware que se propagó a través de dispositivos públicos, fue un virus que se dirigía a las computadoras Apple.

Ransomware

El ransomware bloquea los dispositivos o datos de una víctima y exige un pago de rescate, generalmente en forma de criptomoneda, para desbloquearlos. Según el índice X-Force Threat Intelligence Ide IBM, el ransomware es el segundo tipo más común de ciberataque y representa el 17 % de los ataques.

Los ataques de ransomware más básicos hacen que los activos sean inutilizables hasta que se pague el rescate, pero los delincuentes cibernéticos pueden usar tácticas adicionales para aumentar la presión sobre las víctimas.

En un doble ataque de extorsión, los delincuentes cibernéticos roban datos y amenazan con filtrarlos si no se les paga. En un ataque de triple extorsión, los hackers cifran los datos de la víctima, los roban y amenazan con desconectar los sistemas a través de un ataque de denegación distribuida del servicio (DDoS).

Las demandas de rescate pueden oscilar entre decenas de miles y millones de dólares estadounidenses. Según un informe, el pago promedio de rescate es de 812 360 USD. Incluso si las víctimas no pagan, el ransomware es costoso. El informe del costo de una filtración de datos de IBM encontró que el costo promedio de un ataque de ransomware es de USD 4,38 millones con la participación de las fuerzas del orden y USD 5,37 millones sin la participación de las fuerzas del orden; estas cifras de costo no incluyen el rescate en sí.

Malware de acceso remoto

Los hackers utilizan malware de acceso remoto para obtener acceso a computadoras, servidores u otros dispositivos mediante la creación o el aprovechamiento de puertas traseras. Según el índice X-Force Threat Intelligence, sembrar puertas traseras es el objetivo más común de los hackers, y representa el 21 % de los ataques.

Las puertas traseras permiten a los delincuentes cibernéticos hacer mucho. Pueden robar datos o credenciales, tomar el control de un dispositivo o instalar malware aún más peligroso como ransomware. Algunos hackers utilizan malware de acceso remoto para crear puertas traseras que pueden vender a otros hackers, lo que puede darles varios miles de dólares estadounidenses cada uno.

Algunos malware de acceso remoto, como Back Orifice o CrossRAT, se crean intencionalmente con fines maliciosos. Los hackers también pueden modificar o dar un mal uso a software legítimo para acceder de forma remota a un dispositivo. En particular, los delincuentes cibernéticos utilizan credenciales robadas para el protocolo de escritorio remoto (RDP) de Microsoft como puertas traseras.

Botnets

Una botnet es una red de dispositivos conectados a Internet e infectados con malware bajo el control de un hacker. Las botnets pueden incluir PC, dispositivos móviles, dispositivos de Internet de las Cosas (IoT), etc. Las víctimas a menudo no se dan cuenta cuando sus dispositivos forman parte de una botnet. Los hackers suelen utilizar botnets para lanzar ataques DDoS, que bombardean una red objetivo con tanto tráfico que se ralentiza o se apaga por completo.

Mirai, uno de los botnets más conocidos, fue responsable de un ataque masivo en 2016 contra el proveedor del sistema de nombres de dominio Dyn. Este ataque derribó sitios web populares como Twitter y Reddit para millones de usuarios en Estados Unidos y Europa.

Criptojackers

Un cryptojacker es un malware que toma el control de un dispositivo y lo utiliza para extraer criptomonedas, como bitcoin, sin el conocimiento del propietario. Básicamente, los cryptojackers crean botnets de criptominería.

La minería de criptomonedas es una tarea extremadamente costosa y que requiere mucha computación. Los delincuentes cibernéticos lucran mientras que los usuarios de computadoras infectadas experimentan ralentización de rendimiento y bloqueos. Los criptojackers suelen apuntar a la infraestructura de nube empresarial, lo que les permite obtener más recursos para la criptominería que atacando computadoras individuales.

Malware sin archivos

El malware sin archivos es un tipo de ataque que utiliza vulnerabilidades en programas de software legítimos, como navegadores web y procesadores de texto, para inyectar un código malicioso directamente en la memoria de una computadora. Como el código se ejecuta en memoria, no deja rastro en el disco duro. Como utiliza software legítimo, suele eludir la detección.

Muchos ataques de malware sin archivos usan PowerShell, una interfaz de línea de comandos y una herramienta de scripts integrada en los sistemas operativos Microsoft Windows. Los hackers pueden ejecutar scripts de PowerShell para cambiar configuraciones, robar contraseñas o causar otros daños.

Las macros maliciosas son otro vector común para los ataques sin archivos. Aplicaciones como Microsoft Word y Excel permiten a los usuarios definir macros, conjuntos de comandos que automatizan tareas simples como formatear texto o realizar cálculos. Los hackers pueden almacenar scripts maliciosos en estas macros; cuando un usuario abre el archivo, esos scripts se ejecutan automáticamente.

Otros tipos de malware

Los gusanos son programas maliciosos autoreplicantes que pueden propagarse entre aplicaciones y dispositivos sin interacción humana. (A diferencia de un virus, que solo puede propagarse si un usuario ejecuta un programa comprometido). Si bien algunos gusanos no hacen más que propagarse, muchos tienen consecuencias más severas. Por ejemplo, el ransomware WannaCry, que causó un estimado de cuatro mil millones USD en daños, fue un gusano que maximizó su impacto al propagarse automáticamente entre los dispositivos conectados.

Los caballos de Troya se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen. Un troyano de acceso remoto o "RAT" crea una puerta trasera secreta en el dispositivo infectado. Otro tipo de troyano, llamado "dropper", instala malware adicional una vez que logra establecer. Ryuk, una de las cepas de ransomware más devastadoras recientes, empleó el troyano Emotet para infectar dispositivos.

Losrootkits son paquetes de malware que permiten a los hackers obtener acceso privilegiado a nivel de administrador al sistema operativo de una computadora u otros activos. Los hackers pueden usar estos permisos elevados para hacer prácticamente cualquier cosa que quieran, como agregar y eliminar usuarios o reconfigurar aplicaciones. Los hackers suelen utilizar rootkits para ocultar procesos maliciosos o deshabilitar el software de seguridad que podría atraparlos.

El scareware asusta a los usuarios para que descarguen malware o pasen información confidencial a un estafador. El scareware a menudo aparece como una ventana emergente repentina con un mensaje urgente, generalmente advirtiendo al usuario que ha infringido la ley o que su dispositivo tiene un virus. La ventana emergente indica al usuario que pague una "multa" o descargue un software de seguridad falso que resulta ser malware real.

El spyware se esconde en una computadora infectada, recopilando secretamente información confidencial y transmitiéndola de vuelta a un atacante. Un tipo común de software espía, llamado keylogger, registra todas las pulsaciones de teclas de un usuario, lo que permite a los piratas informáticos recopilar nombres de usuario, contraseñas, números de cuentas bancarias y tarjetas de crédito, números de Seguro Social y otros datos confidenciales.

El adware envía spam a un dispositivo con anuncios emergentes no deseados. El adware a menudo se incluye con el software gratis, sin que el usuario lo sepa. Cuando el usuario instala el programa, también instala el adware sin saberlo. La mayoría de los adware son poco más que una molestia. Sin embargo, algunos programas publicitarios recopilan datos personales, redirigen los navegadores sitio web a sitios web maliciosos o incluso descargan más malware en el dispositivo del usuario si hace clic en una de las ventanas emergentes.

Mixture of Experts | 25 de abril, episodio 52

Decodificación de la IA: Resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el revuelo de la IA para ofrecerle las últimas noticias e insights al respecto.

Vectores de ataque de malware

Un ataque de malware tiene dos componentes: la carga útil del malware y el vector de ataque. La carga útil es el código malicioso que los hackers quieren sembrar, y el vector de ataque es el método empleado para entregar la carga útil a su objetivo.

Algunos de los vectores de malware más comunes son:

Estafas de ingeniería social

Los ataques de ingeniería social manipulan psicológicamente a las personas para que realicen acciones que no deberían, como descargar malware. Los ataques de phishing, que utilizan correos electrónicos o mensajes de texto fraudulentos para engañar a los usuarios, son particularmente comunes. Según el X-Force Threat Intelligence Index, el phishing es un factor en el 41 % de las infecciones de malware.

Los correos electrónicos y mensajes de phishing suelen estar diseñados para que parezcan proceder de una marca o persona de confianza. Normalmente intentan evocar emociones fuertes como el miedo ("¡Encontramos nueve virus en su teléfono!"), la codicia ("¡Tiene un pago sin cobrar!") o la urgencia ("¡Se le acaba el tiempo para canjear su regalo gratis!") para conseguir que los usuarios realicen la acción deseada. Por lo general, la acción consiste en abrir un archivo adjunto de correo electrónico malicioso o visitar un sitio web malicioso que carga malware en el dispositivo.

Vulnerabilidades del sistema

Los delincuentes cibernéticos buscan constantemente vulnerabilidades sin parches en software, dispositivos y redes que les permitan inyectar malware en el software o firmware del objetivo. Los dispositivos IoT, muchos de los cuales se venden y despliegan con seguridad mínima o nula, son un campo especialmente fértil para los delincuentes cibernéticos que siembran malware.

Medios extraíbles

Con una táctica llamada "baiting", los hackers pueden colocar unidades USB infectadas adornadas con etiquetas llamativas en lugares públicos, como espacios de trabajo colaborativos o cafeterías. Atraídos por estas unidades, los usuarios desprevenidos pueden conectarlas a sus dispositivos para ver qué contienen, y el malware infecta su sistema. Un estudio reciente encontró que el 37 % de las amenazas cibernéticas conocidas están diseñadas para explotar los medios extraíbles.

Falsas descargas de programas y archivos

Muchas formas de malware, como troyanos y adware, se disfrazan como software útil o copias gratuitas de películas y música. Irónicamente, con frecuencia se enmascaran como programas antivirus o aplicaciones gratuitas que mejorarán el rendimiento del dispositivo. Si bien las redes de torrenting donde los usuarios comparten medios pirateados son campos famosos para los delincuentes cibernéticos, el malware oculto también puede abrirse camino en mercados legítimos. Recientemente, el malware Goldoson pudo infectar millones de dispositivos ocultándose en las aplicaciones disponibles en la tienda Google Play.

Publicidad maliciosa y descargas no autorizadas

La publicidad maliciosa se da cuando los hackers colocan anuncios maliciosos en redes de publicidad legítimas o secuestran anuncios legítimos para entregar código malicioso. Por ejemplo, el malware Bumblebee se propagó a través de un anuncio malicioso de Google que aparece como Cisco AnyConnect. Los usuarios que buscan el producto real ven el anuncio en los resultados de sus búsquedas, hacen clic en él y descargan malware sin darse cuenta.

Una técnica relacionada llamada "descargas drive-by" hace que los usuarios ni siquiera tengan que hacer clic en algo: tan pronto como visitan un sitio web malicioso, la descarga comienza automáticamente.

Dispositivos de usuario

En las redes corporativas, los dispositivos personales de los usuarios pueden ser los vectores principales de malware. Los teléfonos inteligentes y computadoras portátiles de los usuarios pueden infectarse durante su tiempo personal, cuando se conectan a redes no seguras sin el beneficio de las soluciones de seguridad de la empresa. Cuando los usuarios traen esos dispositivos al trabajo, el malware puede propagarse a la red corporativa.

Ataque a la cadena de suministro

Si la red de un proveedor está comprometida, el malware puede propagarse a las redes de empresas que utilizan los productos y servicios de ese proveedor. Por ejemplo, los delincuentes cibernéticos aprovecharon una falla en la plataforma VSA de Kaseya para difundir ransomware a los clientes bajo la apariencia de una actualización de software legítima.

Detección de malware

Algunas infecciones de malware, como el ransomware, se anuncian. Sin embargo, la mayoría trata de mantenerse fuera de la vista mientras causan estragos. Aun así, las infecciones por malware suelen dejar señales que los equipos de ciberseguridad pueden usar para identificarlas. Estos signos incluyen:

Disminuye el rendimiento: los programas malware utilizan los recursos de la computadora infectada para ejecutar, a menudo consumiendo espacio de almacenamiento e interrumpiendo procesos legítimos. El equipo de soporte de TI puede notar una afluencia de tiquetes de usuarios cuyos dispositivos se ralentizan, se bloquean o se inundan de ventanas emergentes.

Actividad de red nueva e inesperada: el personal de TI y de seguridad puede notar patrones extraños, como procesos que utilizan más ancho de banda de lo normal, dispositivos que se comunican con servidores desconocidos o cuentas de usuario que acceden a activos que normalmente no usan.

Configuraciones cambiadas: Algunas cepas de malware alteran las configuraciones de los dispositivos o deshabilitan las soluciones de seguridad para evitar la detección. Los equipos de TI y seguridad pueden notar que, por ejemplo, las reglas de cortafuegos han cambiado o que los privilegios de una cuenta han sido elevados.

Alertas de eventos de seguridad: para las organizaciones con soluciones de detección de amenazas, es probable que la primera señal de una infección de malware sea una alerta de evento de seguridad. Soluciones como los sistemas de detección de intrusos (IDS), las plataformas de gestión de eventos e información de seguridad (SIEM) y el software antivirus pueden señalar la posible actividad de malware para que el equipo de respuesta a incidentes la revise.

Protección y eliminación de malware

Los ataques de malware son inevitables, pero hay medidas que las organizaciones pueden tomar para fortalecer sus defensas. Estos pasos incluyen:

Capacitación en seguridad: muchas infecciones de malware son el resultado de que los usuarios descargan software falso o caen ante estafas de phishing. La capacitación en seguridad puede ayudar a los usuarios a detectar ataques de ingeniería social, sitios web maliciosos y aplicaciones falsas. La capacitación en seguridad también puede educar a los usuarios sobre qué hacer y a quién contactar si sospechan una amenaza de malware.

Políticas de seguridad: solicitar contraseñas seguras, autenticación multifactor y VPN al acceder a activos confidenciales a través de wifi no seguro puede ayudar a limitar el acceso de los hackers a las cuentas de los usuarios. Instaurar un programa regular para la gestión de parches, las evaluaciones de vulnerabilidades y las pruebas de penetración también puede ayudar a detectar vulnerabilidades de software y dispositivos antes de que los delincuentes cibernéticos las exploten. Las políticas para administrar dispositivos BYOD (bring your own device) y prevenir la TI en la sombra pueden ayudar a evitar que los usuarios inconscientemente traigan malware a la red corporativa.

Backups: mantener copias de seguridad actualizadas de datos sensibles y de imágenes del sistema, idealmente en discos duros u otros dispositivos que puedan desconectarse de la red, puede facilitar la recuperación de ataques de malware.

Arquitectura de red de confianza cero: la confianza cero es un enfoque de seguridad de red en el que nunca se confía en los usuarios y siempre se verifican con Verify. En particular, la confianza cero implementa el principio de privilegio mínimo, microsegmentación de red y autenticación adaptativa continua. Esta implementación ayuda a garantizar que ningún usuario o dispositivo pueda acceder a datos o activos confidenciales que no deberían. Si el malware entra en la red, estos controles pueden limitar su movimiento lateral.

Planes de respuesta a incidentes: la creación de planes de respuesta a incidentes para diferentes tipos de malware con anticipación puede ayudar a los equipos de ciberseguridad a erradicar las infecciones de malware más rápidamente.

Malware y tecnologías de ciberseguridad 

Además de las tácticas manuales descritas anteriormente, los equipos de ciberseguridad pueden utilizar soluciones de seguridad para automatizar aspectos de la eliminación, la detección y la prevención de malware. Las herramientas comunes incluyen:

Software antivirus: también denominado software "antimalware", los programas antivirus analizan sistemas para detectar signos de infecciones. Además de alertar a los usuarios, muchos programas antivirus pueden aislar y eliminar automáticamente el malware en cuanto lo detectan.

Cortafuegos: los cortafuegos pueden bloquear parte del tráfico malicioso para que no llegue a la red en primer lugar. Si el malware logra ingresar a un dispositivo de red, los cortafuegos pueden ayudar a frustrar las comunicaciones salientes a los hackers, como un keylogger que envía las pulsaciones de teclas al atacante.

Plataformas de gestión de eventos e información de seguridad (SIEM): las SIEM recopilan información de las herramientas de seguridad internas, la agregan en un registro central y señalan las anomalías. Debido a que los SIEM centralizan las alertas de múltiples fuentes, pueden facilitar la detección de signos sutiles de malware.

Plataformas de orquestación, automatización y respuesta de seguridad (SOAR): SOARs integran y coordinan herramientas de seguridad dispares, lo que permite a los equipos de seguridad crear playbooks semi o totalmente automatizados para responder al malware en tiempo real.

Plataformas de detección y respuesta de endpoint (EDR): las EDR monitorean los dispositivos de endpoint, como smartphones, computadoras portátiles y servidores, en busca de signos de actividad sospechosa, y pueden responder automáticamente al malware detectado.

Plataformas de detección y respuesta extendidas (XDR): las XDR integran herramientas de seguridad y Operaciones de seguridad en todas las capas de seguridad, usuarios, endpoint, email, aplicaciones, redes, cargas de trabajo en la nube y datos. Los XDR pueden ayudar a automatizar procesos complejos de prevención, detección, investigación y respuesta al malware, incluida la caza de amenazas.

Herramientas de gestión de la superficie de ataque (ASM): Las herramientas ASM descubren, analizan, reparan y monitorear continuamente todos los activos de la red de una organización. La ASM puede ser útil para ayudar a los equipos de ciberseguridad a detectar aplicaciones y dispositivos de TI en la sombra no autorizados que puedan portar malware.

Gestión unificada endpoint (uem): el software uem monitorea, gestiona y protege todos los dispositivos de usuario final de una organización, incluidas computadoras de escritorio, computadoras portátiles y dispositivos móviles. Muchas organizaciones emplean soluciones UEM para ayudar a garantizar que los dispositivos BYOD de los empleados no introduzcan malware en la red corporativa.

Soluciones relacionadas
Servicios de respuesta a incidentes

Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una violación y experimente una respuesta rápida a los incidentes de ciberseguridad

Explore los servicios de respuesta a incidentes
Soluciones de detección y respuesta a amenazas

Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

Explorar las soluciones de detección de amenazas
IBM QRadar SOAR Solutions

Optimice los procesos de toma de decisiones, mejore la eficiencia de los SOC y acelere la respuesta ante incidentes con una solución de orquestación y automatización inteligente.

Explore QRadar SOAR
Dé el siguiente paso

Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una violación y experimente una respuesta rápida a los incidentes de ciberseguridad

Explore los servicios de respuesta a incidentes Más información sobre IBM X-Force