El malware, abreviatura de "software malicioso", es cualquier código de software o programa de computadora escrito intencionalmente para dañar un sistema de computación o a sus usuarios. Casi todos los ciberataques modernos implican algún tipo de malware. Estos programas maliciosos pueden tomar muchas formas, que van desde un ransomware altamente dañino y costoso hasta un adware meramente molesto, dependiendo de lo que pretendan hacer los delincuentes cibernéticos.
Los delincuentes cibernéticos desarrollan y utilizan malware para:
- Mantener como rehenes dispositivos, datos o redes empresariales enteras por grandes sumas de dinero
- Obtener acceso no autorizado a datos confidenciales o activos digitales
- Robar credenciales de inicio de sesión, números de tarjetas de crédito, propiedad intelectual u otra información valiosa
- Interrumpir los sistemas críticos en los que confían las empresas y las agencias gubernamentales
Hay miles de millones de ataques de malware cada año y las infecciones de malware pueden ocurrir en cualquier dispositivo o sistema operativo. Los sistemas Windows, Mac, iOS y Android pueden ser víctimas.
Cada vez más, los ataques de malware se dirigen a empresas en lugar de usuarios individuales, ya que los hackers han aprendido que es más lucrativo dañar a las organizaciones. Es posible extorsionar a las empresas por mayores sumas de dinero, y a menudo son poseedoras de cantidades significativas de datos personales que pueden usarse para el robo de identidad o venderse en el Internet oscuro.
El crimen cibernético es una industria masiva. Según una estimación, sería la tercera economía más grande del mundo detrás de Estados Unidos y China y se prevé que costará 10.5 billones USD en 2025.
Dentro de esta industria, los hackers desarrollan constantemente nuevas cepas de malware con nuevas características y funcionalidades. Con el tiempo, estas cepas individuales de malware generan nuevas variantes para eludir mejor el software de seguridad. Se estima que desde la década de 1980 se han creado más de mil millones de cepas y variantes de malware diferentes, lo que dificulta que los profesionales de ciberseguridad se mantengan al día.
Los hackers suelen compartir su malware haciendo un código abierto o vendiéndolo a otros delincuentes. Los acuerdos de malware como servicio prevalecen entre los desarrolladores de ransomware, de modo que incluso los delincuentes con poca experiencia técnica pueden cosechar los beneficios de los delitos cibernéticos.
Si bien el panorama es siempre cambiante, las cepas de malware pueden clasificarse en algunos tipos comunes.
Los términos "malware" y "virus de computadora" se utilizan a menudo como sinónimos, pero un virus es técnicamente un tipo particular de malware. Específicamente, un virus es un código malicioso que secuestra software legítimo para hacer daño y difundir copias de sí mismo.
Los virus no pueden actuar por sí solos. En cambio, ocultan fragmentos de su código en otros programas ejecutables. Cuando un usuario inicia el programa, el virus también comienza a ejecutarse. Los virus generalmente están diseñados para eliminar datos importantes, interrumpir las operaciones normales y propagar copias de sí mismos a otros programas en la computadora infectada.
La mayoría de las primeras amenazas de malware eran virus. Elk Cloner, quizás el primer malware que se propagó a través de dispositivos públicos, fue un virus que se dirigía a las computadoras Apple.
El ransomware bloquea los dispositivos o datos de una víctima y exige un pago de rescate, generalmente en forma de criptomoneda, para desbloquearlos. Según el índice X-Force Threat Intelligence Ide IBM, el ransomware es el segundo tipo más común de ciberataque y representa el 17 % de los ataques.
Los ataques de ransomware más básicos hacen que los activos sean inutilizables hasta que se pague el rescate, pero los delincuentes cibernéticos pueden usar tácticas adicionales para aumentar la presión sobre las víctimas.
En un doble ataque de extorsión, los delincuentes cibernéticos roban datos y amenazan con filtrarlos si no se les paga. En un ataque de triple extorsión, los hackers cifran los datos de la víctima, los roban y amenazan con desconectar los sistemas a través de un ataque de denegación distribuida del servicio (DDoS).
Las demandas de rescate pueden oscilar entre decenas de miles y millones de dólares estadounidenses. Según un informe, el pago promedio de rescate es de 812 360 USD. Incluso si las víctimas no pagan, el ransomware es costoso. El informe de Costo de una filtración de datos de IBM reveló que el ataque de ransomware promedio cuesta 4.54 millones USD, sin incluir el rescate en sí.
Los hackers utilizan malware de acceso remoto para obtener acceso a computadoras, servidores u otros dispositivos mediante la creación o el aprovechamiento de puertas traseras. Según el índice X-Force Threat Intelligence, sembrar puertas traseras es el objetivo más común de los hackers, y representa el 21 % de los ataques.
Las puertas traseras permiten a los delincuentes cibernéticos hacer mucho. Pueden robar datos o credenciales, tomar el control de un dispositivo o instalar malware aún más peligroso como ransomware. Algunos hackers utilizan malware de acceso remoto para crear puertas traseras que pueden vender a otros hackers, lo que puede darles varios miles de dólares estadounidenses cada uno.
Algunos malware de acceso remoto, como Back Orifice o CrossRAT, se crean intencionalmente con fines maliciosos. Los hackers también pueden modificar o dar un mal uso a software legítimo para acceder de forma remota a un dispositivo. En particular, se sabe que los delincuentes cibernéticos utilizan credenciales robadas para el protocolo de escritorio remoto (RDP) de Microsoft como puertas traseras.
Una botnet es una red de dispositivos conectados a Internet e infectados con malware bajo el control de un hacker. Las botnets pueden incluir PC, dispositivos móviles, dispositivos de Internet de las Cosas (IoT), etc. Las víctimas a menudo no se dan cuenta cuando sus dispositivos forman parte de una botnet. Los hackers suelen utilizar botnets para lanzar ataques DDoS, que bombardean una red objetivo con tanto tráfico que se ralentiza o se apaga por completo.
Mirai, una de las botnets más conocidas, fue responsable de un ataque masivo en 2016 contra el proveedor del sistema de nombres de dominio Dyn, e inhabilitó sitios web populares como Twitter y Reddit para millones de usuarios en EE. UU. y Europa.
Un cryptojacker es un malware que toma el control de un dispositivo y lo utiliza para extraer criptomonedas, como bitcoin, sin el conocimiento del propietario. Básicamente, los cryptojackers crean botnets de criptominería.
La minería de criptomonedas es una tarea extremadamente costosa y que requiere mucha computación. Los delincuentes cibernéticos lucran mientras que los usuarios de computadoras infectadas experimentan ralentización de rendimiento y bloqueos. Los criptojackers suelen apuntar a la infraestructura de nube empresarial, lo que les permite obtener más recursos para la criptografía que para atacar computadoras individuales.
El malware sin archivos es un tipo de ataque que utiliza vulnerabilidades en programas de software legítimos como navegadores web y procesadores de texto para inyectar un código malicioso directamente en la memoria de una computadora. Dado que el código se ejecuta en memoria, no deja rastros en el disco duro. Como utiliza software legítimo, suele eludir la detección.
Muchos ataques de malware sin archivos usan PowerShell, una interfaz de línea de comandos y una herramienta de scripts integrada en los sistemas operativos Microsoft Windows. Los hackers pueden ejecutar scripts PowerShell para cambiar configuraciones, robar contraseñas o causar otros daños.
Las macros maliciosas son otro vector común para los ataques sin archivos. Aplicaciones como Microsoft Word y Excel permiten a los usuarios definir macros, conjuntos de comandos que automatizan tareas simples como formatear texto o realizar cálculos. Los hackers pueden almacenar scripts maliciosos en estas macros; cuando un usuario abre el archivo, esos scripts se ejecutan automáticamente.
Los gusanos son programas maliciosos autoreplicantes que pueden propagarse entre aplicaciones y dispositivos sin interacción humana. (A diferencia de un virus, que solo puede propagarse si un usuario ejecuta un programa comprometido). Si bien algunos gusanos no hacen más que propagarse, muchos tienen consecuencias más severas. Por ejemplo, el ransomware WannaCry, que causó un estimado de cuatro mil millones USD en daños, fue un gusano que maximizó su impacto al propagarse automáticamente entre los dispositivos conectados.
Los caballos de Troya se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios y que los instalen. Un troyano de acceso remoto o "RAT" crea una puerta trasera secreta en el dispositivo infectado. Otro tipo de troyano, llamado "gotero", instala malware adicional una vez que tiene un punto de apoyo. Ryuk, una de las cepas de ransomware recientes más devastadoras, utilizó el troyano Emotet para infectar dispositivos.
Los rootkits son paquetes de malware que permiten a los hackers obtener acceso privilegiado, a nivel de administrador, al sistema operativo de una computadora o a otros activos. Los hackers pueden utilizar estos permisos elevados para hacer prácticamente lo que quieran, como añadir y eliminar usuarios o reconfigurar aplicaciones. Los hackers suelen utilizar los rootkits para ocultar procesos maliciosos o desactivar el software de seguridad que podría detectarlos.
El scareware asusta a los usuarios para que descargan malware o compartan información confidencial a un estafador. Scareware aparece por lo general como una ventana emergente con un mensaje urgente, generalmente advirtiendo al usuario que ha infringido la ley o que su dispositivo tiene un virus. El mensaje emergente dirige al usuario a pagar una "multa" o descargar software de seguridad falso que resulta ser malware real.
El spyware se oculta en un equipo infectado, recopilando información confidencial y transmitiéndola a un atacante. Un tipo común de spyware, llamado registrador de claves, registra toda la información de un usuario y permite a los hackers obtener nombres de usuario, contraseñas, cuentas bancarias y números de tarjetas de crédito
.
El adware envía spam a un dispositivo con anuncios emergentes no deseados. El software publicitario suele incluirse junto con el software gratuito, sin que el usuario lo sepa. Cuando el usuario instala el programa también instala el adware, sin saberlo. La mayoría de los programas publicitarios sólo son una molestia, pero algunos recopilan datos personales, redirigen los navegadores web a sitios web maliciosos o incluso descargan más malware en el dispositivo del usuario si este hace clic en una de las ventanas emergentes.
Un ataque de malware tiene dos componentes: la carga útil del malware y el vector de ataque. La carga útil es el código malicioso que los hackers quieren plantar, y el vector de ataque es cómo se entrega la carga útil al objetivo.
Algunos de los vectores de malware más comunes son:
Los ataques de ingeniería social manipulan psicológicamente a las personas para que hagan cosas que no deberían hacer, como descargar malware. Los ataques de phishing, que utilizan correos electrónicos o mensajes de texto fraudulentos para engañar a los usuarios, son particularmente comunes. Según el índice X-Force Threat Intelligence, el phishing es un factor en el 41 % de las infecciones de malware.
Los correos electrónicos y mensajes de phishing suelen estar diseñados para que parezcan proceder de una marca o persona de confianza. Normalmente intentan evocar emociones fuertes como el miedo ("¡Encontramos nueve virus en su teléfono!"), la codicia ("¡Tiene un pago sin cobrar!") o la urgencia ("¡Se le acaba el tiempo para canjear su regalo gratis!") para conseguir que los usuarios realicen la acción deseada. Por lo general, la acción consiste en abrir un archivo adjunto de correo electrónico malicioso o visitar un sitio web malicioso que carga malware en el dispositivo.
Los delincuentes cibernéticos buscan constantemente vulnerabilidades sin parches en software, dispositivos y redes que les permitan inyectar malware en el software o firmware del destino. Los dispositivos del IoT, muchos de los cuales se venden e implementan con una seguridad mínima o nula, son un campo especialmente fértil para los delincuentes cibernéticos que siembran malware.
Con una táctica llamada "hornear", los hackers pueden colocar unidades USB infectadas adornadas con etiquetas llamativas en lugares públicos como espacios de trabajo colaborativos o cafeterías. Atraídos por estas unidades, los usuarios desprevenidos pueden conectarlas a sus dispositivos para ver qué contienen, y el malware infecta su sistema. Según un estudio reciente, el 37 % de las ciberamenazas conocidas están diseñadas para aprovechar los medios extraíbles.
Muchas formas de malware, como troyanos y adware, se disfrazan como software útil o copias gratuitas de películas y música. Irónicamente, con frecuencia se enmascaran como programas antivirus o aplicaciones gratuitas que mejorarán el rendimiento del dispositivo. Si bien las redes de torrents donde los usuarios comparten medios pirateados son campos de juego famosos para los delincuentes cibernéticos, el malware oculto también puede abrirse camino en mercados legítimos. Recientemente, el malware Goldoson pudo infectar millones de dispositivos ocultándose en las aplicaciones disponibles en Google Play Store.
La publicidad maliciosa se da cuando los hackers colocan anuncios maliciosos en redes de publicidad legítimas o secuestran anuncios legítimos para entregar código malicioso. Por ejemplo, el malware Bumblebee se propaga a través de un anuncio malicioso de Google que aparece como Cisco AnyConnect. Los usuarios que buscan el producto real ven el anuncio en los resultados de sus búsquedas, hacen clic en él y descargan malware sin darse cuenta. Una técnica relacionada llamada "descargas no autorizadas" hace que los usuarios ni siquiera tengan que dar clic en nada: tan pronto como visitan un sitio web malicioso, la descarga comienza automáticamente.
En las redes corporativas, los dispositivos personales de los usuarios pueden ser los vectores principales de malware. Los teléfonos inteligentes y portátiles de los usuarios pueden infectarse durante su tiempo personal, cuando se conectan a redes no seguras sin el beneficio de las soluciones de seguridad de la empresa. Cuando los usuarios llevan esos dispositivos al trabajo, el malware puede propagarse a la red corporativa.
Si la red de un proveedor está comprometida, el malware puede propagarse a las redes de empresas que utilizan los productos y servicios de ese proveedor. Por ejemplo, los delincuentes cibernéticos aprovecharon una falla en la plataforma VSA de Kaseya para difundir ransomware a los clientes bajo la apariencia de una actualización de software legítima.
Algunas infecciones de malware, como el ransomware, se anuncian. Sin embargo, la mayoría trata de mantenerse fuera de la vista mientras causan estragos. Aun así, las infecciones por malware suelen dejar señales que los equipos de ciberseguridad pueden usar para identificarlas. Éstas incluyen:
El rendimiento disminuye: losprogramas de malware utilizan los recursos de la computadora infectada para ejecutarse, a menudo consumiendo espacio de almacenamiento e interrumpiendo procesos legítimos. El equipo de soporte de TI puede notar una afluencia de tickets de usuarios cuyos dispositivos se ralentizan, se bloquean o se inundan con ventanas emergentes.
Actividad de red nueva e inesperada: el personal de TI y de seguridad puede notar patrones extraños, como procesos que utilizan más ancho de banda de lo normal, dispositivos que se comunican con servidores desconocidos o cuentas de usuario que acceden a activos que normalmente no usan.
Configuraciones modificadas: algunas cepas de malware alteran las configuraciones de los dispositivos o deshabilitan las soluciones de seguridad para evitar la detección. Los equipos de TI y de seguridad pueden notar que, por ejemplo, las reglas de firewall han cambiado o los privilegios de una cuenta se han elevado.
Alertas de eventos de seguridad: en las organizaciones con soluciones de detección de amenazas, es probable que la primera señal de una infección de malware sea una alerta de evento de seguridad. Las soluciones como los sistemas de detección de intrusiones (IDS), las plataformas de gestión de información y eventos de seguridad (SIEM) y el software antivirus pueden detectar posibles actividades de malware para que el equipo de respuesta a incidentes la revise.
Los ataques de malware son inevitables, pero hay medidas que las organizaciones pueden tomar para fortalecer sus defensas. Éstas incluyen:
Capacitación en concientización sobre seguridad: muchas infecciones de malware son el resultado de que los usuarios descargan software falso o caen ante estafas de phishing. La capacitación en concientización sobre seguridad puede ayudar a los usuarios a detectar ataques de ingeniería social, sitios web maliciosos y aplicaciones falsas. La capacitación en concientización sobre seguridad también puede educar a los usuarios sobre qué hacer y a quién contactar si sospechan una amenaza de malware.
Políticas de seguridad: solicitar contraseñas seguras, autenticación multifactor y VPN al acceder a activos confidenciales a través de wifi no seguro puede ayudar a limitar el acceso de los hackers a las cuentas de los usuarios. Institutar un programa regular para la gestión de parches, las evaluaciones de vulnerabilidades y las pruebas de penetración también puede ayudar a detectar vulnerabilidades de software y dispositivos antes de que los delincuentes cibernéticos las aprovechen.Las políticas para gestionar dispositivos BYOD y prevenir la TI oculta pueden ayudar a evitar que los usuarios lleven software malicioso a la red corporativa sin saberlo.
Respaldo: mantener respaldos actualizados de datos confidenciales e imágenes del sistema, idealmente en discos duros u otros dispositivos que se puedan desconectar de la red, puede facilitar la recuperación de ataques de malware.
Arquitectura de red confianza cero: Confianza cero es un enfoque de seguridad de red en el que los usuarios nunca son confiables y siempre se les verifica. En particular, confianza cero implementa el principio de menos privilegios, microsegmentación de la red y autenticación continua para garantizar que los usuarios no puedan acceder a estos activos.
Planes de respuesta ante incidentes: crear con anticipación planes de respuesta ante incidentes para diferentes tipos de malware puede ayudar a los equipos de ciberseguridad a erradicar las infecciones de malware más rápidamente.
Además de las tácticas manuales descritas anteriormente, los equipos de ciberseguridad pueden utilizar soluciones de seguridad para automatizar aspectos de la eliminación, la detección y la prevención de malware. Las herramientas comunes incluyen:
Software antivirus: también denominado software "antimalware", los programas antivirus analizan sistemas para detectar signos de infecciones. Además de alertar a los usuarios, muchos programas antivirus pueden aislar y eliminar automáticamente el malware en cuanto lo detectan.
Cortafuegos: los cortafuegos pueden impedir que parte del tráfico malicioso llegue a la red en primer lugar. Si el malware llega a un dispositivo de red, los cortafuegos pueden ayudar a frustrar las comunicaciones salientes a los piratas informáticos, como un registrador de teclas que envía las pulsaciones de teclas al atacante.
Plataformas de gestión de eventos e información de seguridad (SIEM): las SIEM recopilan información de herramientas de seguridad internas, la agregan en un registro central y marcan anomalías. Debido a que las SIEM centralizan alertas de múltiples fuentes, pueden facilitar detectar señales sutiles de malware.
Plataformas de orquestación, automatización y respuesta de seguridad (SOAR): las SOAR integran y coordinan herramientas de seguridad dispares, lo que permite a los equipos de seguridad crear manuales semi o completamente automatizados para responder al malware en tiempo real.
Plataformas de detección y respuesta de endpoints (EDR): las EDR monitorean dispositivos de endpoint, como teléfonos inteligentes, laptops y servidores, para detectar signos de actividad sospechosa, y pueden responder automáticamente al malware detectado.
Plataformas de detección y respuesta extendidas (XDR): las XDR integran herramientas y operaciones de seguridad en todas las capas de seguridad: usuarios, endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos. Las XDR pueden ayudar a automatizar procesos complejos de prevención, detección, investigación y respuesta a malware, incluida la búsqueda proactiva de amenazas.
Herramientas de gestión de superficies de ataque (ASM): las herramientas ASM descubren, analizan, solucionan y monitorean continuamente todos los activos en la red de una organización. Las ASM pueden ser útiles para ayudar a los equipos de ciberseguridad a detectar aplicaciones y dispositivos de TI no autorizados que pueden llevar consigo malware.
Gestión unificada de endpoints (UEM): el software UEM supervisa, gestiona y protege todos los dispositivos de una organización, incluidos los equipos de escritorio, portátiles y móviles. Muchas organizaciones utilizan soluciones UEM para ayudar a garantizar que los dispositivos BYOD de los empleados no lleven malware a la red corporativa.
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de endpoint, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La búsqueda proactiva de amenazas, el monitoreo continuo y una investigación profunda de amenazas son solo algunas de las prioridades que enfrentan un departamento de TI ya ocupado. Tener un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarlo a recuperarse más rápido.
Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza información de 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing, y datos de reputación de direcciones casi 1 millón de IP maliciosas de una red de 270 millones de endpoints.
Los ataques cibernéticos son intentos por parte de delincuentes cibernéticos de robar, exponer, alterar, deshabilitar o destruir información a través del acceso no autorizado a los sistemas informáticos.
El ransomware mantiene como rehenes los dispositivos y datos de las víctimas hasta que se paga un rescate. Descubra cómo funciona el ransomware, por qué ha proliferado en los últimos años y cómo se defienden las organizaciones contra él.
La confianza cero es un marco que asume que la seguridad de una red compleja siempre está en riesgo ante amenazas externas e internas. Ayuda a organizar y elaborar una estrategia exhaustiva para contrarrestar esas amenazas.
Cada año, IBM Security X-Force, nuestro equipo interno de expertos y remediadores de ciberseguridad, extrae miles de millones de puntos de datos para exponer las estadísticas y tendencias de seguridad más apremiantes de la actualidad.