Acerca de las cookies en este sitio Nuestros sitios web requieren algunas cookies para funcionar correctamente (obligatorio). Además, se pueden usar otras cookies con su consentimiento para analizar el uso del sitio, mejorar la experiencia del usuario y para publicidad. Para obtener más información, revise sus opciones de. Al visitar nuestro sitio web, usted acepta nuestro método de procesamiento de información tal como se describe en ladeclaración de privacidad de IBM. Para proporcionar una navegación fluida, sus preferencias de cookies se compartirán entre los dominios web de IBM enumerados aquí.
¿Qué es el malware?
El software malicioso, o malware, es cualquier código de software o programa informático, incluidos ransomware, troyanos y spyware, escrito intencionalmente para dañar los sistemas informáticos o a sus usuarios.
Casi todos los ciberataques modernos implican algún tipo de malware. Estos programas maliciosos pueden tomar muchas formas, que van desde un ransomware altamente dañino y costoso hasta un adware meramente molesto, dependiendo de lo que pretendan hacer los delincuentes cibernéticos.
Los delincuentes cibernéticos desarrollan y utilizan malware para:
- Mantener como rehenes dispositivos, datos o redes empresariales enteras por grandes sumas de dinero
- Obtener acceso no autorizado a datos confidenciales o activos digitales.
- Robar credenciales de inicio de sesión, números de tarjetas de crédito, propiedad intelectual u otra información valiosa.
- Interrumpir los sistemas críticos en los que confían las empresas y las agencias gubernamentales.
Hay miles de millones de ataques de malware cada año (enlace externo a ibm.com), y las infecciones de malware pueden ocurrir en cualquier dispositivo o sistema operativo. Los sistemas Windows, Mac, iOS y Android pueden ser víctimas.
Cada vez más, los ataques de malware se dirigen a empresas en lugar de usuarios individuales, ya que los hackers han aprendido que es más lucrativo dañar a las organizaciones. Las empresas suelen tener cantidades significativas de datos personales, y los hackers explotan este hecho para extorsionarlas con grandes sumas de dinero. Los hackers pueden usar estos datos personales para el robo de identidad o venderlos en el sitio web oscuro.
Obtenga información para prepararse y responder ante los ciberataques con mayor rapidez y eficacia con IBM® Security X-Force Threat Intelligence Index.
El crimen cibernético es una industria masiva. Según una estimación (el enlace reside fuera de ibm.com), es la tercera economía más grande del mundo, detrás de Estados Unidos y China, y se proyecta que tendrá un valor de 10.5 billones de dólares para 2025.
Dentro de esta industria, los hackers desarrollan constantemente nuevas cepas de malware con nuevas características y funcionalidades. Con el tiempo, estas cepas individuales de malware generan nuevas variantes para eludir mejor el software de seguridad. Se estima que (enlace externo a ibm.com) se crearon más de mil millones de cepas y variantes diferentes de malware desde la década de 1980, lo que dificulta que los profesionales de la ciberseguridad se mantengan al día.
Los hackers suelen compartir su malware haciendo un código abierto o vendiéndolo a otros delincuentes. Los acuerdos de malware como servicio prevalecen entre los desarrolladores de ransomware, de modo que incluso los delincuentes con poca experiencia técnica pueden cosechar los beneficios de los delitos cibernéticos.
Si bien el panorama es siempre cambiante, las cepas de malware pueden clasificarse en algunos tipos comunes.
Virus de computadoras
Los términos "malware" y "virus de computadora" se utilizan a menudo como sinónimos, pero un virus es técnicamente un tipo particular de malware. Específicamente, un virus es un código malicioso que secuestra software legítimo para hacer daño y difundir copias de sí mismo.
Los virus no pueden actuar por sí solos. En cambio, ocultan fragmentos de su código en otros programas ejecutables. Cuando un usuario inicia el programa, el virus también comienza a ejecutarse. Los virus generalmente están diseñados para eliminar datos importantes, interrumpir las operaciones normales y propagar copias de sí mismos a otros programas en la computadora infectada.
La mayoría de las primeras amenazas de malware eran virus. Elk Cloner, quizás el primer malware que se propagó a través de dispositivos públicos, fue un virus que se dirigía a las computadoras Apple.
Botnets
Una botnet es una red de dispositivos conectados a Internet e infectados con malware bajo el control de un hacker. Las botnets pueden incluir PC, dispositivos móviles, dispositivos de Internet de las Cosas (IoT), etc. Las víctimas a menudo no se dan cuenta cuando sus dispositivos forman parte de una botnet. Los hackers suelen utilizar botnets para lanzar ataques DDoS, que bombardean una red objetivo con tanto tráfico que se ralentiza o se apaga por completo.
Mirai, uno de los botnets más conocidos, fue responsable de un ataque masivo en 2016 contra el proveedor del sistema de nombres de dominio Dyn. Este ataque derribó sitios web populares, como Twitter y Reddit, para millones de usuarios en EE. UU. y Europa (enlace externo a ibm.com).
Criptojackers
Un cryptojacker es un malware que toma el control de un dispositivo y lo utiliza para extraer criptomonedas, como bitcoin, sin el conocimiento del propietario. Básicamente, los cryptojackers crean botnets de criptominería.
La minería de criptomonedas es una tarea extremadamente costosa y que requiere mucha computación. Los delincuentes cibernéticos lucran mientras que los usuarios de computadoras infectadas experimentan ralentización de rendimiento y bloqueos. Los criptojackers suelen apuntar a la infraestructura de nube empresarial, lo que les permite obtener más recursos para la criptografía que para atacar computadoras individuales.
Malware sin archivos
El malware sin archivos es un tipo de ataque que utiliza vulnerabilidades en programas de software legítimos, como navegadores web y procesadores de texto, para inyectar un código malicioso directamente en la memoria de una computadora. Como el código se ejecuta en memoria, no deja rastro en el disco duro. Como utiliza software legítimo, suele eludir la detección.
Muchos ataques de malware sin archivos usan PowerShell, una interfaz de línea de comandos y una herramienta de scripts integrada en los sistemas operativos Microsoft Windows. Los hackers pueden ejecutar scripts de PowerShell para cambiar configuraciones, robar contraseñas o causar otros daños.
Las macros maliciosas son otro vector común para los ataques sin archivos. Aplicaciones como Microsoft Word y Excel permiten a los usuarios definir macros, conjuntos de comandos que automatizan tareas simples como formatear texto o realizar cálculos. Los hackers pueden almacenar scripts maliciosos en estas macros; cuando un usuario abre el archivo, esos scripts se ejecutan automáticamente.
Otros tipos de malware
Los gusanos son programas maliciosos autoreplicantes que pueden propagarse entre aplicaciones y dispositivos sin interacción humana. (A diferencia de un virus, que solo puede propagarse si un usuario ejecuta un programa comprometido). Si bien algunos gusanos no hacen más que propagarse, muchos tienen consecuencias más severas. Por ejemplo, el ransomware WannaCry, que causó un estimado de cuatro mil millones USD en daños, fue un gusano que maximizó su impacto al propagarse automáticamente entre los dispositivos conectados.
Los caballos de Troya se disfrazan de programas útiles o se ocultan dentro de software legítimo para engañar a los usuarios para que los instalen. Un troyano de acceso remoto o "RAT" crea una puerta trasera secreta en el dispositivo infectado. Otro tipo de troyano llamado "dropper", instala malware adicional una vez que tiene un punto de apoyo. Ryuk, una de las cepas de ransomware recientes más devastadoras, utilizó el troyano Emotet para infectar dispositivos.
Los rootkits son paquetes de malware que permiten a los hackers obtener acceso privilegiado, a nivel de administrador, al sistema operativo de una computadora o a otros activos. Los hackers pueden utilizar estos permisos elevados para hacer prácticamente lo que quieran, como añadir y eliminar usuarios o reconfigurar aplicaciones. Los hackers suelen utilizar los rootkits para ocultar procesos maliciosos o desactivar el software de seguridad que podría detectarlos.
El scareware asusta a los usuarios para que descarguen malware o pasen información confidencial a un estafador. El scareware suele aparecer como una ventana emergente repentina con un mensaje urgente, que suele advertir al usuario de que infringió la ley o de que su dispositivo tiene un virus. La ventana emergente indica al usuario que pague una "multa" o descargue un software de seguridad falso que resulta ser malware real.
El spyware se oculta en un equipo infectado, recopilando información confidencial y transmitiéndola a un atacante. Un tipo común de spyware, llamado registrador de claves, registra toda la información de un usuario y permite a los hackers obtener nombres de usuario, contraseñas, cuentas bancarias y números de tarjetas de crédito .
El adware envía spam a un dispositivo con anuncios emergentes no deseados. El adware a menudo se incluye con el software gratis, sin que el usuario lo sepa. Cuando el usuario instala el programa, también instala el adware sin querer. La mayoría de los programas publicitarios son más que una molestia. Sin embargo, algunos programas publicitarios recopilan datos personales, redireccionan los navegadores sitio web a sitios web maliciosos o incluso descargan más malware en el dispositivo del usuario si este hace clic en una de las ventanas emergentes.
Ransomware
El ransomware bloquea los dispositivos o datos de una víctima y exige un pago de rescate, generalmente en forma de criptomoneda, para desbloquearlos. Según el índice X-Force Threat Intelligence Ide IBM, el ransomware es el segundo tipo más común de ciberataque y representa el 17 % de los ataques.
Los ataques de ransomware más básicos hacen que los activos sean inutilizables hasta que se pague el rescate, pero los delincuentes cibernéticos pueden usar tácticas adicionales para aumentar la presión sobre las víctimas.
En un doble ataque de extorsión, los delincuentes cibernéticos roban datos y amenazan con filtrarlos si no se les paga. En un ataque de triple extorsión, los hackers cifran los datos de la víctima, los roban y amenazan con desconectar los sistemas a través de un ataque de denegación distribuida del servicio (DDoS).
Las demandas de rescate pueden oscilar entre decenas de miles y millones de dólares estadounidenses. Según un informe (enlace externo a ibm.com), el pago promedio de rescate es de 812 360 USD. Incluso si las víctimas no pagan, el ransomware es costoso. Costo de IBM de una filtración de datos El informe encontró que el ataque promedio de ransomware cuesta 4.54 millones USD, sin incluir el rescate en sí.
Malware de acceso remoto
Los hackers utilizan malware de acceso remoto para obtener acceso a computadoras, servidores u otros dispositivos mediante la creación o el aprovechamiento de puertas traseras. Según el índice X-Force Threat Intelligence, sembrar puertas traseras es el objetivo más común de los hackers, y representa el 21 % de los ataques.
Las puertas traseras permiten a los delincuentes cibernéticos hacer mucho. Pueden robar datos o credenciales, tomar el control de un dispositivo o instalar malware aún más peligroso como ransomware. Algunos hackers utilizan malware de acceso remoto para crear puertas traseras que pueden vender a otros hackers, lo que puede darles varios miles de dólares estadounidenses cada uno.
Algunos malware de acceso remoto, como Back Orifice o CrossRAT, se crean intencionalmente con fines maliciosos. Los hackers también pueden modificar o dar un mal uso a software legítimo para acceder de forma remota a un dispositivo. En particular, los delincuentes cibernéticos utilizan credenciales robadas para el protocolo de escritorio remoto (RDP) de Microsoft como puertas traseras.
Un ataque de malware tiene dos componentes: la carga útil del malware y el vector de ataque. La carga útil es el código malicioso que los hackers quieren sembrar, y el vector de ataque es el método empleado para entregar la carga útil a su objetivo.
Algunos de los vectores de malware más comunes son:
Los ataques de ingeniería social manipulan psicológicamente a las personas para que hagan cosas que no deberían, como descargar malware. Los ataques de phishing, que utilizan correos electrónicos o mensajes de texto fraudulentos para engañar a los usuarios, son particularmente comunes. Según el X-Force Threat Intelligence Index, el phishing es un factor en el 41 % de las infecciones de malware.
Los correos electrónicos y mensajes de phishing suelen estar diseñados para que parezcan proceder de una marca o persona de confianza. Normalmente intentan evocar emociones fuertes como el miedo ("¡Encontramos nueve virus en su teléfono!"), la codicia ("¡Tiene un pago sin cobrar!") o la urgencia ("¡Se le acaba el tiempo para canjear su regalo gratis!") para conseguir que los usuarios realicen la acción deseada. Por lo general, la acción consiste en abrir un archivo adjunto de correo electrónico malicioso o visitar un sitio web malicioso que carga malware en el dispositivo.
Los delincuentes cibernéticos buscan constantemente vulnerabilidades sin parches en software, dispositivos y redes que les permitan inyectar malware en el software o firmware del objetivo. Los dispositivos del IoT, muchos de los cuales se venden e implementan con una seguridad mínima o nula, son un campo especialmente fértil para los delincuentes cibernéticos que siembran malware.
Con una táctica llamada "baiting", los hackers pueden colocar unidades USB infectadas adornadas con etiquetas llamativas en lugares públicos, como espacios de trabajo colaborativos o cafeterías. Atraídos por estas unidades, los usuarios desprevenidos pueden conectarlas a sus dispositivos para ver qué contienen, y el malware infecta su sistema. Un estudio reciente reveló que el 37 % de las amenazas cibernéticas conocidas están diseñadas para aprovechar los medios extraíbles (enlace externo a ibm.com).
Muchas formas de malware, como troyanos y adware, se disfrazan como software útil o copias gratuitas de películas y música. Irónicamente, con frecuencia se enmascaran como programas antivirus o aplicaciones gratuitas que mejorarán el rendimiento del dispositivo. Si bien las redes de torrenting donde los usuarios comparten medios pirateados son campos famosos para los delincuentes cibernéticos, el malware oculto también puede abrirse camino en mercados legítimos. Recientemente, el malware Goldoson (enlace externo a ibm.com) pudo infectar millones de dispositivos ocultando las aplicaciones disponibles a través de la tienda Google Play.
La publicidad maliciosa se da cuando los hackers colocan anuncios maliciosos en redes de publicidad legítimas o secuestran anuncios legítimos para entregar código malicioso. Por ejemplo, el malware Bumblebee se propagó (enlace externo a ibm.com) a través de un anuncio malicioso de Google que se hacía pasar por Cisco AnyConnect. Los usuarios que buscan el producto real ven el anuncio en los resultados de sus búsquedas, hacen clic en él y descargan malware sin darse cuenta.
Una técnica relacionada llamada "descargas no autorizadas" hace que los usuarios ni siquiera tengan que dar clic en nada: tan pronto como visitan un sitio web malicioso, la descarga comienza automáticamente.
En las redes corporativas, los dispositivos personales de los usuarios pueden ser los vectores principales de malware. Los teléfonos inteligentes y portátiles de los usuarios pueden infectarse durante su tiempo personal, cuando se conectan a redes no seguras sin el beneficio de las soluciones de seguridad de la empresa. Cuando los usuarios llevan esos dispositivos al trabajo, el malware puede propagarse a la red corporativa.
Si la red de un proveedor está comprometida, el malware puede propagarse a las redes de empresas que utilizan los productos y servicios de ese proveedor. Por ejemplo, los delincuentes cibernéticos aprovecharon una falla en la plataforma VSA de Kaseya (enlace externo a ibm.com) para difundir ransomware a los clientes bajo el disfraz de una actualización legítima de software.
Algunas infecciones de malware, como el ransomware, se anuncian. Sin embargo, la mayoría trata de mantenerse fuera de la vista mientras causan estragos. Aun así, las infecciones por malware suelen dejar señales que los equipos de ciberseguridad pueden usar para identificarlas. Estas incluyen:
Disminución del rendimiento: los programas de malware utilizan los recursos de la computadora infectada para ejecutarse, a menudo consumiendo espacio de almacenamiento e interrumpiendo procesos legítimos. El equipo de soporte de TI puede notar una afluencia de tickets de usuarios cuyos dispositivos se están ralentizando, bloqueando o inundando con ventanas emergentes.
Actividad de red nueva e inesperada: el personal de TI y de seguridad puede notar patrones extraños, como procesos que utilizan más ancho de banda de lo normal, dispositivos que se comunican con servidores desconocidos o cuentas de usuario que acceden a activos que normalmente no usan.
Configuraciones modificadas: algunas cepas de malware alteran las configuraciones de los dispositivos o deshabilitan las soluciones de seguridad para evitar la detección. Los equipos de TI y de seguridad pueden notar que, por ejemplo, las reglas del cortafuegos han cambiado o los privilegios de una cuenta se han elevado.
Alertas de eventos de seguridad: para las organizaciones que cuentan con soluciones de detección de amenazas, la primera señal de una infección por malware es probablemente una alerta de evento de seguridad. Soluciones como los sistemas de detección de intrusiones (IDS), las plataformas de gestión de eventos e información de seguridad (SIEM) y el software antivirus pueden señalar posibles actividades de malware para que las revise el equipo de respuesta a incidentes.
Los ataques de malware son inevitables, pero hay medidas que las organizaciones pueden tomar para fortalecer sus defensas. Estos pasos incluyen:
Capacitación en seguridad: muchas infecciones de malware son el resultado de que los usuarios descargan software falso o caen ante estafas de phishing. La capacitación en seguridad puede ayudar a los usuarios a detectar ataques de ingeniería social, sitios web maliciosos y aplicaciones falsas. La capacitación en seguridad también puede educar a los usuarios sobre qué hacer y a quién contactar si sospechan una amenaza de malware.
Políticas de seguridad: solicitar contraseñas seguras, autenticación multifactor y VPN al acceder a activos confidenciales a través de wifi no seguro puede ayudar a limitar el acceso de los hackers a las cuentas de los usuarios. Instaurar un programa regular para la gestión de parches, las evaluaciones de vulnerabilidades y las pruebas de penetración también puede ayudar a detectar vulnerabilidades de software y dispositivos antes de que los delincuentes cibernéticos las exploten. Las políticas para administrar dispositivos BYOD (bring your own device) y prevenir la TI en la sombra pueden ayudar a evitar que los usuarios inconscientemente traigan malware a la red corporativa.
Copias de seguridad: mantener copias de seguridad actualizadas de datos confidenciales e imágenes del sistema, idealmente en discos duros u otros dispositivos que puedan desconectar de la red, puede facilitar la recuperación de ataques de malware.
Arquitectura de red de confianza cero: confianza cero es un enfoque de la seguridad de red en el que nunca se confía en los usuarios y siempre se les verifica. En concreto, confianza cero aplica el principio del mínimo privilegio, la microsegmentación de la red y la autenticación adaptativa continua. Esta implementación ayuda a garantizar que ningún usuario o dispositivo pueda acceder a datos sensibles o activos a los que no debería. Si entra malware en la red, estos controles pueden limitar su movimiento lateral.
Planes de respuesta a incidentes: crear planes de respuesta a incidentes para diferentes tipos de malware con antelación puede ayudar a los equipos de ciberseguridad a erradicar las infecciones de malware con mayor rapidez.
Malware y tecnologías de ciberseguridad
Además de las tácticas manuales descritas anteriormente, los equipos de ciberseguridad pueden utilizar soluciones de seguridad para automatizar aspectos de la eliminación, la detección y la prevención de malware. Las herramientas comunes incluyen:
Software antivirus: también denominado software "antimalware", los programas antivirus analizan sistemas para detectar signos de infecciones. Además de alertar a los usuarios, muchos programas antivirus pueden aislar y eliminar automáticamente el malware en cuanto lo detectan.
Cortafuegos: los cortafuegos pueden impedir que parte del tráfico malicioso llegue a la red en primer lugar. Si el malware llega a un dispositivo de red, los cortafuegos pueden ayudar a frustrar las comunicaciones salientes a los piratas informáticos, como un registrador de teclas que envía las pulsaciones de teclas al atacante.
Plataformas de administración de eventos e información de seguridad (SIEM): los SIEM recopilan información de herramientas de seguridad internas, la agregan en un registro central y marcan anomalías. Debido a que los SIEM centralizan las alertas de múltiples fuentes, pueden hacer que sea más fácil detectar signos sutiles de malware.
Plataformas de orquestación, automatización y respuesta de seguridad (SOAR): las SOAR integran y coordinan herramientas de seguridad dispares, lo que permite a los equipos de seguridad crear manuales automatizados parcial o totalmente para responder al malware en tiempo real.
Plataformas de detección y respuesta de endpoints (EDR): las EDR monitorean dispositivos de endpoint, como teléfonos inteligentes, computadoras portátiles y servidores, para detectar signos de actividad sospechosa, y pueden responder automáticamente al malware detectado.
Plataformas de detección y respuesta extendidas (XDR): las XDR integran herramientas y operaciones de seguridad en todas las capas de seguridad: usuarios, endpoints, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos. Las XDR pueden ayudar a automatizar procesos complejos de prevención, detección, investigación y respuesta a malware, incluida la caza proactiva de amenazas.
Herramientas de gestión de superficies de ataque (ASM): las herramientas ASM descubren, analizan, solucionan y monitorean continuamente todos los activos en la red de una organización. Las ASM pueden ser útiles para ayudar a los equipos de ciberseguridad a detectar aplicaciones y dispositivos de TI en la sombra y no autorizados que pueden llevar consigo malware.
Gestión unificada endpoint (UEM): el software UEM supervisa, gestiona y protege todos los dispositivos de una organización, incluidos los equipos de escritorio, portátiles y móviles. Muchas organizaciones utilizan soluciones UEM para ayudar a garantizar que los dispositivos BYOD de los empleados no lleven malware a la red corporativa.
Soluciones relacionadas
La búsqueda proactiva de amenazas, el monitoreo continuo y una investigación profunda de amenazas son solo algunas de las prioridades que enfrentan un departamento de TI ya ocupado. Tener un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarlo a recuperarse más rápido.
Para prevenir y combatir las amenazas modernas de ransomware, IBM emplea insight de 800 TB de datos de actividad de amenazas e información de más de 17 millones de ataques de spam y phishing. También analiza los datos de reputación de casi 1 millón de direcciones IP maliciosas de una red de 270 millones de endpoints.
Recursos
Los ataques cibernéticos son intentos por parte de delincuentes cibernéticos de robar, exponer, alterar, deshabilitar o destruir información a través del acceso no autorizado a los sistemas informáticos.
El ransomware mantiene como rehenes los dispositivos y datos de las víctimas hasta que se paga un rescate. Descubra cómo funciona el ransomware, por qué ha proliferado en los últimos años y cómo se defienden las organizaciones contra él.
La confianza cero es un marco que asume que la seguridad de una red compleja siempre está en riesgo ante amenazas externas e internas. Ayuda a organizar y elaborar una estrategia exhaustiva para contrarrestar esas amenazas.
Cada año, IBM® Security X-Force, nuestro equipo interno de expertos y remediadores de ciberseguridad, extrae miles de millones de puntos de datos para exponer las estadísticas y tendencias de seguridad más apremiantes de la actualidad.
