Hace tiempo, la mayoría de las amenazas de malware eran virus informáticos, un código que 'infectaba' a un sistema y luego propagaba copias de sí mismo a otros sistemas. El primer virus informático, llamado Creeper, se replicó hasta que consiguió paralizar un sistema llenando su disco duro (un trabajo relativamente rápido en 1971, cuando debutó Creeper). Para inhabilitar los sistemas, los siguientes virus sobrescribían o dañaban archivos del sistema operativo, archivos de aplicación o sectores de arranque de los discos.

Hoy en día, hay muchos más tipos de malware, cada uno de los cuales evoluciona continuamente para causar daños más graves en los sistemas y las redes, y para evadir mejor la detección y remediación de las herramientas de seguridad y las tecnologías protección de malware. A continuación, se muestra una breve descripción de algunos de los tipos de malware más comunes que hay en circulación actualmente.

Ransomware

El ransomware es un malware que bloquea el dispositivo de la víctima, o cifra algunos o todos los todo de la víctima, y después exige el pago de un rescate (a menudo en forma de criptomoneda) para desbloquear el dispositivo, descifrar los datos o impedir que los datos se roben o compartan. De acuerdo con el Índice de información sobre amenazas de X-Force de 2022 (PDF, 4,1 MB), casi todos los incidentes de ransomware a los que X-Force ha respondido desde 2019 implicaban una 'extorsión doble' donde se amenazaba a la víctima con el cifrado y el robo de datos. Asimismo, están en aumento los incidentes de ransomware de 'extorsión triple', donde se amenaza con el cifrado y el robo de datos, además de con iniciar un ataque de denegación de servicio distribuida o DDoS (véase Botnets, a continuación).

El mismo informe reveló que los ataques de ransomware representaron el 21 por ciento de todos los ciberataques en 2021.

Las víctimas y los negociadores de ransomware son reacios a revelar los importes de pago del rescate. Se afirma que una compañía de seguros global realizó el mayor pago de ransomware conocido de 40 millones de USD en mayo de 2021  (enlace externo a IBM.com). Las estimaciones medias de los importes de pago van desde los 100.000 USD hasta los 300.000 USD. Sin embargo, para muchas víctimas de ransomware, el rescate es el menor coste. De acuerdo con el informe Coste de una infracción de datos de IBM de 2021, el coste medio de un ataque de ransomware, sin incluir el rescate, fue de 4,62 millones de USD.

Malware de acceso al servidor

El malware de acceso al servidor da a los atacantes acceso no autorizado a los servidores aplicaciones web. A menudo, el malware de acceso al servidor es un software legítimo, modificado o utilizado indebidamente para ciberataques; irónicamente, algunos se han desarrollado originalmente para demostrar vulnerabilidades de seguridad de un servidor o un sistema operativo de servidor.

Los tipos de malware de acceso al servidor incluyen los shells web, que permiten a los atacantes tomar el control de un servidor web a través de un navegador web, y los programas de administración remota del sistema, como Back Orifice, que permiten la administración remota de Microsoft Windows en un servidor o un sistema. Los atacantes utilizan este tipo de malware para todo, desde desfigurar o paralizar los sitios web de la víctima hasta robar las credenciales de usuario y otro datos confidenciales. El Índice de información sobre amenazas de X-Force de 2022 revela que el 11 por ciento de todas los incidentes de ciberseguridad en 2021 fueron ataques de acceso al servidor.

Botnets

Técnicamente, los botnets no son programas de malware, sino que se crean utilizando el malware. Un botnet es una red de dispositivos conectados a Internet e infectados con malware: PC, smartphones, dispositivos de Internet de las cosas (IoT), etc. El malware crea una puerta trasera que el hacker utiliza para controlar los dispositivos de forma remota. Los hackers crean botnets para iniciar ataques de denegación de servicio distribuida (DDoS), que son unos ataques que bombardean una red de destino con tanto tráfico fraudulento que la red se ralentiza exponencialmente o se cierra completamente.

Cryptojackers

Un cryptojacker es un malware que toma el control remoto de un dispositivo y lo utiliza para 'minar' criptomonedas, una tarea muy costosa que realiza un uso intensivo de los recursos. (Esencialmente, los cryptojackers crean botnets de criptominería). Los cryptojackers pagan recompensas, generalmente en criptomoneda, a otras personas que proporcionan potencia informática para la minería. El cryptojacking permite a los ciberdelincuentes capitalizar estas recompensas utilizando los dispositivos de otras personas.

Malware sin archivos

El malware sin archivos es un malware que opera en memoria e inyecta scripts o códigos maliciosos en aplicaciones legítimas. Como no deja ninguna firma (una serie de bytes característica del malware), el malware sin archivos no se puede identificar y eliminar con el software antivirus tradicional, aunque muchas de las últimas soluciones antivirus de próxima generación (NGAV) pueden detectarlo.

Otros tipos de malware

• Los gusanos son un código malicioso que se replica y propaga sin necesidad de interacción humana. (A diferencia de un virus, que normalmente tiene abrirlo un usuario involuntariamente para poder duplicarse y distribuirse).
• Los troyanos, llamados así por el caballo de Troya de la mitología, son un tipo de código malicioso que se disfraza de software legítimo (o se oculta en él) y se ejecuta cada vez que el usuario ejecuta dicho software.
• Los rootkits son paquetes de malware que obtienen acceso privilegiado no autorizado al sistema operativo de un sistema o a otro activos, y que utiliza dicho acceso, u otro software, para 'esconderse' y evitar su detección. (El malware toma su nombre de la cuenta 'root', la cuenta de administrador de acceso privilegiado en los sistemas Linux o Unix). Los rootkits pueden volver a configurar el sistema operativo y otro software en el sistema, incluido el software de seguridad que puede identificar y eliminar el rootkit.
• El scareware intenta asustar a los usuarios para que tomen malas decisiones: descargar malware o pasar información personal o confidencial a un estafador, generalmente advirtiendo falsamente a los usuarios de que han infringido la ley o, irónicamente, que han sido infectados por un virus. El scareware a menudo adopta la forma de una ventana emergente en pantalla que es difícil de cerrar sin cerrar el navegador web.
• El spyware es, como su nombre indica, un malware que se esconde en el sistema infectado, recopila información privada o confidencial y la transmite al atacante. Hay un tipo de spyware denominado registrador de teclas, que puede obtener acceso a los nombres de usuario, contraseñas, números de cuenta bancaria y tarjeta de crédito, número de la seguridad social y otra información confidencial de un usuario mediante el registro de las pulsaciones de teclas del usuario.
• El adware muestra a los usuarios anuncios en línea y ventanas emergentes molestas y no deseadas cuando intentan utilizar sus navegadores web. La mayoría del adware está adjunto a software gratuito; cuando los usuarios descargan e instalan el software, también instalan el adware. La mayoría del adware es poco más que una molestia que, por lo demás, no daña el sistema o la red de destino. Sin embargo, existe una clase de adware denominada publicidad maliciosa que utiliza anuncios en línea para inyectar código malicioso en anuncios en línea y redes de publicidad.

Como el propio malware, sus métodos o vías de entrega,  lo que se denomina vectores de malware,  son numerosos y están en constante evolución. El seguimiento de estas tácticas es fundamental para la prevención, detección y respuesta al malware. Algunos de los vectores de malware más utilizados incluyen:

• Estafas de phishing y otras tácticas ingeniería social: los mensajes de phishing, enviados por correo electrónico, mensajería SMS o aplicaciones de mensajería de texto, están diseñados para manipular a los usuarios para que descarguen un archivo adjunto de correo electrónico malicioso o visiten un sitio web malicioso que pasa el malware al sistema o dispositivo móvil del usuario sin su conocimiento. Los mensajes de phishing a menudo están diseñados para que parezca que provienen de una marca o persona de confianza, y por lo general intentan invocar miedo ("¡Hemos encontrado 9 virus en tu teléfono !"), codicia ("¡No has solicitado un pago que tienes pendiente!') o urgencia ('Te estás quedando sin tiempo para reclamar tu regalo gratuito') para que los usuarios realicen la acción deseada. Es una combinación poderosa; el phishing es el vector más común para realizar ataques de ransomware y otro malware.
• Vulnerabilidades del sistema o el dispositivo: los ciberdelincuentes buscan constantemente vulnerabilidades sin parches en el software, los dispositivos y las redes que les permitan inyectar malware en el software o el firmware del objetivo. Los dispositivos IoT, muchos de los cuales se venden y despliegan con una seguridad mínima o sin seguridad, constituyen un campo enorme y fértil para los ciberdelincuentes que siembran el malware.
• Soporte extraíble: los usuarios no pueden resistir la tentación de utilizar las unidades USB 'que encuentran', y los ciberdelincuentes están encantados de aprovecharlo y dejan unidades USB cargadas con malware allí donde los usuarios puedan encontrarlas. Un estudio reciente detectó que el 37% de las ciberamenazas conocidas están diseñadas para explotar soportes de almacenamiento extraíbles (enlace externo a ibm.com); en otro estudio, se rastreó el 9% de los incidentes de seguridad en enero de 2022 a unidades USB y otros soportes de almacenamiento extraíbles  (enlace externo a ibm.com).
• Compartición de archivos: las redes de intercambio de archivos, especialmente aquellas en las que los usuarios comparten copias ilegales de vídeos o juegos, son un escenario ideal para los ciberdelincuentes que incorporan cargas de malware en torrents o descargas populares. No obstante, el malware también se puede incluir en descargas de software aparentemente legítimas, especialmente en las gratuitas.

Una protección segura contra las amenazas de malware requiere un enfoque integral en toda la organización y la participación en todo los niveles, desde los equipos de seguridad hasta el personal de TI, los empleados y los business partners. La formación de los usuarios, las políticas de seguridad y las tecnologías de ciberseguridad juegan todas un papel clave.

Formación de usuarios

Los usuarios son la primera línea de defensa en el esquema protección contra el malware de una organización. Hoy en día, la mayoría de organizaciones ofrecen una formación oficial a los usuarios para que se comporten de manera que minimicen el riesgo de malware y otras amenazas de ciberseguridad. Las lecciones incluyen

• Directrices básicas: por ejemplo, 'no abrir archivos adjuntos de correo electrónico que no se esperen' o 'no descargar software que no esté explícitamente autorizado para su uso por el departamento de TI'.
• Caída de mitos: por ejemplo, 'sí, también debes estar atento al malware si utilizas un dispositivo Apple Mac, Apple iOS o Google Android'
• Higiene adecuada de contraseñas: por ejemplo, no utilizar contraseñas iguales o similares para varios inicios de sesión
• Técnicas sofisticadas: por ejemplo, consejos para identificar correos electrónicos de phishing que parecen mensajes legítimos enviados por marcas de confianza o por ejecutivos de la propia corporación objetivo del ataque.

La mayoría de la formación en seguridad de usuarios finales también instruye a los usuarios sobre las acciones específicas que deben realizar, por ejemplo, con quién ponerse en contacto en el caso de una amenaza de malware real o potencial.

Políticas de seguridad

Las políticas de seguridad establecen estándares de TI para las tecnologías de TI y determinan el comportamiento a seguir para minimizar o eliminar el riesgo de amenazas de ciberseguridad. Estas políticas definen elementos como el tipo y el nivel de cifrado de los correos electrónicos, la longitud mínima y el contenido de las contraseñas, así como los privilegios de acceso de red.

Las políticas destinadas específicamente a prevenir el malware pueden prescribir

• Restricciones o prohibiciones absolutas sobre el uso de unidades USB u otros dispositivos extraíbles de almacenamiento archivos.
• Un proceso de permiso formal para descargar software de aplicaciones no autorizado por el departamento de TI.
• La frecuencia con la que se deben realizar actualizaciones o instalar parches de las aplicaciones y el software seguridad.

Tecnologías de ciberseguridad

Las tecnologías de ciberseguridad modernas se dividen en dos categorías generales.

Las herramientas de seguridad preventiva están diseñadas para capturar, aislar y eliminar amenazas ciberseguridad conocidas o identificables. Muchas de ellas, por ejemplo, el software antivirus (incluido el antivirus de próxima generación o NGAV), el software de prevención de malware, el software de eliminación de malware, los cortafuegos y los filtros de URL son conocidas para la mayoría de usuarios.

Las tecnologías de detección y respuesta son soluciones de seguridad empresarial que permiten a los equipos de seguridad identificar y responder rápidamente al malware y a otras amenazas que eluden las herramientas preventivas. Estas soluciones normalmente se integran con herramientas de seguridad preventiva, canales de información sobre amenazas y otras fuentes de datos relacionados con la seguridad. Identifican indicadores de malware y otras ciberamenazas, los denominados indicadores de compromiso (IOC), utilizando análisis avanzados e IA. Asimismo, permiten a los equipos de seguridad automatizar determinadas tareas y agilizar la respuesta a incidentes, así como limitar o evitar los daños resultantes.

Algunas de las tecnologías de detección y respuesta más utilizadas son:

• SOAR (Coordinación, automatización y respuesta de seguridad). SOAR integra y coordina distintas herramientas de seguridad, lo que permite a los equipos de seguridad crear "guías de referencia" semiautomáticas o totalmente automáticas para responder a las amenazas reales o potenciales.
• EDR (Detección y respuesta de puntos finales). EDR recopila datos continuamente de todos los puntos finales en la red, por ejemplo, los sistemas de escritorio y portátiles, los servidores, los dispositivos móviles, los dispositivos IOT, etc. Correlaciona y analiza los datos en tiempo real en busca de indicios de amenazas conocidas o comportamientos sospechosos.
• XDR (Detección y respuesta ampliadas). XDR es una tecnología emergente que integra herramientas de seguridad en toda la infraestructura híbrida de TI de una organización (no solo los puntos finales, sino también las redes, el correo electrónico, las aplicaciones, las cargas de trabajo de cloud, etc.) para interoperar y coordinar la prevención, la detección y la respuesta a ciberamenazas. 

La confianza cero describe un enfoque de ciberseguridad donde se supone que el malware y otros ciberataques romperán con éxito las defensas de perímetro de la red y, en consecuencia, se centra en dificultar el movimiento de los atacantes por la red, para que no puedan lograr sus objetivos una vez que estén dentro. Las medidas de ciberseguridad relacionadas con un enfoque de confianza cero incluyen, sin de ningún modo limitarse a ellas:

• Una política de 'acceso de mínimos privilegios' para las cuentas de usuario y administrativas;
• La microsegmentación, que consiste en dividir la red en subsegmentos granulares, con 'acceso de mínimos privilegios' para cada uno de ellos;
• La autenticación de multifactores, que se utiliza para verificar la identidad con al menos un factor de autenticación adicional a la contraseña, o con al menos dos otros factores de identificación además de la contraseña;
• La autenticación adaptativa, que requiere que los usuarios proporcionen factores de autenticación adicionales en función de los distintos riesgos asociados con cada solicitud, por ejemplo, para acceder a datos especialmente confidenciales, para iniciar una sesión en la red desde otra ubicación o para utilizar un dispositivo diferente.

Un enfoque de confianza cero limita a los usuarios estrictamente al acceso que necesitan para realizar sus funciones, y requiere una verificación adicional o renovada cada vez que los usuarios solicitan un acceso adicional. Esto puede disminuir en gran medida el impacto del ransomware y otro malware que penetra en la red y está al acecho durante meses, intentando obtener un mayor acceso a los datos y otro recursos durante la preparación de un ataque.