023.3 Lección 1

023.3 Lección 1

Certificado:

Fundamentos de seguridad

Versión:

1.0

Tema:

023 Seguridad de dispositivos y almacenamiento

Objetivo:

023.3 Malware

Lección:

1 de 1

Introducción

El término malware es una combinación de sílabas de las palabras mal-icious y soft-ware. Abarca una amplia gama de tipos de software cuyo objetivo final es comprometer un sistema informático o una red: virus, troyanos, ransomware, adware, etc. La mayoría de estos tipos (si no todos) también incluyen subtipos. Además, los ataques suelen ser más destructivos cuando contienen varias combinaciones de estos tipos de malware.

Las razones que se esconden detrás del malware son diversas y variadas: incluyen bromas y activismo, pero también espionaje, robo cibernético y otros delitos graves. En cualquier caso, la gran mayoría del malware está diseñado para ganar dinero de forma poco ética e ilegal. El malware puede entrar en su equipo o red a través de diversos medios: descargas de archivos, mensajes de correo electrónico con archivos adjuntos o enlaces sospechosos o visitas a un sitio web infectado, por nombrar solo algunos.

En esta lección se analizan los principios subyacentes de los diferentes tipos de malware (su modus operandi), el alcance de su daño potencial y cómo proteger sus máquinas contra ellos.

Tipos comunes de malware

Las siguientes subsecciones presentan algunos de los tipos más comunes de malware.

Virus

Tanto los virus biológicos como los virus informáticos necesitan un anfitrión para causar daño. Por lo tanto, un virus informático es un fragmento de código ejecutable malicioso que se instala en el equipo y tiene la capacidad de propagarse. A menudo, la propagación se lleva a cabo enviando un correo electrónico inicial que contiene el virus a todos los contactos de la libreta de direcciones de la víctima. Sin embargo, para causar estragos, el virus necesita la intervención humana. Por lo tanto, cuando el usuario desprevenido ejecuta el archivo host infectado, el virus se replica modificando programas o se propaga a otros equipos, lo que puede infectar una red completa.

El nivel de daño causado por los virus puede ser bastante devastador, ya que normalmente están diseñados para realizar prácticas desagradables como saturar una red con tráfico, corromper programas o eliminar archivos (o incluso el disco duro).

Note

A diferencia de los virus, los gusanos no necesitan un archivo anfitrión infectado ni intervención humana para propagarse. Se los puede definir como un tipo de virus independiente.

Ransomware

Como su nombre indica, este tipo de malware consiste en retener la información del usuario como prisionera a cambio de un rescate. Normalmente, el malware funciona restringiendo el acceso de los usuarios a determinados archivos (o partes del ordenador) hasta que se le pague. A diferencia de los virus, los cibercriminales en un ataque de ransomware son claros con la víctima y le explican lo que ha ocurrido así como los pasos a seguir para recuperar la información perdida.

El ransomware suele utilizar criptografía de clave pública y una clave simétrica para cifrar los archivos afectados. Estos archivos se vuelven inaccesibles para sus legítimos propietarios; los archivos solo pueden descifrarse con la clave privada del atacante. La víctima recibe un mensaje con instrucciones sobre cómo pagar el rescate. Por lo tanto, los atacantes supuestamente entregarán la clave privada al usuario solo cuando pague el rescate. Al igual que ocurre con los virus, el ransomware puede escalar rápidamente y derribar organizaciones enteras al propagarse por las redes y atacar servidores de archivos y bases de datos.

Note

Para proteger su identidad, los cibercriminales del ransomware normalmente piden el pago en forma de moneda virtual (por ejemplo, Bitcoin).

Criptomineros / Criptojacking

Los criptomineros maliciosos están diseñados para aprovecharse subrepticiamente de la actividad inactiva del CPU (o GPU). Como se ejecutan en segundo plano, pueden ser difíciles de detectar. Por lo tanto, el software malicioso se instala en secreto en su dispositivo (o navegador web) y comienza a minar criptomonedas. Aunque la minería se lleva a cabo sin que las víctimas se den cuenta, generalmente informan de un aumento de la actividad del ventilador u otros signos de trabajo intenso del procesador, como sobrecalentamiento o reducción del rendimiento.

Rootkits y acceso remoto

Los rootkits son una variedad de programas maliciosos que tienen como objetivo proporcionar a los cibercriminales acceso y control remotos sin que la víctima los detecte. Los rootkits suelen incluir un conjunto de herramientas para robar contraseñas, así como información bancaria o personal. De ahí el término: root (los atacantes obtienen acceso root) y kit (utilizan un conjunto de herramientas).

Existen distintos tipos de rootkits diseñados para atacar distintas partes del ordenador: el kernel, las aplicaciones, el firmware, el sistema de arranque (bootkits) o incluso la RAM.

Spyware

El término spyware se refiere a cualquier tipo de malware diseñado para monitorear la actividad de su computadora y, en la mayoría de los casos, también para robar información personal o confidencial: sus credenciales, información de pago, historial de navegación, etc. Los tipos más comunes de spyware incluyen adware, keylogger y secuestro de cámara y micrófono.

Adware

El término adware, que normalmente se produce en un navegador web, es un tipo de malware diseñado para bombardear su pantalla con anuncios. La mayoría de los programas espía su comportamiento en línea para dirigirse a usted con anuncios específicos. Para engañarlo y lograr que lo instale en su equipo, el adware puede camuflarse como software legítimo; sin embargo, también puede instalarse a través de una vulnerabilidad del navegador web.

Una vez instalado en su sistema, el adware generalmente se reconoce por signos como los siguientes: aparecen nuevas barras de herramientas en su navegador, los enlaces a sitios web lo llevan websites equivocados, su navegador web es más lento, la página de inicio de su navegador web cambia, etc.

Keylogging

El término keylogging se explica por sí solo. Un keylogger es un tipo de malware que registra las pulsaciones del teclado en un archivo que luego se envía a un tercero a través de Internet. Obviamente, los cibercriminales pueden dañar gravemente a la víctima al interceptar información vulnerable como contraseñas, códigos PIN o números de cuenta bancaria.

El objetivo de los keyloggers es pasar desapercibidos a los ojos de la víctima para evitar ser detectados antes de que se produzca el daño.

Note

Los keyloggers pueden estar basados en hardware o en software. Asimismo, pueden utilizarse como una herramienta de monitoreo legítima.

Secuestro de cámara y micrófono (hijacking)

Este tipo de malware hijacking está diseñado para obtener acceso no autorizado a sus micrófonos y cámaras (tanto integrados como externos). De esta forma, su imagen y conversaciones pueden ser grabadas sin su consentimiento. Esto puede conducir a numerosos objetivos maliciosos y tener consecuencias muy desagradables: se interceptan datos confidenciales a través de grabaciones de audio, se graban videos y se venden a sitios web sospechosos, etc.

Caballos de Troya

Según la Odisea de Homero o la Eneida de Virgilio, los griegos ganaron la guerra de Troya gracias a la astucia y el engaño: en lugar de derribar las murallas de la ciudad de Troya, idearon un caballo de madera gigante que dejaron a las puertas de la ciudad. Los crédulos troyanos llevaron el caballo a la ciudad, y para su sorpresa, descubrieron que los soldados griegos habían estado escondidos en su interior todo el tiempo. Siguiendo la analogía de esta mitología griega, un caballo de Troya (o, simplemente, un troyano) es un programa malicioso que viaja sin ser detectado bajo la apariencia de software o contenido legítimo, como archivos de vídeo o audio (o cualquier otro tipo de contenido). De hecho, más que un programa malicioso, los troyanos pueden definirse como una estrategia de propagación multipropósito para cualquier tipo de malware que los cibercriminales quieran utilizar (virus, gusanos, ransomware, etc.).

Métodos comunes utilizados por los cibercriminales para causar estragos

Las siguientes subsecciones presentan un par de métodos utilizados por los ciberdelincuentes para ejecutar o implementar algunos (si no todos) los tipos de malware que acabamos de describir en las secciones anteriores.

Backdoors

Podemos definir una puerta trasera como una forma de acceder a un sistema informático que elude el protocolo legal preestablecido diseñado para ello (de forma muy similar a cómo las personas a veces utilizan puertas traseras reales para evitar ser vistas entrando en edificios en el mundo real). En otras palabras: un intruso accede al sistema eludiendo cualquier medida de seguridad. Pero, ¿las puertas traseras se crean intencionalmente o simplemente por casualidad? Bueno, ambas cosas; veámoslas.

En primer lugar, hay que tener en cuenta que el software en general, especialmente el que implica acceso remoto, tiene vulnerabilidades, por lo que los cibercriminales se esfuerzan mucho en detectar las denominadas vulnerabilidades de día cero (zero-day vulnerabilites). Como su nombre indica, estas vulnerabilidades se detectan el mismo día que se lanza el software y son realmente peligrosas porque aún no existen parches o soluciones para contrarrestar el daño potencial. Así, por ejemplo, un puerto podría quedar desprotegido sin darse cuenta y, de ser descubierto, proporcionar una puerta trasera a los intrusos.

En segundo lugar, los cibercriminales podrían intentar crear una puerta trasera ellos mismos. Para ello, podrían recurrir a la ingeniería social e intentar convencer a la víctima de que instale un programa aparentemente útil que contenga el malware que puede establecer la puerta trasera (creando un túnel entre su ordenador y el de la víctima).

Por último, pero no menos importante, los propios fabricantes y desarrolladores pueden crear y colocar puertas traseras en sus productos por una variedad de razones (una de ellas es garantizar el acceso al sistema en cualquier momento).

Entre las cosas desagradables más comunes para las que se pueden utilizar las puertas traseras, podemos nombrar las siguientes:

  • Entrega de malware: troyanos, keyloggers, etc.

  • Espionaje, es decir, robo de información sensible que puede llevar al robo de identidad o la realización de transacciones fraudulentas, etc.

  • Secuestro de servidores

  • Desfiguración de sitios web

Note

La desfiguración de sitios web (o desfiguración web) se puede definir como un ataque contra un sitio web en el que los cibercriminales reemplazan parte de su contenido con el de ellos (por ejemplo, la página de inicio se reemplaza por un mensaje que dice “Este sitio ha sido hackeado”).

Exfiltración de datos

La exfiltración de datos se refiere a cualquier transferencia no autorizada de datos desde un sistema de información. Una de las formas más comunes de exfiltración de datos implica el descifrado del sistema de resolución de DNS. En tal caso, los pasos son los siguientes:

  1. Se lleva a cabo un ataque de phishing: se envía un mensaje de correo electrónico que contiene un fragmento de malware incrustado en un documento.

  2. La víctima abre el mensaje de correo electrónico. Se ejecuta el código malicioso y se crea un canal de comando y control a través del resolutor DNS.

  3. El malware comienza a propagarse hasta que encuentra datos confidenciales para exfiltrarlos. Luego, los datos se envían a un servidor externo.

Note

DNS significa Sistema de nombres de dominio y juega un papel muy importante en Internet, ya que se encarga de traducir los nombres de host en direcciones IP.

Cómo entra el malware en una computadora y qué hacer para protegerse

Como ya hemos visto, el malware puede llegar a tu equipo de múltiples formas: cuando un usuario hace clic en enlaces de mensajes de correo electrónico engañosos o ventanas emergentes de sitios web, al abrir archivos adjuntos, inserta una unidad USB, etc. Los criptomineros, también pueden llegar simplemente visitando un sitio web. Por ejemplo, un fragmento de JavaScript malicioso que se ha incrustado previamente en un sitio web para que todos los usuarios que lo visiten comiencen a realizar criptominería. Del mismo modo, los virus (y otros tipos de malware) pueden hacer copias de archivos críticos en el sistema para evitar ser detectados.

Los troyanos suelen distribuirse mediante algún tipo de método de ingeniería social. Normalmente, la víctima recibe un mensaje de correo electrónico de phishing con un archivo adjunto que contiene el fragmento de código malicioso. En cuanto hace clic en este, se ejecuta el código malicioso.

Note

La ingeniería social es un término general que hace referencia a prácticas sociales ilegítimas para obtener información confidencial. El phishing es un tipo de técnica de ingeniería social en la que un atacante envía un mensaje de correo electrónico falso a la víctima para engañarla y conseguir que revele información confidencial o sensible. Dentro del phishing, podemos encontrar ataques más específicos como el phishing de tipo spear (dirigido a un individuo en particular) o el phishing de tipo whaling (dirigido a personas de alto rango dentro de una empresa).

Existen varias formas de protegerse contra el malware:

  • Utilice software antivirus y antimalware (escáneres, etc.).

  • Mantenga todo el software (antimalware y otros) actualizado en todo momento.

  • Limite el acceso a los datos.

  • Ejecute programas en un entorno virtual (sandboxing).

  • Analice correos electrónicos y archivos adjuntos en busca de malware.

  • No descargue ni instale archivos ejecutables de fuentes no confiables.

  • Esté atento a señales de correo electrónico de phishing (nombres de dominio extraños, errores gramaticales, errores tipográficos, etc.).

  • Realice copias de seguridad de los dispositivos y datos importantes de forma regular.

  • Fortalezca sus sistemas de autenticación.

Note

El kernel Linux viene con un potente cortafuegos (firewall), iptables, y algunas distribuciones tiene sus propias interfaces fáciles de usar (Por ejemplo, Ubuntu incluye Gufw). Asimismo, nmap (un escáner de red) se ofrece en los repositorios de todas las principales distribuciones de GNU/Linux y se puede utilizar para proteger las redes contra algunos tipos de malware. Hay muchas otras soluciones anti-malware disponibles para Linux, pero eso queda fuera del alcance de esta lección.

Ejercicios guiados

  1. Considere los siguientes síntomas e indique a qué tipo de malware pertenecen con mayor probabilidad:

    Síntoma Tipo de malware

    Su computadora se calienta demasiado mientras navega por Internet.

    Observa una nueva barra de herramientas en su navegador que no ha instalado.

    Un mensaje de correo electrónico que no ha escrito se envía a todos los usuarios de su libreta de direcciones.

    No puede acceder a sus archivos porque han sido cifrados.

    Encuentra fotos suyas no autorizadas en Internet.

  2. Indique si las siguientes acciones son prácticas de riesgo o medidas de protección:

    Acción Práctica de riesgo o medida de protección

    Limitar el acceso a los datos

    Instalar un archivo ejecutable de una fuente no confiable

    Hacer clic en una ventana emergente

    Instalar las últimas actualizaciones del sistema

    Insertar una memoria USB sospechosa en su computadora

    Realizar copias de seguridad periódicamente

    Enviar la información de su tarjeta de crédito por correo electrónico

  3. ¿En qué tipo de ataque recibes un mensaje de correo electrónico fraudulento que parece provenir de fuentes confiables (tu banco, redes sociales, familiares o conocidos, un superior de tu empresa)?

  4. ¿Qué término define al malware que se hace pasar por software (o contenido) legítimo?

  5. ¿Qué tipo de malware registra de forma encubierta las teclas que presionas en tu teclado?

Ejercicios exploratorios

  1. Supongamos que el micrófono de su dispositivo ha sido hackeado y los cibercriminales interceptan información personal sobre usted. ¿Cómo podrían utilizar esta información para acceder a sus servicios en línea?

  2. El software antivirus utiliza la detección basada en firmas para identificar malware. ¿Qué queremos decir con los términos firma de virus o definición de virus?

  3. Busque en la web los siguientes términos y explique su significado:

    1. Autenticación de dos factores (o multifactor):

    2. Botnet:

Resumen

En esta lección, aprendió qué es el malware, sus distintos tipos y cómo funcionan. También exploró las diferentes formas en que el malware puede infiltrarse en su computadora y cómo proteger eficazmente su sistema de ataques de malware.

Respuestas a los ejercicios guiados

  1. Considere los siguientes síntomas e indique a qué tipo de malware pertenecen con mayor probabilidad:

    Síntoma Tipo de malware

    Su computadora se calienta demasiado mientras navega por Internet.

    Criptominería

    Observa una nueva barra de herramientas en su navegador que no ha instalado.

    Adware

    Un mensaje de correo electrónico que usted no ha escrito se envía a todos los contactos de su libreta de direcciones.

    Virus

    No puede acceder a sus archivos porque han sido cifrados.

    Ransomware

    Encuentra fotos suyas no autorizadas en Internet.

    Secuestro de cámara

  2. Indique si las siguientes acciones son prácticas de riesgo o medidas de protección:

    Acción Práctica de riesgo o medida de protección

    Limitar el acceso a los datos

    Medida de protección

    Instalar un archivo ejecutable de una fuente no confiable

    Práctica riesgosa

    Hacer clic en una ventana emergente

    Práctica riesgosa

    Instalar las últimas actualizaciones del sistema

    Medida de protección

    Insertar una memoria USB sospechosa en el ordenador

    Práctica riesgosa

    Realizar copias de seguridad periódicamente

    Medida de protección

    Enviar la información de su tarjeta de crédito por correo electrónico

    Práctica riesgosa

  3. ¿En qué tipo de ataque recibes un mensaje de correo electrónico fraudulento que parece provenir de fuentes confiables (tu banco, redes sociales, familiares o conocidos, un superior de tu empresa)?

    Ataque de phishing

  4. ¿Qué término define al malware que se hace pasar por software (o contenido) legítimo?

    Caballos de Troya

  5. ¿Qué tipo de malware registra de forma encubierta las teclas que pulsas en tu teclado?

    Keyloggers

Respuestas a los ejercicios exploratorios

  1. Supongamos que el micrófono de su dispositivo ha sido pirateado y los cibercriminales interceptan información personal sobre usted. ¿Cómo podrían utilizar esta información para acceder a sus servicios en línea?

    Recordemos que algunos servicios en línea hacen uso de preguntas de seguridad en caso de que haya olvidado su contraseña. Por lo tanto, los cibercriminales podrían iniciar sesión en su servicio respondiendo correctamente a preguntas como cuál es el nombre de su mascota o de qué color son sus ojos.

  2. La detección basada en firmas es utilizada por el software antivirus para identificar malware. ¿Qué queremos decir con los términos firma de virus o definición de virus?

    La firma de virus o definición de virus se refiere a la huella digital del virus, es decir, el conjunto de datos únicos que permiten al software antivirus identificarlo.

  3. Busque en la web los siguientes términos y explique su significado:

    1. Autenticación de dos factores (o multifactor):

      La autenticación de dos factores (2FA) o la autenticación multifactor (MFA) son formas de proporcionar capas adicionales de seguridad al proteger las cuentas de usuario.

    2. Botnet:

      Podemos definir una botnet como una red de computadoras infectadas (“bots”) utilizadas para realizar ataques masivos como denegación de servicio distribuida (DDOS), etc.

Linux Professional Insitute Inc. Todos los derechos reservados. Visite el sitio web de Learning Materials: https://learning.lpi.org
Este trabajo está registrado bajo la Licencia Internacional Creative Commons Attribution-NonCommercial-NoDerivatives 4.0