Análisis en profundidad

Malware: qué son, cómo reconocerlos y cómo eliminarlos

El malware es un software malicioso que puede infiltrarse en computadoras, dispositivos móviles y redes corporativas para robar datos personales, espiar a las víctimas y dañar los sistemas infectados. A continuación, se explica cómo reconocerlos y cómo tomar las medidas necesarias para prevenir una infección y defenderse de un posible ataque

11 Nov 2021

Paolo Tarsitano

malware

El malware, contracción de las palabras malicioso y software, es precisamente un programa informático malicioso capaz de infiltrarse en un ordenador, un dispositivo móvil o una red de empresa sin la autorización del usuario con el objetivo de robar datos confidenciales, espiar a las víctimas o causar daños más o menos graves en el sistema informático en el que se ejecuta.

¿Qué es el malware?

El malware es un término genérico que se utiliza para identificar cualquier tipo de código malicioso que exista, independientemente de las técnicas utilizadas para difundir estas amenazas e instalarlas en los sistemas de destino o del daño que causen. Los autores de los programas maliciosos suelen ser equipos de hackers criminales interesados únicamente en los beneficios derivados de la venta de los datos robados a las víctimas (por ejemplo, credenciales de acceso a sitios y servicios en línea, números de tarjetas de crédito o información confidencial que puede utilizarse posteriormente para campañas de elaboración de perfiles más o menos legítimos) o del propio código malicioso en la Dark Web. En otros casos, el malware puede utilizarse como instrumento de protesta, como solución para probar la seguridad informática o incluso como arma al servicio de algún gobierno para llevar a cabo ataques de ciberespionaje y cibersabotaje selectivos contra individuos u organizaciones grandes y pequeñas.

El malware suele propagarse por Internet o a través de mensajes de correo electrónico, pero hay otros métodos diferentes que utilizan los hackers criminales para difundirlo e infectar los dispositivos de las víctimas:

  • archivos maliciosos adjuntos a los correos electrónicos de phishing. En este caso, los piratas informáticos utilizan correos electrónicos creados con técnicas de social engineering para animar al destinatario a abrir el archivo adjunto. Una vez que se abre el archivo adjunto, el código malicioso se instala en el dispositivo. Se llama social engineering a la práctica de obtener información confidencial a través de la manipulación de usuarios legítimo;
  • enlaces URL maliciosos en el texto de un correo electrónico. De nuevo, el correo electrónico utiliza técnicas de social engineering más o menos avanzadas para animar al destinatario a hacer clic en el enlace. Cuando esto sucede, la víctima es redirigida a la página web de un sitio comprometido controlado por los hackers criminales y que contiene el código malicioso;
  • descarga de la unidad. Mediante esta técnica de difusión, el malware se descarga en el ordenador de la víctima cuando ésta visita directamente un sitio que contiene código malicioso o es redirigida a la página del sitio a través de un anuncio malicioso (malvertising);
  • dispositivos USB infectados. Sigue siendo una de las formas más eficaces de propagar el malware, especialmente en entornos corporativos y de fabricación;
  • Intrusiones directas en redes locales a través de agujeros de seguridad en el perímetro virtual;
  • vulnerabilidades en el sistema operativo o en las aplicaciones instaladas en los dispositivos de las víctimas. Un ejemplo sería un plug-in de Flash obsoleto o mal configurado en el navegador del usuario;
  • aplicaciones para dispositivos móviles descargadas de tiendas de aplicaciones no oficiales, aunque no faltan casos de malware escondido en aplicaciones que también se distribuyen libremente en las tiendas oficiales. En este caso, es importante tener en cuenta los mensajes de advertencia al instalar aplicaciones, especialmente si requieren permiso para acceder a los correos electrónicos u otros datos personales.

En algunos casos, los hackers criminales también consiguen ocultar el malware en versiones de demostración, de prueba y gratuitas de otros programas o videojuegos, en barras de herramientas del navegador, en falsos antivirus y herramientas de eliminación, y en general en cualquier otro material que pueda descargarse de Internet.

Cómo reconocer una infección de malware

Normalmente, el malware no es capaz de dañar físicamente el hardware o los dispositivos de red afectados por su código malicioso. La única manera de detectar la presencia de un malware en un sistema informático es, por tanto, mediante el análisis de posibles comportamientos anómalos y sospechosos. En particular, hay algunas pistas que pueden indicar la presencia de código malicioso en su dispositivo:

  • El rendimiento de la computadora comienza a disminuir notablemente y la velocidad de carga del sistema operativo y de las aplicaciones instaladas, así como la navegación por Internet, se reduce considerablemente;
  • Durante el uso normal de la computadora o mientras navega por Internet, la pantalla de su dispositivo se llena de anuncios innecesarios e irritantes que se muestran en ventanas emergentes que, la mayoría de las veces, son difíciles de cerrar;
  • el sistema se bloquea continuamente mostrando la fatídica Pantalla Azul de la Muerte (BSOD) como resultado de un error irrecuperable;
  • aumenta inexplicablemente la actividad de la red del sistema;
  • El uso de recursos del sistema es inusualmente alto y el ventilador del ordenador empieza a girar a toda velocidad;
  • la página de inicio del navegador se cambia sin permiso;
  • se instalan barras de herramientas y extensiones desconocidas en el mismo navegador;
  • el antivirus deja de funcionar y es imposible actualizarlo.

Sin embargo, otros síntomas de una infección de malware son mucho más evidentes. Este es el caso, por ejemplo, del ransomware que aparece repentinamente en el monitor del dispositivo infectado para informar a la víctima de que se ha apoderado de sus datos y, a continuación, exige un rescate por la devolución de los archivos. Hay algunas variantes de malware que pueden esconderse en lo más profundo del sistema operativo infectado, pasando desapercibidas incluso para el software antivirus. Un ejemplo es el malware sin archivos que se ejecuta directamente en la memoria RAM del ordenador y no almacena ningún archivo en el disco duro. Esto les permite completar sus acciones maliciosas sin levantar sospechas, ya que roba contraseñas y archivos sensibles o utiliza la PC infectado para propagarse a otras computadoras.

Tipos de malware

A la luz de lo que hemos visto hasta ahora podemos proceder a una clasificación de los tipos de malware más extendidos, teniendo en cuenta, no obstante, que algunas de las variantes más peligrosas son al mismo tiempo técnicas más maliciosas:

Adware

Software no deseado que muestra anuncios en su pantalla, a menudo dentro de las ventanas de su navegador. Por lo general, el adware utiliza un método sinuoso, disfrazándose de componente legítimo o escondiéndose en otro programa con el fin de engañarle para que lo instale en su PC, tableta o dispositivo móvil.

Spyware

El spyware es un tipo particular de malware diseñado para espiar las actividades del usuario en la computadora, sin autorización, y luego comunicarlas a los hackers criminales que desarrollaron el código malicioso.

Virus

Se trata de un código malicioso que, como en la naturaleza, se “adhiere” a otros programas y los infecta. Cuando el usuario lo ejecuta, normalmente de forma inadvertida, el virus se reproduce modificando otros programas y archivos e infectándolos con su propio código.

Gusano informático

Son similares a los virus, pero a diferencia de éstos están diseñados para propagarse a otras computadoras de la red y dañarlas, normalmente destruyendo archivos y carpetas del sistema.

Troya

Los troyanos son uno de los programas maliciosos más peligrosos que existen. Suelen venir en forma de algo útil, como herramientas para desbloquear versiones de pago de conocidos programas comerciales. Esta artimaña se utiliza obviamente para engañar al usuario. Una vez que el troyano ha “entrado” en el sistema, permite a los hackers criminales obtener un acceso completo y no autorizado a la computadora de la víctima.

Ransomware

Como decíamos antes, son malware que impiden a la víctima acceder a su dispositivo y cifran sus archivos, obligando a pagar un rescate para recuperarlos. El ransomware Fileless también es muy popular y peligroso. El código malicioso necesario para crear un ransomware se adquiere fácilmente en los mercados delictivos, lo que hace que este tipo de malware pueda ser explotado incluso por atacantes sin conocimientos técnicos particulares.

Rootkit

Los rootkits permiten a los hackers criminales obtener privilegios de administrador en el sistema infectado. Por lo general, están diseñados para permanecer ocultos a los ojos del usuario, de otros programas y del propio sistema operativo.

Registrador de teclas

Los keyloggers maliciosos simples son capaces de grabar todo lo que la víctima escribe en el teclado, y luego enviar la información recopilada a los hackers criminales que, de esta manera, son capaces de robar información sensible como nombres de usuario, contraseñas o datos de tarjetas de crédito.

Criptominero

También conocido como drive-by mining o cryptojacking, se trata de una técnica de malware cada vez más popular que a través de la instalación de un troyano permite a los hackers criminales utilizar los recursos de hardware de la máquina infectada para “minar” criptomonedas.

Exploit

Se trata de códigos maliciosos que aprovechan fallos y vulnerabilidades del sistema operativo o de las aplicaciones, lo que permite a los hackers criminales tomar el control de las mismas de forma remota.

Cómo eliminar el malware

No es fácil eliminar el malware de un sistema infectado, porque como hemos visto hay casos en los que la posible infección no produce ninguna actividad maliciosa visible. Por lo tanto, para eliminar cualquier posible código malicioso de un dispositivo es aconsejable confiar en un programa antimalware como Malwarebytes, disponible en versiones para Windows, Mac y Android. Sin embargo, por muy eficaz que sea, el antimalware por sí solo puede no ser suficiente para defenderse y evitar un posible ataque de malware. De hecho, los hackers criminales invierten mucho tiempo y dinero en el desarrollo de variantes de malware cada vez más avanzadas, capaces de burlar los sistemas de seguridad de las empresas. Por lo tanto, es un error confiar en un único nivel de seguridad para protegerse de estos ataques.

Mientras tanto, una vez terminada la limpieza “física” del malware, es recomendable cambiar las contraseñas del PC, del smartphone o de la tableta, las contraseñas de la bandeja de entrada del correo electrónico, de las distintas cuentas sociales, de los sitios de comercio electrónico utilizados para las compras online y, obviamente, las contraseñas del home banking y de los servicios de pago online. Dentro de la empresa, también es conveniente adoptar algunas reglas sencillas de seguridad informática útiles para asegurar los activos de información. En primer lugar, es muy importante formar a sus empleados para que reconozcan y se defiendan de los ataques informáticos: la mayoría de los programas maliciosos, de hecho, requieren una acción por parte del usuario para activar la carga útil maliciosa.

Cada vez más, los piratas informáticos utilizan sofisticadas técnicas de social engineering para difundir correos electrónicos maliciosos que son completamente creíbles y engañan a los usuarios para que descarguen programas maliciosos o revelen sus credenciales para acceder a los recursos de la empresa. Teniendo esto en cuenta, todas las empresas deberían contar con planes de formación continua en ciberseguridad para ayudar a los empleados a navegar por los diferentes sectores expuestos a ataques y distinguir entre, por ejemplo, una comunicación oficial de un proveedor o gestor y un correo electrónico de phishing con el asunto “Enviar factura electrónica”. También es muy importante adoptar una política de parches de la empresa que permita a los responsables del departamento de IT advertir a tiempo un posible problema y gestionarlo en consecuencia para reforzar sus propios puntos débiles, sin limitarse a una simple actualización de los sistemas. Recuerde instalar siempre parches de seguridad para los sistemas operativos o las principales aplicaciones que se utilizan a diario en los servidores y puntos finales de su empresa, ya que es relativamente fácil para los hackers criminales identificar los dispositivos y el software sin parches en la red de una empresa y, una vez encontrados, aprovechar las vulnerabilidades conocidas para comprometerlos.

Por último, hay que hacer copias de seguridad de los datos periódicamente y archivarlas. Recuerde que el ransomware también puede cifrar cualquier copia de seguridad de los archivos almacenados en servidores o recursos de red. Una solución, en este caso, podría ser duplicar las copias de seguridad también en un recurso en la nube para poder restaurarlas fácilmente en caso de infección por malware, minimizando el impacto en las actividades empresariales.

@RESERVADOS TODOS LOS DERECHOS
T
Paolo Tarsitano
Temas principales

Especificaciones

H
hackers
K
keylogger
S
spyware
T
trojan
V
virus