Malware | Qué es el malware y cómo protegerse de los ataques que lo utilizan

¿Qué es el malware?

En pocas palabras, se trata de un software diseñado para interferir con el funcionamiento normal de un ordenador. «Malware» es un término genérico que engloba virus, troyanos y otros programas informáticos destructivos que los atacantes utilizan para infectar sistemas y redes con el objetivo de obtener acceso a información confidencial.

Definición de malware

El malware (contracción de «malicious software», o «software malicioso») es un archivo o fragmento de código que se suele distribuir a través de la red y que infecta y explora redes y sistemas, sustrae información o adopta prácticamente cualquier comportamiento que quiera el atacante. Al existir tantas variantes de malware, existen también numerosas formas de infectar los sistemas informáticos. El objetivo del malware, sea del tipo que sea y tenga las capacidades que tenga, suele ser uno de estos:

• Ofrecer control remoto para que el atacante pueda utilizar el equipo infectado.
• Enviar spam desde el equipo infectado a otros objetivos sin que las víctimas sospechen nada.
• Analizar la red local del usuario infectado.
• Robar datos confidenciales.

Tipos de malware:

«Malware» es un término genérico que engloba cualquier tipo de software malicioso. A continuación, enumeramos ejemplos de malware, definiciones de ataques de malware y métodos de propagación de malware:

Adware: aunque ciertas formas de adware se consideran legítimas, otras obtienen acceso no autorizado a los sistemas informáticos y suponen un verdadero trastorno para los usuarios.

Botnets (contracción de «robot network», o «red de bots»): se trata de redes de ordenadores infectados que están bajo el control de atacantes individuales que utilizan servidores de comando y control. Las botnets, muy versátiles y adaptables, son capaces de mantener la resiliencia mediante servidores redundantes y mediante el uso de ordenadores infectados para retransmitir tráfico. Suelen estar detrás de los ataques de denegación de servicio distribuido (DDoS).

Cryptojacking: así se conoce a las actividades maliciosas de criptominería (proceso mediante el cual se utiliza potencia informática para verificar transacciones en una red de cadena de bloques y ganar criptomoneda por ofrecer ese servicio) que se llevan a cabo cuando los ciberdelincuentes hackean ordenadores de sobremesa, portátiles y dispositivos móviles —tanto empresariales como personales— para instalar software.

Malvertising (contracción de «malware» y «advertising», o «software malicioso» y «publicidad»): es la práctica de utilizar publicidad en línea para propagar malware. Consiste, por lo general, en inyectar código malicioso o anuncios cargados de malware en redes o páginas web de publicidad en línea legítimas.

Malware polimórfico: cualquiera de los tipos de malware anteriores que tenga la capacidad de cambiar de forma con regularidad, alterando la apariencia del código pero conservando el algoritmo que contiene. Cambiar su apariencia externa permite al software eludir la detección tradicional basada en firmas de virus.

Ransomware: se trata de un modelo de negocio delictivo que utiliza software malicioso para secuestrar archivos, datos o información valiosos y pedir un rescate por ellos. Las víctimas de los ataques de ransomware podrían ver sus operaciones seriamente afectadas, o incluso paralizadas por completo.

Herramientas de administración remota (RAT): software que permite controlar un sistema a distancia. En un principio, estas herramientas se diseñaron con fines legítimos, pero ahora las utilizan también los ciberdelincuentes. Las RAT otorgan control administrativo, con lo que los atacantes pueden hacer prácticamente lo que quieran con un ordenador infectado. Además, son difíciles de detectar, ya que no suelen aparecer en las listas de programas o tareas en ejecución y, por lo general, parece que las acciones que realizan proceden de programas legítimos.

Rootkits: programas que conceden acceso con privilegios de root a un ordenador. Los rootkits varían y se ocultan en el sistema operativo.

Spyware: malware que recopila información sobre el uso del ordenador infectado y se la pasa al atacante. El término incluye botnets, adware, comportamiento de puerta trasera, keyloggers, robo de datos y net-worms (gusanos de red).

Troyanos: malware disfrazado de software legítimo. Una vez activados, los troyanos llevan a cabo cualquiera que sea la acción para la que han sido programados. A diferencia de los virus y gusanos, los troyanos no infectan otros sistemas para replicarse o reproducirse. El término «troyano» hace referencia a la mitología griega, según la cual los soldados griegos iban escondidos dentro del caballo de madera que regalaron a la ciudad enemiga de Troya.

Virus: programas que se reproducen por un ordenador o una red. Los virus se aprovechan de los programas existentes como un parásito y solo se activan cuando un usuario abre el programa que los contiene. En el peor de los casos, los virus pueden corromper o eliminar datos, utilizar el correo electrónico del usuario para propagarse o borrar el disco duro por completo.

Gusanos: se trata de virus capaces de autorreplicarse que aprovechan las vulnerabilidades de seguridad para propagarse por los ordenadores y las redes. A diferencia de lo que ocurre con muchos virus, los gusanos no son «parásitos» de los programas existentes ni modifican archivos. Suelen pasar desapercibidos hasta que el nivel de replicación es tal que consumen una gran cantidad de recursos del sistema o de ancho de banda de la red.

Tipos de ataques de malware

El malware también utiliza diversos métodos para propagarse a otros sistemas informáticos a partir del vector de ataque inicial. Las definiciones de ataque de malware incluyen las siguientes:

• Los usuarios pueden abrir (y, por lo tanto, ejecutar) archivos adjuntos de correo electrónico que contienen código malicioso sin ser conscientes de ello. Si el correo electrónico en cuestión se reenvía, el malware puede propagarse a otros sistemas de la organización, lo que aumenta el riesgo para la red.
• Los servidores de archivos, como los que se basan en el protocolo bloque de mensajes del servidor (SMB), en el protocolo común de sistema de archivos de internet (CIFS) o en el protocolo de sistema de archivos de red (NFS), pueden convertirse en catalizadores del malware, a medida que los usuarios van accediendo a los archivos infectados y descargándolos.
• El software de intercambio de archivos puede ayudar a que el malware se replique en medios extraíbles y, a partir de ahí, en redes y sistemas informáticos.
• Los sistemas de intercambio de archivos P2P pueden introducir malware al intercambiar archivos (de música o imágenes, por ejemplo) en apariencia inofensivos.
• Los hackers pueden aprovecharse de vulnerabilidades que se pueden explotar en remoto para acceder a los sistemas, independientemente de en qué lugar del mundo se encuentren y sin que el usuario tenga que hacer nada (o casi nada) con el ordenador.

Aprenda a utilizar las funciones de prevención de amenazas de nueva generación y el servicio de análisis de amenazas en la nube WildFire® de Palo Alto Networks para proteger su red de cualquier tipo de malware, ya sea conocido o desconocido.

Cómo prevenir el malware:

Actualmente, se utiliza una gran variedad de soluciones de seguridad para detectar y prevenir el malware. Entre ellas se encuentran los cortafuegos, los cortafuegos de nueva generación, los sistemas de prevención de intrusiones (IPS) en la red, las funciones de inspección profunda de paquetes (DPI), los sistemas de gestión unificada de amenazas, las pasarelas antivirus y antispam, las redes privadas virtuales, el filtrado de contenido y los sistemas de prevención de filtraciones de datos. Para prevenir el malware, hay que garantizar que todas las soluciones de seguridad funcionen correctamente y, para ello, estas deben someterse a pruebas en las que se utilice una gran variedad de ataques basados en malware. Además, es necesario recurrir a una biblioteca de firmas de malware avanzada y actualizada para asegurarse de que las pruebas incluyan los ataques más recientes.

El agente de Cortex XDR combina varios métodos de prevención que actúan durante las fases más importantes del ciclo de vida de los ataques para interrumpir la ejecución de programas maliciosos y detener los intentos de explotación de aplicaciones legítimas, con independencia del sistema operativo, del estado de conexión del endpoint y de si está conectado a una red de la organización o externa. Como el agente de Cortex XDR no depende de las firmas, es capaz de prevenir el malware de día cero y los exploits desconocidos gracias a su combinación de métodos de prevención.

Detección de malware:

Existen herramientas avanzadas de detección y análisis de malware como cortafuegos, sistemas de prevención de intrusiones (IPS) y soluciones de sandboxing. Algunos tipos de malware son más fáciles de detectar. Es el caso del ransomware, que se da a conocer de inmediato tras cifrar los archivos de la víctima. Otros, como el spyware, permanecen silenciosos en el sistema objetivo para que el atacante siga teniendo acceso a este. Independientemente del tipo de malware o de su definición, de lo fácil o difícil que sea detectarlo y de la persona que lo implemente, el malware siempre se utiliza con fines maliciosos.

Si la política de seguridad del endpoint tiene activada la protección contra amenazas basada en el comportamiento, el agente de Cortex XDR también puede supervisar continuamente la actividad del endpoint para detectar cualquier cadena de eventos maliciosos que haya identificado Palo Alto Networks.

Eliminación del malware:

El software antivirus puede eliminar los tipos de infección más comunes y existen numerosas opciones de soluciones comerciales. Cortex XDR permite tomar medidas de corrección en el endpoint tras recibirse una alerta o concluirse una investigación. Para ello, da a los administradores la opción de iniciar una serie de pasos de corrección, empezando por aislar los endpoints al impedir el acceso a la red en los endpoints en riesgo (excepto el tráfico destinado a la consola de Cortex XDR), terminar los procesos para impedir que el malware en ejecución siga llevando a cabo su actividad maliciosa en el endpoint y bloquear ejecuciones adicionales. A continuación, los archivos maliciosos se ponen en cuarentena y se eliminan de los directorios de trabajo, si el agente de Cortex XDR no lo ha hecho ya.

Protección antimalware:

Para proteger su organización del malware, necesita una estrategia integral que abarque toda la empresa. Las amenazas básicas son exploits menos sofisticados y más fáciles de detectar y prevenir con una combinación de, por un lado, funciones de protección antivirus, antispyware y contra vulnerabilidades y, por el otro, funciones de filtrado de URL y de identificación de aplicaciones en el cortafuegos.

Para obtener más información acerca del malware, de sus variantes y de cómo mantener su organización a salvo de él, descargue estos recursos:

• ¿Qué es la protección antimalware?
• ¿Qué son los ataques de malware sin archivo y la técnica de «vivir de la tierra»?
• Informe sobre las amenazas de ransomware
• ¿Qué es el ransomware?
• Ransomware: métodos de ataque comunes
• Diferencias entre «malware» y «exploit»
• ¿Qué son las firmas basadas en la carga útil?
• Cortex XDR para la detección y respuesta
• Threat Prevention
• Motor de análisis de malware de WildFire