El malware no es otra cosa que cualquier software o fragmento de código malintencionado que tiene el objetivo de infiltrarse a través de una instalación y ejecución en un ordenador o dispositivo móvil para realizar actividades no autorizadas por su dueño. Esta infiltración puede estar relacionadas con el sabotaje, el robo de información o la toma de control del sistema.

En la actualidad el malware está diseñado para obtener un beneficio. Asociado al malware existe un mercado muy importante que mueve mucho dinero alrededor de su desarrollo, propagación e incluso alrededor de las contramedidas que nos protegen de él. No hay duda que el malware existe por motivos económicos pero también militares, sociopolíticos, personales como la reputación y otros. Además se trata de una herramienta muy potente para realizar otros tipos de ataques y sus respectivas repeticiones.

Temas relacionados que te pueden interesar:

• Factor Humano y su relación con la Ciberseguridad
• Seguridad Digital ¿Cómo se puede mejorar?

Categorías de Malware

Malware es un término general que abarca múltiples amenazas de seguridad digital. Antiguamente se utilizaba el término virus de manera genérica, pero hizo falta extender el concepto de software malicioso al hacerse más sofisticado y surgir nuevas y muy diferentes categorías. En la actualidad podemos agrupar el malware en tres grandes categorías:

• Infeccioso.
• Oculto.
• Para obtener beneficios económicos directos.

Malware infeccioso

• Virus. Fragmento de código que necesita de un software anfitrión que lo aloje. Las formas o vectores de infección son múltiples: ingeniería social, descarga de un fichero, visita a una web, USB, email, etc. Tiene capacidad de replicación y necesita de la intervención humana para propagarse.
• Gusanos. El gusano es un software con entidad propia. Tiene capacidad de replicación y de propagación a través de la red sin necesidad de intervención humana, por lo que el vector de infección siempre está relacionado con la conexión a la red.

Malware oculto

Troyanos. Software autónomo que se camufla en aplicaciones, como aplicaciones o ficheros normales. En muchos casos se propagan junto con gusanos. Su principal objetivo es y proporcionar acceso no autorizado al sistema infectado. Los troyanos se pueden dividir en varias categorías por la forma en que afectan al equipo anfitrión de acuerdo con su comportamiento y destino:

• Accesos remoto. Otorgan a sus propietarios control completo sobre el sistema para realizar cualquier tipo de tarea.
• Destrucción de datos. Están diseñados específicamente para borrar por completo o corromper los datos almacenados en el sistema, ya sean archivos del sistema operativo o datos del usuario.
• Descarga. Son aplicaciones de software que no pueden dañar al equipo anfitrión por sí mismos, si éste no se conecta a Internet. Su código de carga se conecta a Internet, y luego facilita la instalación de otras aplicaciones como exploits.
• Desactivadores de software de seguridad. Intentan detener o de convertir en inútiles las aplicaciones antivirus o el firewall de Host sin el consentimiento del usuario.
• Denegación de servicio (DoS). Están diseñados para impedir o detener el funcionamiento normal de un sitio Web u otro recurso de red, inundándolo con más tráfico del que es capaz de manejar.
• Rogue Antivirus. Son aplicaciones que advierten a los usuarios de infecciones que no existen con el fin de engañarles para que compren la versión «completa» de un producto anti-malware ficticio.
• Backdoor o puerta trasera.  Es otra forma de denominar a los troyanos de acceso remoto o RAT.
• Rootkits. Conjunto de mecanismos y herramientas que proporcionan el nivel de privilegio máximo a un usuario en un sistema. Por lo tanto, permiten el control completo desde el hardware y el sistema operativo. Es el malware más peligroso por su potencial impacto y por su dificultad de detección.

Malware para obtener beneficios económicos directos

• Spyware. Tiene la funcionalidad de espiar al equipo infectado. Suelen incorporar keyloggers, grabadores de escritorio, software para activar la webcam y otros.
• Adware. En este caso la funcionalidad es mostrar publicidad de manera agresiva.
• Keyloggers. Se encarga de registrar las pulsaciones en el teclado permitiendo el acceso a contraseñas u otro tipo de información privada.
• Stealers. Roban la información privada que se  encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas o credenciales almacenadas, descifran esa información y la envían al atacante.
• Ransomware. Conocido como el secuestrador que hace inaccesibles archivos de utilidad para el usuario, se habla de ransomware criptográfico cuando para ello se cifran estos archivos. Se pide un rescate para poder liberar los archivos, de los que en muchos casos, por desgracia, no se tiene copia de seguridad actualizada.

Un poco de historia del Malware

En la década de los 70

• 1970. El gusano Creeper aparece en ARPANET. Creado como un experimento, no causó daños pero hizo predecir el futuro de malware con su rápida propagación. Reaper fue creado para cazar y destruir Creeper, uno de los primeros ejemplos de un programa antivirus.
• 1974. Aparece el virus Dubbed Rabbit. El nombre tenía que ver con la velocidad con la cual el programa se multiplicaba e inundaba el sistema con copias de sí mismo, reduciendo su velocidad. Una vez que la cantidad de virus alcanzaba cierto nivel, el ordenador dejaba de funcionar.
• 1975. Comenzó la era de los troyanos con el Pervading Animal escrito para el UNIVAC 1108. Mientras el programa plantea un juego al usuario, tratando de adivinar en qué animal está pensando, el programa malicioso crea una copia de sí mismo en cada uno de los directorios a los que el usuario tiene acceso.

En la década de los 80

• 1980. Jurgen Kraus escribió su tesis doctoral La autoreproducción de los programas.
• 1982. Aparece el virus Elk Cloner. Escrito para los sistemas Apple II, particularmente vulnerables debido al almacenamiento del sistema operativo en floppy disks.
• 1983. Frederick Cohen establece por primera vez el término virus.
• 1986. Aparece The brain Boor Sector virus. Está considerado como el responsable de la primera epidemia de virus para IBM PC.
• 1987. Ralf Burger publica la biblia para todos los interesados en el mundo de los virus: Computer Viruses, the disease of high technology.
• 1988. Morris se convierte en el primer gusano ampliamente extendido explotando las vulnerabilidades buffer over run. Infectó el 10% de todos los servidores de Internet disponibles en ese momento.
• 1989. Fridrik Skúlason descubre Ghostball, el primer virus multi-participativo.

En la década de los 90

• 1990. Mark Washburn y Ralf Burger desarrollan la primera familia de virus polimórficos: The Chamaleon.
• 1992. El virus Michelangelo permanece “dormido” en los sistemas infectados, despertando y siendo dañino únicamente el 6 de Marzo, fecha del nacimiento del artista.
• 1994. Los medios extraíbles desencadenan la mayor parte de los problemas de seguridad del año.
• 1995.  Se crea Concept, el primer macro virus.
• 1996. Ply el virus polimórfico aparece con capacidad de permutación. Staog, el primer virus para Linux ataca.
• 1998. Aparece la primera versión del virus CIH (también conocido como Chernobyl73). Es el primer virus conocido capaz de borrar contenido de la memoria ROM BIOS.

Entre el 2000 y el 2009

• 2000. Aparece uno de los gusanos más destructivos de la historia, ILOVEYOU. Desde entonces ha causado al menos 10 billones de pérdidas.
• 2001. Es el turno de Simile, un virus metamórfico multi-sistema operativo y escrito en lenguaje ensamblador. Code Red I es considerado como el primer gusano de la historia buffer overflow en servicios de información de Internet de Microsoft (IIS).!”
• 2002. Ocurrieron 12 epidemias virales muy importantes y 34 menos serias. El gusano Slapper convenció a los escépticos de que los sistemas Linux también eran susceptibles de sufrir ataques.
• 2003. Los gusanos SQL Slammer, Sobig y Blaster son usados en el primer intento organizado de crear botnets a gran escala.
• 2004. Aparece MyDoom, el gusano más rápidamente contagiado, se propagaba por email.
• 2005. Los gusanos Zotob y Samy XSS infectan CDs de música con rootkits.
• 2006.  Aparecen OSX/Leap-A y OSX/Oompa-A, los primeros malware para el sistema operativo Mac OS X.
• 2007. El gusano Storm creó uno de los primeros botnets de la historia actual, también propagado por email. Una vez que se abre, instala un troyano (wincom32) como un rootkit, uniendo a la víctima con el botnet. Se infectaron entre 1 y 5 millones de computadores. Hay que tener en cuenta que 2007 fue un punto de inflexión, sólo en este año se creó el mismo número de nuevas familias de malware que en los 20 años anteriores.
• 2008. Koobface ataca Facebook y Twitter. En el mismo año aparece un troyano de puerta de atrás Rustock con capacidades de rootkit. En este año las soluciones Rogue AV se hacen muy populares.
• 2009. Millones de sistemas XP son infectados por Downadup (también conocido como Kido o Conficker). Uno de los principales vectores de propagación de Conficker son los USB, copiándose a sí mismo como autorun.inf. El usuario ejecuta el gusano cada vez que el dispositivo USB se inserta dentro del sistema.

Desde el 2010

• 2010. Llega SMS.AndroidOS.FakePlayer, el primer malware para Android.  Los troyanos bancarios se hacen muy populares. Aparece Stuxnet, acusado de haberse dirigido contra las instalaciones nucleares iraníes.
• 2011. Android.NickiBot lleva la actividad botnet a los dispositivos móviles. Es el año de la explosión definitiva del malware para móviles.
• 2012. Aparece Zeus, con 13 millones de infecciones en todos el mundo.
• 2013. El botnet ZeroAccess infectó a 1.9 millones de máquinas y se empleó para tareas de bitcoin mining. Y comienzan las campañas masivas de ransomware que todavía estamos sufriendo en la actualidad.
• 2014. Edward Snowden nos mostró que ningún método de encriptado es suficiente para protegernos de los todopoderosos “ojos” del gobierno de los Estados Unidos, que en muchos casos utiliza el malware como herramienta de espionaje masivo o dirigido.

Conclusiones 

Analizando la historia se observa como en los últimos años se ha comenzado a distinguir entre malware genérico, de difusión amplia y aleatoria, y malware específico, de difusión mucho más limitada y dirigido a objetivos mas específicos como son los sistemas industriales, la banca, los puntos de venta o los dispositivos móviles.

Es evidente que el malware es un problema muy importante en el entorno digital. En la actualidad está considerado como la principal amenaza para la seguridad y continúa prosperando en el entorno de Internet.

A medida que Internet ha cobrado importancia en nuestro estilo de vida, aumenta la cantidad e intensidad de las amenazas de malware que son lanzadas contra nosotros. Una de las razones de nuestra aparente incapacidad para eliminar, o para reducir las amenazas asociadas al malware, puede ser producto de la debilidad de las defensas que hemos desplegado. Debemos plantearnos si estamos utilizando las herramientas equivocadas, o estamos empleando incorrectamente las herramientas adecuadas.

Fuente: Ciberseguridad. Entender los ataques para desplegar contramedidas.

¿Conoces otros Malware para agregar a lista de históricos? ¿Tienes alguna experiencia de infección? ¿Qué contramedidas utilizas para protegerte?

Espero tus comentarios del artículo o también puedes contactar directamente por otros temas y estaré encantado de ponerme en contacto contigo. Si te ha parecido interesante el presente contenido, sería genial que lo compartieras en tus redes sociales. Muchas gracias. 🙂 🙂