Malware (I)

Antes de comenzar a hablar sobre este amplísimo tema, que dividiremos en dos entradas, nos gustaría explicar un poco el motivo que nos ha llevado a tratarlo.

Todo el mundo que use habitualmente un ordenador se puede ver afectado de una u otra forma por alguna de las muchas variedades de malware que existen. Parece ser que es ya algo inherente a la informática y que vista la evolución en estos últimos años, no incita mucho al optimismo que esto vaya a dejar de ser así.

En contra de lo que se ha ido diciendo en multitud de sitios durante muchos años, incluso por profesionales reputados del sector, TODOS los ordenadores, sea cual sea su sistema operativo, están en riesgo de ser infectado por uno de los tipos de malware que vamos a explicar en esta serie de artículos. Ahora bien, los usuarios de los sistemas operativos que afirman que Windows es la plataforma con más virus potenciales y con un nivel de seguridad inferior al resto tienen toda la razón, pero no se pueden confiar porque aunque en menor cantidad y variedad, sus ordenadores también pueden ser infectados. Por esta razón es más que conveniente saber cómo pueden infectarse nuestros equipos y la mejor manera de evitarlo.

Una vez dicho esto, vamos a intentar explicar cada una de las variedades de malware, a qué plataformas les puede afectar y en mayor o menor medida, cómo podemos evitar dicha infección.

En primer lugar, vamos a intentar definir qué se entiende como malware.

Malware está formada de las palabras inglesas malicious software, traducido al castellano como software malicioso o malintencionado y es un tipo de software que tiene como objetivo infiltrarse o dañar un ordenador sin el consentimiento del usuario. El término malware es muy utilizado por profesionales de la informática para referirse a una gran variedad de software hostil, intrusivo o molesto. Existe el error habitual de utilizar el término virus informático para referirse a todos los tipos de malware, incluidos los virus informáticos verdaderos.

En algunos casos, diversos tipos de malware comparten cosas comunes por lo que puede llevar a la confusión sobre cual es la categoría de malware de algún código malicioso en concreto. Dependiendo de cómo consideramos su “modus operandi” se englobará en uno u otra categoría, aunque de esto se suelen encargar las diversas empresas de antivirus que existen en el mercado (como veremos los antivirus son un tipo de malware).

Ya sabemos qué es malware y ahora toca decir qué no lo es. En ocasiones, algún programa o actualización de él puede causar problemas en nuestro ordenador similares a lo que puede causar el malware. Pero a diferencia de este último, dicho error o bug (tal y como se conoce informáticamente), no ha sido realizado intencionadamente y de ahí su diferencia.

Pasemos a describir los diferentes tipos de malware que existen. Esta terminología es la estándar. En ocasiones podemos encontrar que para nombrar a uno de estos tipos usan otro nombre, bien en castellano, bien otra palabra inglesa pero que viene a significar lo mismo. Nos hemos ceñido a la habitual por los profesionales del sector. En algunos casos sí que hemos puesto los diferentes nombres para evitar confusiones.

Tipos de Malware (alfabéticamente):

•    Backdoor o Puerta trasera
•    Bomba Lógica
•    Botnet (Zombies)
•    Crimeware
•    DDoS
•    Dialers
•    Drive-by Download
•    Exploit
•    Grayware o greynet
•    Gusano o worm
•    Hijacking
•    Hoax
•    Keylogger
•    Phishing
•    Pharming
•    Ransomware
•    Rogue o Scareware
•    Rootkit
•    Spam
•    Spyware/Adware
•    Stealers
•    Troyano
•    Virus Informático

Puertas traseras o Backdoors

Un backdoor o puerta trasera es una técnica de malware utilizada habitualmente para entrar a un ordenador sin usar los procedimientos normalmente utilizados para ello. Vamos a intentar explicar un poco mejor esto: se trataría de un código malicioso que permite que alguien entre en nuestro ordenador remotamente sin nuestro permiso, de ahí el nombre de puerta trasera. Este código, como vemos, tiene una misión muy específica (permitir el acceso a un ordenador y obviamente, sin dejar pistas) y por tanto, es necesario que vaya junto a otro tipo de malware que permita su instalación en nuestra máquina como puede ser un troyano, gusano u otro tipo de malware.

Aparte del peligro que existe en que alguien utilice nuestro ordenador (con sus datos personales incluidos), suele utilizarse para hacer BotNets, que más adelante comentaremos.

Este tipo de malware es posible encontrarlo en cualquier plataforma, ya que si se instala por troyano, como veremos más adelante, es posible habilitarle funcionalidades de root y por tanto, permitir un acceso total de nuestro ordenador.

Bomba lógica o de tiempo

Muchos informáticos no consideran a las bombas lógicas como malware, ya que el método de infección es diferente: va incluida con la aplicación que afecta o bien se instala en la máquina por una persona, en teoría de confianza, que tiene un acceso directo a nuestra máquina.

Se trata de un código que se activa cuando se cumplen (o no se cumplen) algunas condiciones ya preestablecidas en el código. Un ejemplo que antes se veía sería el de un programador que realizaba aplicaciones informáticas perfectamente legales pero que no estaba seguro de ser remunerado por dicho trabajo. En alguna parte del programa colocaba el código para que si en un plazo X no se desactivaba, el programa dejaba de funcionar.

Hay que dejar claro que no se puede considerar malware a aquellas aplicaciones que tienen marcadas un número de aplicaciones (o un tiempo determinado) de prueba, y ejemplos de este tipo de aplicaciones podrían ser programas shareware, que permite su utilización un número de veces para probar si cumple las expectativas. Si es así, hay que comprar la versión completa.

En este caso, también es posible la infección en cualquier sistema operativo.

Botnets

Como hemos visto en los backdoors, una persona puede usar nuestro ordenador remotamente. Uno de los usos que le suelen dar es crear una red de ordenadores infectados o botnets. También suele usarse la palabra “zombies” para denominar a estos ordenadores infectados. Con ellos, los creadores de malware pueden realizar envíos masivos de Spam o lanzar ataques de Denegación de Servicio (o DDoS) desde equipos sin ninguna relación con ellos y por tanto, conservando el anonimato.

Existen diversas formas de conectar al ordenador zombie con el creador de malware (canal de chat, IRC, etc.) por el que recibe las instrucciones que debe de realizar, así como  las actualizaciones necesarias para continuar siendo ilocalizable para los antivirus, ya que lo más importante para este tipo de software es no dar señales de infección.

La forma de infección normal es mediante troyanos, lo que hace que cualquier sistema operativo pueda acabar como zombie. Por comodidad del creador de malware, lo habitual es no hacer mucho código diferente (cada plataforma tiene sus peculiaridades) y centrarse bien en un sistema operativo concreto cada vez (y mejor si es mayoritario) o bien aprovechar cualquier agujero de seguridad del sistema operativo de turno con el fin de facilitar su infección.

Suelen realizar los ataques cuando han creado una “granja de ordenadores” lo suficientemente grande para que sus resultados sean realmente efectivos.

Crimeware

Este tipo de malware tiene una función específica y es el de la ejecución de delitos financieros en entornos de línea, o más concretamente el software que produce pérdidas económicas al usuario del ordenador.

Diseñado mediante técnicas de ingeniería social, intenta conseguir datos de acceso a servicios financieros instalados en un ordenador con el fin de obtener fondos de dichas cuentas o realizar transacciones, obviamente no autorizadas, del legítimo propietario.

Para conseguir dichos datos, este malware puede instalar keyloggers (ya lo veremos más delante de que se trata) con el fin de capturar los datos personales necesarios para el acceso a dichas cuentas.

En algunos casos, este tipo de malware es capaz de modificar nuestra configuración de red (por ejemplo, modificando los DNS) con el fin de engañar al usuario y que aunque se teclee totalmente una dirección Web totalmente válida, se redirija automáticamente a otra dirección ficticia, réplica de la original. Lo habitual es que tras entrar a la aplicación en cuestión nos aparezca un error (por ejemplo, de servicio no operativo por tareas de mantenimiento) con el fin de que no se sospeche hasta que sea demasiado tarde.

Este tipo de malware, como los dos anteriores, es totalmente funcional en cualquier sistema operativo.

DDoS

Un ataque DoS (Denial-of-Service o Denegación de Servicio) está diseñado para obstaculizar o detener el normal funcionamiento de un sitio Web, de un servidor o de algún recurso de una red. Hay varias formas en que los hackers pueden lograrlo. Un método común consiste en inundar un servidor enviándole más peticiones de las que puede manejar. Esto hará que el servidor funcione lentamente (las páginas Web tardarán en abrirse), y el servidor puede sufrir un colapso total (ocasionando que caigan todos los sitios Web del servidor).

Un ataque DoS-distribuido (DDoS) se diferencia sólo por el hecho de que el ataque se realiza mediante múltiples equipos. El hacker suele utilizar un equipo cautivo, conocido como “master”, y coordina el ataque con otros equipos, llamados “zombis”. Tanto el “master” como los “zombis” han sido capturados explotando una vulnerabilidad de una aplicación instalada en el ordenador para instalar un troyano u otro tipo de código malicioso.

Dialer

Se trata de una forma de fraude, mediante software malicioso, en el cual se desconecta de nuestro proveedor de Internet para conectarse a uno con tarificación especial

Actualmente  deben de existir poquísimos usuarios (o eso espero) que aún se conecten de esta forma (vía marcación telefónica por módem), ya que la forma habitual de conexión a Internet en nuestro país es por ADSL, aunque en casos muy concretos todavía es posible encontrarlos.

Que actualmente no cause perjuicio económico por lo anteriormente mencionado no quiere decir que no puedan infectarse nuestros ordenadores, lo que puede acarrear un mal funcionamiento del mismo.

Este malware prácticamente sólo infecta ordenadores con sistema operativo Windows.

Drive-by Downloads

Por este nombre se conoce a la metodología de ataque mediante páginas Webs con malware en su código que, al visitarlas y si no tenemos antivirus instalado y no estar al día en las actualizaciones de nuestro equipo, pueden aprovechar cualquier vulnerabilidad e instalarse en nuestro equipo. De hecho, se dice que el 10% de las páginas Webs contienen malware.

Es muy importante comentar que en algunos correos viene links a páginas y que cuando pinchamos dicho correo, si no se especifica lo contrario, se “abre” en nuestro cliente de correo la Web, con el código malicioso incluido.

Hay que aclarar que las páginas infectadas no tienen por qué ser creadas para dicha función sino que pueden ser páginas normales y corrientes, elaboradas por empresas y/o particulares pero que tienen algún tipo de vulnerabilidad que las hace susceptible de ser infectadas por scripts con Exploits (que veremos más adelante) dentro de su código HTML. Este script malicioso es el que descargara y ejecutara el usuario que visita esta página.

Aparte de antivirus actualizado, sistema operativo al día y mucha precaución, es una buena práctica instalar determinados plugins en los navegadores que lo que hacen es antes de cargar la página en el navegador, analizar y busca código malicioso, rechazándolo si tuviera malware y ejecutando la página si estuviera limpio de él.

Como veremos en el siguiente tipo de malware, existen Exploits para todos los sistemas operativos actuales, por lo que cualquiera de ellos puede verse afectados, aunque como comentamos anteriormente también, casi siempre se centran en aquellos sistemas operativos que puedan conseguir mayor repercusión de una manera más sencilla y actualmente Windows es el blanco más habitual de este tipo de ataques.

Exploit

Como hemos visto antes, un exploit (del inglés to exploit, explotar o aprovechar) es código que aprovecha una vulnerabilidad del navegador o del sistema operativo para que, con su ejecución, permitir el acceso o la ejecución de otros tipos de malware como gusanos o troyanos, es decir, es más un medio de infección que otra cosa.

Existen diversos tipos de exploits dependiendo las vulnerabilidades utilizadas y son publicados cientos de ellos por día para cualquier sistema y programa existente pero sólo una gran minoría son utilizados como parte de otros malware.

Grayware

Se trata de un tipo de malware que engloba a aquellos códigos maliciosos que  se comportan de forma molesta o indeseada, aunque no necesariamente dañinos. Entre ellos pueden haber Adware, Spyware, Dialers, Jokes, Toolbars, etc. pero no se consideran Grayware a virus o troyanos.

Lo que suelen tener en común es que afectan al rendimiento de la máquina en la que están, bien por un descenso de prestaciones del ordenador, pantallazos azules (o similares), molestias que puedan causar del tipo ventana Pop-up, modificación del navegador, publicidad no deseada, etc.

Su forma de infección es por instalar software de procedencia dudosa, por correo o haciendo clic en alguna ventana pop-up o página Web, por lo que, ya que necesita la intervención del usuario de una forma u otra para su instalación, puede afectar a cualquiera de los sistemas operativos. Como hemos dicho anteriormente, la inmensa mayoría de este tipo de malware va enfocado al mundo Windows pero eso no quiere decir que los demás sean inmunes sino que no se les ve como objetivos, todavía.

No se considera Grayware si puede replicarse o infectar a otras máquinas automáticamente.

Gusanos

La principal diferencia con los conocidos como virus informáticos es que los gusanos pueden replicarse a sí mismos en un equipo sin tener que utilizar un programa “huésped”, es decir, sin infectar otros programas del sistema, así como no necesitar la intervención del usuario para su propagación.

En ocasiones, existen ficheros que pueden ser utilizados por aplicaciones perfectamente  pero que llevan el gusano integrado en él (por lo que no puede ser considerado virus ya que no se infecta sino que ya es así de fábrica)

Los métodos de propagación suelen ser muy variadas, ya que puede propagarse por la red, estar en adjuntos de correo electrónico o descargarse por Internet.

Su misión es variada y va entre bloquear al equipo al colapsar la memoria del ordenador, realizar ataques coordinados de DDoS contra sitios Webs hasta permitir el acceso a otros tipos de malware. Lo que sí que lleva en su ADN (o más correctamente en su código) es la propagación masiva.

Hijacking

El significado de esta palabra en inglés es “secuestro” y viene a hacer referencia, dentro del ámbito en que nos movemos, a cualquier técnica cuya función sea conseguir ilícitamente, generalmente información, por parte de terceras personas. Este secuestro puede ser muy variado, como el de servicios, sesiones, conexiones de red, etc. Siendo el más habitual el del secuestro del navegador, configurando la página de inicio, el buscador por defecto, etc. siempre sin el consentimiento del usuario.

Algunos programas shareware y/o freeware llevan incluido este tipo de malware, por lo que hay que llevar especial cuidado sobre qué programas nos instalamos. Es muy convenientes leer en foros especializados antes de instalarse un programa del que no conozcamos nada sobre él, aparte de su funcionalidad.

Hoax

La definición de hoax se acerca más a engaño o bulo que a broma, ya que son mensajes, generalmente a través del correo electrónico, en los que utilizando la ingeniería social se nos comunica una advertencia, generalmente importantísima, la cual es casi imprescindible que sea a su vez difundida al mayor número de personas.

La variedad de hoax que existen es enorme y puede tocar muchos temas, desde un nuevo virus que ha aparecido y que no se detecta por ningún antivirus a cualquier cadena de mensajes que se precie, enfermedad de niño que gracias a los miles de correos se pondrá bien o bulos sobre cosas que te pueden pasar si enciendes la luz larga a un coche negro que circula en dirección contraria. La imaginación en este tipo es infinita.

Siempre tienen una estructura muy definida y si nos fijamos un poco es sencillísimo descubrirlos pero aún así, es habitual recibir periódicamente algunos de estos hoax aunque 15 días antes les hayas explicado lo que es a la misma persona.

Uno de los motivos más importante por el que NUNCA TENEMOS QUE REENVIAR ESTE TIPO DE CORREOS  es que puede pasar que no se haga caso a sucesos verdaderos que haga necesaria una difusión (por ejemplo, un verdadero problema de enfermedad o una petición real de donación de sangre)

Los puntos principales de un hoax que se precie son los siguientes:

– Una fuente de reconocido prestigio ha descubierto algo muy importante.
– Esa información no puede ser contrastada por otros medios.
– Obviamente es de vital importancia que se difunda para alcanzar al mayor número de contactos.
– En muchos casos, el no reenvío de la información nos causará algún tipo de perjuicio.

El gancho puede ser el que vas a perder la gratuidad en un servicio (por ejemplo, si no lo mandas no será gratis Hotmail), un nuevo virus que es indetectable, una llamada por teléfono o un SMS que si lo contestas te pasa cualquier cosa y lo que es peor, puede perjudicar a un producto al decir que tal o cual producto produce cáncer o lleva alguna sustancia peligrosa para la salud.

A diferencia del fraude el cual tiene normalmente una o varias víctimas y es cometido con propósitos delictivos y de lucro ilícito, el bulo tiene como objetivo el ser divulgado de manera masiva haciendo uso de los medios de comunicación, siendo el más popular de ellos en la actualidad Internet, encontrando su máxima expresión en los foros y en las cadenas de mensajes de los correos electrónicos. No suelen tener fines lucrativos o no son su fin primario y sin embargo pueden llegar a resultar muy destructivos.

 

Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.

 

Malware (II)