Continuamos con la descripción de los distintos tipos de malware que comenzamos en la entrada anterior.
Keyloggers
Como casi todas las palabras informáticas, proviene del inglés: key (tecla) y logger (registrador). La función de un keylogger es capturar todas las pulsaciones del teclado y almacenarlas con el fin de enviarlas a una dirección de correo. En algunos casos y para mayor seguridad, almacena periódicamente volcados de la pantalla con el fin de saltarse la protección de los teclados virtuales.
Su misión principal es la de capturar datos de acceso, especialmente bancarios, aunque también son interesantes otro tipo de datos, como acceso a servidores, etc. Aunque también sería posible, es menos habitual usarlo para capturar conversaciones de chat o de otros programas de mensajería.
Los keyloggers junto al phishing y a los métodos de ingeniería social son los principales métodos utilizados en el fraude electrónico moderno.
Aunque existen keylogger que se pueden conectar al cable del teclado (hardware), nosotros sólo hablaremos del código malicioso que realiza la misma función.
La forma de infección principal de este malware es a través de troyanos, aunque en algunos casos también puede infectar nuestro ordenador como parte de un virus o un gusano.
Uno de los principales problemas de este tipo de malware no es como nos pueda afectar a nuestro ordenador, que va a ser prácticamente nulo su impacto, sino a la confidencialidad de nuestros datos. Por tanto, no mostrará síntomas de infección. Es por ello que es muy recomendable pasar periódicamente el antivirus a nuestro ordenador. Otra forma de evitar la infección es el de ignorar aquellos correos electrónicos que tengamos duda de su procedencia, ya que es el principal medio de infección actualmente. También es el método preferido por parejas celosas o padres demasiado curiosos para saber lo que hace la otra persona en el ordenador.
Hay que tener muy en cuenta que es muy difícil reclamar ante un ataque de este tipo, ya que la persona que accede por nosotros lo hace con unos datos correctos (un usuario y una contraseña válidos) y es complicado demostrar que no hemos sido nosotros o alguien de nuestro entorno cercano.
Phishing
El phishing es una técnica, usando un tipo de ingeniería social, utilizada por los delincuentes para obtener información confidencial como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima. En esto se parece al tipo de malware comentado anteriormente. La diferencia principal es la forma de capturar estos datos confidenciales. Mientras que el keylogger captura lo que nosotros tecleamos, el phising lo que consigue es engañarnos para que tecleemos los datos en una Web que no es la correcta sino una que la suplanta.
Phising también viene de una palabra inglesa (fishing), que viene a significar “pescar o picar”, en el sentido de engañar.
Este engaño suele llevarse a cabo a través de correo electrónico y, a menudo estos correos contienen enlaces a un sitio Web falso con una apariencia casi idéntica a un sitio legítimo. Una vez en el sitio falso, los usuarios incautos son engañados para que ingresen sus datos confidenciales, lo que le proporciona a los delincuentes un amplio margen para realizar estafas y fraudes con la información obtenida.
La principal manera de llevar adelante el engaño es a través del envío de Spam e invitando al usuario a acceder a la página señuelo. El objetivo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios. Hay que destacar que el destinatario de los mensajes siempre es genérico y los mensajes son enviados en forma masiva para alcanzar una alta cantidad de usuarios, sabiendo que un porcentaje (aunque sea mínimo) caerá en la trampa e ingresará al sitio falso, donde se le robará la información.
Podemos evitar ser infectado de la misma manera que con otros muchos tipos de malware. No abrir, y mucho menos hacer clic en enlaces, que no tengamos certeza absoluta de quien nos lo envía y que es lo que lleva. Ante la menor duda, preguntar a la persona (o a la organización) de si se ha enviado dicho correo.
En caso de seria duda, en lugar de teclear el enlace que venga incluido en el correo, teclearlo manualmente, ya que lo habitual es que no coincida el enlace que se ve y al que realmente se redirige una vez pinchado.
Debe de tener la certeza que una empresa o entidad seria, sea pública o privada, nunca le solicitará datos confidenciales por correo (o no debería hacerlo).
Pharming
El Pharming es el aprovechamiento de una vulnerabilidad en el software de los servidores DNS que permite a un atacante adquirir el nombre de dominio de un sitio, y redirigir el tráfico de una página Web hacia otra página Web.
Los servidores DNS son los encargados de conducir a los usuarios a la página que desean ver. Pero a través de esta acción, los ladrones de datos consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas para recabar datos confidenciales, sobre todo relacionadas con la banca online.
Los ataques “Pharming” pueden llevarse a cabo directamente contra el servidor DNS, de forma que el cambio de direcciones afecte a todos los usuarios que lo utilicen mientras navegan en Internet, o bien de forma local, es decir, en cada equipo individual. En este último caso, tan sólo es necesario modificar un pequeño archivo llamado hosts que puede encontrarse en cualquier máquina que funcione bajo Windows y que utilice Internet Explorer para navegar por Internet, y crear falsas páginas Web.
A través del “Pharming”, cuando el usuario teclea en su navegador la dirección de la página a la que quiere acceder, en realidad puede ser enviado a otra creada por el hacker, que tiene el mismo aspecto que la original. Así, el internauta introducirá sus datos confidenciales sin ningún temor, sin saber que los está remitiendo a un delincuente.
Ransomware
Viene del término sajón Ransom que se puede traducir como la exigencia de pago por la restitución de la libertad de alguien o de un objeto, lo que en castellano se traduciría como secuestro. En informática, vendría a ser el secuestro de archivos a cambio de un rescate.
El modo de infección es el habitual (mediante correo electrónico con adjuntos, troyanos, etc.) pero difiere del resto en que una vez que ha infectado nuestro equipo, procede a cifrar la información del disco duro, generalmente documentos y dando unas instrucciones al usuario para poder recuperar su información, generalmente abonando una cantidad de dinero. Si realiza el pago, se le suministra la clave para poder recuperar la información secuestrada.
El modo de evitar esta infección es la habitual en estos casos, es decir, no ejecutar adjuntos de correos de desconocidos o que dudemos de que realmente nos lo ha enviado. Pero además, teniendo copias de seguridad de nuestros datos más importantes podemos minimizar en mucho el impacto de dicha infección.
RogueSoftware/ScareWare/FakeAV
Con esta serie de nombres se denomina aquel malware que simulan ser programas antivirus pero que realmente son lo contrario. Su forma de infectar es simular que nuestro ordenador está infectado para a continuación darnos la solución de instalarnos su programa antivirus, siendo este el verdadero malware.
El malware va a simular (porque no realiza realmente un escaneado de nuestro disco duro) que chequea nuestro ordenador y que descubre muchos virus pero al ser “una versión de prueba”, debe de adquirir la versión profesional para poder realizar la limpieza de estos virus y ahí es donde está el beneficio para el creador de este malware.
Otra de las características que suelen tener este tipo de malware es el de impedir la ejecución de otros antivirus, ya que se descubriría fácilmente el fraude. Además, suele causar muchos problemas con los navegadores, incluyendo páginas de inicio diferente y no dejando modificar algunas de las características de los mismos.
Este tipo de malware suele venir incluido en falsos codecs o plugins para ver determinados videos. También pueden instalarse mediante troyanos.
La forma de impedir nuestra infección, que puede afectar a cualquier sistema operativo, es la de siempre. No instale aplicaciones antivirus desde páginas no seguras (las corporativas) o no ejecute enlaces de correos electrónicos aunque simulen ser de una marca reconocida. En caso de la menor duda, ir a la página del fabricante de dicho antivirus.
Otra de las formas típicas de infección es incluir este tipo de malware dentro de keygen o cracks. En una estadística ya publicada, comentamos que más del 70% de este tipo de ficheros que podemos encontrar por Internet están infectados con algún tipo de malware.
Rootkits
Los rootkits son un tipo malware cuya finalidad es la de ocultar a otros tipos de malware y que no sean detectados por el usuario, bien porque oculta esos ficheros en nuestro explorador de Windows o porque hace que no se vengan los procesos maliciosos en la lista de tareas, con lo que elimina indicios que puedan hacer sospechar de una infección de nuestro ordenador.
Como su nombre puede indicarnos, este software malicioso viene curiosamente de Unix, ya que eran un conjunto de herramientas que el atacante conseguía instalar en una máquina de este sistema operativo con derechos de administrador (root).
Otra de las características que pueden tener algunos es la duplicidad. En algunos de estos rootkits, para evitar su borrado, dos procesos maliciosos se ejecutan en paralelo pero verificando si el otro funciona. En el caso de que uno de los dos dejara de funcionar, el otro inmediatamente lo volvería a crear, lo que hace muy difícil a la hora de borrarlos ya que habría que hacerse simultáneamente. Por ello, los especialistas de eliminar malware suelen arrancar desde un live cd para evitar que estos procesos se activen.
Los métodos de infección suelen ser mediante troyanos, en los cuales son los usuarios los que permiten su ejecución, dándoles los permisos necesarios para su instalación, por técnicas de ingeniería social o haber obtenido la contraseña mediante otros tipos de malware. Una vez que el rootkit ha sido instalado, permite que el atacante disfrace la siguiente intrusión y mantenga el acceso privilegiado a la computadora por medio de rodeos a los mecanismos normales de autenticación y autorización. Una vez instalado, el atacante tiene la puerta abierta del ordenador.
Los rootkits no conocen de barreras en cuanto a sistemas operativos y podemos encontrarlos en todos ellos.
Spam
Se define como spam a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva.
Es ya conocido de donde viene esta palabra porque es muy curioso. Viene de SPiced hAM, que es una especie de jamón que pudo enlatarse y no necesitar frigorífico para conservarse, lo que lo hizo muy popular, sobre todo durante la Segunda Guerra Mundial por los ejércitos aliados.
Pero no alcanzó la popularidad que tiene hasta que en 1969, el grupo Monty Python hizo un sketch en el que no dejaban de pronunciar spam, spam, spam… y cuando se comenzó a recibir correo masivo, alguien lo asoció con este gag del grupo británico y se quedó con el nombre.
Las características principales del spam, aparte de la molestia que ocasiona, son que la dirección del remitente puede ser incluso la nuestra (suele estar siempre falseada), no tiene prácticamente nunca dirección de respuesta, de temas publicitario, aunque es utilizada también por creadores de otros tipos de malware para incluir sus códigos maliciosos mediante la técnica de ingeniería social. Al ser masivo, el idioma puede ser cualquiera, ya que los principales emisores de Spam están en Asia y en Estados Unidos.
Muchas veces nos preguntamos cómo consiguen las cuentas de correo para el Spam y vamos a mencionar algunas de las técnicas que utilizan los spammers y en algunos casos, nos puede servir para evitar, en la medida de lo posible, que se hagan con nuestra cuenta de correo.
El más sencillo es la compra de direcciones a terceros. Cuando publicamos en blogs, nos damos de alta en listas o hacemos reenvíos masivos sin poner copia oculta, se quedan esas cuentas que pueden ser capturadas por programas que rastrean la Web a la caza y captura de direcciones de correo.
En otros casos y sobre todo en dominios grandes como puede ser la Universidad, juegan con combinaciones de palabras esperando acertar. Fallan en la inmensa mayoría de las veces pero si alguien contesta, esa cuenta se toma como válida, por eso la importancia de nunca contestar cuentas de spam (ni para quejarse). Por otra parte, como si no encuentra la cuenta devuelve un error, es fácil suponer que las que no dan error sí que existen.
Otro de los métodos de recolección son los anteriormente citados Hoax (ya sabemos uno de los motivos de su existencia). Cuando reenviamos los reenvíos de cientos de personas, lo que hacemos es facilitarles el trabajo a los Spammer, recopilando multitud de correos electrónicos en uno solo.
Un fácil consejo para evitar mucho correo de este tipo es la utilización de una cuenta basura para inscribirse en foros, publicar en blogs, etc. No utilizar la profesional o en la que tengamos información importante para ese tipo de cosas. El número de Spam os aseguro que disminuirá en muchísimo usando esta simple práctica.
Adware / Spyware
Aunque se trata de dos tipos de malware, suelen agruparse ya que en cierta forma de complementan. Podríamos decir que Adware es el malware que nos muestra la publicidad mientras que el Spyware es quien recopila la información necesaria para conocer nuestros hábitos de navegación y por tanto, saber que cosas creen estas empresas que nos pueden interesar.
Mientras el Adware, (ADvertisement) anuncio en inglés, es el visible (y molesto), apareciendo en forma de ventanas pop-up o agregando barras en nuestros navegadores, el Spyware suele intentar pasar desapercibido, ya que su misión es la opuesta, alimentando tanto al Adware como también a los distribuidores de Spam, que necesitan saber también al público objetivo al cual pueden enviar sus productos.
Este tipo de software es muy, muy habitual en todos aquel software gratuito que nos descargamos e instalamos, bastante alegremente en algunos casos. Con esto quiero decir que rara vez alguien hace algo gratis. Efectivamente, el software es freeware pero en compensación, te incluyen el regalo del Spyware y/o Adware.
En algunos casos, incluso se informa de que el software a descargar tiene este tipo de malware. Ya es decisión del usuario en instalárselo o buscar una alternativa sin este software añadido, que lo suele haber y que recomendamos.
Stealer
Stealer, que en castellano sería algo así como “ladrón de información”, y es el nombre genérico de programas informáticos maliciosos del tipo troyano, que se introducen a través de Internet en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su código de acceso a páginas Web, contraseñas o número de tarjeta de crédito.
Aunque se puede confundir con otro tipo de malware que hemos mencionado antes, el keylogger, al robar información privada, el malware Stealer únicamente accede a la que tenemos guardada en el equipo.
Al ejecutarse, accede a las aplicaciones con el fin de recopilar las contraseñas que puedan tener recordadas en navegadores, clientes de mensajería, cuentas de correo, etc. Al igual que el malware mencionado antes, una vez recopilada la información que buscaba, la enviará a una dirección de correo para un uso posterior.
Troyanos o Caballos de Troya
A lo largo de todo el artículo hemos estado hablando de este tipo de malware y la gran importancia que tiene en la infección de los otros tipos de malware mencionados. Además, es el principal causante de que el malware deje de ser exclusivo de la plataforma Windows y vaya infectando otros sistemas operativos, a los que siempre se les ha considerado que no podían tener malware.
Vamos a describir primero a este software malicioso y después explicaremos por qué ha conseguido expandirse al resto de sistemas operativos, que hasta no hace mucho se consideraban libres de este tipo de malware.
Se denomina Troyano o Caballo de a un tipo de malware capaz de alojarse en ordenadores y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información.
La forma de infectar es simular ser un programa inofensivo y que sea el usuario quien lo instale, dándole los permisos necesarios para ello, con lo que suele saltarse todos los sistemas de seguridad que tienen sistemas operativos como Linux o Mac, ya que algunos programas solicitan la clave de root para su instalación. Si no se está atento, podemos pensar que es lógica dicha petición y dejar totalmente desprotegido nuestro equipo.
Lo habitual es que el programa haga lo que dice hacer, para no levantar sospechas, pero además, realizar la función maliciosa para lo que fue diseñado. Una vez dentro, es posible conseguir que el creador del malware tomar posesión absoluta del ordenador.
Una vez dentro del equipo, a diferencia de virus y gusano, el troyano no puede replicarse a otros ordenadores, ya que como hemos dicho, este malware necesita de la intervención directa del usuario del ordenador para su instalación.
Como somos los usuarios quienes finalmente instalamos el programa, hemos de ser nosotros quienes pongamos el grado de sensatez necesaria para impedirlo. Esto puede intentarse no instalando software de páginas sospechosas, no ejecutando adjuntos que nos vengan en correos electrónicos (incluyendo postales navideñas, divertidos chistes o sugerentes imágenes en un famoso programa de diapositivas, etc.)
Si aún así queremos instalarlo, es más que recomendable no ejecutarlo directamente, sino descargarlo al ordenador y una vez hecho esto, pasarle un antivirus actualizado para comprobar que el programa no lleva nada adicional.
Sistemáticamente, desechar todos los ficheros adjuntos comprimidos con contraseña, la cual se indica en el propio correo, a no ser que se haya solicitado así. Si lo pensamos un poco podemos darnos cuenta de la poca coherencia que tiene el poner la contraseña escrita, con lo que cualquiera podría descomprimir el fichero por lo que la seguridad de ese fichero es cero.
Virus Informático
El término virus informático se usa para designar un programa que, al ejecutarse, se propaga infectando otros programas ejecutables dentro del mismo ordenador. Las acciones de los virus pueden ser muy variadas, pudiendo ser una simple broma (los conocidos como Joke) o realizar acciones bastantes más dañinas, como eliminar ficheros, impedir la ejecución de programas, ralentizar el equipo o incluso dañar completamente el sistema operativo con la consecuencia del necesario formateo y reinstalación del mismo.
Una de las peculiaridades de los virus y que lo diferencian de los gusanos es que el primero “inyecta” su código a un ejecutable que ya existe y lo modifica para poder auto ejecutarse y replicarse a otros ejecutables.
Por su forma de infección, los virus afectan únicamente a equipos con sistemas operativos Windows.
Miguel Ángel Alcaraz, Técnico de soporte y asistencia a usuarios.
—
—