Malware: Cómo mantener su empresa segura por dentro
Página del artículo
Las amenazas evolucionan continuamente, pero es posible que la protección de su firewall no lo haga. Ahora es el momento de mirar más allá de la seguridad de red tradicional e incorporar protección contra malware y exploits que pasan a través de PC y dispositivos móviles cuando los usuarios navegan por Internet, envían o reciben correo electrónico y descargan aplicaciones.
Estos planes incluyen:
Extorsión - Bloqueo o interrupción de los equipos informáticos y posterior cobro de dinero para reparar la interrupción. A menudo, estos ataques adoptan la forma de un análisis inútil del equipo y la venta de un software "antivirus" igualmente inútil. Esta técnica se puede utilizar para recopilar información de tarjetas de crédito. A veces, el software adquirido es un "scare-ware" que impulsa compras adicionales o sigue exigiendo pagos de "suscripciones".
Robo - Robo de activos electrónicos. Estos pueden incluir información personal identificable (robo de identidad) de registros de empleados o clientes; información de cuentas financieras y contraseñas; activos comerciales y empresariales exclusivos que se pueden vender a competidores; cuentas de correo electrónico, incluidas las libretas de direcciones, para ser utilizadas para enviar correo basura (de fuentes aparentemente confiables); e incluso los propios recursos informáticos (zombis) que son controlados por los delincuentes para todo, desde enviar correo basura hasta alojar pornografía.
El software que permite estos delitos se clasifica como malware. Por muy preocupante que sea el malware (y que cada vez sea peor), existen formas sencillas y extremadamente efectivas de abordarlo. Pero primero, conozca a su enemigo. El malware típico consta de seis tipos principales: virus, gusanos, troyanos, spyware, adware y rootkits.
Los virus
Probablemente el tipo de malware más conocido sea el virus. Los virus informáticos existen desde hace décadas, pero su premisa básica sigue siendo la misma: normalmente diseñados para causar daños al usuario final, pueden purgar un disco duro entero y dejar los datos inutilizables en cuestión de segundos.
De la misma manera que los virus biológicos se replican a sí mismos cuando infectan una célula huésped, los virus informáticos a menudo se replican y se propagan a través de un sistema infectado. Otros tipos de virus se utilizan para "buscar y destruir", donde se atacan tipos de archivos específicos o partes del disco duro. Los delincuentes que realizan robos cibernéticos a menudo liberan un virus en los sistemas penetrados después de extraer la información deseada como un medio para destruir evidencia forense.
Los virus informáticos se propagaban originalmente a través del intercambio de disquetes infectados. A medida que la tecnología evolucionó, también lo hizo el método de distribución. Hoy en día, los virus se propagan comúnmente a través del intercambio de archivos, descargas web y archivos adjuntos en correos electrónicos. Para infectar un sistema, el virus debe ejecutarse en el sistema de destino; los virus informáticos inactivos que no se han ejecutado no representan una amenaza inmediata. Los virus normalmente no tienen ningún propósito legítimo y en algunos países es ilegal poseerlos.
Worms
Los gusanos informáticos existen desde finales de la década de 1980, pero no eran frecuentes hasta que aparecieron las infraestructuras de red.
Dentro de las organizaciones se volvieron comunes. A diferencia de los virus informáticos, los gusanos tienen la capacidad de propagarse a través de redes sin interacción humana.
Una vez infectado por un gusano, el sistema afectado comenzará a escanear la red local en un intento de localizar víctimas adicionales. Después de localizar un objetivo, el gusano explotará las vulnerabilidades del software en un sistema remoto, inyectándole código malicioso para completar la vulneración. Debido a sus medios de ataque, los gusanos solo tienen éxito en infectar sistemas en la red que ejecutan sistemas operativos específicos. Los gusanos suelen considerarse más una molestia que una amenaza real. Sin embargo, pueden usarse para propagar otro malware o infligir daños a los sistemas de destino.
Troyanos
Al igual que los virus, los troyanos suelen requerir algún tipo de interacción del usuario para infectar un sistema. Sin embargo, a diferencia de la mayoría de los gusanos y virus, los troyanos suelen intentar pasar desapercibidos en el host afectado. Los troyanos son pequeños fragmentos de código ejecutable incrustados en otra aplicación. Normalmente, el archivo infectado es una aplicación que la víctima utilizaría habitualmente (como Microsoft Word o Calculator). El objetivo es que la víctima ejecute sin saberlo el código malicioso al iniciar un programa que de otro modo sería inocente. Esto suele provocar que los troyanos infecten un sistema sin activar ningún tipo de notificación. Existen varios tipos de troyanos, cada uno de los cuales cumple un propósito diferente. Algunos troyanos están diseñados específicamente para extraer datos confidenciales del sistema infectado; estos tipos de troyanos suelen instalar registradores de pulsaciones de teclas o tomar capturas de pantalla del equipo de la víctima y transmitir automáticamente la información al atacante. Otros, más peligrosos, "troyanos de acceso remoto" (RAT), tomarán el control del sistema infectado, abriendo una puerta trasera para que un atacante pueda acceder más tarde. Los troyanos de acceso remoto se utilizan normalmente en la creación de botnets.
Software espía/adware
Al igual que algunos tipos de troyanos, el software espía se utiliza para recopilar y transmitir información confidencial a su distribuidor.
El software espía no suele ser malicioso por naturaleza, pero sí es una gran molestia que suele infectar los navegadores web y dejarlos prácticamente inoperativos. El software espía se suele utilizar con fines comerciales engañosos, como por ejemplo para controlar la actividad del usuario sin su conocimiento. En ocasiones, el software espía puede camuflarse como una aplicación legítima, lo que proporciona al usuario algún beneficio mientras registra en secreto el comportamiento y los patrones de uso.
Al igual que el spyware, el adware es una gran molestia para los usuarios, pero normalmente no es de naturaleza maliciosa. El adware, como su nombre lo indica, se utiliza normalmente para difundir anuncios que proporcionan algún tipo de beneficio económico al atacante. Tras ser infectado por adware, la víctima se ve bombardeada por ventanas emergentes, barras de herramientas y otros tipos de anuncios cuando intenta acceder a Internet. El adware normalmente no causa daños permanentes en un equipo. Sin embargo, puede dejar el sistema inoperativo si no se elimina correctamente.
Los rootkits
Se podría decir que el tipo de malware más peligroso es el rootkit. Al igual que los troyanos de acceso remoto, los rootkits proporcionan al atacante el control sobre un sistema infectado. Sin embargo, a diferencia de los troyanos, los rootkits son excepcionalmente difíciles de detectar o eliminar. Los rootkits suelen instalarse en recursos del sistema de bajo nivel (por debajo del sistema operativo). Debido a esto, los rootkits a menudo pasan desapercibidos para el software antivirus convencional. Una vez infectado con un rootkit, el sistema de destino puede ser accesible para un atacante que proporciona acceso sin restricciones al resto de la red.
Cómo saber si tienes un malware en el tráfico de la red o en una computadora El malware hace saber su presencia de una de tres maneras:
- Una “firma” es una huella digital o un patrón en el archivo que puede ser reconocido por un sistema de seguridad de red, como un cortafuegos, incluso antes de que llegue a una computadora. Si un archivo de este tipo llega a una computadora, el software antivirus o antimalware de la máquina debería detectarlo.
- Un tipo de archivo sospechoso que aparece fuera de contexto, como un ejecutable (.exe) o un valor de registro oculto en un archivo comprimido como un .zip.
- Comportamiento; incluso un rootkit puede revelarse cuando “llama a casa” al operador que lo controla. Si este comportamiento es anormal (por ejemplo, en volumen o en la hora del día), puede ser un indicador de que el sistema está comprometido.