Red Hat Summit
Resumen
El término "malware" hace referencia al software malicioso, e incluye cualquier sistema de software que afecte los intereses del usuario. No solo pueden afectar a la computadora o al dispositivo infectado, sino también a cualquier otro con el que este se comunique.
Abarca desde los gusanos y los troyanos más sencillos, hasta los virus informáticos más complejos.Si bien hay cierta similitud entre el malware, los virus y el código malicioso, no son lo mismo. Por lo tanto, tener un solo un tipo de antivirus o antimalware puede no ser suficiente para prevenir todas las amenazas. Pueden afectar tanto a las computadoras de escritorio como a las portátiles y los dispositivos móviles, pero su ataque y la forma en la que se presenten dependerá del sistema operativo que utilice el dispositivo (Windows, Android, iOS o Apple MacOS). Todos los dispositivos tienen fallas de seguridad y quedan indefensos en algún momento, por lo cual la mayoría de ellos, ya sean profesionales o personales, pueden beneficiarse de los sistemas de protección contra el malware.
Para reducir el nivel de exposición de su empresa a los ataques de malware, se puede utilizar un sistema de seguridad de la TI que sea efectivo. Dos prácticas comunes de ciberseguridad son la gestión de parches, que anula los puntos vulnerables de los sistemas, y el control de acceso, que limita el daño que el malware pueda llegar a producir. Además, si realiza copias de seguridad de sus datos con frecuencia y las aísla de los principales sistemas de producción, podrá recuperarse de los ataques de malware de manera rápida y segura.
La importancia del malware en la ciberseguridad
Imagínese que trabaja en una oficina tradicional. Llega un día, coloca su café en el escritorio y enciende su computadora. Y desde ese momento todo empieza a salir mal.
En lugar de ver el escritorio de la computadora, ve una pantalla de color rojo vivo con un candado y un reloj de cuenta regresiva. "Se han cifrado sus archivos", anuncia. "Si no paga en un plazo de siete días, no podrá recuperarlos". Entonces, mira a su alrededor y descubre que el mismo mensaje está en todas las computadoras de sus compañeros.
En mayo de 2017 sucedió el mismo caso en muchas oficinas de todo el mundo, por el ataque de malware del tipo WannaCry a empresas, oficinas gubernamentales e incluso servicios públicos básicos, como los hospitales.
Sin embargo, no todas las formas de malware se presentan de manera drástica. Es posible que usted no sepa que en sus equipos se ejecuta un malware que ralentiza su sistema o viola su privacidad. Los criminales cibernéticos suelen diseñar estos programas para que no puedan detectarse, y solo realizan actividades notorias en condiciones precisas.
Tal vez no pueda detener el malware, pero si se mantiene informado y aplica las prácticas de seguridad adecuadas, podrá reducir las probabilidades de que interrumpa su trabajo.
Tipos de malware
Para entender mejor el daño que puede generar el malware y la forma de reducir los riesgos, vamos a proceder a clasificar los tipos comunes de malware. Si se descuida, estos pueden infiltrarse en cualquier sistema: desde un dispositivo móvil Android hasta una computadora portátil Apple.
El malware necesita una forma de propagarse y un código para lograr su objetivo. Imagíneselo como si fuera un sistema de distribución y una carga útil.A continuación, proporcionamos un resumen sencillo de esa estructura, seguido de explicaciones más detalladas.
Sistemas de distribución
Troyano: engaña al usuario para que lo instale.
Gusano: se copia a sí mismo.
Pueden combinarse con los siguientes tipos de malware:
Exploit: aprovecha algún punto vulnerable del software para obtener acceso al sistema y a los datos confidenciales.
Suplantación de identidad: engaña al usuario para que brinde información que se pueda utilizar para obtener acceso.
Rootkit o bootkit: obtiene acceso administrativo para evadir la detección y tener más control.
Cargas útiles
Adware: muestra publicidad no deseada
Botnet: somete el dispositivo a control externo
Minero de criptomonedas: utiliza la capacidad informática para realizar trabajos de criptomonedas
Ransomware: exige un pago.
Spyware: recopila datos de forma secreta mediante un registrador de teclas u otras herramientas.
Otras formas de daño: destrucción de datos, vandalismo, sabotaje.
Troyanos
Los caballos de Troya, más conocidos como troyanos, se propagan a través de la ingeniería social. Se hacen pasar por otro software y persuaden a los usuarios desprevenidos para que los instalen. Una estrategia común implica que los atacantes convenzan a los usuarios de abrir un archivo o enlace web que instala el malware.Por ejemplo, los troyanos (como el scareware) persuaden al usuario para que crea que un programa determinado lo ayudará a proteger su computadora cuando, en realidad, hará todo lo contrario.
En otros casos, un usuario puede instalar una aplicación que parece beneficiosa, como una excelente barra de herramientas para el explorador o un teclado de emoticonos divertido, pero que también contiene malware. Otra técnica troyana consiste en escribir malware de instalación automática en una memoria USB externa (o un dispositivo USB) y dársela a un usuario que no sepa de la presencia de dicho malware.Los troyanos de acceso remoto (RAT) permiten que los criminales cibernéticos controlen su dispositivo de manera remota después de infiltrarse.
Gusanos
Los gusanos se introducen en lugares no deseados. Los primeros gusanos informáticos experimentales, que simplemente se copiaban a sí mismos, se crearon en la década de 1970. En la década de 1980, aparecieron los gusanos más dañinos y se convirtieron en los primeros virus informáticos más conocidos, que se propagaban de PC a PC a través de los disquetes, y corrompían los archivos a los que tenían acceso. Con la expansión del Internet, los piratas informáticos y los desarrolladores de malware diseñaron gusanos que se copian a sí mismos a través de las redes, lo cual los convirtió en una pronta amenaza para las empresas y los usuarios conectados a la Web.
Exploits
Un exploit es un punto vulnerable del software que podría utilizarse ilegalmente para forzarlo a realizar alguna tarea fuera de su función original. Un programa de malware puede usarlo para ingresar a un sistema o para trasladarse de una parte del sistema a otra. Muchos exploits dependen de los puntos vulnerables conocidos, (a los que se suele llamar puntos vulnerables y exposiciones comunes [CVE]), y cuentan con el hecho de que no todos los usuarios mantienen sus sistemas actualizados con parches de seguridad. Los exploits del día cero son menos frecuentes, pero se aprovechan de los puntos vulnerables importantes que el encargado del mantenimiento del software no haya corregido.
Suplantación de identidad
La suplantación de identidad es un tipo de ingeniería social donde se intenta engañar al usuario para que brinde información confidencial o datos personales a través de una solicitud fraudulenta, como un correo electrónico de suplantación de identidad o una oferta falsa. Este tipo de ataque suele ser precursor de un malware, ya que se utiliza como estrategia para obtener contraseñas y credenciales de inicio de sesión.
Rootkits y bootkits
Los rootkits son conjuntos de herramientas de software diseñados para obtener el control total de un sistema sin dejar rastros. Reemplazan los controles administrativos normales de un sistema de manera efectiva. Los bootkits son un tipo avanzado de rootkit que infecta el kernel de un sistema, así que adquiere aún más control y es mucho más difícil de detectar.
Adware y spyware
El adware llena su dispositivo de publicidad no deseada, como las ventanas emergentes que aparecen automáticamente en su explorador web.Su pariente cercano, el spyware, recopila información y la transmite a otro sitio. Los programas de spyware abarcan desde rastreadores que supervisan su actividad en Internet hasta herramientas de espionaje sofisticadas. Además, pueden incluir sistemas que registran lo que el usuario escribe en el teclado, llamados registradores de teclas. No solo violan su privacidad, sino que también pueden ralentizar el sistema y obstruir la red.
Botnets
El malware de tipo botnet transfiere el control de un dispositivo a un tercero, lo cual lo vuelve parte de una gran red de dispositivos infectados. En general las botnets se usan para llevar a cabo ataques de denegación de servicio distribuido (DDoS), enviar spam o realizar tareas de minería de criptomonedas. Cualquier dispositivo de una red que no esté protegido puede estar expuesto a una infección. Por lo general, las botnets pueden ampliar su red de dispositivos. Además, son lo suficientemente complejas como para ejecutar varias actividades maliciosas de manera simultánea o secuencial. Por ejemplo, el ataque de malware Mirai de 2016 utilizó enrutadores domésticos y cámaras conectadas a Internet para crear una botnet enorme de DDoS.
Ransomware
El ransomware es una forma de malware que exige un pago a cambio de su anulación. Muchos ransomware comunes cifran archivos en el sistema de un usuario y exigen el pago de un rescate en Bitcoin a cambio de una clave de descifrado. Este tipo de malware adquirió notoriedad a mediados de la década de 2000 y, desde entonces, sus ataques siguen siendo una de las amenazas de seguridad informática más graves y generalizadas.
Otras formas de daño
A veces, el objetivo del desarrollador o el operador del malware es destruir los datos o arruinar alguna herramienta. Mucho antes de que el ransomware se volviera problemático, uno de los primeros programas de malware en conseguir la atención de los medios de comunicación masiva fue el virus Michelangelo en 1992. Su objetivo era sobrescribir la unidad de disco de una computadora infectada en una fecha en particular: el 6 de marzo. Más tarde, en el año 2000, el virus ILOVEYOU se propagó de un usuario a otro en forma de un script Visual Basic que se enviaba como un archivo adjunto por correo electrónico. Cuando se ejecutaba, borraba varios archivos y enviaba una copia por correo electrónico de sí mismo a todos los contactos en la libreta de direcciones del usuario.
Esos virus parecen cualquier cosa en comparación con las formas modernas de malware. Solo piense en el caso de Stuxnet. En el año 2010, la comunidad de seguridad descubrió un gusano muy sofisticado y desconcertante que se había diseñado para dañar un tipo específico de equipo industrial. En la actualidad, muchos expertos en seguridad creen que los gobiernos de Estados Unidos e Israel diseñaron Stuxnet para sabotear el programa de armas nucleares de Irán. Sin embargo, ningún gobierno asumió la responsabilidad oficialmente. De ser así, sería un ejemplo de un nuevo tipo de malware: ciberataques patrocinados por los Estados.
Protección contra el malware
La mejor forma de protegerse contra el malware es evitar la infección.Si bien los sistemas antivirus o antimalware son útiles, hay muchas otras medidas que se pueden tomar para aumentar la resistencia.
Reducción de la superficie de ataque
Reduzca al máximo la cantidad de sistemas, aplicaciones y puertos que están expuestos a Internet.
Información a los usuarios
Los usuarios deben aprender a sospechar de los enlaces y los archivos adjuntos en los correos electrónicos, incluso de aquellos que parecen ser auténticos. Así mismo deben aprender a que las amenazas internas pueden conllevar a un ataque de malware.
Detección
Cuanto antes detecte una infección de malware, más rápido podrá solucionar los problemas del sistema infectado. Tenga en cuenta que algunos sistemas de malware están diseñados para permanecer ocultos.Las herramientas antivirus o antimalware requieren actualizaciones periódicas de sus firmas, y se recomienda contar con varios métodos de detección.
Gestión de parches
Los encargados del mantenimiento del software aplican parches para cubrir los puntos vulnerables de seguridad en cuanto pueden, así que si se ejecutan los sistemas de software actualizados se reduce el riesgo de una infección de malware. Para lograr una gestión efectiva, se necesita que todos los sistemas de su empresa reciban los parches de seguridad de forma oportuna. Revise si hay actualizaciones regularmente, y aplíquelas para protegerse de los exploits conocidos.
Control de acceso
El control administrativo debería limitarse a los usuarios y las aplicaciones de confianza que realmente lo necesitan. De esta manera, si alguna forma de malware ataca su computadora, le será más difícil infectar las funciones centrales de su sistema. Revise sus controles administrativos con regularidad.
Cifrado y copia de seguridad de los datos
La seguridad adecuada de los datos puede marcar una gran diferencia durante un ataque de malware. Si, en el peor de los casos, el malware ingresa a su sistema, podrá utilizar la conmutación por error para volver a una copia de seguridad no infectada que se haya generado antes del ingreso del malware. En otras palabras, esto significa mantener los datos de la copia de seguridad aislados, para que el malware no pueda dañarlos ni borrarlos. Mantener los datos cifrados también es una práctica recomendada porque, así, cualquier dato que el malware extraiga será inútil. En la práctica, esto requiere una combinación de estrategias que variarán en función del tamaño y la complejidad de su empresa. Para las empresas grandes, una solución de almacenamiento definido por software en un entorno de nube híbrida brinda una amplia variedad de flexibilidad en las opciones de cifrado y copia de seguridad.
Todos los sistemas informáticos tienen puntos vulnerables, y los desarrolladores de malware son perseverantes a la hora de encontrarlos y explotarlos. Por eso, la seguridad contra el malware es un tema que nunca deja de evolucionar.
En la guía sobre la tecnología de Red Hat para la seguridad de la TI, encontrará más información sobre cómo establecer procedimientos, procesos y políticas de seguridad.
