En los artículos precedentes vimos los ataques a contraseñas y por ingeniería social y los ataques a conexiones, pues bien, en este artículo vamos a ver los «ataques por malware».
Muchos identifican o llaman a los ataques por malware como «virus», pero no es correcto, pues los «virus» son una más de las muchas tipologías de malware.
Los tipos de malware más conocidos son los siguientes:
Ransonware
Su traducción al español sería «secuestro de datos». Son el malware más extendido y el que más daño suele causar.
Por lo general, se transmiten como un troyano o un gusano. El atacante se hace con el control del sistema, lo bloquea o cifra la información del usuario y para liberarlo pide un rescate, generalmente, mediante criptomonedas para no dejar rastro.
Este tipo de malware se puede instalar a través de enlaces engañosos incluidos en un mensaje de correo electrónico, mensaje instantáneo o sitio web. El ransomware tiene la capacidad de bloquear la pantalla o cifrar archivos importantes predeterminados con una contraseña. De modo que, o se paga el rescate o se pierden los ficheros afectados.
Una modalidad muy extendida de ransomware es «scareware». Utiliza tácticas de amedrentamiento o intimidación para hacer que las víctimas paguen. Este tipo de malware puede adoptar la forma de un programa de software antivirus que muestra un mensaje en el que se informa que el ordenador tiene varios problemas y el usuario debe efectuar un pago en línea para corregirlos. El nivel de este tipo de ataque es variable. En ocasiones, abruma a los usuarios con mensajes emergentes interminables o el equipo informático deja de funcionar por completo.
Existe otro tipo de ransomware que se hace pasar por miembros de Fuerzas y Cuerpos de Seguridad. Utilizan un mensaje en el que alertan a la víctima que ha sido atrapada realizando actividades ilegales en línea. A continuación, los archivos se bloquean con cifrados complejos difíciles de recuperar por los usuarios, a menos que paguen un rescate. Independientemente de la situación, incluso si el usuario paga el rescate, no existe garantía de que volverá a acceder a sus sistemas.
Aquellas víctimas que paguen el rescate demuestran la enorme vulnerabilidad de su organización. El pago del rescate se convierte en un estigma y es habitual que se repita el ciberataque. En ocasiones, el pago contribuye a la financiación de actividades terroristas. Los Estados Unidos han anunciado que sancionarán a aquellas empresas que paguen un rescate (fuente aquí). Si deciden pagar el rescate NUNCA empleen tarjetas de crédito, sino Bitcoin, MoneyPak u otros métodos en línea.
Para minimizar las consecuencias de este tipo de ataques es importante tener una adecuada política o estrategia de copias. Si quieren saber más sobre las copias de seguridad, hagan clic aquí.
Wiper
Uno de los ataques más despiadados que puede sufrir una organización. A diferencia del ransonware, los atacantes no piden un rescate, de forma que se pierde cualquier expectativa de recuperación del sistema o los datos.
Los ataques suelen dirigirse contra ficheros, sistema operativo y copias de seguridad. Su objetivo es debilitar a la víctima, ya sea un país o una organización.
Spyware
Similar a los troyanos, este malware intenta mantenerse oculto mientras recopila datos en secreto y sigue las actividades en línea del usuario, tanto en equipos como en dispositivos móviles, para transmitir la información que se obtenga a un tercero. Algunas cepas son capaces de activar cámaras y micrófonos.
Los programas spyware actúan como programas independientes y ejecutables con capacidad para monitorear el uso del teclado, analizar los archivos del disco duro, espiar a otras aplicaciones como progamas de chat y mensajeria instantánea, etc.
Este malware, además de facilitar el robo de información, ralentiza los equipos, pues consumen gran cantidad de recursos, provocan fallos o bloqueos frecuentes del sistema e incluso una sobrecarga del ordenador. También puede manipular los resultados del motor de búsqueda y entregar sitios web no deseados con la finalidad de llevarles a sitios potencialmente peligrosos.
Gusanos
Este malware tiene la capacidad de replicarse entre ordenadores. Para ello, crean copias de sí mismos en el ordenador afectado, que distribuyen posteriormente a través de diferentes medios, como el correo electrónico o programas P2P. Los temas más recurrentes son los relacionados con el sexo, apuestas, famosos, temas de actualidad, o software pirata.
Troyanos
Todos conocemos la historia del Caballo de Troya. Este tipo de malware se presenta como un software legítimo, pero que, al ejecutarlo, le permite al atacante tomar el control del dispositivo infectado. La variedad de troyanos es abismal. A cada cual más peligroso.
Normalmente, vienen asociados a algún tipo de ingeniería social para engañar al usuario y conseguir que cargue y ejecute el troyano en su sistema.
Rootkit
El atacante instala sigilosamente un software malicioso para ocultar una intrusión y obtener acceso con privilegios de administrador a un sistema. La diferente entre los rootkits y los virus es que estos últimos tienden a replicarse con el fin de propagarse y los rootkits no.
Adware
Este tipo de código dañino tiene como objetivo generar publicidad en el equipo de la víctima mediante múltiples ventanas sin que el usuario tenga ningín control sobre éstas. Habitualmente, este ataque se instala en el equipo tras acceder a sitios web de contenido sexual o software pirata.
Rogueware
Se trata de un software malicioso que simula ser un antivirus o herramienta de seguridad y que nos alerta de un problema con nuestros dispositivos. Pueden alertar sobre la presencia de un malware, una amenaza o un problema que hay que corregir. Rápidamente, nos invitará a hacer clic en un botón o enlace para descargar un supuesto software con el que solucionar el problema.
Siempre digo que la mejor herramienta de seguridad para actuar en Internet es el sentido común. Dado que el atacante requiere que hagamos clic en sus alertas, con sentido común, si no conocemos el origen de la supuesta herramienta de seguridad, no lo hagan. Solo confíen en herramientas de seguridad legítimas.
Backdoors
Conocidos como «puertas traseras» suelen funcionar como los troyanos, aunque no siempre es así.
Este tipo de malware es extremadamente peligroso. No solo permite monitorizar, registrar y compartir nuestra actividad con el atacante. Además, le permite crear, eliminar, editar y copiar cualquier archivo, así como ejecutar comandos y realizar modificaciones en el sistema. Suelen utilizarse para infectar a varios dispositivos y formar una Red Zombi o Botnet.
Keyloggers
El atacante realiza un seguimiento y registra cada tecla que pulsamos en el teclado de nuestro equipo, previamente infectado. Pueden parecer inocentes, pero no lo son. Al ser capaz de interceptar todas las pulsaciones registradas en el teclado, la seguridad de cuentas bancarias, correos electrónicos, redes sociales, etc. se ve seriamente comprometida, si descubren los dígitos de las contraseñas a través de las pulsaciones del teclado.
Estas son solo algunas de las muchas modalidades que existen de malware. Las descritas son las más habituales y sencillas, pero las hay extremadamente complejas.
0-day attack (Ataque de día cero)
Es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de un código malicioso gracias al conocimiento de vulnerabilidades que son desconocidas para el fabricante del producto. Se resuelven mediante parches preparados por los responsables del programa defectuoso y antivirus.
Las vulnerabilidades del nuevo software suelen ser arregladas en las primeras actualizaciones del mismo. Por ello, es recomendable actualizar todos los software para arreglar los posibles fallos existentes en el mismo.
Denuncia ante las FCS
Recordarles que si son víctimas de un ataque no duden en denunciarlo a las autoridades. Les dejo los enlaces a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica (UIT) de la Policía y al Grupo de Delitos Telemáticos (GDT) de la Guardia Civil: