En los artículos precedentes vimos los ataques a contraseñas y por ingeniería social y los ataques a conexiones, pues bien, en este artículo vamos a ver los «ataques por malware».
Muchos identifican o llaman a los ataques por malware como «virus», pero no es correcto, pues los «virus» son una más de las muchas tipologías de malware.
Los tipos de malware más conocidos son los siguientes:
Ransonware
El término «ransomware» proviene de la unión de las palabras «ransom» (rescate, en inglés) con «ware» (producto o mercancía, en inglés). En la práctica, implica la petición de un rescate por el secuestro virtual de los recursos informáticos del usuario. A través de un mensaje, normalmente de carácter intimidante, alertan a la víctima de que la única forma en la que puede descifrar sus archivos o recuperar el sistema es mediante el pago de un rescate, amenazando con la destrucción de todos los archivos secuestrados o con la publicidad de los mismos en Internet.
Por lo general, se transmiten como un troyano o un gusano. El atacante se hace con el control del sistema, lo bloquea o cifra la información del usuario y para liberarlo pide un rescate, generalmente, mediante criptomonedas (bitcoins, generalmente) para no dejar rastro.
Una modalidad muy extendida de ransomware es «scareware». Utiliza tácticas de amedrentamiento o intimidación para hacer que las víctimas paguen. Este tipo de malware puede adoptar la forma de un programa de software antivirus que muestra un mensaje en el que se informa que el ordenador tiene varios problemas y el usuario debe efectuar un pago en línea para corregirlos. El nivel de este tipo de ataque es variable. En ocasiones, abruma a los usuarios con mensajes emergentes interminables o el equipo informático deja de funcionar por completo.
Existe otro tipo de ransomware que se hace pasar por miembros de Fuerzas y Cuerpos de Seguridad. Utilizan un mensaje en el que alertan a la víctima que ha sido atrapada realizando actividades ilegales en línea. A continuación, los archivos se bloquean con cifrados complejos difíciles de recuperar por los usuarios, a menos que paguen un rescate. Independientemente de la situación, incluso si el usuario paga el rescate, no existe garantía de que volverá a acceder a sus sistemas.
El principal problema radica en que, al tratarse de delincuentes, la víctima no va a tener garantías de que van a cumplir con el compromiso tras pagar el rescate, por lo que la principal recomendación es no ceder al chantaje. Es más, es posible que para acceder al mecanismo de desbloqueo se redirija a la víctima a un enlace que podría, a su vez, contener malware y provocar otra infección. Pagar el rescate demuestran la vulnerabilidad de la organización, por eso es habitual que se repita el ciberataque. En ocasiones, el pago contribuye a la financiación de actividades terroristas. Los Estados Unidos han anunciado que sancionarán a aquellas empresas que paguen un rescate (fuente aquí). Si deciden pagar el rescate NUNCA empleen tarjetas de crédito, sino Bitcoin, MoneyPak u otros métodos en línea.
Para minimizar las consecuencias de este tipo de ataques es importante tener una adecuada política o estrategia de copias. Si quieren saber más sobre las copias de seguridad, hagan clic aquí.
Wiper
Uno de los ataques más despiadados que puede sufrir una organización. A diferencia del ransonware, los atacantes no piden un rescate, de forma que se pierde cualquier expectativa de recuperación del sistema o los datos.
Los ataques suelen dirigirse contra ficheros, sistema operativo y copias de seguridad. Su objetivo es debilitar a la víctima, ya sea un país o una organización.
Adware
El «adware» se define como un software que se instala sin que el usuario sea consciente de haberlo activado, el cual hace que aparezcan en el navegador anuncios publicitarios no deseados, ya sea de determinadas páginas webs, como de productos o servicios. Este malware muestra la publicidad en ventanas emergentes, o a través de una barra que aparece en la pantalla mediante la simulación de ofrecer al usuario distintos servicios útiles. Habitualmente insertan iconos en las barras de herramientas de los navegadores. Estas barras de tareas personalizadas proceden a predefinir determinadas palabras claves para que el usuario sea redirigido a sitios con publicidad, independientemente de lo que el mismo esté buscando.
Es una técnica molesta que impide al usuario navegar con libertad, ya que tiene que lidiar constantemente con la aparición de publicidad indeseada, pero no daño los equipos.
Spyware
Similar a los troyanos, este malware intenta mantenerse oculto mientras recopila datos en secreto y sigue las actividades en línea del usuario, tanto en equipos como en dispositivos móviles, para transmitir la información que se obtenga a un tercero. Algunas cepas son capaces de activar cámaras y micrófonos.
Los programas spyware actúan como programas independientes y ejecutables con capacidad para monitorear el uso del teclado, analizar los archivos del disco duro, espiar a otras aplicaciones como programas de chat y mensajería instantánea, etc. Además de facilitar el robo de información, ralentiza los equipos, pues consumen gran cantidad de recursos, provocan fallos o bloqueos frecuentes del sistema e incluso una sobrecarga del ordenador. También pueden manipular los resultados del motor de búsqueda y entregar sitios web no deseados con la finalidad de llevarles a sitios potencialmente peligrosos.
Gusanos
Este malware tiene la capacidad de replicarse entre ordenadores. Para ello, crean copias de sí mismos en el ordenador afectado, que distribuyen posteriormente a través de diferentes medios, como el correo electrónico o programas P2P. Los temas más recurrentes son los relacionados con el sexo, apuestas, famosos, temas de actualidad, o software pirata.
Troyanos
Todos conocemos la historia del Caballo de Troya. Este tipo de malware se presenta como un software legítimo, pero que, al ejecutarlo, le permite al atacante tomar el control del dispositivo infectado. La variedad de troyanos es abismal. A cada cual más peligroso.
Normalmente, vienen asociados a algún tipo de ingeniería social para engañar al usuario y conseguir que cargue y ejecute el troyano en su sistema.
Existen múltiples tipos de troyanos, entre los que podemos destacar los siguientes:
- Puertas traseras o «backdoor»: Este tipo de troyano posibilita que el atacante pueda conectarse de manera remota al equipo infectado, sin conocimiento del usuario, eludiendo los sistemas de seguridad. No solo permite monitorizar, registrar y compartir nuestra actividad con el atacante. Además, le permite crear, eliminar, editar y copiar cualquier archivo, así como ejecutar comandos y realizar modificaciones en el sistema. Suelen utilizarse para infectar a varios dispositivos y formar una Red Zombi o Botnet.
- Keyloggers (del inglés Key/Tecla y Log/Registro): El atacante realiza un seguimiento y registra cada tecla que pulsamos en el teclado de nuestro equipo, previamente infectado. Pueden parecer inocentes, pero no lo son. Al ser capaz de interceptar todas las pulsaciones registradas en el teclado, la seguridad de cuentas bancarias, correos electrónicos, redes sociales, etc. se ve seriamente comprometida, si descubren los dígitos de las contraseñas a través de las pulsaciones del teclado.
Rootkit
El atacante instala sigilosamente un software malicioso para ocultar una intrusión y obtener acceso con privilegios de administrador a un sistema. La diferente entre los rootkits y los virus es que estos últimos tienden a replicarse con el fin de propagarse y los rootkits no.
Rogueware
Se trata de un software malicioso que simula ser un antivirus o herramienta de seguridad y que nos alerta de un problema con nuestros dispositivos. Pueden alertar sobre la presencia de un malware, una amenaza o un problema que hay que corregir. Rápidamente, nos invitará a hacer clic en un botón o enlace para descargar un supuesto software con el que solucionar el problema.
Siempre digo que la mejor herramienta de seguridad para actuar en Internet es el sentido común. Dado que el atacante requiere que hagamos clic en sus alertas, con sentido común, si no conocemos el origen de la supuesta herramienta de seguridad, no lo hagan. Solo confíen en herramientas de seguridad legítimas.
0-day attack (Ataque de día cero)
Es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de un código malicioso gracias al conocimiento de vulnerabilidades que son desconocidas para el fabricante del producto. Se resuelven mediante parches preparados por los responsables del programa defectuoso y antivirus.
Las vulnerabilidades del nuevo software suelen ser arregladas en las primeras actualizaciones del mismo. Por ello, es recomendable actualizar todos los software para arreglar los posibles fallos existentes en el mismo.
Conclusión
En este artículo y en los precedentes les he enumerado algunos de los muchos tipos de ciberataques que hay. Tengan presente que cada día surgen nuevas modalidades o variantes que nos obligan a estar en guardia permanentemente.
Si son víctimas de un ataque no duden en denunciarlo a las autoridades. Un vez más, les dejo los enlaces a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica (UIT) de la Policía y al Grupo de Delitos Telemáticos (GDT) de la Guardia Civil:
