En los artículos anteriores vimos los ataques a contraseñas y por ingeniería social y los ataques a conexiones. En este artículo vamos a ver los «ataques por malware».
Muchos identifican o llaman a los ataques por malware como «virus», pero no es correcto, pues los «virus» son una más de las muchas tipologías de malware que existen.
Los tipos de malware más conocidos son los siguientes:
Ransonware
El término «ransomware» proviene de la unión de dos palabras inglesas: «ransom» (rescate) y «ware» (producto o mercancía). Se propaga frecuentemente como troyano, gusano o mediante exploits.
Tras bloquear el acceso al sistema (secuestro virtual), los atacantes envían un mensaje de tono intimidante en el que advierten a la víctima de que la única forma de descifrar sus archivos o recuperar el acceso al sistema informático es pagar un rescate, generalmente en criptomonedas. De lo contrario, amenazan con destruir los archivos secuestrados o divulgarlos en Internet.
Una variante es el «scareware» o «rogueware», que no siempre cifra la información, sino que recurre a la intimidación para que las víctimas realicen un pago. Este tipo de malware suele presentarse como un falso programa antivirus que muestra mensajes alertando de múltiples problemas en el equipo y pide al usuario efectuar un pago en línea para «solucionarlos». En algunos casos, satura al usuario con ventanas emergentes constantes o incluso provoca que el equipo deje de funcionar por completo.
Otro tipo de ransomware se hace pasar por miembros de Fuerzas y Cuerpos de Seguridad del Estado. Los atacantes muestran un mensaje en el que alertan a la víctima de que ha sido descubierto realizando actividades ilegales en línea. Tras ello, el sistema o los archivos del usuario se bloquean mediante cifrados complejos.
Aunque se pague el rescate, no existe garantía alguna de que vayan a recuperar el acceso; es más, al detectar la desesperación de la víctima, los atacantes pueden exigir aún más dinero. También es posible que, para acceder al supuesto mecanismo de desbloqueo, se redirija a la víctima a un enlace que contenga nuevo malware y provoque otra infección. Pagar el rescate evidencia la vulnerabilidad de la organización, lo que aumenta la probabilidad de sufrir ataques posteriores. En cualquier caso, si deciden efectuar el pago, nunca utilicen sus tarjetas de crédito, sino métodos como Bitcoin, MoneyPak u otros sistemas en línea. Sobre el pago de rescates hice otro artículo, que dejo enlazado aquí.
Para minimizar las consecuencias de este tipo de ataques es importante tener una política de copias adecuada. Si quieren saber más sobre las copias de seguridad, hagan clic aquí.
Troyanos
Todos conocemos la historia del Caballo de Troya. Este tipo de malware se presenta como un software legítimo, pero, al ejecutarlo, permite al atacante tomar el control del dispositivo infectado. La variedad de troyanos es enorme. A cada cual más peligroso.
Normalmente, se asocian a técnicas de ingeniería social destinadas a engañar al usuario para conseguir que descargue y ejecute el troyano en su sistema.
Existen diversos tipos de troyanos, entre los que podemos destacar los siguientes:
- Puertas traseras o «backdoor»: posibilita que el atacante pueda conectarse de forma remota al equipo infectado, sin conocimiento del usuario y eludiendo los sistemas de seguridad. No solo permite monitorizar, registrar y compartir la actividad de la víctima con el atacante, además permite crear, eliminar, editar y copiar cualquier archivo, así como ejecutar comandos y realizar modificaciones en el sistema. Suelen utilizarse para infectar a varios dispositivos y formar una Red Zombi o Botnet.
- Keyloggers: registran cada tecla que se pulsa en el teclado. Al ser capaz de interceptar todas las pulsaciones registradas en el teclado, la seguridad de cuentas bancarias, correos electrónicos, redes sociales, etc. se ve seriamente comprometida, si descubren los dígitos de las contraseñas a través de las pulsaciones del teclado.
Spyware
Similar a los troyanos, este malware intenta mantenerse oculto mientras recopila datos en secreto y sigue las actividades en línea de la víctima, tanto en equipos como en dispositivos móviles, para transmitir la información que se obtenga al atacante. Algunas cepas son capaces de activar cámaras y micrófonos.
Los programas spyware actúan como programas independientes y ejecutables con capacidad para monitorear el uso del teclado, analizar los archivos del disco duro, espiar a otras aplicaciones como programas de chat y mensajería instantánea, etc. Además de facilitar el robo de información, ralentiza los equipos, pues consumen gran cantidad de recursos, provocan fallos o bloqueos frecuentes del sistema e incluso una sobrecarga del ordenador. También pueden manipular los resultados del motor de búsqueda y entregar sitios web no deseados con la finalidad de llevarles a sitios potencialmente peligrosos.
Gusanos
Este malware tiene la capacidad de replicarse entre ordenadores. Para ello, crean copias de sí mismos en el ordenador afectado, que distribuyen posteriormente a través de diferentes medios, como el correo electrónico o programas P2P. Los temas más recurrentes son los relacionados con el sexo, apuestas, famosos, temas de actualidad, o software pirata.
Rootkit
El atacante instala sigilosamente un software malicioso para ocultar una intrusión y obtener acceso con privilegios de administrador a un sistema. La diferente entre los rootkits y los virus es que estos últimos tienden a replicarse con el fin de propagarse y los rootkits no.
Rogueware
Se trata de un software malicioso que se hace pasar por un antivirus o una herramienta de seguridad, alertando a la víctima de un supuesto problema en su equipo, instándola a hacer clic en un enlace para descargar un programa que, en realidad, es malicioso.
Siempre digo que la mejor herramienta de seguridad al navegar por Internet es el sentido común. Si no conocemos el origen de una alerta o de una supuesta herramienta de seguridad, no debemos hacer clic ni instalar nada. Solo hay que confiar en programas de seguridad legítimos y de fuentes oficiales.
Zero-day
Es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de un código malicioso gracias al conocimiento de vulnerabilidades que son desconocidas para el fabricante del producto. Se resuelven mediante parches preparados por los responsables del programa defectuoso y antivirus.
Las vulnerabilidades del nuevo software suelen ser arregladas en las primeras actualizaciones del mismo. Por ello, es recomendable actualizar todos los software para arreglar los posibles fallos existentes en el mismo.
Adware
El malware se instala en el equipo sin que el usuario sea consciente de haberlo activado. Suelen vincularse a descargas de software gratuito.
Generalmente, provoca la aparición de anuncios publicitarios no deseados en el navegador. Por ello, es molesto, consume recursos y puede ralentizar el equipo, pero no dañar la información.
Wiper
Uno de los ataques más despiadados que puede sufrir una organización.
A diferencia del ransonware, los atacantes no piden un rescate, de forma que se pierde cualquier expectativa de recuperación del sistema o la información. Su objetivo es debilitar a la víctima, ya sea una organización o un país.
Conclusión
En este artículo y en los anteriores, les he enumerado algunos de los muchos tipos de ciberataques que existen. Tengan presente que cada día surgen nuevas modalidades o variantes que nos obligan a estar en guardia permanentemente.
Si son víctimas de un ataque no duden en denunciarlo a las autoridades. Un vez más, les dejo los enlaces a la Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica (UIT) de la Policía y al Grupo de Delitos Telemáticos (GDT) de la Guardia Civil:
https://www.policia.es/_es/denuncias.php
https://www.gdt.guardiacivil.es/webgdt/home_alerta.php
