Pandora FMS en ASLAN 2025: 18-19-20 de Marzo. Más información →

 
← Regresar a IT Topics

Qué es el malware y cómo proteger tus sistemas IT

Secciones

Descubre qué es el malware, sus tipos y cómo proteger tus sistemas IT contra amenazas. Aprende estrategias efectivas para prevenir ataques de software malicioso.

¿Qué es el malware?

Malware, es la abreviatura de software malicioso, y se refiere a cualquier programa o archivo diseñado para dañar o explotar datos o comprometer sistemas desde cualquier dispositivo o red programable. Dentro de Malware están los virus, gusanos (o worms), troyanos (trojans) y ransomware. Su relevancia actual en la ciberseguridad es que todos están constantemente al acecho de los endpoints como su objetivo principal, para destruir u obtener acceso a la información confidencial de personas y organizaciones. En el siguiente diagrama te explicamos el proceso de ataque que sigue un Malware.

Cómo funciona un ataque de Malware típico

Breve historia del malware

En 1971, el primer Malware del que se tiene conocimiento es Creeper, el cual se distribuía mediante ARPANET (el precusor del Internet), el cual desplegaba el mensaje “I’m the creeper, catch me if you can!” (¡Soy la enredadera, atrápame si puedes!). En 1982, un chico llamado Rich Skrenta (¡de 15 años!) desarrolló Elk Cloner, el primer virus de computadora reconocido, el cual atacaba a las computadoras del hogar (Apple II), corrompiendo los discos con una copia del DOS (Disk Operating System, Sistema Operativo de Disco) para sobreescribir las pistas reservadas sin importar el contenido. En cada arranque con un disco infectado, el virus mostraba en la pantalla un poema que, desde luego, no hacía gracia alguna a la víctima.

Hacia las décadas de los 80 y 90, surgieron los primeros gusanos y troyanos (trojan horses): Brain, creado por los hermanos Alvi en Pakistán que infectaba dispositivos a través de diskettes. El gusano Morris fue creado para explotar las vulnerabilidades de los sistemas UNIX, de tal manera que derivó en la necesidad de crear el primer CERT (Computer Emergency Response Team, Equipo de Respuesta ante Emergencias Informáticas). Hacia finales de los 80, AIDS Trojan encriptaba la computadora de la víctima, requiriendo un rescate para poder desencriptarla.

En los primeros años 2000, el malware evolucionó en formas más creativas: ILOVEYOU, un gusano que se propagaba por email y sobrescribía archivos, además de propagarse a sí mismo; SQL Slammer, un gusano que explotaba la vulnerabilidad de Microsoft SQL Server para infectar miles de sistemas en minutos; Stuxnet, malware más sofisticado, cuyo objetivo eran las instalaciones nucleares de Irán, ¡con el potencial de desatar una guerra informática!

En 2013, CryptoLocker fue el primer ransomware de mayor impacto, que encriptaba archivos y demandaba rescate mediante pago de Bitcoins. En el 2017, surgió WannaCry, que se convirtió en un ataque global que infectó a cientos de miles de computadoras en 150 países, demandando pagos en Bitcoins para su rescate.

Los primeros malware sin archivos, los Fileless, surgieron desde 2014: Poweliks (2014) insertaba scripts maliciosos en el registro de Windows; Duqu 2.0 (2015), una herramienta sofisticada de ciberespionaje para el movimiento lateral y la extracción de datos; PowerSniff (2016), que se esconde en documentos Word aparentemente inocuos para ejecutar un código malicioso en la memoria PowerShell.

Los malware más recientes son Emotet (2018-2020), que inició como troyano bancario, pero que evolucionó en una plataforma de distribución de otro malware, incluyendo el ransomware; y Conti Ransomware (2021), que ha resultado ser un ransomware altamente rentable, logrando extorsionar por millones de dólares a sus víctimas.

Como puedes ver, los malware se han vuelto más sofisticados y silenciosos, atacando lo mismo a personas como empresas desde cualquier endpoint (laptop, PC, tablet, teléfono inteligente, dispositivo de Internet de las cosas, etc.) que se conecte a redes o sistemas empresariales. De ahí que se requieran conocimiento, herramientas y estrategias antimalware adecuadas para implementar la ciberseguridad en las redes de cómputo y sistemas operativos de forma constante y en el momento adecuado.

Tipos de malware más comunes

El número exacto de cuántas empresas y personas han estado expuestas a una ciberamenaza es incierto; pero, para tener una idea, según el informe X-Force Threat Intelligence Index de IBM Security, 59% de los ataques al 2021 utilizaron una estrategia de doble extorsión. El reporte Global Cybersecurity Outlook de 2022 de World Economic Forum indica que 39% de las organizaciones fueron afectadas por algún incidente cibernético de terceros en los últimos dos años. Algunos de los malware más comunes son:

  • Virus, gusanos y troyanos:
    Estos malware son programas maliciosos creados para dañar, interrumpir o acceder a sistemas informáticos sin el permiso del usuario. Los virus y los troyanos usan un archivo o un programa anfitrión para propagarse, en tanto que los gusanos pueden replicarse y propagarse por sí mismos. Una vez logrado introducir el malware, se corrompen archivos y se interrumpe su funcionamiento o se roban datos. Casi siempre son difíciles de detectar, por lo que pueden operar durante un tiempo sin que el usuario se percate de su existencia.
  • Spyware, ransomware y adware:
    Estos tipos de malware buscan comprometer la privacidad y seguridad de los endpoints. Su objetivo principal es infiltrarse en un sistema sin que se dé cuenta el usuario. Suelen también provocar problemas de rendimiento, filtración o pérdidas de datos. Se propagan mediante emails, sitios maliciosos, descargas de internet y archivos adjuntos. También, usan técnicas para tratar de no ser detectados por los antivirus o software anti-malware.
  • Otros tipos de malware avanzados:
    • Rootkits: Este tipo de malware asume el control total del sistema. Su nombre señala su alta peligrosidad: root, administrador del sistema o super usuario son términos intercambiables. De manera que un ataque de rootkit busca introducirse desde, por ejemplo, un email, para acceder y controlar en forma remota a tu sistema a nivel raíz.
    • Keyloggers: Es un malware conocido como registrador de pulsaciones de teclas, lo cual le permite obtener información confidencial (tales como contraseñas y datos personales). Actualmente, es uno de los malware más recurridos para el espionaje cibernético.
    • Cryptojacking: Es también conocido como criptosecuestro, el cual busca secuestrar un dispositivo electrónico para obtener acceso a los recursos los endpoints y explotarlos en la minería de criptomonedas. El criptosecuestro se usa mucho para el minado de Bitcoin y Ethereum por su alto valor en el mercado financiero.
    • Fileless malware: Este malware actúa sin archivos, siendo prácticamente invisible, y funciona directamente dentro de la memoria de una computadora en lugar del disco duro, esta característica aumenta su capacidad de evadir software antivirus, que normalmente incorpora listas blancas basadas en archivos, detección de firmas, verificación de hardware, análisis de patrones, sellado de tiempo, etc. También, deja poca evidencia de manera que dificulta la labor de investigadores forenses digitales para identificar alguna actividad ilegítima.

Métodos de ataque del malware

Ahora que tienes conocimiento de los malware más comunes, hay que comprender los principales métodos de ataque para preparar la mejor estrategia que te ayude a encontrar y bloquear cualquier software malicioso.

Vectores comunes de infección

Un vector de ciberataque es el camino (o conjunto de nodos) que el malware usa para descubrir y explotar los endpoints vulnerables de una red, tales como:

  • Ingeniería social para crear hacerse pasar por una identidad legítima y poder obtener acceso a datos sensibles (phishing), o provocar ansiedad y pánico al usuario (scareware) para manipularlos y hacer que adquieran productos o software no deseados.
  • Redes inseguras o sin protección adecuada, ya sea accediendo a redes Wi-Fi públicas no seguras, lo cual permite a los atacantes interceptar datos sensibles y enviar malware a los dispositivos conectados.
  • Vulnerabilidades en software y sistemas operativos desactualizados, cuando no se actualizan o no se aplican los parches, dando oportunidad a que se instale algún malware.

Ataques a endpoints

En nuestro IT Topic: ¿Qué es un Endpoint? Descubre cómo protegerlos frente a ciberataques destacamos la importancia de proteger los dispositivos desde los cuales los usuarios acceden y comparten datos en sistemas empresariales, por lo que son puntos vulnerables que los cibercriminales aprovechan para realizar ataques de malware. Por ejemplo, si un dispositivo de Internet de las Cosas (Internet of Things, o IoT) está debidamente configurado en lo que se refiere a seguridad, se convierte en la puerta de entrada para propagar un gusano e infectar al resto de los usuarios de la organización, e incluso puede comprometer la operación de toda la empresa. Por eso, tú y tu equipo debéis familiarizaros con las técnicas modernas de ataque.

Técnicas modernas de ataque

  • Ataques a la cadena de suministro. Esto es cuando se añade un código malicioso al software de proveedores de ciberseguridad; ataques a desarrolladores y proveedores de software para acceder a códigos fuente o actualizaciones; o un código malintencionado que ha sido firmado digitalmente con claves privadas de un proveedor.
  • Uso de dispositivos USB infectados. Muchos virus pueden esconderse en archivos ejecutables (.exe) que están en una unidad USB infectada. También los virus aprovechan el archivo de autorun.inf para ejecutarse de manera automática.
  • Descargas no autorizadas (drive-by downloads). Esto sucede cuando los atacantes logran insertar elementos maliciosos en sitios web. También los cibercriminales compran anuncios en sitios web legítimos donde inyectan malware. Es tal la creatividad del cibercrimen que usan ventanas emergentes que parecen provenir de algún software legítimo, cuando en realidad contienen malware.

Detección y análisis de malware

Para hacer frente al malware existen estrategias y herramientas para detectarlo y analizarlo, como las siguientes:

Cómo identificar señales de infección

  • Ralentización del sistema, cuando el dispositivo o sistema trabaja más lento de lo normal porque el malware está consumiendo sus recursos.
  • Incremento inusual del tráfico de red, ya sea que aumentó la actividad en la red o el uso de datos, debido a que el malware debe estar comunicándose con su servidor de comando y control.
  • Cambios en los dispositivos, ya sea que se encienden y apagan solos, existen redirecciones no deseadas, programas instalados sin conocimiento o de forma involuntaria.
  • Ventanas emergentes que piden descargar un software o ejecutar alguna instrucción o mensajes de error.
  • Archivos encriptados y bloqueados hasta que se pague algún rescate.

Herramientas y procesos para la detección

Existen los software antivirus o anti-malware para prevenir, detectar y eliminar malware. Los firewalls de malware actúan como una barrera entre una red confiable y una que no lo es, supervisando y controlando el tráfico de la red entrante y la saliente de acuerdo con las políticas de seguridad.
También existe la gestión de eventos e información de seguridad o SIEM (Security Incident and Event Management) que es el proceso de identificación, monitorización, registro y análisis de eventos o incidentes de seguridad dentro de un entorno de TI en tiempo real. Su enfoque es de una visión integral y centralizada de todo el escenario de seguridad de una infraestructura de TI.
Para entender cómo un SIEM identifica patrones sospechosos en logs de los endpoints, te ponemos este ejemplo: un SIEM es capaz de recopilar logs de diferentes fuentes, como los dispositivos de los usuarios que se conectan a la red empresarial. Estos logs se normalizan para convertirlos en datos estructurados y facilitar así su análisis. El SIEM puede correlacionar eventos de diferentes fuentes para identificar patrones y relaciones (apoyándose en dashboards y herramientas de visualización) que podrían indicar que existe una ciberamenaza, tal como un acceso no autorizado, una transferencia de datos inusual, actividad fuera de horarios laborales, etc. Una vez detectado el patrón anómalo, el SIEM genera alertas y notificaciones para que el equipo de seguridad investigue y responda en forma oportuna.

Análisis forense del malware

El análisis forense de malware consiste en examinar el malware para conocer cómo se comporta, su origen en los dispositivos y sistemas infectados. Este análisis se recomienda para saber qué dio entrada al malware, cómo se propagó y qué vulnerabilidades en la seguridad fueron aprovechadas.
Algunas técnicas para investigar la fuente de infección y minimizar daños futuros son el análisis de logs (mediante SIEM, revisando los registros de eventos y logs del sistema para identificar anomalías); el análisis del tráfico de la red (monitorización de comunicaciones inusuales o desconocidas); el análisis de archivos (para examinar archivos sospechosos de contener malware, mediante análisis estático y dinámico); y la revisión de ingeniería para desensamblar y analizar el código del malware con el fin de entender su funcionamiento y objetivos.
También el análisis automático y la Inteligencia Artificial ayudan a escanear automáticamente los sistemas y archivos para hallar algún malware.

Prevención y protección contra malware

Siempre es mejor prevenir que lamentar un ataque de malware, adoptando las mejores prácticas y herramientas de protección.

Buenas prácticas esenciales

  • Actualiza constantemente el software y los sistemas operativos. Recuerda que los ciberdelincuentes siempre están buscando las vulnerabilidades, que muchas veces se contrarrestan mediante una actualización.
  • Implementa el uso de contraseñas seguras (largas y complejas, difíciles de adivinar o descifrar) y que puedan cambiarse constantemente. La autenticación multifactor es recomendable para que los usuarios proporcionen dos o más formas de identificación, ya sea una contraseña, el uso de un dispositivo (celular) y una identidad como huella digital o reconocimiento facial. También debe permitirse que el usuario bloquee accesos sospechosos inmediatamente.
  • Adoptar copias de seguridad regulares de datos críticos ayuda a restaurarlos en caso de haberse visto comprometidos por un malware. También esto permite reducir en lo posible los tiempos de inactividad y las pérdidas de productividad.

Algo importante: estas buenas prácticas no solo sirven para protegerse de los malware, sino también para prevención de desastres, error humano y fallos en la infraestructura.

Otras herramientas de protección

  • Firewalls y antivirus avanzados. Existen los Firewalls de Inspección de Estados (Stateful Inspection Firewalls) que monitorizan el estado de las conexiones activas y toman decisiones en base al contexto del tráfico. Los Firewalls de Aplicación (Application Firewalls) filtran el tráfico en las aplicaciones y sus funcionalidades específicas. Los Firewalls de Filtro de Paquetes (Packet-Filtering Firewalls) revisan los paquetes de datos enviados entre ordenadores, lo que permite bloquear mediante direcciones IP, puertos y protocolos predefinidos. Los Firewalls con IDS/IPS (Intrusion Detection and Prevention Systems) usan el análisis para identificar patrones de tráfico y detectar actividades maliciosas, además de bloquear amenazas en tiempo real.
    Los antivirus avanzados realizan escaneos en tiempo real contra el malware (malware scanner) y amenazas avanzadas, también integran VPN y escaneo inteligente para analizar la configuración de los sistemas y dispositivos. Algunos ya integran la Inteligencia Artificial para acelerar el análisis y la respuesta antimalware de una manera más automatizada y acelerada.
  • Kanban boards: Tarjetas en un tablero para visualizar tareas y su progreso. Ayuda a ver cargas de trabajo y facilita la entrega constante de trabajo.
  • Sandboxing (caja de arena) consiste en ejecutar programas o aplicaciones en un entorno virtual aislado y controlado. Se usa más que nada para pruebas seguras de archivos sospechosos.

Diagrama de Gantt vs Kanban Board vs Tablero de Mando

Puesto que son los endpoints los que constantemente se ven bajo amenaza, tú como estratega de TI debes implementar políticas de seguridad orientadas a proteger estos dispositivos desde los cuales se accede a los sistemas y redes empresariales. Una estrategia de ciberseguridad es Zero Trust (ZT), que se centra en los datos y supone no confiar en ningún dispositivo, usuario final, servicio web o conexión de red, aún cuando la solicitud de acceso sea desde el mismo perímetro de red empresarial.
También, se recomienda apoyarse en una solución de monitorización y gestión de endpoints para obtener directamente los datos de telemetría (procesos, actividades en la red, cambios, entre otros) y así supervisar el uso de los dispositivos en remoto. Estos datos recopilados permiten identificar actividades sospechosas o maliciosas, apoyándose en soluciones de detección y respuesta de endpoints (Endpoint Detection and Response, EDR) que usan tecnologías avanzadas para registrar comportamientos y detectar indicadores de compromiso (Indicator of Compromise, IOC) en tiempo real.
En caso de que algún endpoint haya sido infectado, lo primero que se debe hacer es aislar el dispositivo infectado de la red local e Internet para que el malware no siga propagándose. Esto incluye desconectarlo de cualquier red local y de Internet. En ese momento se analiza el malware en un entorno controlado (sandboxing) para comprender su comportamiento. Una vez analizado el malware, se debe eliminar con herramientas antivirus o antimalware.

Cómo eliminar malware

Según Helpransomware, el 79% del malware se ha propagado entre los empleados de las empresas. En caso de ya haber sido víctima de malware o prevenirlo, hacemos estas recomendaciones:

Proceso paso a paso

  • Debes asegurar la actualización constante del software antivirus y/o antimalware.
  • Realiza el escaneo profundo del sistema apoyándote en el software antivirus para escanear y eliminar cualquier amenaza detectada.
  • En caso de detectar mediante el antimalware algún archivo sospechoso, puedes ponerlo en cuarentena en lugar de eliminarlo inmediatamente, ya que analizar su comportamiento sirve para detectar vulnerabilidades y mejoras en seguridad. Si el archivo se confirma como malicioso, el programa antimalware puede eliminarlo. Considera también que podría haber falsos positivos, pudiendo recuperar el archivo que habías puesto en cuarentena.

Prevención de reinfecciones

Ahora, no solo se trata de eliminar el malware. Una vez que hayas eliminado el malware, localiza las copias de seguridad limpias y asegúrate de que no estén comprometidas. Se recomienda también formatear el disco duro del sistema infectado e instalar de nuevo el sistema operativo con el fin de asegurarte de que no quede rastro del malware. Una vez hecho esto, puedes restaurar los archivos del sistema y después del usuario. Se recomienda también instalar las actualizaciones y parches, además de volver a configurar las medidas de seguridad (autenticación multifactor, antivirus, etc.) para prevenir cualquier vulnerabilidad que resulte en una reinfección.
Por último, implementa la monitorización continua y en tiempo real para bloquear cualquier software malicioso y detectar actividades sospechosas.

Relación entre malware y endpoints

Los endpoints son los dispositivos que están al final de una conexión de red o sistema (de ahí su nombre), tales como una un ordenador de escritorio o portátil, los smartphones, las tablets o los dispositivos de Internet de las Cosas (Internet of Things, IoT). Cada endpoint es un enlace a las redes y sistemas empresariales. Hacemos hincapié en los endpoints por ser los preferidos por el cibercrimen para hallar oportunidades ante la más mínima vulnerabilidad considerando su naturaleza:

  • Ubicuidad: sea empresa grande o pequeña, o el usuario final, especialmente por la movilidad emprendida en la mayoría de las organizaciones;
  • Diversidad: cada dispositivo tiene una combinación única de aplicaciones y servicios, requiriendo una gestión de la seguridad de los dispositivos que acceden a los sistemas y redes de la empresa;
  • Explotabilidad: el cibercrimen tiene el tiempo y los recursos para hallar vulnerabilidades.
  • Falta de control: el factor humano es el más difícil de controlar.

Un simple email o la visita a un sitio comprometido es la puerta de entrada para el malware. Por ejemplo, si desde un smartphone se ha hecho click en un anuncio aparentemente inocuo, pero infectado de ransomware, puede comenzar la pesadilla del cifrado de archivos importantes para el usuario, haciéndolos inaccesibles a menos que este pague el rescate. Si no quieres esto para tus usuarios, emprende la protección integral de los endpoints.

Protección de endpoints

Te recomendamos implementar una solución SIEM para identificar, monitorizar, registrar y analizar los eventos o incidentes de seguridad dentro de un entorno de TI en tiempo real, con una visión integral y centralizada sobre los que sucede en la infraestructura de TI. Aprovecha su capacidad para almacenar, agregar y analizar datos visualmente (desde tableros de mando o dashboards) y así tomar decisiones bien informadas. El motivo es que SIEM tiene también la capacidad de hacer correlaciones, aportando más contexto sobre rasgos comunes. Además, desde SIEM se pueden activar protocolos de alertas a los usuarios (en notificaciones reflejadas en el dashboard, un correo electrónico o un mensaje de texto automatizados).

También, implementa políticas de seguridad estrictas como Zero Trust, contraseñas complejas y con cambios frecuentes, junto con la seguridad multifactor. Asimismo, recomendamos apoyarse en la monitorización de sistemas de TI para tener la visibilidad del estado de la infraestructura y sus servicios, así como también en la labor que hace un NOC (Network Operations Center o centro de operaciones de red) para la monitorización y control de las redes, desde el cual se puede identificar factores que afectan en el desempeño de la conectividad (uno de los síntomas de presencia de malware), con el fin de buscar soluciones para contrarrestar al malware e incluso emprender acciones preventivas.

Conclusión

El análisis y los marcos de referencia del NIST (National Institute of Standards and Technology, Instituto Nacional de Estándares y Tecnología) sobre las prácticas para perfilar el malware reflejan el gran impacto en la seguridad de TI para cualquier organización en cuanto a afectar la propiedad intelectual, los datos sensibles de los usuarios (desde tarjetas de crédito o datos de identificación personal), la información filtrada para monetizarla y la posibilidad de interrumpir las operaciones del negocio.
Los endpoints no deben ser el punto vulnerable de la seguridad de la organización, sino que deben convertirse en la primera línea de defensa contra cualquier malware. Los estrategas de TI y sus equipos deben implementar procesos definidos para prevenir, enfrentar y eliminar el malware. Para lograrlo, se necesitan la herramientas de monitorización de endpoints en tiempo real y en forma constante, así como también de soluciones SIEM robustas que aprovechen los datos obtenidos desde los agentes y firewalls, para accionar con base en reglas personalizadas utilizando los decoders existentes.
Te invitamos a conocer la solución SIEM de Pandora FMS para detectar, correlacionar y actuar frente a las amenazas en tiempo real en toda tu infraestructura- haz click aquí y descubre cómo aprovechar la información de la monitorización para gestionar eventos de seguridad.

← Regresar a IT Topics

Más allá de los límites,
más allá de las expectativas

¡Obtén tu Trial GRATIS!

Comparte tu experiencia
con Pandora FMS y gana

20€


Haz tu reseña →