El malware, abreviatura de "software malicioso", es cualquier código de software o programa informático escrito de manera intencionada para dañar un sistema informático o a sus usuarios. Casi todos los ciberataques modernos implican algún tipo de malware. Estos programas maliciosos pueden adoptar muchas formas, desde el costos y muy dañino ransomware hasta adware meramente molesto, dependiendo de lo que pretendan hacer los ciberdelincuentes.
Los ciberdelincuentes desarrollan y utilizan malware para:
- Mantener como rehenes dispositivos, datos o redes empresariales enteras para obtener grandes sumas de dinero
- Obtener acceso no autorizado a datos confidenciales o activos digitales
- Robar credenciales de inicio de sesión, números de tarjetas de crédito, propiedad intelectual u otra información valiosa
- Alterar los sistemas cruciales en los que confían las empresas y las agencias gubernamentales
Hay miles de millones de ataques de malware cada año y las infecciones de malware pueden producirse en cualquier dispositivo o sistema operativo. Los sistemas Windows, Mac, iOS y Android pueden ser víctimas.
Cada vez más, los ataques de malware se dirigen a empresas en lugar de usuarios individuales, ya que los piratas informáticos han aprendido que es más lucrativo perseguir a las organizaciones. Las compañías pueden ser extorsionadas por grandes sumas de dinero y, a menudo, poseen cantidades significativas de datos personales que pueden usarse para el robo de identidad o venderse en la dark web.
La ciberdelincuencia es una industria enorme. Según una estimación, sería la tercera economía más grande del mundo detrás de EE. UU. y China, prevista para el coste de 10,5 billones de dólares en 2025.
Dentro de este sector, los hackers desarrollan constantemente nuevas cepas de malware con nuevas características y funcionalidades. Estas cepas individuales de malware generan nuevas variantes con el tiempo para evadir mejor el software de seguridad. Se estima que desde 180 se han creado más de 1000 millones de cepas y variantes de malware diferentes, lo que dificulta que los profesionales de la ciberseguridad se mantengan al día.
Los piratas informáticos suelen compartir su malware haciendo que el código sea de código abierto o vendiéndolo a otros delincuentes. Los acuerdos de malware como servicio son frecuentes entre los desarrolladores de ransomware, por lo que incluso los delincuentes con poca experiencia técnica pueden cosechar los frutos de la ciberdelincuencia.
Aunque el panorama siempre cambia, las cepas de malware se pueden clasificar en algunos tipos comunes.
Los términos "malware" y "virus informático" se utilizan a menudo como sinónimos, pero un virus es técnicamente un tipo particular de malware. Específicamente, un virus es un código malicioso que oculta software legítimo para dañar y distribuir copias de sí mismo.
Los virus no pueden actuar por sí solos. En su lugar, ocultan fragmentos de su código en otros programas ejecutables. Cuando un usuario inicia el programa, el virus también comienza a ejecutarse. Los virus generalmente están diseñados para eliminar datos importantes, interrumpir las operaciones normales y propagar copias de sí mismos a otros programas en el ordenador infectado.
La mayoría de las primeras amenazas de malware eran virus. Elk Cloner, quizás el primer malware que se propagó a través de dispositivos públicos, era un virus dirigido a equipos Apple.
El ransomware bloquea los dispositivos o datos de una víctima y exige el pago de un rescate, generalmente en forma de criptomoneda, para desbloquearlos. Según el X-Force Threat Intelligence Index de IBM, el ransomware es el segundo tipo más común de ciberataque y representa el 17% de los ataques.
Los ataques de cibersecuestro más básicos hacen que los activos sean inutilizables hasta que se pague el rescate, pero los ciberdelincuentes pueden utilizar tácticas adicionales para aumentar la presión sobre las víctimas.
En un ataque de doble ataque, los ciberdelincuentes roban datos y amenazan con filtrarlos si no se les paga. En un ataque de triple extorsión, los piratas informáticos cifran los datos de la víctima, los roban y amenazan con desconectar los sistemas a través de un ataque de denegación de servicio distribuido (DDoS).
Las demandas de rescate pueden variar de decenas de miles a millones de dólares estadounidenses. Según un informe, el pago promedio del rescate es de 812 360 de dólares. Incluso si las víctimas no pagan, el ransomware es costoso. El informe Coste de una filtración de datos de IBM encontró que el promedio de ataques de ransomware cuesta 4,54 millones de dólares, sin incluir el propio rescate.
Los piratas informáticos utilizan malware de acceso remoto para obtener acceso a ordenadores, servidores u otros dispositivos mediante la creación o explotación de puertas traseras. Según el X-Force Threat Intelligence Index, la colocación de puertas traseras es el objetivo más común de los piratas informáticos, con un 21% de los ataques.
Las puertas traseras permiten a los ciberdelincuentes hacer muchas cosas. Pueden robar datos o credenciales, tomar el control de un dispositivo o instalar malware aún más peligroso, como ransomware. Algunos piratas informáticos utilizan malware de acceso remoto para crear puertas traseras que pueden vender a otros piratas informáticos, y que pueden alcanzar varios miles de dólares estadounidenses cada una.
Algunos programas maliciosos de acceso remoto, como Back Orifice o CrossRAT, se crean de manera intencionada con fines maliciosos. Los piratas informáticos también pueden modificar o utilizar de forma incorrecta software legítimo para acceder de forma remota a un dispositivo. En particular, se sabe que los ciberdelincuentes utilizan credenciales robadas para el protocolo de escritorio remoto (RDP) de Microsoft como puertas traseras.
Una botnet es una red de dispositivos infectados con malware conectados a internet bajo el control de un pirata informático. Las botnets pueden incluir PC, dispositivos móviles, dispositivos de Internet de las cosas (IoT) y más. A menudo, las víctimas no se dan cuenta de que sus dispositivos forman parte de una botnet. Los piratas informáticos suelen utilizar botnets para lanzar ataques DDoS, que bombardean una red objetivo con tanto tráfico que se ralentiza o se apaga por completo.
Mirai, una de las botnet más conocidas, fue responsable de un ataque masivo de 2016 contra el proveedor del sistema de nombres de dominio Dyn, que eliminó sitios web populares como Twitter y Reddit para millones de usuarios en EE. UU. y Europa.
Un cryptojacker es un malware que toma el control de un dispositivo y lo utiliza para extraer criptomonedas, como bitcoin, sin el conocimiento del propietario. Básicamente, los cryptojackers crean botnets de criptominería.
La minería de criptomonedas es una tarea extremadamente intensiva y costosa. Los ciberdelincuentes se benefician mientras que los usuarios de ordenadores infectados sufren ralentizaciones y caídas del rendimiento. Los cryptojackers suelen dirigirse a la infraestructura de la nube empresarial, lo que les permite lograr más recursos para la minería de criptomonedas que para los ordenadores individuales.
El malware sin archivos es un tipo de ataque que utiliza vulnerabilidades en programas de software legítimos como navegadores web y procesadores de texto para inyectar código malicioso directamente en la memoria de un ordenador. Dado que el código se ejecuta en memoria, no deja rastros en el disco duro. Como utiliza software legítimo, suele eludir la detección.
Muchos ataques de malware sin archivos utilizan PowerShell, una interfaz de línea de comandos y una herramienta de scripts integrada en los sistemas operativos Microsoft Windows. Los piratas informáticos pueden ejecutar scripts de PowerShell para cambiar configuraciones, robar contraseñas o hacer otros daños.
Las macros maliciosas son otro vector común para los ataques sin archivos. Aplicaciones como Microsoft Word y Excel permiten a los usuarios definir macros, conjuntos de comandos que automatizan tareas simples como dar formato a texto o realizar cálculos. Los piratas informáticos pueden almacenar scripts maliciosos en estas macros. Cuando un usuario abre el archivo, esos scripts se ejecutan automáticamente.
Los gusanos son programas maliciosos autorreplicantes que pueden propagarse entre aplicaciones y dispositivos sin interacción humana. (Compárese con un virus, que solo puede propagarse si un usuario ejecuta un programa comprometido). Si bien algunos gusanos no hacen más que propagarse, muchos tienen consecuencias más graves. Por ejemplo, el ransomware WannaCry, que causó unos daños estimados en 4.000 millones de USD, era un gusano que maximizó su impacto propagándose automáticamente entre dispositivos conectados.
Los troyanos se disfrazan de programas útiles o se ocultan dentro de software legítimo para engañar a los usuarios y conseguir que los instalen. Un troyano de acceso remoto o "RAT" crea una puerta trasera secreta en el dispositivo infectado. Otro tipo de troyano, denominado "dropper", instala malware adicional una vez que se ha afianzado. Ryuk, una de las cepas recientes de ransomware más devastadoras, utilizó el troyano Emotet para infectar los dispositivos.
Los rootkits son paquetes de malware que permiten a los piratas informáticos obtener acceso privilegiado a nivel de administrador al sistema operativo de un ordenador u otros activos. Los piratas informáticos pueden utilizar estos permisos elevados para hacer prácticamente cualquier cosa que quieran, como agregar y eliminar usuarios o reconfigurar aplicaciones. Los piratas informáticos a menudo usan rootkits para ocultar procesos maliciosos o deshabilitar el software de seguridad que podría detectarlos.
El scareware asusta a los usuarios para que descarguen malware o pasen información confidencial a un estafador. El scareware suele aparecer como una ventana emergente repentina con un mensaje urgente que suele avisar al usuario de que ha infringido la ley o de que su dispositivo tiene un virus. La ventana emergente indica al usuario que pague una " multa" o que descargue un software de seguridad falso que resulta ser malware real.
El spyware se esconde en un ordenador infectado, recopilando de manera secreta información confidencial y transmitiéndosela a un atacante. Un tipo común de spyware, llamado registrador de claves, registra todas las pulsaciones de teclas de un usuario, lo que permite a los piratas informáticos recopilar nombres de usuario, contraseñas, números de cuentas bancarias y tarjetas de crédito, números de la seguridad social y otros datos confidenciales.
El adware envía spam a un dispositivo con anuncios emergentes no deseados. El adware suele incluirse junto con el software gratuito, sin que el usuario lo sepa. Cuando el usuario instala el programa, sin saberlo, también instala el adware. La mayoría del adware los programas publicitarios es poco más que una molestia, pero algunos recopilan datos personales, redirigen los navegadores web a sitios web maliciosos o incluso descargan más malware en el dispositivo del usuario si hacen clic en una de las ventanas emergentes.
Un ataque de malware tiene dos componentes: la carga útil del malware y el vector de ataque. La carga útil es el código malicioso que los piratas informáticos quieren plantar, y el vector de ataque es cómo se entrega la carga útil al objetivo.
Algunos de los vectores de malware más comunes son:
Los ataques de ingeniería social manipulan psicológicamente a las personas para hacer cosas que no deberían hacer (como descargar malware). Los ataques de phishing, que utilizan correos electrónicos fraudulentos o mensajes de texto para engañar a los usuarios, son particularmente comunes. Según el X-Force Threat Intelligence Index, el phishing es un factor en el 41% de las infecciones por malware.
Los correos electrónicos y mensajes de phishing suelen estar diseñados para que parezcan proceder de una marca o persona de confianza. Normalmente intentan evocar emociones fuertes como el miedo ("¡Hemos encontrado nueve virus en su teléfono!"), la codicia ("¡Tiene un pago sin reclamar esperándole!") o la urgencia ("¡Se le acaba el tiempo para reclamar su regalo gratis!") para conseguir que los usuarios realicen la acción deseada. Por lo general, la acción consiste en abrir un archivo adjunto de un correo electrónico malicioso o visitar un sitio web malicioso que carga malware en el dispositivo.
Los ciberdelincuentes buscan constantemente vulnerabilidades sin parches en software, dispositivos y redes que les permitan inyectar malware en el software o firmware del objetivo. Los dispositivos IoT, muchos de los cuales se venden e implementan con una seguridad mínima o nula, son un campo especialmente fértil para los ciberdelincuentes que siembran malware.
Mediante una táctica llamada "baiting", los piratas informáticos pueden colocar unidades USB infectadas adornadas con etiquetas que captan la atención en lugares públicos como espacios de coworking o cafeterías. Atraídos por estas unidades, los usuarios desprevenidos pueden conectarlas a sus dispositivos para ver qué contienen, y el malware infecta su sistema. Un estudio reciente descubrió que el 37 % de las ciberamenazas conocidas están diseñadas para aprovechar los medios extraíbles.
Muchas formas de malware, como los troyanos y el adware, se disfrazan como software útil o copias gratuitas de películas y música. Irónicamente, a menudo se enmascaran como aplicaciones o programas antivirus gratuitos que mejorarán el rendimiento del dispositivo. Aunque las redes de torrents en las que los usuarios comparten contenidos pirateados son un terreno de juego famoso para los ciberdelincuentes, el malware oculto también puede abrirse paso en los mercados legales. Recientemente, el malware Goldoson pudo infectar millones de dispositivos ocultándolos en las aplicaciones disponibles a través de Google Play Store.
El malvertising o publicidad maliciosa se produce cuando los piratas informáticos colocan anuncios maliciosos en redes publicitarias legítimas o secuestran anuncios legítimos para distribuir código malicioso. Por ejemplo, el malware Bumblebee se extiende a través de un anuncio malicioso de Google que aparece como Cisco AnyConnect. Los usuarios que buscaban el producto real veían el anuncio en sus resultados de búsqueda, hacían clic en él y descargaban el malware sin darse cuenta. Una técnica relacionada llamada "drive-by downloads" o descargas ocultas o no autorizadas hace que los usuarios ni siquiera tengan que hacer clic en nada: en cuanto visitan un sitio web malicioso, la descarga se inicia automáticamente.
En las redes corporativas, los dispositivos personales de los usuarios pueden ser los principales vectores de malware. Los teléfonos inteligentes y los ordenadores portátiles de los usuarios pueden infectarse durante su tiempo personal, cuando se conectan a redes no seguras sin la ventaja de las soluciones de seguridad de la empresa. Cuando los usuarios llevan esos dispositivos al trabajo, el malware puede propagarse a la red corporativa.
Si la red de un proveedor se ve comprometida, el malware puede propagarse a las redes de las compañías que utilizan los productos y servicios de ese proveedor. Por ejemplo, los cibercriminales aprovecharon un defecto en la plataforma VSA de Kaseya para difundir ransomware a los clientes bajo el guión de una actualización de software legítima.
Algunas infecciones de malware, como el ransomware, se anuncian por sí solas. La mayoría, sin embargo, intentan permanecer fuera de la vista mientras causan estragos. Aun así, las infecciones de malware suelen dejar tras de sí señales que los equipos de ciberseguridad pueden utilizar para identificarlas. Entre ellas se incluyen:
El rendimiento disminuye: los programas de malware utilizan los recursos del ordenador infectado para ejecutarse, a menudo consumiendo espacio de almacenamiento e interrumpiendo procesos legítimos. El equipo de soporte de TI puede notar una afluencia de tíquets de usuarios cuyos dispositivos se ralentizan, se bloquean o se inundan con ventanas emergentes.
Actividad de red nueva e inesperada: el personal de TI y seguridad puede notar patrones extraños, como procesos que utilizan más ancho de banda de lo normal, dispositivos que se comunican con servidores desconocidos o cuentas de usuario que acceden a activos que normalmente no utilizan.
Configuraciones modificadas: algunas cepas de malware alteran las configuraciones de los dispositivos o desactivan las soluciones de seguridad para evitar la detección. Es posible que los equipos de TI y seguridad noten que, por ejemplo, las reglas de firewall han cambiado o los privilegios de una cuenta se han elevado.
Alertas de sucesos de seguridad: para organizaciones con soluciones de detección de amenazas, es probable que el primer signo de una infección de malware sea una alerta de sucesos de seguridad. Soluciones como sistemas de detección de intrusiones (IDS), gestión de información y eventos de seguridad (SIEM) y software antivirus pueden señalar una posible actividad de malware que debería ser revisada por el equipo de respuesta a incidentes.
Los ataques de malware son inevitables, pero hay medidas que las organizaciones pueden tomar para reforzar sus defensas. Entre ellas se incluyen:
Formación en concienciación sobre seguridad: muchas infecciones de malware se deben a que los usuarios descargan software falso o son víctimas de estafas de phishing. La formación en seguridad puede ayudar a los usuarios a detectar ataques de ingeniería social, sitios web maliciosos y aplicaciones falsas. La formación en concienciación sobre seguridad también puede educar a los usuarios sobre qué hacer y a quién contactar si sospechan de una amenaza de malware.
Políticas de seguridad: solicitar contraseñas seguras, autenticación multifactor y VPN al acceder a activos confidenciales a través de wifi no seguro puede ayudar a limitar el acceso de los piratas informáticos a las cuentas de los usuarios. La implementación regular de una gestión de parches, evaluaciones de vulnerabilidades y pruebas de penetración también puede ayudar a detectar vulnerabilidades de software y dispositivos antes de que los ciberdelincuentes las exploten. Las políticas para la gestión de dispositivos BYOD y la prevención de TI invisible pueden ayudar a evitar que los usuarios traigan malware a la red corporativa sin saberlo.
Copias de seguridad: mantener copias de seguridad actualizadas de datos confidenciales e imágenes del sistema, idealmente en discos duros u otros dispositivos que se pueden desconectar de la red, puede facilitar la recuperación de ataques de malware.
Arquitectura de red zero trust: el zero trust es un método de seguridad de red en el que nunca se confía en los usuarios y siempre se verifican. En particular, el zero trust implementa el principio de mínimo privilegio, la microsegmentación de red y la autenticación adaptativa continua para garantizar que ningún usuario o dispositivo pueda acceder a datos o activos sensibles que no deba. Si el malware entra en la red, estos controles pueden limitar su movimiento lateral.
Planes de respuesta a incidentes: la creación de planes de respuesta a incidentes para diferentes tipos de malware con antelación puede ayudar a los equipos de ciberseguridad a erradicar las infecciones de malware más rápidamente.
Además de las tácticas manuales descritas anteriormente, los equipos de ciberseguridad pueden utilizar soluciones de seguridad para automatizar aspectos de la eliminación, detección y prevención de malware. Entre las herramientas más comunes se incluyen:
Software antivirus: también llamado software "antimalware", los programas antivirus escanean los sistemas en busca de signos de infección. Además de alertar a los usuarios, muchos programas antivirus pueden aislar y eliminar automáticamente el malware al detectarlo.
Firewalls: los firewalls pueden impedir que parte del tráfico malicioso llegue a la red en primer lugar. Si el malware entra en un dispositivo de red, los firewalls pueden ayudar a impedir las comunicaciones salientes con los piratas informáticos, como un registrador de claves que devuelve las pulsaciones de teclas al atacante.
Plataformas de gestión de información y eventos de seguridad (SIEM): las SIEM recopilan información de herramientas de seguridad internas, la agregan a un registro central y señalan anomalías. Debido a que las SIEM centralizan alertas de varias fuentes, pueden facilitar la detección de señales sutiles de malware.
Plataformas de orquestación, automatización y respuesta de la seguridad (SOAR): las SOAR integran y coordinan herramientas de seguridad dispares, lo que permite a los equipos de seguridad crear manuales semiautomatizados para responder al malware en tiempo real.
Plataformas de detección y respuesta de endpoints (EDR): las EDR monitorizan dispositivos endpoint, como teléfonos inteligentes, ordenadores portátiles y servidores, en busca de signos de actividad sospechosa y pueden responder automáticamente al malware detectado.
Plataformas de detección y respuesta extendidas (XDR): las XDR integran herramientas y operaciones de seguridad en todas las capas de seguridad (usuarios, endpoint, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos). Las XDR pueden ayudar a automatizar procesos complejos de prevención, detección, investigación y respuesta de malware, incluida la búsqueda proactiva de amenazas.
Herramientas de gestión de la superficie de ataque (ASM): las herramientas de ASM descubren, analizan, reparan y monitorizan continuamente todos los activos en la red de una organización. La ASM puede ser útil para ayudar a los equipos de ciberseguridad a detectar aplicaciones y dispositivos de TI en la sombra no autorizados que puedan contener malware.
Gestión unificada de endpoints (UEM): el software de UEM monitoriza, gestiona y protege todos los dispositivos de usuario final de una organización, incluidos los equipos de escritorio, portátiles y dispositivos móviles. Muchas organizaciones utilizan soluciones UEM para ayudar a garantizar que los dispositivos BYOD de los empleados no introducen malware en la red corporativa.
Supere los ataques con un conjunto de seguridad conectada y modernizada. La cartera de QRadar incluye IA de nivel empresarial y ofrece productos integrados para seguridad de endpoints, gestión de registros, SIEM y SOAR, todo ello con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La búsqueda proactiva de amenazas, la monitorización continua y una investigación profunda de las amenazas son solo algunas de las prioridades a las que se enfrenta un departamento de TI ya ocupado de por sí. Contar con un equipo de respuesta a incidentes de confianza en estado de alerta puede reducir su tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.
Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza el conocimiento que proporcionan 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing y datos de reputación sobre casi 1 millón de direcciones IP maliciosas de una red de 270 millones de puntos de conexión.
Los ciberataques son intentos no deseados de robar, exponer, alterar, deshabilitar o destruir información mediante el acceso no autorizado a los sistemas informáticos.
El ransomware mantiene como rehenes los dispositivos y datos de las víctimas hasta que se paga un rescate. Aprenda cómo funciona el ransomware, por qué ha proliferado en los últimos años y cómo se defienden las organizaciones contra él.
El marco zero trust da por sentado que la seguridad de una red compleja siempre está en riesgo de sufrir amenazas externas e internas. Ayuda a organizar y elaborar estrategias de forma exhaustiva para contrarrestar esas amenazas.
Cada año, IBM Security X-Force (nuestro equipo interno de expertos y remediadores de ciberseguridad) extrae miles de millones de puntos de datos para exponer las estadísticas y tendencias de seguridad más urgentes de la actualidad.