Acerca de las cookies de este sitio Nuestros sitios web necesitan algunas cookies para funcionar correctamente (necesarias). Además, se pueden utilizar otras cookies con su consentimiento para analizar el uso del sitio, para mejorar la experiencia del usuario y para publicidad. Para obtener más información, consulte sus opciones de. Al visitar nuestro sitio web, acepta que procesemos la información tal y como se describe en ladeclaración de privacidad de IBM. Para facilitar la navegación, sus preferencias de cookies se compartirán entre los dominios web de IBM que se muestran aquí.
Inicio
Topics
Malware
¿Qué es el malware?
El software malicioso, o malware, es cualquier código de software o programa informático, incluidos ransomware, troyanos y spyware, escrito intencionadamente para dañar los sistemas informáticos o a sus usuarios.
Casi todos los ciberataques modernos implican algún tipo de malware. Estos programas maliciosos pueden adoptar muchas formas, desde el costos y muy dañino ransomware hasta adware meramente molesto, dependiendo de lo que pretendan hacer los ciberdelincuentes.
Los ciberdelincuentes desarrollan y utilizan malware para:
- Mantener como rehenes dispositivos, datos o redes empresariales enteras para obtener grandes sumas de dinero
- Obtener acceso autorizado a datos confidenciales o activos digitales
- Robar credenciales de inicio de sesión, números de tarjetas de crédito, propiedad intelectual u otra información valiosa
- Alterar los sistemas cruciales en los que confían las empresas y las agencias gubernamentales
Hay miles de millones de ataques de malware cada año (enlace externo a ibm.com), y las infecciones de malware pueden producirse en cualquier dispositivo o sistema operativo. Los sistemas Windows, Mac, iOS y Android pueden ser víctimas.
Cada vez más, los ataques de malware se dirigen a empresas en lugar de usuarios individuales, ya que los piratas informáticos han aprendido que es más lucrativo perseguir a las organizaciones. Las empresas suelen poseer grandes cantidades de datos personales, y los hackers se aprovechan de este hecho para extorsionarles grandes sumas de dinero. Los hackers pueden utilizar estos datos personales para el robo de identidad o venderlos en la dark web.
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice de IBM Security X-Force Threat Intelligence.
La ciberdelincuencia es un sector enorme. Según una estimación (enlace externo a ibm.com), sería la tercera economía más grande del mundo por detrás de EE. UU. y China, y se prevé que costará 10 500 millones de dólares en 2025.
Dentro de este sector, los hackers desarrollan constantemente nuevas cepas de malware con nuevas características y funcionalidades. Estas cepas individuales de malware generan nuevas variantes con el tiempo para evadir mejor el software de seguridad. Se estima que (enlace externo a ibm.com) se han creado más de 1 mil millones de cepas y variantes de malware diferentes desde la década de los 80, lo que dificulta que los profesionales de la ciberseguridad sigan el ritmo.
Los hackers suelen compartir su malware haciendo que el código sea de código abierto o vendiéndolo a otros delincuentes. Los acuerdos de malware como servicio son frecuentes entre los desarrolladores de ransomware, por lo que incluso los delincuentes con poca experiencia técnica pueden cosechar los frutos de la ciberdelincuencia.
Aunque el panorama siempre cambia, las cepas de malware se pueden clasificar en algunos tipos comunes.
Virus informáticos
Los términos "malware" y "virus informático" se utilizan a menudo como sinónimos, pero un virus es técnicamente un tipo particular de malware. Específicamente, un virus es un código malicioso que oculta software legítimo para dañar y distribuir copias de sí mismo.
Los virus no pueden actuar por sí solos. En su lugar, ocultan fragmentos de su código en otros programas ejecutables. Cuando un usuario inicia el programa, el virus también comienza a ejecutarse. Los virus generalmente están diseñados para eliminar datos importantes, interrumpir las operaciones normales y propagar copias de sí mismos a otros programas en el ordenador infectado.
La mayoría de las primeras amenazas de malware eran virus. Elk Cloner, quizás el primer malware que se propagó a través de dispositivos públicos, era un virus dirigido a equipos Apple.
Botnets
Una botnet es una red de dispositivos infectados con malware conectados a internet bajo el control de un pirata informático. Las botnets pueden incluir PC, dispositivos móviles, dispositivos de Internet de las cosas (IoT) y más. A menudo, las víctimas no se dan cuenta de que sus dispositivos forman parte de una botnet. Los piratas informáticos suelen utilizar botnets para lanzar ataques DDoS, que bombardean una red objetivo con tanto tráfico que se ralentiza o se apaga por completo.
Mirai, una de las redes de bots más conocidas, fue responsable de un ataque masivo en 2016 contra el proveedor de sistemas de nombres de dominio Dyn. Este ataque derribó sitios web populares como Twitter y Reddit para millones de usuarios en EE. UU. y Europa (enlace externo a ibm.com).
Cryptojackers
Un cryptojacker es un malware que toma el control de un dispositivo y lo utiliza para extraer criptomonedas, como bitcoin, sin el conocimiento del propietario. Básicamente, los cryptojackers crean botnets de criptominería.
La minería de criptomonedas es una tarea extremadamente intensiva y costosa. Los ciberdelincuentes se benefician mientras que los usuarios de ordenadores infectados sufren ralentizaciones y caídas del rendimiento. Los cryptojackers suelen dirigirse a la infraestructura de la nube empresarial, lo que les permite lograr más recursos para la minería de criptomonedas que para los ordenadores individuales.
Malware sin archivos
El malware sin archivos es un tipo de ataque que utiliza vulnerabilidades en programas de software legítimos como navegadores web y procesadores de texto para inyectar código malicioso directamente en la memoria de un ordenador. Dado que el código se ejecuta en memoria, no deja rastros en el disco duro. Como utiliza software legítimo, suele eludir la detección.
Muchos ataques de malware sin archivos utilizan PowerShell, una interfaz de línea de comandos y una herramienta de scripts integrada en el sistema operativo Microsoft Windows. Los hackers pueden ejecutar scripts de PowerShell para cambiar configuraciones, robar contraseñas o hacer otros daños.
Las macros maliciosas son otro vector común para los ataques sin archivos. Aplicaciones como Microsoft Word y Excel permiten a los usuarios definir macros, conjuntos de comandos que automatizan tareas simples como dar formato a texto o realizar cálculos. Los piratas informáticos pueden almacenar scripts maliciosos en estas macros. Cuando un usuario abre el archivo, esos scripts se ejecutan automáticamente.
Otros tipos de malware
Los gusanos son programas maliciosos autorreplicantes que pueden propagarse entre aplicaciones y dispositivos sin interacción humana. (Compárese con un virus, que solo puede propagarse si un usuario ejecuta un programa comprometido). Si bien algunos gusanos no hacen más que propagarse, muchos tienen consecuencias más graves. Por ejemplo, el ransomware WannaCry, que causó unos daños estimados en 4.000 millones de USD, era un gusano que maximizó su impacto propagándose automáticamente entre dispositivos conectados.
Los troyanos se disfrazan de programas útiles o se ocultan dentro de software legítimo para engañar a los usuarios y conseguir que los instalen. Un troyano de acceso remoto o "RAT" crea una puerta trasera secreta en el dispositivo infectado. Otro tipo de troyano, llamado "dropper", instala malware adicional una vez que se ha afianzado. Ryuk, uno de los ransomware más devastadores de los últimos tiempos, utilizaba el troyano Emotet para infectar los dispositivos.
Los rootkits son paquetes de malware que permiten a los hackers obtener acceso privilegiado a nivel de administrador al sistema operativo de un ordenador o a otros activos. Los piratas informáticos pueden utilizar estos permisos elevados para hacer prácticamente lo que quieran, como añadir y eliminar usuarios o reconfigurar aplicaciones. Los piratas informáticos suelen utilizar los rootkits para ocultar procesos maliciosos o desactivar el software de seguridad que podría detectarlos.
El scareware asusta a los usuarios para que descarguen malware o pasen información confidencial a un estafador. El scareware suele aparecer de repente como una ventana emergente con un mensaje urgente, normalmente advirtiendo al usuario de que ha infringido la ley o de que su dispositivo tiene un virus. La ventana emergente dirige al usuario a pagar una "multa" o a descargar un falso software de seguridad que resulta ser un auténtico malware.
El spyware se esconde en un ordenador infectado, donde recopila de manera secreta información confidencial y la transmite a un atacante. Un tipo común de spyware, llamado registrador de claves, registra todas las pulsaciones de teclas de un usuario, lo que permite a los hackers recopilar nombres de usuario, contraseñas, números de cuentas bancarias y tarjetas de crédito, números de la seguridad social y otros datos confidenciales.
El adware envía spam a un dispositivo con anuncios emergentes no deseados. El adware suele incluirse junto con el software gratuito, sin que el usuario lo sepa. Cuando el usuario instala el programa, sin saberlo, también instala el adware. La mayoría del adware los programas publicitarios es poco más que una molestia, pero algunos recopilan datos personales, redirigen los navegadores web a sitios web maliciosos o incluso descargan más malware en el dispositivo del usuario si hacen clic en una de las ventanas emergentes.
Ransomware
El ransomware bloquea los dispositivos o datos de una víctima y exige el pago de un rescate, generalmente en forma de criptomoneda, para desbloquearlos. Según el X-Force Threat Intelligence Index de IBM, el ransomware es el segundo tipo más común de ciberataque y representa el 17% de los ataques.
Los ataques de cibersecuestro más básicos hacen que los activos sean inutilizables hasta que se pague el rescate, pero los ciberdelincuentes pueden utilizar tácticas adicionales para aumentar la presión sobre las víctimas.
En un ataque de doble ataque, los ciberdelincuentes roban datos y amenazan con filtrarlos si no se les paga. En un ataque de triple extorsión, los piratas informáticos cifran los datos de la víctima, los roban y amenazan con desconectar los sistemas a través de un ataque de denegación de servicio distribuido (DDoS).
Las peticiones de rescate pueden oscilar entre decenas de miles y millones de dólares estadounidenses. Según un informe (enlace externo a ibm.com), el pago medio de rescate es de 812 360 dólares. Incluso si las víctimas no pagan, el ransomware es costoso. Según el informe "Coste de una filtración de datos" de IBM, el ataque promedio de ransomware cuesta 4,54 millones de dólares, sin incluir el rescate en sí.
Malware de acceso remoto
Los hackers utilizan malware de acceso remoto para obtener acceso a ordenadores, servidores u otros dispositivos mediante la creación o explotación de puertas traseras. Según el X-Force Threat Intelligence Index, la colocación de puertas traseras es el objetivo más común de los hackers, con un 21 % de los ataques.
Las puertas traseras permiten a los ciberdelincuentes hacer muchas cosas. Pueden robar datos o credenciales, tomar el control de un dispositivo o instalar malware aún más peligroso, como ransomware. Algunos piratas informáticos utilizan malware de acceso remoto para crear puertas traseras que pueden vender a otros piratas informáticos, y que pueden alcanzar varios miles de dólares estadounidenses cada una.
Algunos programas maliciosos de acceso remoto, como Back Orifice o CrossRAT, se crean de manera intencionada con fines maliciosos. Los hackers también pueden modificar o utilizar de forma incorrecta software legítimo para acceder de forma remota a un dispositivo. En particular, los ciberdelincuentes utilizan credenciales robadas para el protocolo de escritorio remoto (RDP) de Microsoft como puertas traseras.
Un ataque de malware tiene dos componentes: la carga útil del malware y el vector de ataque. La carga útil es el código malicioso que los hackers quieren introducir, y el vector de ataque es el método utilizado para hacer llegar la carga útil a su objetivo.
Algunos de los vectores de malware más comunes son:
Los ataques de ingeniería social manipulan psicológicamente a las personas para hacer cosas que no deberían hacer (como descargar malware). Los ataques de phishing, que utilizan correos electrónicos fraudulentos o mensajes de texto para engañar a los usuarios, son particularmente comunes. Según el X-Force Threat Intelligence Index, el phishing es un factor en el 41 % de las infecciones por malware.
Los correos electrónicos y mensajes de phishing suelen estar diseñados para que parezcan proceder de una marca o persona de confianza. Normalmente intentan evocar emociones fuertes como el miedo ("¡Hemos encontrado nueve virus en su teléfono!"), la codicia ("¡Tiene un pago sin reclamar esperándole!") o la urgencia ("¡Se le acaba el tiempo para reclamar su regalo gratis!") para conseguir que los usuarios realicen la acción deseada. Por lo general, la acción consiste en abrir un archivo adjunto de un correo electrónico malicioso o visitar un sitio web malicioso que carga malware en el dispositivo.
Los ciberdelincuentes buscan constantemente vulnerabilidades sin parches en software, dispositivos y redes que les permitan inyectar malware en el software o firmware del objetivo. Los dispositivos IoT, muchos de los cuales se venden e implementan con una seguridad mínima o nula, son un campo especialmente fértil para los ciberdelincuentes que siembran malware.
Mediante una táctica llamada "baiting", los hackers pueden colocar unidades USB infectados adornados con etiquetas que captan la atención en lugares públicos como espacios de coworking o cafeterías. Atraídos por estas unidades, los usuarios desprevenidos pueden conectarlas a sus dispositivos para ver qué contienen, y el malware infecta su sistema. Un estudio reciente descubrió que el 37 % de las ciberamenazas conocidas están diseñadas para explotar los medios extraíbles (enlace externo a ibm.com).
Muchas formas de malware, como los troyanos y el adware, se disfrazan como software útil o copias gratuitas de películas y música. Irónicamente, a menudo se enmascaran como aplicaciones o programas antivirus gratuitos que mejorarán el rendimiento del dispositivo. Aunque las redes de torrents en las que los usuarios comparten contenidos pirateados son un terreno de juego famoso para los ciberdelincuentes, el malware oculto también puede abrirse paso en los mercados legales. Recientemente, el malware Goldoson (enlace externo a ibm.com) fue capaz de infectar millones de dispositivos ocultándose en las aplicaciones disponibles a través de Google Play Store.
El malvertising se produce cuando los hackers colocan anuncios maliciosos en redes publicitarias legítimas o secuestran anuncios legítimos para distribuir código malicioso. Por ejemplo, el malware Bumblebee se propagó (enlace externo a ibm.com) a través de un anuncio malicioso de Google que se hacía pasar por Cisco AnyConnect. Los usuarios que buscaban el producto real veían el anuncio en sus resultados de búsqueda, hacían clic en él y descargaban el malware sin darse cuenta.
Una técnica relacionada llamada "drive-by downloads" o descargas ocultas o no autorizadas hace que los usuarios ni siquiera tengan que hacer clic en nada: en cuanto visitan un sitio web malicioso, la descarga se inicia automáticamente.
En las redes corporativas, los dispositivos personales de los usuarios pueden ser los principales vectores de malware. Los teléfonos inteligentes y los ordenadores portátiles de los usuarios pueden infectarse durante su tiempo personal, cuando se conectan a redes no seguras sin la ventaja de las soluciones de seguridad de la empresa. Cuando los usuarios llevan esos dispositivos al trabajo, el malware puede propagarse a la red corporativa.
Si la red de un proveedor se ve comprometida, el malware puede propagarse a las redes de las compañías que utilizan los productos y servicios de ese proveedor. Por ejemplo, los ciberdelincuentes aprovecharon un defecto en la plataforma VSA de Kaseya (enlace externo a ibm.com) para difundir ransomware a los clientes bajo la apariencia de una actualización de software legítima.
Algunas infecciones de malware, como el ransomware, se anuncian por sí solas. Sin embargo, la mayoría intenta permanecer fuera de la vista mientras causan estragos. Aun así, las infecciones de malware suelen dejar tras de sí señales que los equipos de ciberseguridad pueden utilizar para identificarlas. Estas señales incluyen:
El rendimiento disminuye: los programas de malware utilizan los recursos del ordenador infectado para ejecutarse, a menudo consumiendo espacio de almacenamiento e interrumpiendo procesos legítimos. El equipo de soporte de TI puede notar una afluencia de tíquets de usuarios cuyos dispositivos se ralentizan o se inundan con ventanas emergentes.
Actividad de red nueva e inesperada: el personal de TI y seguridad puede notar patrones extraños, como procesos que utilizan más ancho de banda de lo normal, dispositivos que se comunican con servidores desconocidos o cuentas de usuario que acceden a activos que normalmente no utilizan.
Configuraciones modificadas: algunas cepas de malware alteran las configuraciones de los dispositivos o desactivan las soluciones de seguridad para evitar la detección. Es posible que los equipos de TI y seguridad noten que, por ejemplo, las reglas de firewall han cambiado o los privilegios de una cuenta se han elevado.
Alertas de sucesos de seguridad: para organizaciones con soluciones de detección de amenazas, es probable que el primer signo de una infección de malware sea una alerta de sucesos de seguridad. Soluciones como sistemas de detección de intrusiones (IDS), gestión de información y eventos de seguridad (SIEM) y software antivirus pueden señalar una posible actividad de malware que debería ser revisada por el equipo de respuesta a incidentes.
Los ataques de malware son inevitables, pero hay medidas que las organizaciones pueden tomar para reforzar sus defensas. Estos pasos incluyen:
Formación en concienciación sobre seguridad: muchas infecciones de malware se deben a que los usuarios descargan software falso o son víctimas de estafas de phishing. La formación para la concienciación sobre la seguridad puede ayudar a los usuarios a detectar ataques de ingeniería social, sitios web maliciosos y aplicaciones falsas. La formación para la concienciación sobre la seguridad también puede educar a los usuarios sobre qué hacer y a quién dirigirse si sospechan que existe una amenaza de malware.
Políticas de seguridad: solicitar contraseñas seguras, autenticación multifactor y VPN al acceder a activos confidenciales a través de wifi no seguro puede ayudar a limitar el acceso de los hackers a las cuentas de los usuarios. La implementación regular de una gestión de parches, evaluaciones de vulnerabilidades y pruebas de penetración también puede ayudar a detectar vulnerabilidades de software y dispositivos antes de que los ciberdelincuentes las exploten. Las políticas para administrar dispositivos BYOD (bring your own device) y prevenir la TI invisible pueden ayudar a evitar que los usuarios, sin saberlo, introduzcan malware en la red corporativa.
Copias de seguridad: mantener copias de seguridad actualizadas de datos confidenciales e imágenes del sistema, idealmente en discos duros u otros dispositivos que se pueden desconectar de la red, puede facilitar la recuperación de ataques de malware.
Arquitectura de red zero trust: el zero trust es un método de seguridad de red en el que nunca se confía en los usuarios y siempre se verifican. En particular, implementa el principio de mínimo privilegio, la microsegmentación de red y la autenticación adaptativa continua continua. Esta implementación ayuda a garantizar que ningún usuario o dispositivo pueda acceder a datos confidenciales o activos a los que no debería. Si el malware entra en la red, estos controles pueden limitar su movimiento lateral.
Planes de respuesta a incidentes: la creación de planes de respuesta a incidentes para diferentes tipos de malware con antelación puede ayudar a los equipos de ciberseguridad a erradicar las infecciones de malware más rápidamente.
Tecnologías de malware y ciberseguridad
Además de las tácticas manuales descritas anteriormente, los equipos de ciberseguridad pueden utilizar soluciones de seguridad para automatizar aspectos de la eliminación, detección y prevención de malware. Entre las herramientas más comunes se incluyen:
Software antivirus: también llamado software "antimalware", los programas antivirus escanean los sistemas en busca de signos de infección. Además de alertar a los usuarios, muchos programas antivirus pueden aislar y eliminar automáticamente el malware al detectarlo.
Firewalls: los firewalls pueden impedir que parte del tráfico malicioso llegue a la red en primer lugar. Si el malware entra en un dispositivo de red, los firewalls pueden ayudar a impedir las comunicaciones salientes con los piratas informáticos, como un registrador de claves que devuelve las pulsaciones de teclas al atacante.
Plataformas de gestión de información y eventos de seguridad (SIEM): las SIEM recopilan información de herramientas de seguridad internas, la agregan a un registro central y señalan anomalías. Debido a que las SIEM centralizan alertas de varias fuentes, pueden facilitar la detección de señales sutiles de malware.
Plataformas de orquestación, automatización y respuesta de la seguridad (SOAR): lasSOAR integran y coordinan herramientas de seguridad dispares, lo que permite a los equipos de seguridad crear manuales semiautomatizados para responder al malware en tiempo real.
Plataformas de detección y respuesta en puntos finales (EDR): lasEDR monitorizan los dispositivos de punto final, como smartphones, ordenadores portátiles y servidores, en busca de señales de actividad sospechosa, y pueden responder automáticamente al malware detectado.
Plataformas de detección y respuesta extendidas (XDR): las XDR integran herramientas y operaciones de seguridad en todas las capas de seguridad (usuarios, endpoint, correo electrónico, aplicaciones, redes, cargas de trabajo en la nube y datos). Las XDR pueden ayudar a automatizar procesos complejos de prevención, detección, investigación y respuesta de malware, incluida la búsqueda proactiva de amenazas.
Herramientas de gestión de la superficie de ataque (ASM): las herramientas de ASM descubren, analizan, corrigen y monitorizan continuamente todos los activos de la red de una organización. La ASM puede ser útil para ayudar a los equipos de ciberseguridad a detectar aplicaciones y dispositivos de TI invisible no autorizados que puedan contener malware.
Gestión unificada de endpoints (UEM): el software de UEM monitoriza, gestiona y protege todos los dispositivos de usuario final de una organización, incluidos los equipos de escritorio, portátiles y dispositivos móviles. Muchas organizaciones utilizan soluciones UEM para ayudar a garantizar que los dispositivos de los empleados no introducen malware en la red corporativa red corporativa.
Soluciones relacionadas
La investigación proactiva de amenazas, la supervisión continua y el examen en profundidad de las mismas son sólo algunas de las prioridades a las que se enfrenta un departamento de TI ya de por sí muy ocupado. Contar con un equipo de respuesta a incidentes de confianza puede reducir su tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.
Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza la información de 800 TB de datos de actividad de amenazas e información de más de 17 millones de ataques de spam y phishing. También analiza los datos de reputación de casi 1 millón de direcciones IP maliciosas de una red de 270 millones de endpoints.
Recursos
Los ciberataques son intentos no deseados de robar, exponer, alterar, deshabilitar o destruir información mediante el acceso no autorizado a los sistemas informáticos.
El ransomware mantiene como rehenes los dispositivos y datos de las víctimas hasta que se paga un rescate. Aprenda cómo funciona el ransomware, por qué ha proliferado en los últimos años y cómo se defienden las organizaciones contra él.
El marco zero trust da por sentado que la seguridad de una red compleja siempre está en riesgo de sufrir amenazas externas e internas. Ayuda a organizar y elaborar estrategias de forma exhaustiva para contrarrestar esas amenazas.
Cada año, IBM Security (nuestro equipo interno de expertos y solucionadores de ciberseguridad) extrae miles de millones de puntos de datos para exponer las estadísticas y tendencias de seguridad más urgentes de la actualidad.