Red Hat Summit
Resumen
El término "malware" hace referencia al software malicioso, e incluye cualquier sistema de software que afecte los intereses del usuario. Puede afectar no solo a la computadora o al dispositivo infectados, sino también a cualquier otro dispositivo con el que este pueda comunicarse.
Abarca desde los gusanos y los troyanos más sencillos, hasta los virus informáticos más complejos.Si bien hay cierta similitud entre el malware, los virus y el código malicioso, no son lo mismo. Por eso, tener un solo un tipo de antivirus o antimalware puede no ser suficiente para prevenir todas las amenazas. Pueden afectar tanto a las computadoras de escritorio como a las portátiles y los dispositivos móviles, pero su ataque y la forma en la que se presenten dependerá del sistema operativo que utilice el dispositivo (Windows, Android, iOS o Apple macOS). Todos los dispositivos tienen fallas de seguridad y quedan indefensos en algún momento, por lo cual la mayoría de ellos, ya sean profesionales o personales, pueden beneficiarse de los sistemas de protección contra el malware.
Para reducir el nivel de exposición de su empresa a los ataques de malware, se puede utilizar un sistema de seguridad de la TI que sea efectivo. Dos prácticas comunes de ciberseguridad son la gestión de parches, que anula los puntos vulnerables de los sistemas, y el control de acceso, que limita el daño que el malware pueda llegar a producir. Además, si realiza backups de sus datos con frecuencia y los aísla de los sistemas principales de producción, podrá recuperarse de los ataques de malware de manera rápida y segura.
La importancia del malware en la ciberseguridad
Imagínese que trabaja en una oficina tradicional. Llega un día, coloca su café en el escritorio y enciende su computadora. Y desde ese momento todo empieza a salir mal.
En lugar de ver el escritorio de la computadora, ve una pantalla de color rojo vivo con un candado y un reloj de cuenta regresiva. "Se han cifrado sus archivos", anuncia. "Si no paga en un plazo de siete días, no podrá recuperarlos". Mira a su alrededor y ve que sus compañeros descubren el mismo mensaje en todas las computadoras. En todas y cada una de ellas.
En mayo de 2017, esta situación se dio en muchas oficinas de todo el mundo, cuando el malware del tipo WannaCry atacó a empresas, oficinas gubernamentales e incluso servicios públicos básicos, como los hospitales.
Sin embargo, no todas las formas de malware se presentan de manera drástica. Es posible que usted no sepa que en sus equipos se ejecutan programas maliciosos que ralentizan su sistema o violan su privacidad. Los criminales cibernéticos suelen diseñar estos programas para que no puedan detectarse, y solo realizan actividades notorias en condiciones precisas.
Tal vez no pueda detener el malware, pero si se mantiene informado y aplica las prácticas de seguridad adecuadas, podrá reducir las probabilidades de que interrumpa su trabajo.
Tipos de malware
Para entender mejor el daño que puede generar el malware y el modo de reducir los riesgos, vamos a clasificar los tipos comunes de malware. Si se descuida, pueden infiltrarse en cualquier sistema: desde un dispositivo móvil Android hasta una computadora portátil Apple.
El malware necesita una forma de propagarse y un código para lograr su objetivo. Imagíneselo como si fuera un sistema de distribución y una carga útil.A continuación, ofrecemos un resumen sencillo de la estructura, seguido de explicaciones más detalladas.
Sistemas de distribución
Troyano: engaña al usuario para que lo instale.
Gusano: se copia a sí mismo.
Pueden combinarse con estos tipos de malware:
Exploit: aprovecha algún punto vulnerable del software para obtener acceso al sistema y a la información confidencial.
Suplantación de identidad: engaña al usuario para que brinde información que se pueda utilizar para obtener acceso.
Rootkit o bootkit: obtiene acceso administrativo para evadir la detección y obtener más control.
Cargas útiles
Adware: muestra publicidad no deseada.
Botnet: somete el dispositivo a control externo.
Minero de criptomonedas: utiliza la capacidad informática para realizar trabajos de criptomonedas.
Ransomware: exige un pago.
Spyware: recopila datos de forma secreta mediante un registrador de teclas u otras herramientas.
Otras formas de daño: destrucción de datos, vandalismo, sabotaje.
Troyanos
Los caballos de Troya, más conocidos como troyanos, son archivos ejecutables que se propagan a través de la ingeniería social. Se hacen pasar por otro software para persuadir a los usuarios incautos de que los abran y, en consecuencia, inicien el archivo ejecutable. Una estrategia común implica que los atacantes convenzan a los usuarios de abrir un archivo o enlace web que instala el malware.Por ejemplo, los troyanos (como el scareware) persuaden al usuario para que crea que un programa determinado lo ayudará a proteger su computadora cuando, en realidad, hará todo lo contrario.
En otros casos, un usuario puede instalar una aplicación que parece beneficiosa, como una excelente barra de herramientas para el explorador o un teclado de emoticones divertido, pero que también contiene malware. Otra técnica troyana consiste en escribir malware de instalación automática en una memoria USB externa (o un dispositivo USB) y dársela a un usuario que no sepa de la presencia de dicho malware.Los troyanos de acceso remoto (RAT) permiten que los criminales cibernéticos controlen su dispositivo de manera remota después de infiltrarse.
Gusanos
Los gusanos se introducen en lugares no deseados. Los primeros gusanos informáticos experimentales, que simplemente se copiaban a sí mismos, se crearon en la década de 1970. En la década de 1980, aparecieron gusanos que se replicaban a sí mismos más dañinos, y se convirtieron en los primeros virus informáticos más conocidos, que se propagaban de PC a PC a través de los archivos infectados en los disquetes y corrompían los archivos a los que tenían acceso. Con la expansión del Internet, los piratas informáticos y los desarrolladores de malware diseñaron gusanos que se copian a sí mismos a través de las redes, lo cual los convirtió en una pronta amenaza para las empresas y los usuarios conectados a la Web.
Exploits
Un exploit es un punto vulnerable del software que podría utilizarse ilegalmente para forzarlo a realizar alguna tarea fuera de su función original. Un programa de malware puede usarlo para ingresar a un sistema o para trasladarse de una parte del sistema a otra. Muchos exploits dependen de los puntos vulnerables conocidos, a los que se suele llamar puntos vulnerables y exposiciones comunes (CVE), y cuentan con el hecho de que no todos los usuarios mantienen sus sistemas actualizados con parches de seguridad. Los exploits del día cero son menos frecuentes, pero se aprovechan de los puntos vulnerables importantes que el encargado del mantenimiento del software no haya corregido.
Suplantación de identidad
La suplantación de identidad es un tipo de ingeniería social en la que se intenta engañar al usuario para que brinde información confidencial o datos personales a través de una solicitud fraudulenta, como una oferta o un correo electrónico falsos. Este tipo de ataque suele ser precursor de un malware, ya que se utiliza como estrategia para obtener contraseñas y credenciales de inicio de sesión o perpetrar robos de identidad.
Rootkits y bootkits
Los rootkits son conjuntos de herramientas de software diseñados para obtener el control total de un sistema sin dejar rastros. Remplazan los controles administrativos normales de un sistema de manera efectiva. Los bootkits son un tipo avanzado de rootkit que infecta el kernel de un sistema, de modo que adquiere aún más control y es mucho más difícil de detectar.
Adware y spyware
El adware llena su dispositivo de publicidad no deseada, como las ventanas emergentes que aparecen automáticamente en su explorador web.Su pariente cercano, el spyware, recopila información y la transmite a otro sitio. Los programas de spyware abarcan desde rastreadores que supervisan su actividad en Internet hasta herramientas de espionaje sofisticadas. Además, pueden incluir sistemas que registran lo que el usuario escribe en el teclado, llamados registradores de teclas. No solo violan su privacidad, sino que también pueden ralentizar el sistema y obstruir la red. Si bien las computadoras que ejecutan Windows son los objetivos favoritos tradicionales del malware, los usuarios de macOS son igualmente susceptibles a los anuncios emergentes y los programas potencialmente no deseados (PUP) que aparecen disfrazados de software legítimo.
Botnets
El malware de tipo botnet transfiere el control de un dispositivo a un tercero, lo cual lo vuelve parte de una gran red de dispositivos infectados. En general, se usa para llevar a cabo ataques de denegación de servicio distribuido (DDoS), enviar spam o realizar tareas de minería de criptomonedas. Cualquier dispositivo de una red que no esté protegido puede estar expuesto a una infección. Por lo general, las botnets pueden ampliar su red de dispositivos. Además, son lo suficientemente complejas como para ejecutar varias actividades maliciosas de manera simultánea o secuencial. Por ejemplo, el ataque de malware Mirai de 2016 utilizó enrutadores domésticos y cámaras conectadas a Internet para crear una botnet enorme de DDoS.
Ransomware
El ransomware es una forma de malware que exige un pago a cambio de su anulación. Muchos ransomware comunes cifran archivos en el sistema de un usuario y exigen el pago de un rescate en Bitcoin a cambio de una clave de descifrado. Este tipo de malware adquirió notoriedad a mediados de la década de 2000. Desde entonces, sus ataques siguen siendo una de las amenazas de seguridad informática más graves y generalizadas.
Smishing
Smishing o suplantación de identidad por SMS (SMS phishing) es un tipo de malware relativamente nuevo en el que los atacantes envían enlaces a software malicioso a través de mensajes de texto de SMS, con el objetivo de que los usuarios hagan clic en ellos y descarguen malware disfrazado de aplicaciones. Quienes utilizan este tipo de suplantación de identidad pueden fingir ser una institución financiera, un organismo gubernamental o un servicio de atención al cliente con el fin de intentar engañar a un usuario para que entregue información sobre sus contraseñas, sus tarjetas de crédito u otros datos personales.
Otras formas de daño
A veces, el objetivo del desarrollador o el operador del malware es destruir los datos o arruinar alguna herramienta. Mucho antes de que el ransomware se volviera problemático, uno de los primeros programas de malware en conseguir la atención de los medios de comunicación masiva fue el virus Michelangelo en 1992. Su objetivo era sobrescribir la unidad de disco de una computadora infectada en una fecha en particular: el 6 de marzo. Más tarde, en el año 2000, el virus ILOVEYOU se propagó de un usuario a otro en forma de un script Visual Basic que se enviaba como un archivo adjunto por correo electrónico. Cuando se ejecutaba, borraba varios archivos y enviaba una copia de sí mismo a todos los contactos en la libreta de direcciones del usuario.
Esos virus parecen un chiste en comparación con las formas modernas de malware. Solo piense en el caso de Stuxnet. En el año 2010, la comunidad de seguridad descubrió un gusano muy sofisticado y desconcertante que se había diseñado para dañar un tipo específico de equipo industrial. En la actualidad, muchos expertos en seguridad creen que los gobiernos de Estados Unidos e Israel diseñaron Stuxnet para sabotear el programa de armas nucleares de Irán. Ningún gobierno asumió la responsabilidad oficialmente. Sin embargo, de ser así, sería un ejemplo de un nuevo tipo de malware: ciberataques patrocinados por los Estados.
Protección contra el malware
La mejor forma de protegerse contra el malware es evitar la infección.Si bien los sistemas de software antivirus o antimalware son útiles, también pueden implementarse otras soluciones de seguridad para aumentar la resistencia.
Adopción de una arquitectura de seguridad de confianza cero
Durante décadas, las empresas se diseñaron con una red interna o de confianza separada del mundo externo por un perímetro de firewalls y otras medidas de protección. Las personas o los extremos que se encontraban dentro del perímetro o conectados de manera remota, como las VPN, eran más confiables que los que estaban fuera de él. Esto condujo a tener un exterior resistente, pero un interior flexible, que los agentes malintencionados podían atravesar con facilidad una vez que obtenían acceso. Para poder gestionar los puntos vulnerables, las empresas adoptan un sistema de acceso a la red de confianza cero (ZTNA) más detallado, que segmenta el acceso y limita los permisos de los usuarios a ciertos servicios y aplicaciones.
Reducción de la superficie de ataque
Reduzca al máximo la cantidad de sistemas, aplicaciones y puertos que están expuestos a Internet.
Información a los usuarios
Los usuarios deben aprender a sospechar de los enlaces y los archivos adjuntos en los correos electrónicos, incluso de aquellos que parecen ser auténticos. Asimismo, deben aprender que las amenazas internas pueden llevar a ataques de malware.
Detección
Cuanto antes detecte una infección de malware, más rápido podrá solucionar los problemas del sistema infectado. Tenga en cuenta que algunos sistemas de malware están diseñados para permanecer ocultos.Las herramientas antivirus o antimalware requieren actualizaciones periódicas de sus firmas de detección para incluir las variantes nuevas en las revisiones; además, se recomienda contar con varios métodos de detección.
Gestión de parches
Los encargados del mantenimiento del software aplican parches para cubrir los puntos vulnerables de seguridad en cuanto pueden, así que si se ejecutan los sistemas de software de seguridad actualizados (y se mantiene todo el sistema de igual manera), se reduce el riesgo de una infección de malware. Para lograr una gestión efectiva, se necesita que todos los sistemas de su empresa reciban los parches de seguridad de forma oportuna. Revise si hay actualizaciones regularmente, y aplíquelas para protegerse de los exploits conocidos.
Control de acceso
El control administrativo debería limitarse a los usuarios y las aplicaciones de confianza que realmente lo necesitan. De esta manera, si algún tipo de malware ataca su computadora, le será más difícil infectar las funciones centrales de su sistema. Revise sus controles administrativos con regularidad. Cuando sea posible, solicite la autenticación de varios factores para proteger el acceso.
Cifrado y backup de los datos
La seguridad adecuada de los datos puede marcar una gran diferencia durante un ataque de malware. Si, en el peor de los casos, el malware ingresa a su sistema, podrá utilizar la conmutación por error para volver a un backup no infectado que se haya generado antes del ingreso del malware. En otras palabras, esto significa mantener los datos de respaldo aislados, para que el malware no pueda dañarlos ni borrarlos. Mantener los datos cifrados también es una práctica recomendada porque, así, cualquier dato que el malware extraiga será inútil. En la práctica, esto requiere una combinación de estrategias que variarán en función del tamaño y la complejidad de su empresa. Para las empresas grandes, una solución de almacenamiento definido por software en un entorno de nube híbrida brinda amplia flexibilidad en las opciones de cifrado y backup.
Todos los sistemas informáticos tienen puntos vulnerables, y los desarrolladores de malware son perseverantes a la hora de encontrarlos y aprovecharlos. Por eso, la seguridad contra el malware es un tema que nunca deja de evolucionar.
En la guía sobre la tecnología de Red Hat para la seguridad de la TI, encontrará más información sobre el modo de establecer procedimientos, procesos y políticas de seguridad.
