Un artículo publicado en el diario El Comercio de Perú sobre el tema de los códigos maliciosos ha sacado a la luz las notables diferencias existentes entre malware, virus, gusano troyano, ransomware y otras denominaciones menos conocidas, por lo esclarecedor del texto y su lenguaje asequible se ha decidido reproducirlo para un mayor conocimiento del tema como vía para la prevención.
No es lo mismo un virus que un malware, troyano, ransomware o gusano. ¿En qué se diferencian?.
Por Christian Mestanza Arquiñigo
Publicado en 13/11/2022.
Fuente: “El Comercio” de Perú.
Hace 34 años se llevó a cabo el primer ataque cibernético por internet. Se trató del gusano Morris, un código malicioso que no causó demasiado peligro, pues solo infectó a unas seis mil computadoras de las 60 mil que estaban conectadas en aquel entonces a la red y solo llegó a retrasar sus operaciones. Los ataques y amenazas informáticas de hoy, en cambio, aunque no sean tan masivos, pueden causarnos mucho daño, ya que podrían secuestrar fotos o archivos de vital importancia y pedir un rescate por ellos, o – peor aún– vaciar nuestras cuentas bancarias.
A diferencia de 1988, gran parte de la información personal y laboral que en la actualidad manejamos es digital y está conectada a la red. Esa es la gran paradoja del ciberespacio. Digitalizamos nuestros archivos para preservarlos, pero cada vez nos enfrentamos a más riesgos. Ante este panorama es el deber de cada usuario estar al tanto de las amenazas a la que está expuesto. Un primer paso podría ser comenzar a diferenciar entre los distintos términos que se utilizan al hablar de ciberamenazas.
Algunos años atrás era común relacionar a cualquier ciberataque con un virus informático. En parte, esto fue así debido a que los primeros códigos maliciosos fueron de este tipo. De hecho, la confusión sigue vigente aún. Muestra de ello es que a las soluciones de seguridad informáticas las seguimos llamado antivirus, cuando en realidad abarcan un espectro mucho más amplio de acción que simplemente proteger contra virus. Seguramente en algún momento habremos oído hablar de malware, troyano, ransomware, entre otros, ¿pero acaso todo son la misma cosa?
El malware: la raíz y sus familias.
La respuesta evidente es que no: cada uno de ellos tiene una diferente naturaleza, por lo que su modo de accionar es distinto también. No obstante, hoy en día es posible ver cómo los cibercriminales los utilizan de manera conjunta, así por ejemplo, un troyano o un spyware podría actuar de la mano de un ransmoware.
Vayamos directamente con las definiciones. ¿Dónde se ubica el malware, tan mentado en los últimos tiempos, en todo esto?.
Sol González, especialista en ciberseguridad de ESET, explica a El Comercio que el malware es un código malicioso, es decir, cualquier programa diseñado para causar daño a un sistema informático. Por lo tanto, engloba a virus, troyanos, gusanos, ransomaware, spyware y otros más.
“Dentro de esos códigos maliciosos de malware encontramos familias del tipo virus, gusano, etc. Es por eso que hoy en día siempre tratamos de decir que tenemos soluciones de antimalware y cambiar el nombre de antivirus. En los 80, los códigos maliciosos se conocían como virus, ya que fueron el primer tipo que se vio, pero hoy en día ya no hay solamente virus, hay un montón de otras familias”, señala la especialista.
1. Virus
Un virus informático, por su parte, es un tipo de malware cuyo objetivo es alterar el correcto funcionamiento de un dispositivo. Unas de sus principales características son, primero, que necesita la intervención del usuario para ser ejecutado y, segundo, que tiene la capacidad de propagarse con facilidad, como si de un virus biológico se tratara.
“El virus lo que hace es añadir un código a un archivo legítimo, es decir, a un documento de texto, PowerPoint, ejecutable, librería. Esto quiere decir que agrega líneas de código que permiten, por ejemplo, generar puertas traseras [para que el cibercriminal tome el control del equipo], en algunos casos pueden consumir recursos, cerrar o ralentizar los servidores y las computadoras, generar pérdida de datos, o sea, dañar las particiones de disco para que no arranquen los servidores o equipos. Cada uno tiene más o menos una finalidad, pero siempre la particular es que se agrega algo dentro de un archivo o de un fichero legítimo”, explica a este Diario Sergio Azahuanche, consultor senior de ciberseguridad de Marsh Advisory Perú.
Al sobrescribirse en el código original del un archivo, cuando una solución de seguridad detecta un virus, lo que hace es borrar ese fragmento de código corrupto. Por eso se dice que este tipo malware es transparente.
2. Gusano
Por otro lado, tenemos al gusano informático, otro tipo de código pernicioso muy común en la red. A diferencia de un virus, este no necesita la intervención del usuario ni la modificación de un archivo existente para infectar un equipo. ¿Cómo funciona? De acuerdo a González, lo pueden hacer por ejemplo a través de la explotación de la vulnerabilidad de un sistema.
Con vulnerabilidad nos referimos a una debilidad existente tanto en el sistema operativo como en las aplicaciones que puede ser utilizada por una persona mal intencionada para comprometer su seguridad. Pueden ser de varios tipos, como de hardware, software, procedimentales o humanas y pueden ser explotadas o utilizadas por intrusos o atacantes. Incluso, hay cibercriminales que escanean constantemente los sistemas en búsqueda de estas debilidades.
“El cibercriminal observa en ese ordenador o servidor qué tipos de vulnerabilidades hay y la explota con esa porción de código malicioso, logrando que se propague a través de la red. Los gusanos son muy conocidos, por ejemplo, para propagar mails u otros malwares. Los equipos infectados a veces son utilizados como bots, llamados también computadoras zombies, para hacer una un ataque de denegación de servicio”, comenta la experta de ESET.
Los ataques de denegación de servicio (DDoS) ocurren cuando estas computadoras tomadas y puestas al servicio del ciberdelincuente son utilizadas en forma masiva para colapsar la infraestructura de un sitio web. Los recursos de red, como los servidores web, tienen un número límite de solicitudes que pueden atender simultáneamente. Cuando el número de solicitudes supera los límites de capacidad de cualquier componente de la infraestructura, el nivel de servicio se ve afectado.
3. Ransomware
El ransomware tiene la capacidad de cifrar la información de la víctima para que el delincuente pida un rescate a cambio de dinero.
Nota del Blog Ciberseguridad: Es tal vez, la manifestación más difunda en la actualidad del malware, puede recibirse en una correo electrónico cuyo contenido sea abierto sin atender quien lo envía o descargarlo de un sitio de donde se realizan descargas. También de las redes sociales.
Otro de los códigos maliciosos más conocidos es el ransomware, muy comentado en los últimos años sobre todo a raíz de ataque de implicaciones mundiales como WannaCry (2017), que inutilizó más de 200 mil computadoras en 150 países.
El ransomware es un programa malicioso que “secuestra” la información de su víctima al cifrarla y pedir un rescate (normalmente monetario) a cambio de liberarla. Para las empresas puede llegar a ser un verdadero dolor de cabeza, pero incluso los usuarios finales también se ven afectados, pues muchas veces los atacantes secuestran documentos sensibles, como podrían ser fotos privadas, y amenazan con publicarlas si no se cumplen sus requerimientos.
“El ransomware es el tipo de amenaza más fuerte de todas en nuestros días, porque lo que hace es infiltrarse en el dispositivo y cifrar la información con un elemento de cifrado fuerte como el AES (Advanced Encryption Standard), uno de los más seguros disponibles”, señala el ejecutivo de Marsh. “Cifra como se haría con cualquier base de datos, la diferencia es que la llave se la da al secuestrador. Entonces, el ransomware manda un mensaje diciendo: ‘Ey, mira. Por si acaso, por tu seguridad lo que he hecho es cifrar tus datos. Si quieres recuperarlos debes paga la módica suman de XX en bitcoins, ethereum o cualquier otra criptomoneda”, añade.
Si no se han tenido las medidas de control pertinentes, como tener un back up adecuado (respaldo de la información), la víctima queda a merced del atacante. ¿Se debería pagar por el rescate? De acuerdo al especialista, no es recomendable realizar el pago porque es muy probable que la data no se recupere; y, si se hace, estaría corrupta y con problemas.
4.Troyano
Luego están los malware de tipo troyano. Mientras que un virus es transparente, el troyano trata de pasar desapercibido mientras accede a un dispositivo con la intención de ejecutar acciones ocultas con la que abrir puertas traseras para que otros códigos maliciosos puedan acceder a él.
Otra de las características más resaltantes de esta familia de malware es que llegan a sus víctimas camuflados como si fueran programas legítimos o suplantando la identidad de alguno de ellos, tal es el caso de los troyanos bancarios, muy populares en Latinoamérica.
“Se hacen pasar por programas legítimos, esto es lo que caracteriza a un troyano. Por eso hoy en día se habla mucho de troyanos bancarios, que son estas aplicaciones ‘Mobile’ que se hacen pasar por una aplicación de ‘home banking’ y terminan siendo falsas, pero el usuario ya ingresó su usuario y su contraseña. ¿Qué logró el cibercriminal? Obtuvo el usuario y contraseña de su víctima para después robar sus activos”, explica González.
Otro tipo de troyano muy común en Perú y la región es el RAT, que logra que el atacante consiga acceso remoto a muchas computadoras a la vez. Lo peor de todos es que estos programas maliciosos son tan básicos que hasta se pueden descargar gratuitamente en la web por cualquier.
El nombre troyano evoca al mítico Caballo de Troya de la Odisea de Omero, y se entiende por qué; pues, como aquel, logra penetrar las defensas de los sistemas para que otros programas dañinos puedan ingresar por ahí.
5. Spyware
Finalmente, tenemos al spyware. Se trata de un malware que también trata de trabajar ocultado su rastro y buscará recolectar información del usuario. Los victimarios al infectar un dispositivo con este archivo recopilan contraseñas, números PIN, números de tarjetas de crédito, incluso pueden activar la cámara y el micrófono de los usuarios. Además, pueden visualizar las pulsaciones de las teclas, rastrear los hábitos de navegación y recopilar direcciones de correos electrónicos.
“El spyware está diseñado con el objetivo de poder espiar. Mayormente se exfiltra esa información, es decir, que el cibercriminal espía lo que el usuario tiene en el sistema de ficheros del equipo y se lo roba. Hay de todo tipo, para las computadoras y para los dispositivos celulares”, señala la experta de ESET.
Phishing, un método del cibercrimen antiguo pero efectivo
No podemos dejar de hablar del phishing, que no es precisamente un tipo de malware, mas sí un método de ataque cibernético. De hecho, es uno de los más utilizados a nivel mundial por los ciberdelincuentes tanto por su simpleza como por su efectividad.
El phishing refiere al envío de correos electrónicos o mensajes de texto (incluso por redes sociales) que tienen la apariencia de proceder de fuentes de confianza como bancos, operadoras móviles, etc.; pero que en realidad suplantan la identidad de estos para persuadir a la víctima a que entregue información confidencial, mayormente usuario y contraseña bancaria.
Los perpetradores no solo tratan de simular en sus mensajes colores corporativos o URLs muy parecidas a las originales, también hacen un buen trabajo de ingeniería social. De esa forma, logran crear campañas a veces dirigidas a un público bien segmentado. Como resultado tenemos correos electrónicos aduciendo problemas de facturación, alertas de bancos, algún premio o alguna superpromoción vigente.
Muchas veces esos correos llevan a la víctima, por medio de un enlace, a una ‘landgin page’ que es una copia de la web suplantada, desde donde recolectan sus datos.
Nota del Blog Ciberseguridad: La administración de la red de cualquier institución tampoco lo hará. Las contraseñas por ley son guardadas en los servidores encriptadas de forma tal que nadie puede conocerlas, pues no se muestran en texto plano.
Mal spam, el gran vector de ataque
Conocido también como malware spam o malicious spam es el mayor vector de ataque que utilizan los ciberdelincuentes para llegar a sus víctimas y engañarlas. Se parece al phishing en que también se vale de la utilización de correos electrónicos diseñados con ingeniosas campañas de ingeniería social, aunque la diferencia es que siempre llevan un malware que debe ser ejecutado.
Un método común de entrega de esos archivos perjudiciales es incluir secuencias de comandos maliciosos en un documento adjunto familiar, como un documento de Word, un archivo PDF o una presentación de PowerPoint. Una vez que se abre el archivo adjunto, los scripts se ejecutan y recuperan la carga del malware.
Cómo estar prevenidos
Es importante entender que los ataques maliciosos están diseñados hoy en día tanto para computadoras como para dispositivos móviles, por lo que las recomendaciones principales serán siempre las mismas.
1. Mantener nuestros equipos actualizados. Las compañías de software siempre están lanzando actualizaciones de sus productos para corregir errores y vulnerabilidades. Nuestra tarea es mantener nuestros equipos siempre actualizados, tanto con el sistema operativo que usemos como con las aplicaciones.
Nota del Blog Ciberseguridad: Puede tenerse antivirus actualizado, pero si se desactiva la protección permanente, sencillamente el dispositivo queda desprotegido y esto algunas personas lo hacen para ganar “velocidad” sin atender el tiempo que pueden perder si se produce una infección.
2. Descargar las aplicaciones desde sitios oficiales. Las tiendas oficiales como Google Play o Apple Store tienen sus propios procesos para validar la seguridad de una app, si bien no son perfectos, son un buen filtro.
3. No descargar programas crackeados. Un crack informático es un parche creado sin autorización del desarrollador con la finalidad de modificar el comportamiento del software original. Debido al aumento de la piratería, las empresas desarrolladoras de software aplican una serie de restricciones sobre las copias que distribuyen. Los crack eliminan esas restricciones. El problema es que tales softwares modificados pueden estar plagados de códigos maliciosos.
4. Si es demasiado bueno, hay que dudar. Dudemos de los corres o avisos con superpromociones, premios o negocios de altísima rentabilidad, muchas veces suelen tratarse de estafas. Veamos bien quién está atrás del anuncio y pongámonos en contacto con las entidades para validar la información.
5. El banco jamás va a pedir claves por correo o teléfono . Si recibimos un correo que pide actualizar los datos de nuestra tarjeta y solicita que ingresemos nuestra contraseña, huyamos. Los bancos tienen canales especiales para realizar ese tipo de operaciones, es mejor acercarnos a una oficina para consultar la operación.
Nota del Blog Ciberseguridad: Esta variante es en la actualidad, la forma más utilizada para atacar el sistema informático de la Universidad de Oriente y a pesar de las alertas realizadas aún existen usuarios de nuestro sistema informático que caen en esta trampa, lo que provoca serios problemas al tráfico de la institución.
6. Cuidados con los correos spam. El mejor consejo es simplemente evitar abrir correos de contactos que no conozcamos. Además, nunca descarguemos archivos adjuntos al menos que estemos totalmente seguros de la fiabilidad de la fuente de procedencia.
7. Usemos una solución de seguridad. Más vale estar protegidos que lamentar. Aunque sistemas operativos como Windows tienen sus propios sistemas de seguridad (Defender), si realmente queremos cuidar la información que tenemos y nuestros datos, una solución de seguridad pude ayudarnos. Y no solo hablamos de las PC, los celulares a veces están incluso más expuestos.
Nota del Blog Ciberseguridad: Es común en nuestro medio el uso de dispositivos móviles sin programas antivirus, si bien estos programas no logran la invulnerabilidad garantizan respuesta ante los códigos malignos conocidos.
Nota del Blog Ciberseguridad: No se puede olvidar que las redes sociales se han convertido en la zona de guerra de los ciberdelincuentes, por lo que allí también se diseminan códigos maliciosos para cumplir sus objetivos.
Está permitida la reproducción de la información, siempre que se mencione la fuente de procedencia: Blog de Ciberseguridad de la Universidad de Oriente.