Malware | Qué es el malware y cómo protegerse de los ataques de malware

¿Qué es el malware?

Como software diseñado para interferir en el funcionamiento normal de una computadora, malware es un término genérico para virus, troyanos y demás programas informáticos destructivos que los actores de amenazas utilizan para infectar sistemas y redes con el fin de acceder a información confidencial.

Definición de malware

El malware (abreviatura de "software malicioso" en inglés) es un archivo o código, normalmente distribuido a través de una red, que infecta, explora, roba o lleva a cabo prácticamente cualquier comportamiento que desee un atacante. Y dado que el malware se presenta en tantas variantes, existen numerosos métodos para infectar los sistemas informáticos. Aunque varía en cuanto a tipo y capacidades, el malware suele tener uno de los siguientes objetivos:

• Brindar control remoto para que un atacante utilice una máquina infectada.
• Enviar spam desde la máquina infectada a objetivos desprevenidos.
• Investigar la red local del usuario infectado.
• Sustracción de datos confidenciales.

Tipos de malware:

Malware es un término que incluye a todos los tipos de software malicioso. Entre los ejemplos de malware, definiciones de ataques de malware y métodos de propagación de malware se incluyen los siguientes:

Adware: aunque algunas formas de adware pueden considerarse legítimas, otras permiten el acceso no autorizado a los sistemas informáticos y molestan enormemente a los usuarios.

Botnets: abreviatura de "red de robots" en inglés; se trata de redes de computadoras infectadas bajo el control de atacantes individuales que utilizan servidores de comando y control. Los botnets son muy versátiles y adaptables, capaces de mantener la resiliencia mediante servidores redundantes al utilizar computadoras infectadas para retransmitir el tráfico. Los botnets suelen ser los ejércitos detrás de los ataques por denegación de servicio distribuidos (DDoS) actuales.

Cryptojacking: se trata de la criptominería maliciosa (el proceso de utilizar potencia de cálculo para verificar transacciones en una red de cadena de bloques y obtener criptomonedas por prestar ese servicio) que se produce cuando los ciberdelincuentes hackean computadoras, computadoras portátiles y dispositivos móviles, tanto de empresas como personales, para instalar software.

Malvertising: malvertising es una fusión de las palabras "malware + publicidad" en inglés que describe la práctica de la publicidad en línea para propagar malware. Normalmente consiste en inyectar código malicioso o anuncios cargados de malware en redes de publicidad en línea y páginas web legítimas.

Malware polimórfico: cualquiera de los tipos de malware anteriores con la capacidad de "transformarse" periódicamente, alterando la apariencia del código pero conservando el algoritmo que contiene. La alteración de la apariencia superficial del software subvierte la detección mediante firmas de virus tradicionales.

Ransomware: es un modelo de negocios delictivo que utiliza software malicioso para retener archivos, datos o información valiosos a cambio de un rescate. Las víctimas de un ataque de ransomware pueden experimentar una grave degradación de sus operaciones o incluso su completa paralización.

Herramientas de administración remota (RAT): software que permite a un operador remoto controlar un sistema. Estas herramientas se crearon originalmente para uso legítimo, pero ahora las utilizan los actores de amenazas. Las RAT posibilitan el control administrativo, lo que permite a un atacante hacer casi cualquier cosa en una computadora infectada. Son difíciles de detectar ya que no suelen aparecer en las listas de programas o tareas en ejecución y sus acciones a menudo se confunden con las de programas legítimos.

Rootkits: programas que brindan acceso privilegiado (nivel raíz) a una computadora. Los rootkits varían y se ocultan en el sistema operativo.

Spyware: malware que recopila información sobre el uso de la computadora infectada y la comunica al atacante. El término incluye botnets, adware, comportamiento de backdoor, keyloggers, robo de datos y gusanos de red.

Malware de troyanos: malware disfrazado de lo que parece ser software legítimo. Una vez activados, los troyanos maliciosos llevarán a cabo cualquier acción para la que se los haya programado. A diferencia de los virus y los gusanos, los troyanos no se replican ni reproducen por infección. "Troyano" hace referencia a la historia mitológica de los soldados griegos ocultos en el interior de un caballo de madera que fue regalado a la ciudad enemiga de Troya.

Malware de virus: programas que se copian a sí mismos en una computadora o red. Los virus maliciosos se instalan en programas existentes y solo se activan cuando el usuario abre el programa. En el peor de los casos, los virus pueden corromper o borrar datos, utilizar el correo electrónico del usuario para propagarse o borrar todo lo que haya en un disco duro.

Malware de gusano: virus autorreplicantes que explotan las vulnerabilidades de seguridad para propagarse automáticamente por computadoras y redes. A diferencia de muchos virus, los gusanos maliciosos no se adhieren a programas existentes ni alteran los archivos. A menudo pasan desapercibidos hasta que la replicación alcanza una escala tal que consume importantes recursos del sistema o ancho de banda de la red.

Tipos de ataques de malware

El malware también utiliza diversos métodos para propagarse a otros sistemas informáticos más allá del vector de ataque inicial. Las definiciones de ataques de malware pueden incluir:

• Los archivos adjuntos de correo electrónico que contienen código malicioso pueden ser abiertos y, por tanto, ejecutados por usuarios desprevenidos. Si esos mensajes se reenvían, el malware puede propagarse incluso más dentro de una organización, lo cual vulnera aún más la red.
• Los servidores de archivos, como los basados en el sistema común de archivos de Internet (SMB/CIFS) y el sistema de archivos de red (NFS), pueden permitir que el malware se propague rápidamente a medida que los usuarios acceden y descargan archivos infectados.
• El software de intercambio de archivos puede permitir que el malware se reproduzca en medios extraíbles y, posteriormente, en sistemas y redes informáticas.
• El intercambio de archivos punto a punto (P2P) puede introducir malware al compartir archivos aparentemente inofensivos como música o imágenes.
• Las vulnerabilidades explotables de forma remota pueden permitir a un hacker acceder a los sistemas, independientemente de la ubicación geográfica, con poca o ninguna necesidad de participación por parte del usuario de la computadora.

Aprenda a utilizar las funciones de prevención de amenazas de nueva generación de Palo Alto Networks y el servicio de análisis de amenazas basado en la nube WildFire® para proteger su red de todo tipo de malware, tanto conocido como desconocido.

Cómo prevenir el malware:

Se utilizan diversas soluciones de seguridad para detectar y prevenir el malware. Entre ellos se incluyen los firewalls, los firewalls de nueva generación, los sistemas de prevención de intrusiones (IPS) en la red, las funciones de inspección profunda de paquetes (DPI), los sistemas unificados de gestión de amenazas, las gateways antivirus y antispam, las redes privadas virtuales, el filtrado de contenidos y los sistemas de prevención de filtración de datos. Para prevenir el malware, todas las soluciones de seguridad deben probarse utilizando una amplia gama de ataques basados en malware para garantizar que funcionen correctamente. Debe utilizarse una biblioteca sólida y actualizada de firmas de malware para garantizar que se realicen pruebas en busca de los ataques más recientes.

El agente Cortex XDR combina múltiples métodos de prevención en fases críticas del ciclo de vida del ataque para detener la ejecución de programas maliciosos y frenar la explotación de aplicaciones legítimas, independientemente del sistema operativo, del estado de conexión o desconexión del endpoint y de si está conectado a la red de una organización o a la red móvil. Dado que el agente Cortex XDR no depende de firmas, puede evitar el malware de día cero y los exploits desconocidos mediante una combinación de métodos de prevención.

Detección de malware:

Existen herramientas avanzadas de análisis y detección de malware, como firewalls, sistemas de prevención de intrusiones (IPS) y soluciones de sandboxing. Algunos tipos de malware son más fáciles de detectar, como el ransomware, que se da a conocer inmediatamente después de cifrar sus archivos. Otros malware, como el spyware, pueden permanecer en un sistema objetivo de forma silenciosa para permitir que el adversario mantenga el acceso al sistema. Independientemente del tipo de malware o de su significado, de su detectabilidad o de la persona que lo implemente, la intención del uso de malware es siempre maliciosa.

Cuando habilita la protección contra amenazas de comportamiento en su política de seguridad de endpoints, el agente Cortex XDR también puede supervisar continuamente la actividad de los endpoints en busca de cadenas de eventos maliciosos identificadas por Palo Alto Networks.

Eliminación de malware:

El software antivirus puede eliminar la mayoría de los tipos de infección estándar y existen muchas opciones de soluciones listas para usar. Cortex XDR permite remediar la situación en el endpoint después de una alerta o investigación, lo cual ofrece a los administradores la opción de iniciar una serie de pasos de mitigación, comenzando por aislar los endpoints al deshabilitar todo acceso a la red en los endpoints vulnerados, excepto el tráfico a la consola de Cortex XDR, finalizando procesos para impedir que cualquier malware en ejecución siga realizando actividades maliciosas en el endpoint y bloqueando ejecuciones adicionales antes de poner en cuarentena los archivos maliciosos y eliminarlos de sus directorios de trabajo si el agente de Cortex XDR todavía no lo ha hecho.

Protección contra malware:

Para proteger a su organización contra el malware, necesita una estrategia de protección contra el malware holística que abarque a toda la empresa. Las amenazas de productos son exploits menos sofisticados y más fáciles de detectar y prevenir mediante una combinación de funciones de antivirus, de antispyware y de protección de vulnerabilidades, junto con funciones de filtrado de URL e identificación de aplicaciones en el firewall.

Para obtener más información sobre el malware, sus variantes y cómo puede proteger su organización contra él, descargue uno de nuestros recursos:

• ¿Qué es la protección contra malware?
• Qué son los ataques de malware sin archivos y "Vivir de la tierra"
• Informe de amenazas de ransomware
• ¿Qué es el ransomware?
• Ransomware: Métodos de ataque comunes
• Malware frente a exploits
• ¿Qué es una firma basada en la carga útil?
• Cortex XDR para la detección y respuesta
• Threat Prevention
• Motor de análisis de malware WildFire