2010 TSMI Los Virus Informaticos

Técnico en Sistemas Microinformáticos
MÓDULO 2
Virus informáticos
La información aquí presentada en una recopilación de la información consultada y existente en libros,

páginas web y otras fuentes que también puedes consultar por tu cuenta, además de material propio.
Este documento ha sido creado con el objeto de que te sirva de consulta y apoyo durante el curso
Página 1
¿Qué son los virus?
Historia de los virus.
Seguridad Informática, Virus y Auditoria
Clasificación de los virus.
Virus en Internet.
Síntomas que puede tener un ordenador al estar infectado por un virus.
Cómo llegan al ordenador.
La prevención y detección contra los virus.
Formas de infección, ocultamiento y destrucción.
Cómo reaccionar ante una infección.
Software Antivirus
Qué debemos buscar en un antivirus.
Siete reglas básicas para escoger un buen antivirus.
Firewall o cortafuegos.
Medidas a Adoptar para la protección de una red Interna
Otros términos relacionados con los virus informáticos.
Página 2
¿Qué son los virus?
Un virus de ordenador, por definición, es un programa -o código- que se replica añadiendo una
copia de si mismo a otro archivo ejecutable, en palabras más técnicas, los virus son segmentos de
código de programa que se implantan a sí mismos en uno de los archivos ejecutables y que se
propagan sistemáticamente de un archivo a otro.
Un virus es particularmente dañino debido a que, sin la detección o protección de un antivirus, el

usuario no se percata de que su sistema está siendo invadido hasta que ve los resultados que
pueden ir desde anuncios inocuos hasta la pérdida total del sistema.
Aparecidos hace ya varias décadas, los virus informáticos -en todas sus variantes- han
evolucionado día a día pasando de ser un "juguete dañino" de algún programador travieso a
poderosas armas de software que, con excelentes técnicas de programación en su interior, son
capaces de infectar totalmente los sistemas que atacan, viajar a otros computadores a través de
redes, mutar su código para evitar ser detectados y otras características mas.
Existe una definición más simple y completa que hay de los virus y se fundamenta en tres
características, que se refuerzan y dependen mutuamente. Según ella, un virus es un programa
que cumple las siguientes pautas:
o Es dañino
o Es autorreproductor
o Es furtivo u oculto
Normalmente, la ejecución un virus puede presentar dos tipos de consecuencias diferentes, las
inocuas o las destructivas, dando lugar a la siguiente clasificación de virus:
1. Los virus benignos son aquellos cuyo diseño no implica ningún daño para el ordenador.
Por ejemplo, se consideran benignos los virus que permanecen ocultos hasta una fecha o una
hora determinada y no hacen otra cosa que mostrar algún tipo de mensaje.
2. Los virus malignos son aquellos que intentan causar daños malintencionados en el ordenador, a
pesar de que es posible que alguno de esos daños no fueran intencionados.
Existe un gran número de virus que pueden causar daños debido a una programación deficiente
y errores manifiestos en el código vírico. Los virus maliciosos pueden alterar uno o varios de sus
programas, para que no funcionen de la forma esperada. El programa infectado puede cerrarse
de forma anormal o incluir información incorrecta en sus documentos. También es posible que el
virus modifique la información en alguna de las áreas importantes del sistema y esto puede derivar
en que, por ejemplo, la partición no se monte, o puede hacer incluso que no sea posible ejecutar
uno o varios programas, o que los programas no puedan encontrar los documentos que desean
encontrar.
Dentro de la programación de un virus se pueden distinguir tres módulos principales:
El módulo de reproducción se encarga de manejar las rutinas de "parasitación" de archivos

ejecutables (o archivos de datos, en el caso de los virus de macro) a fin de que el virus pueda
ejecutarse de forma oculta, pudiendo de esta manera, tomar el control del sistema e infectar a
otros archivos y permitiendo que se traslade de un ordenador a otro, a través del copiado de
algunos de estos archivos infectados.
Página 3
El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar las

rutinas de daño adicional del virus. Por ejemplo, el conocido virus Michelangelo tiene un módulo
de ataque que se activa cuando el reloj del ordenador indica 6 de Marzo. En estas condiciones la
rutina de ataque actúa sobre la información del disco duro volviéndola inutilizable.
El módulo de defensa tiene, obviamente, la misión de proteger al virus y como el de ataque,

puede estar o no presente en la estructura del virus. Sus rutinas apuntan a evitar todo aquello que
provoque la eliminación del virus y retardar, en todo lo posible, su detección.
Historia de los Virus
Hacia finales de los años 60, Douglas McIlory, Victor Vysottsky y Robert Morris idearon un juego al
que llamaron Core War (Guerra en lo Central, aludiendo a la memoria de la computadora), que
se convirtió en el pasatiempo de algunos de los programadores de los laboratorios Bell de AT&T.
El juego consistía en que dos jugadores escribieran cada uno un programa llamado organismo,
cuyo hábitat fuera la memoria de la computadora. A partir de una señal, cada programa
intentaba forzar al otro a efectuar una instrucción inválida, ganando el primero que lo
consiguiera.
Al término del juego, se borraba de la memoria todo rastro de la batalla, ya que estas actividades
eran severamente sancionadas por los jefes por ser un gran riesgo dejar un organismo suelto que
pudiera acabar con las aplicaciones del día siguiente. De esta manera surgieron los programas
destinados a dañar en la escena de la computación.
Uno de los primeros registros que se tienen de una infección data del año 1987, cuando en la
Universidad estadounidense de Delaware notaron que tenían un virus porque comenzaron a ver
"© Brain" como etiqueta de los disquetes. La causa de ello era Brain Computer Services, una casa
de computación paquistaní que, desde 1986, vendía copias legales de software comercial
infectadas para, según los responsables de la firma, dar una lección a los piratas.
Ellos habían notado que el sector de arranque de un disquete contenía código ejecutable , y que
dicho código se ejecutaba cada vez que la máquina se inicializaba desde un disquete. Lograron
reemplazar ese código por su propio programa, residente, y que este instalara una réplica de sí
mismo en cada disquete que fuera utilizado de ahí en adelante.
También en 1986, un programador llamado Ralf Burger se dio cuenta de que un archivo podía ser
creado para copiarse a sí mismo, adosando una copia de él a otros archivos. Escribió una
demostración de este efecto a la que llamó VIRDEM, que podía infectar cualquier archivo con
extensión .COM.
Esto atrajo tanto interés que se le pidió que escribiera un libro, pero, puesto que él desconocía lo
que estaba ocurriendo en Pakistán, no mencionó a los virus de sector de arranque (boot sector).
Para ese entonces, ya se había empezado a diseminar el virus Vienna.
Actualmente, los virus son producidos en cantidades extraordinarias por muchísima gente
alrededor del planeta. Algunos de ellos dicen hacerlo por divertimento, otros quizás para probar
sus habilidades. De cualquier manera, hasta se ha llegado a notar un cierto grado de
competitividad entre los autores de estos programas.
Con relación a la motivación de los autores de virus para llevar a cabo su obra podemos decir
que:
• Algunos de los programadores de virus, especialmente los mejores, sostienen que su interés por
el tema es puramente científico, que desean averiguar todo lo que se pueda sobre virus y sus
usos.
Página 4
• A diferencia de las compañías de software, que son organizaciones relativamente aisladas unas
de otras (todas tienen secretos que no querrían que sus competidores averiguaran) y cuentan
entre sus filas con mayoría de estudiantes graduados, las agrupaciones de programadores de
virus están abiertas a cualquiera que se interese en ellas, ofrecen consejos, camaradería y pocas
limitaciones. Además, son libres de seguir cualquier objetivo que les parezca, sin temer por la
pérdida de respaldo económico.
• El hecho de escribir programas vírales da al programador cierta fuerza coercitiva, lo pone fuera
de las reglas convencionales de comportamiento. Este factor es uno de los más importantes, pues
el sentimiento de pertenencia es algo necesario para todo ser humano, y es probado que dicho
sentimiento pareciera verse reforzado en situaciones marginales.
• Por otro lado, ciertos programadores parecen intentar legalizar sus actos poniendo sus
creaciones al alcance de mucha gente, (vía Internet, grupos especializados, etc.) haciendo la
salvedad de que el material es peligroso, por lo cual el usuario debería tomar las precauciones
pertinentes.
• Existen programadores, de los cuales, generalmente, provienen los virus más destructivos, que
alegan que sus programas son creados para hacer notoria la falta de protección de que sufren la
mayoría de los usuarios de computadoras.
• La gran mayoría de estos individuos son del mismo tipo de gente que es reclutada por los grupos
terroristas: hombres, adolescentes, inteligentes.
• En definitiva, sea cual fuere el motivo por el cual se siguen produciendo virus, se debe destacar
que su existencia no ha sido sólo perjuicios: gracias a ellos, mucha gente ha tomado conciencia
de qué es lo que tiene y cómo protegerlo.
Seguridad Informática, Virus y Auditoria
La auditoria informática se encarga de recoger, agrupar y evaluar evidencias para determinar si

un sistema informatizado salvaguarda sus activos, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Antes de realizar una auditoria se debe estudiar con mucho cuidado lo que significan los virus,
conocer los diferentes tipos, sus consecuencias y precauciones a tomar, ya que son uno de los
riesgos mayores en la actualidad para el auditor.
Se debe observar que el sistema se cumpla unos puntos primordiales como, que no tenga copias
ilegales o piratas, que no exista la posibilidad de transmisión de virus al realizar conexiones remotas
a otras redes, o que el acceso a los dispositivos de almacenamiento extraible sea restringido sólo
a quienes los necesitan.
El auditor informático, si quiere realizar bien su labor y a la vez evitar situaciones desagradables y
un tanto peligrosas, está obligado a conocer la rama del Derecho que regula el objeto de su
trabajo. Desconocer las normas que regulan la protección de los datos personales, la piratería de
los programas de ordenador, las obligaciones contractuales, los delitos informáticos, las
responsabilidades civiles y penales en que puede incurrir, puede tener consecuencias graves si
como es fácil que ocurra, dichas circunstancias se presentan en el entorno en el que trabaja.
La información, que en muchos casos es confidencial para algunas personas o a escala

institucional, es tratada y almacenada en su mayoría en ordenadores, por lo que puede estar
sujeta a robos, sabotaje, fraudes o a su mala utilización por otras personas y es esto por lo que se
hace necesario el tratamiento de la seguridad informática. La seguridad en la informática abarca
los conceptos de seguridad física y seguridad lógica.
Página 5
La seguridad física se refiere a la protección del hardware y de los soportes de datos, así como a
la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios,
sabotajes, robos, catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos,
procesos y programas, así como la del ordenador y del autorizado acceso de los usuarios a la
información. Es en este punto, donde se ha dado un factor que hay que considerar, y que es el
llamado “virus” de los ordenadores.
En el Código Penal de España, el artículo 264-2 establece que se aplicará la pena de prisión de
uno a tres años y multa a quien por cualquier medio destruya, altere, inutilice o de cualquier otro
modo dañe los datos, programas o documentos electrónicos ajenos, contenidos en redes,
soportes o sistemas informáticos entre quien se pueden incluir los virus y todas sus modalidades o
tipos.
Clasificación de los Virus
A pesar de encontrar innumerables métodos de clasificación para los virus, hemos optado por la
que mostramos a continuación, declinándonos por su campo y/o forma de actuación. El
resultado obtenido ha clasificado estos elementos víricos en Virus 'Puro', Caballo de Troya,
Bombas, Gusano o Worm, Camaleones, Reproductores y los Macro Viruses o Virus de Macro.
Todos estos programas tienen en común la creación de efectos perniciosos, sin embargo, no
todos pueden ser considerados como virus propiamente dichos.
Virus Puro
Un verdadero virus tiene como características más importantes la capacidad de copiarse a sí

mismo en soportes diferentes al que se encontraba originalmente, y por supuesto hacerlo con el
mayor sigilo posible y de forma transparente al usuario; a este proceso de auto réplica se le
conoce como "infección", de ahí que en todo este tema se utilice la terminología propia de la
medicina: "vacuna", "tiempo de incubación", etc. Como soporte entendemos el lugar donde el
virus se oculta, ya sea fichero, sector de arranque, partición, etc.
Un virus puro también debe modificar el código original del programa o soporte objeto de la
infección, para poder activarse durante la ejecución de dicho código; al mismo tiempo, una vez
activado, el virus suele quedar residente en memoria para poder infectar así de forma trasparente
al usuario.
Caballo de Troya
Al contrario que el virus puro, un Caballo de Troya es un programa maligno que se oculta en otro
programa legítimo, y que produce sus efectos perniciosos al ejecutarse éste último. En este caso,
no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente,
en la mayoría de las ocasiones, para causar su efecto destructivo.
Como era de esperar, hay caballos de Troya en la red y el medio de propagación más habitual
de este tipo de programas es el correo electrónico o la descarga e instalación de programas de
dudosa procedencia. Un programa caballo de Troya puede estar diseñado para romper la
seguridad o para dañar al sistema y siempre está enmascarado como alguna cosa benigna, tal
como un examinador de archivos, un compresor de archivos o un juego.
Bombas
Se trata simplemente de un programa maligno que permanece oculto en memoria y que sólo se
activa cuando se produce una acción concreta, predeterminada por su creador o cuando se
Página 6
llega a una fecha en concreto (por ejemplo el viernes 13), o cuando se ejecuta cierto programa
o cierta combinación de teclas. Existen 3 tipos de bombas informáticas:
o Bombas de Software
Fueron durante mucho tiempo el código más fácil de programar y reproducir. Las bombas de
software simplemente detonan a los pocos segundos de ser "lanzadas" (ejecutadas) sin avisar al
usuario (o en algunos casos mostrando un mensaje del tipo: "Espere mientras se inicializa el
sistema" o "Cargando datos...Por favor espere.) y, generalmente, produciendo una pérdida total
de los datos almacenados en el ordenador. Por lo general no se reproducen, puesto que éste no
es su propósito principal.
o Bombas Lógicas
Similares a las bombas de software, realizan algún tipo de acción destructiva dependiendo del
estado de algunas variables de entorno del sistema donde actúan. Una bomba lógica podría, por
ejemplo, esperar que se "creador" introduzca periódicamente una contraseña y empezar a
actuar cuando la misma no es provista por un tiempo determinado (días, semanas, meses)
produciendo la destrucción de los datos del sistema.
o Bombas de Tiempo
Este tipo de programas son técnicamente iguales a las bombas lógicas, ya que actúan
condicionadas a alguna variable de entorno relacionada con el tiempo. Sin embargo la enorme
difusión obtenida les dio su clasificación propia. Por ejemplo, las bombas de tiempo se programan
para "estallar" después de tantas ejecuciones (al menos 2 ejecuciones), en una fecha
determinada (6 de marzo o viernes 13) o a una hora determinada del día (por ejemplo a
medianoche).
Camaleones
Son una variedad de virus similares a los caballos de Troya que actúan como otros programas en
los que el usuario confía, mientras que en realidad están haciendo algún tipo de daño. Cuando
están correctamente programados, los camaleones pueden realizar todas las funciones de los
programas legítimos a los que sustituyen. Un software camaleón podría, por ejemplo, emular a un
programa de acceso a sistemas remotos (rlogin, telnet) realizando todas las acciones que ellos
realizan, pero como tarea adicional, y oculta a los usuarios, va almacenando en algún archivo los
diferentes logins y passwords para que posteriormente puedan ser recuperados y utilizados
ilegalmente por el creador del virus camaleón.
Reproductores
Los reproductores (o también conocidos como conejos - Rabbits) se reproducen de forma

constante una vez que son ejecutados hasta agotar totalmente (con su descendencia) el
espacio de disco o memoria virtual del sistema. La única función de este tipo de virus es crear
clones y lanzarlos a ejecutar para que ellos hagan lo mismo. El propósito es agotar los recursos del
sistema, especialmente en un entorno multiusuario interconectado, hasta el punto que el sistema
principal no puede continuar con el procesamiento normal. La principal diferencia entre
reproductores y virus informáticos puros es que los primeros no atacan el sistema de archivos ni
producen ningún daño irreparable, además no tienen ninguna acción parasitaria con los archivos
ejecutables ya que son programas totalmente autónomos.
Gusano o Worm
Un gusano en un programa cuya única finalidad es ir consumiendo la memoria del sistema,

mediante la realización de copias sucesivas de sí mismo, hasta desbordar la RAM, siendo ésta su
Página 7
única acción maligna. A diferencia de un virus, un gusano no precisa alterar los archivos de
programas, sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre
causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras
que los virus siempre infectan o corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada

replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del
mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Los gusanos se basan en las redes de ordenadores para enviar copias de sí mismos a otros nodos
(es decir, a otros terminales en la red) y son capaces de llevar esto a cabo sin intervención del
usuario propagándose, utilizando Internet, basándose en diversos métodos, como SMTP, IRC, P2P
entre otros.
Virus De Macros
Partamos de entender primero que es una macro. Una macro es empleada por algunas
aplicaciones, para automatizar actividades complejas o repetitivas, de modo que es grabada
como una serie de instrucciones o pasos. Un virus macro utiliza este poder y la amplia
funcionalidad de las aplicaciones sobre las que interactúa para replicarse y diseminarse. Cuando
un usuario recibe un documento conteniendo un virus macro, puede incluso activarlo con la
simple acción de abrir el archivo. Una vez activo, el virus de macro puede copiarse a si mismo e
instalarse de manera que, a partir de ese momento, cualquier documento leído sea
automáticamente infectado.
Dependiendo de las instrucciones que contega el virus, un virus de este tipo puede hacer entre
otras cosas:
o borrar o cambiar el contenido de un documento.
o cambiar algunas de las opciones de operación de la aplicación para la que fue escrita.
o asignar un password a un documento.
o borrar un documento (incluso un grupo de documentos), e incluso añadir o modificar

líneas a los archivos de arranque y configuración del ordenador.
Como ejemplo de este virus tenemos el virus “Melissa”:
El virus Melissa, definido como uno de los tipos de virus de macro para Word 97 y Word 2000, fue
descubierto el 26 de marzo por ingenieros de Network Associates y se diseminó rápidamente por
Estados Unidos y Europa, infectando a miles de usuarios. El virus puede infectar a un sistema
mediante la simple recepción y apertura del documento adjuntado a un correo electrónico.
La barrera entre virus puros y el resto de programas malignos es muy difusa, prácticamente
invisible, puesto que ya casi todos los virus incorporan características propias de uno o de varios
de estos programas: por ejemplo, los virus como el Viernes 13 son capaces de infectar otros
archivos, siendo así virus puro, pero también realizan su efecto destructivo cuando se da una
condición concreta, la fecha Viernes 13, característica propia de una bomba lógica; por último,
se oculta en programas ejecutables teniendo así una cualidad de Caballo de Troya, de ahí la
gran confusión existente a este respecto.
Virus en Internet
Ni siquiera es necesario tener demasiado tiempo el ordenador conectado a Internet. Apenas

siendo propietario de una dirección de correo electrónico en cualquier lista de correo o
Página 8
simplemente teniendo conocidos en la red, se recibirán cada cierto tiempo decenas de mensajes
sobre unos duendes que son capaces de destruir absolutamente su disco duro: los virus de
Internet.
Los mensajes son inconfundibles. En versión en inglés o en español, los mensajes se titularán:
"Warning: Virus Alert" o "Precaución: virus en Internet". Hablan de unos virus maquiavélicos que
circulan a través del correo electrónico y le previenen de abrir mensajes con ciertos títulos a riesgo
de contraer males insolubles para su equipo. Uno de los más conocidos es el del "Good Times".
Este supuesto virus, según su indeseable mensaje, es capaz de destruir su disco duro en pocos
segundos.
Organismos de gobierno, empresas y desprevenidos usuarios que pretenden ser generosos al

prevenir a sus relacionados, son los difusores no intencionados de estos mensajes.
La única verdad en todo esto es que nadie puede transmitir un virus informático capaz de
contaminar un ordenador por el simple hecho de que el receptor de un mensaje de correo
electrónico lo lea, aunque hemos de ser cuidados con los posibles scripts que pueden ejecutar
paginas web enviadas como contenido de un correo electrónico. Los virus informáticos entran en
acción sólo cuando un programa infectado es ejecutado; y la simple acción de leer un mensaje
no implica la ejecución de ningún programa, salvo el lector de correo. La única manera de
trasmitir un virus informático por correo electrónico es anexar un archivo infectado a un mensaje y
que el usuario lleve de alguna forma ese archivo a la memoria del ordenador.
Algo tan sencillo como incluir nuestra firma electrónica en un correo o una imagen de fondo
puede ser la puerta que espera ver abierta uno de estos virus. La causa es la siguiente: el código
HTML no sólo permite incluir imágenes o textos, sino que también permite la inclusión de código
ejecutable. En ocasiones dicho código se ejecuta con nuestro consentimiento y en otras sin el
mismo. Los primeros suelen ser ficheros adjuntos que al intentar abrir ejecutamos de forma
involuntaria. Los segundos, y más difíciles de evitar pues no requieren nuestra intervención, son
instrucciones de código insertadas directamente en la parte HTML del propio correo. Una vez
infectados, el virus podría, por ejemplo, reenviarse automáticamente a todas las entradas de
nuestra libreta de direcciones, insertando su código entre nuestro código HTML, pudiendo
además quedar residente en el sistema.
Además de proteger nuestro ordenador con un antivirus fiable y contrastado, hay una serie de
pequeñas modificaciones a nuestra configuración que harán más dificil la entrada y salida de
este tipo de virus de nuestro ordenador.
Bastará con configurar nuestro cliente de correo para que el correo entrante lo trate como texto
sin formato (algunos clientes no permiten esta opción) y las contestaciones las envíe sin formato
sea como fuere el mensaje original.
Síntomas Que Puede Tener Un Ordenador Al Estar Infectado Por Un

Virus.
Algo que nos preguntamos con frecuencia es si nuestro ordenador está infectado por un virus o
no, sobre todo ante cualquier comportamiento anormal. A continuación vamos a tratar de
describir algunos síntomas que nos pueden hacer sospechar que nuestro ordenador está
infectado. El problema principal es que hay miles de virus que se manifiestan de formas muy
diferentes, y que los síntomas que presentan algunos también se pueden presentar por otros
motivos. En general, ya que un sistema operativo no empieza a mostrar fallos de la noche a la
mañana sin motivos aparentes, ante cualquier comportamiento extraño lo mejor es pasar un buen
antivirus, anti espías y anti malware, pero esto es algo que se debería hacer de forma sistemática
cada determinado tiempo, ya que hay algunos virus que no producen efectos visibles en nuestro
sistema, y sobre todo cuando hablamos de ordenadores muy potentes. Lo primero que tenemos
Página 9
que tener en cuenta es que todos los sistemas operativos pueden infectarse por un virus. Es cierto
que hay sistemas más seguros que otros, pero no existe ninguno que realmente sea inmune, sobre
todo si tenemos en cuenta que muchos de estos virus se instalan debido a acciones voluntarias
del usuario. Aunque a algunos les pueda parecer ilógico, no es algo excepcional el que un
usuario fuerce la instalación de un programa a pesar de que un antivirus le esté indicando que un
archivo está infectado, ni que desactive algunas de las medidas de seguridad instaladas en el
ordenador, antivirus incluido, porque el sistema no le permite bajarse un archivo, por ejemplo.
Vamos a nombrar a continuación algunos síntomas que puede presentar nuestro ordenador,
indicativos todos ellos de la posible presencia de un virus:
Ralentizamiento del ordenador
Este es un síntoma muy típico, sobre todo de programas espías. El ralentizamiento de un sistema
también se puede deber a otras causas, como un exceso de archivos temporales, demasiados
procesos en ejecución o excesiva carga en el inicio, pero en esos casos se suele notar un
ralentizamiento paulatino, no de golpe.
Pérdida injustificada de espacio en discos
Típico sobre todo de virus del tipo worm (gusano), que se reproduce hasta bloquear el sistema.
Hay que tener presente lo de injustificada, ya que Windows crea una serie de archivos ocultos y
de sistema que suelen ser muy pesados (llegando a varios GB incluso). Estos archivos nos van a
ocupar espacio, pero siempre dentro de unos límites y sólo en la unidad que los contenga
(normalmente en la que está instalado el sistema operativo), no en otras unidades.
Funciones del sistema operativo que dejan de funcionar o se hacen inaccesibles
Aquí hay que diferenciar el que no existan desde la instalación, que es un síntoma de versiones
pirata de Windows, de que, habiendo estado ahí y en perfecto funcionamiento, de repente nos
desaparezcan o no nos deje acceder a ellas. Esto último se suele deber tanto a acciones del virus
como a sistemas de protección de éste, ya que las funciones que suelen quedar inhabilitadas son
todas aquellas que nos pueden ayudar a luchar contra el virus, tales como la opción de restaurar
sistema, editar registro o similares.
Denegación de servicios
Es otro tipo de ataque de virus. Lo que provoca es la imposibilidad de cargar ciertos servicios de
Windows.
Imposibilidad de ejecutar programas antivirus, anti espías y anti malware
Este es un sistema de defensa de muchos virus, que incapacita la ejecución de cualquier

programa que pueda atacarles. Este punto incluye la imposibilidad incluso de descargarlos y/o
de instalarlos.
Pérdida de propiedades de imagen y sonido
Aunque evidentemente un controlador o una tarjeta gráfica o de sonido pueden fallar, la verdad
es que no es muy normal que esto ocurra. En muchos casos las pérdidas de audio y/o de
propiedades de pantalla se deben a la acción de virus.
Página 10
Pérdida de unidades
Este es otro posible síntoma de la acción de un virus o malware. La imposibilidad repentina de

acceder a unidades USB u ópticas (CD y DVD), sobre todo si es de forma simultánea, puede
perfectamente deberse a la acción de un virus. Es cierto que puede deberse a una avería, pero
dado que se controlan de forma diferente y por distintos controladores (drivers), es bastante raro
que los dos sistemas dejen de funcionar de forma simultánea.
Pérdida de archivos del sistema
Un archivo del sistema no se pierde (o se elimina) así como así. En la mayoría de las ocasiones son
los virus los responsables de dicahas pérdidas.
Tráfico en Internet no justificado
Un exceso de tráfico en la red, sin justificación aparente, suele ser un claro síntoma de infección.
Es cierto que el tráfico con Internet es prácticamente continuo, pero no se trata de un tráfico
excesivo, y menos que pueda provocar un comportamiento extraño y pérdidas grandes de
velocidad.
Aparición de páginas web no solicitadas
Esto va desde la apertura descontrolada de páginas no solicitadas hasta redireccionamientos a

otras páginas diferentes a las que hemos indicado.
Programas que utilizan Internet dejan de funcionar o empiezan a funcionar mal sin ningún motivo
aparente
Esto afecta sobre todo a navegadores y programas de mensajería instantánea.
De repente no permite grabar ficheros descargados de Internet
Otro síntoma más de posible infección. Podemos descargar un fichero o programa, pero no se
queda grabado en el disco duro ni se puede ejecutar (en el caso de que la opción elegida al
descargarlo haya sido esta). Cabe señalar que este síntoma puede corresponder también a la
activación de una opción de seguridad del navegador que estemos utilizando.
Bloqueos y reinicios en el ordenador
Un bloqueo puede estar también provocado por un exceso de temperatura (es la forma que
tienen los procesadores de protegerse en estos casos), pero un reinicio es más raro que ocurra. Si
las condiciones de temperatura son normales, tanto bloqueos como reinicios suelen ser síntomas
de la existencia de algún tipo de malware.
No es posible iniciar Windows
Esto se debe a un fallo en el sistema operativo, y este fallo está causado en la mayoría de las
veces por la acción de un virus. Hay que diferenciar siempre en estos casos la imposibilidad de
iniciar Windows con la imposibilidad de arrancar el ordenador y la posibilidad de un fallo de
hardware, que también nos puede impedir iniciar Windows, aunque en este último caso o bien el
fallo lo detecta la BIOS o bien Windows nos lo indica mediante una de sus ya famosas pantallas
azul Windows.
Realmente esta es una de las peores situaciones, ya que al no poder iniciar Windows tampoco
podemos remediar la situación.
Página 11
Nos pide una contraseña de usuario que no hemos puesto
Esto sí que está siempre motivado por un virus. El problema empieza siempre por nuestra propia
cuenta, por lo que, en sus inicios, es posible entrar en modo seguro, con el usuario Administrador
(eso en el supuesto de que no sea ese el usuario que estemos utilizando, costumbre nada
recomendable), pero poco a poco va impidiendo la entrada en cualquier cuenta, y además las
contraseñas son aleatorias, lo que limita enormemente las posibilidades de desinfección.
Desaparición de archivos, imposibilidad de acceso carpetas o incluso a unidades
Es otro síntoma que puede estar motivado por una infección. En condiciones normales, y salvo un
fallo en el hardware, ni un archivo desaparece por las buenas ni una carpeta o unidad quedan
inaccesibles.
Cambios en las propiedades de algunos archivos
Pues igual que el caso anterior. Las propiedades de un archivo, carpeta o unidad no se cambian
por las buenas, por lo que cualquiera de estos comportamientos puede ser un síntoma de que
tenemos uno o varios virus en nuestro ordenador.
El sistema no nos permite ejecutar determinados programas
Salvo problemas causados por una avería en el hardware, un programa no se corrompe tan
fácilmente. La imposibilidad de ejecutar cualquier programa que hayamos usado habitualmente
sin problemas puede ser también síntoma de un ataque. Esto es más patente si el daño no se
limita a un solo programa.
Pérdida de acceso al disco duro
Aunque no son muchos los virus que pueden provocar esta situación (y hablamos de
imposibilidad de acceso, no de que no arranque el sistema), sí que hay algunos que lo hacen.
Esta situación se soluciona afortunadamente restaurando el MBR (Master Boot Record), lo que
podemos hacer desde la Consola de recuperación de Windows, ejecutando FIXMBR, iniciando
desde el CD de instalación de Windows.
Hasta aquí hemos visto algunos síntomas de posible infección por virus o malware de algún tipo.
En muchos de estos casos lo normal es echarle la culpa a Windows, pero no nos dejemos llevar
por falsos preceptos. Windows ni se corrompe tan fácilmente sin la intervención de terceros ni es
tan inestable. En el 98% de las ocasiones en las que falla (y nos referimos, evidentemente, a
Windows legales, no a copias pirata, de más que dudosa procedencia), el fallo está relacionado
con algún tipo de malware o de intervención del usuario, que a veces se pasa en su
manipulación, careciendo en muchos casos de los mínimos conocimientos.
Vamos a revisar algunos fallos del sistema que, habitualmente no son atribuibles a virus, aunque
inicialmente pensemos lo contrario. Podríamos incluir, todos los fallos de arranque del ordenador
(no de inicio del sistema). En condiciones normales, un virus no tiene forma de acceder a la BIOS
y, por tanto, de infectarla. Para ello, el virus tendría que entrar por medio de una actualización,
para lo que se necesita un programa específico, normalmente no ejecutable desde Windows.
Hay que tener en cuenta que la BIOS trabaja a nivel de hardware, antes de que se cargue el
sistema operativo. A esto hay que añadir son los menos los virus que se han desarrollado para
infectarla. Otra cosa es que la BIOS se estropee, como se puede estropear cualquier elemento del
ordenador. No obstante, en el más que improbable caso de que un virus llegase a infectar a la
BIOS, la única solución existente es o bien cambiarla o bien cambiar la placa base. Un reseteo de
la BIOS probablemente no nos va a servir de nada en este caso, ni volver a cargar el BIOS original,
cosa que muy probablemente no vamos ni poder hacer. Tampoco suele ser achacable a virus la
falta de detección de unidades por parte de la BIOS. En este caso se trata siempre de un
Página 12
problema físico (normalmente mala conexión, placa del disco duro estropeada o fallo de la
placa base).
CONCLUSION:
Los síntomas que presenta un virus son muy variados, pero por desgracia, y como ya hemos
comentado, hay algunos virus que no presentan ningún síntoma, lo que los hace especialmente
peligrosos. Es por todo esto por lo que siempre debemos tomar una serie de medidas, que dado
que existen de forma gratuita, no implican un gasto extra para el usuario. Estas medidas son:
- Instalar un buen antivirus (que los hay muy buenos gratuitos).

- Instalar un buen anti espías y anti malware.
- Tenerlos siempre correctamente actualizados.
- Tener Windows siempre correctamente actualizado,
Es cierto que algunas actualizaciones, tanto de antivirus como de Windows, han causado algunos
problemas en configuraciones concretas, que no a nivel general, pero estos problemas siempre
son mucho menores y más fáciles de solucionar que los que nos puede causar cualquier virus.
- NO HACER CASO A ALERTAS DE VIRUS QUE NO HAYAMOS SOLICITADO. Estos avisos son casi
siempre una puerta de entrada a malware, en especial a troyanos y spyware.
- HACER CASO A LAS INDICACIONES DE LOS ANTIVIRUS QUE TENGAMOS INSTALADOS Y A LAS QUE
NOS HAGA WINDOWS. De nada va a servir que instalemos el mejor antivirus del mercado si luego
vamos a pasar por alto sus indicaciones, y lo mismo vale para los mensajes de alerta de Windows.
- Ante el primer síntoma de un posible virus, proceder a un escaneado a fondo del equipo,
primero con nuestro antivirus y demás anti malware, y luego, por ejemplo, con un antivirus Online
de diferente fabricante. Esto quiere decir que, por ejemplo, si tenemos instalado Panda antivirus,
el escaneo Online no lo hagamos con Panda Online, por bueno que sea.
- Si utilizamos un router Wifi, encriptarlo siempre y cambiar la clave de acceso a la ocnfiguración

del router. Si ya viene encriptado, cambiar inmediatamente esa clave que trae por defecto. Estas
claves o bien están generadas de forma automática, y por lo tanto, siguiendo un patrón
predecible, o bien son tan inocentes como las que utilizan algunos proveedores, consistente en 26
0 o 26 1, o la secuencia típica 12345, o admin como contraseña del usuario admin (¿a que son
seguras?).
Y recordar siempre que nuestros males normalmente no terminan cuando hemos desinfectado el
ordenador. Realmente estamos en uno de esos casos en las que más vale prevenir. Tenemos que
tener muy presente que el costo de los daños causados por virus se eleva a bastantes miles de
millones de euros al año, que en nuestro caso quizás se traduzcan en pérdidad de información
importante.
Cómo Llegan Al Ordenador
Existen gran variedad de formas por las que los virus, gusanos y troyanos pueden llegar a un
ordenador; en la mayoría de los casos prevenir la infección resulta relativamente fácil siguiendo
unas sencillas pautas. Algunas de las formas en que un programa malicioso puede llegar al
ordenador son las siguientes:
• Explotando una vulnerabilidad:
Cualquier programa del ordenador puede tener una vulnerabilidad que puede ser
aprovechada para introducir programas maliciosos en el ordenador. Es decir, todos los
programas que haya instalados en el equipo, ya sean: Sistemas Operativos -Windows, Linux,
Página 13
MAC OS, etc-, navegadores Web -Internet Explorer, Firefox, Opera, Chrome, etc-, clientes de
correo –Outlook, Thunderbird, etc- o cualquier otra aplicación –reproductores multimedia,
programas de ofimática, compresores de ficheros, etc-, es posible que tengan alguna
vulnerabilidad que sea aprovechada por un atacante para introducir programas maliciosos.
Para prevenir quedarse infectado de esta forma, la recomendación es tener siempre
actualizado el software el equipo.
• Ingeniería social:
Apoyado en técnicas de ingeniería social para apremiar al usuario a que realice determinada
acción. La ingeniería social se utiliza sobre todo en correos de phishing, pero puede ser
utilizada de más formas, por ejemplo, informando de una falsa noticia de gran impacto, un
ejemplo puede ser alertar del comienzo de una falsa guerra incluyendo un enlace en que se
puede ver más detalles de la noticia; a donde realmente dirige el enlace es a una página
Web con contenido malicioso. Tanto para los correos de phishing como para el resto de
mensajes con contenido generado con ingeniería social, lo más importante es no hacer caso
de correos recibidos de remitentes desconocidos y tener en cuenta que su banco nunca nos
va a pedir nuestros datos bancarios por correo.
• Por un archivo malicioso:
Esta es la forma que tienen gran cantidad de troyanos de llegar al equipo. El archivo malicioso
puede llegar como adjunto de un mensaje, por redes P2P, como enlace a un fichero que se
encuentre en Internet, a través de carpetas compartidas en las que un gusano haya dejado
una copia de sí mismo…La mejor forma de prevenir la infección es analizar con un antivirus
actualizado todos los archivos antes de ejecutarlos, a parte de no descargar archivos de
fuentes que no sean fiables.
• Uso incontrolado a software almacenado en dispositivos extraíbles:
Muchos virus suelen dejar copias de sí mismos en dispositivos extraíbles para que
automáticamente, cuando el dispositivo se conecte a un ordenador, ejecutarse e infectar el
nuevo equipo. La mejor forma de evitar quedarse infectados de esta manera, es deshabilitar
el autoarranque de los dispositivos que se conecten al ordenador. Este tipo de forma de
propagación esta especialmente de moda debido al uso masivo de dispositivos usb de
almacenamiento.
Aunque, como se ha visto, existen gran cantidad de códigos maliciosos, es muy fácil prevenir
quedarse infectado por la mayoría de ellos y así poder utilizar el ordenador de forma segura.
La Prevención y Detección de los Virus
Una buena política de prevención y detección nos puede ahorrar sustos y desgracias. Las
medidas de prevención pasan por el control, en todo momento, del software ya introducido o
que se va a introducir en nuestro ordenador, comprobando la fiabilidad de su fuente. Ésto implica
la actitud de no aceptar software no original, ya que el uso de copias ilegales es una de las
principales fuentes de contagio de un virus, siendo también una práctica ilegal y que hace
mucho daño a la industria del software.
Por supuesto, el sistema operativo, que a fin de cuentas es el elemento software más importante
del ordenador, debe ser totalmente fiable; si éste se encuentra infectado, cualquier programa
que ejecutemos resultará también contaminado. Por eso, es imprescindible contar con una copia
segura de virus del sistema operativo, protegida contra escritura siendo ésto último es muy
importante, y no sólo del sistema operativo sino del resto del software de recuperación que
poseamos. Es muy aconsejable mantenerlos siempre protegidos, ya que un virus no puede escribir
Página 14
en un disco protegido de esta forma. Por último es también imprescindible poseer un buen
software antivirus, que detecte y elimine cualquier tipo de intrusión en el sistema.
Podemos realizar las siguientes acciones con el fin de fortalecer la seguridad de nuestros sistemas
informáticos.
• Realiza copias de seguridad regulares de nuestros ficheros de datos.

• Proteger todos nuestros servidores con software antivirus.
• Instalar software antivirus en todas las estaciones de trabajo.
• Si disponemos de un firewall, hemos de asegurarnos de tener abiertos sólo los puertos
necesarios.
• Considerar el establecer atributos para los ficheros críticos de sistema (como son sys.ini,win.ini,
autoexec.bat, y config.sys) para sólo lectura, para prevenir que sean sobrescritos.
• Habilitar los avisos de expiración del software antivirus para que nos alerte cuando esté
desfasado.
• Establecer que el servidor, en caso de existir, inspeccione tanto los ficheros entrantes como los
salientes.
• Incluir todo tipo de ficheros cuando hagamos las inspecciones con el antivirus.
• Si la productividad no está comprometida, consideremos deshabilitar la unidad A: y de
CD/DVD de las estaciones de trabajo de alto riesgo, desde la Bios del sistema, y que ésta siempre
que esté protegida con password. Si esto no es posible, es más que aconsejable deshabilitar la
opción de arranque del equipo desde unidades que no sean el disco duro.
• Establecer una alerta audible cuando se detecten virus.
• Establecer la respuesta del usuario a un nivel mínimo aceptable, como "Cura" o "Cuarentena",
no dando al usuario la opción de "Cancelar" la reparación.
• Habilitar la protección de todos los virus de macro en los programas tipo Word y Excel.
• Crear y mantener un disco de arranque de emergencia protegido de escritura y estar seguros
de saber cómo usarlo.
Actualizaciones
• Hemos de tener en cuenta que hemos de actualizar regularmente los ficheros de firmas de virus.
La mayoría de los fabricantes ofrecen actualizaciones de forma regular diariamente,
semanalmente, mensualmente…
• Distribuyamos la actualización a todas las estaciones de trabajo. Si nuestro sistema operativo no

nos permite hacerlo de forma automática, consideremos la posibilidad de enviar un e-mail con el
fichero adjunto a todos los usuarios de tu red.
• Consideremos el integrar la actualización en los login scripts de los usuarios.
• Asegurémonos de actualizar el disco de arranque de emergencia protegido de escritura en

cuanto recibamos los ficheros de actualizaciones.
• Consideremos dedicar un servidor para obtener las actualizaciones regulares. Los usuarios se
podrán conectar a él para actualizar sus estaciones de trabajo.
Inspección
• Programar inspecciones completas de las estaciones de trabajo de forma regular, con una
mínima intrusión para el usuario, como puede ser durante las horas de la comida o fuera del
horario de trabajo.
• Deshabilitar la intervención del usuario en las inspecciones.
• Habilitar la monitorización de las estaciones de trabajo en background.
Página 15
• En Internet, estemos seguros de que todos los ficheros descargados son inspeccionados
previamente a su instalación.
• Siempre es importante documentar la fecha de la última inspección "limpia" y su resultado en

cada estación de trabajo, para mantener informado al Administrador.
• Inspeccionar los nuevos PCs recibidos de los vendedores.
Políticas de E-mail
• Establecer filtros de e-mail para eliminar spam y correo no solicitado que podría contener virus,
así como programas maliciosos.
• En caso de encontrar un virus, establecer que el servidor envíe inmediatamente una notificación
al administrador de la red, así como al usuario. Esto alertará al usuario del mensaje infectado
antes de que lo abra.
• Inspeccionar todos los e-mail entrantes y salientes así como los ficheros adjuntos.
• Rechazar todas las descargas de ficheros adjuntos que no estén relacionados con el trabajo.
• No permitir a los usuarios enviar o reenviar chistes o cartas encadenadas por e-mail.
• Llamar o envíar un e-mail a la persona que envió el e-mail o documento infectado. Puede que
no sepa que tiene un virus.
Políticas de Usuario
• Desarrollar un sistema para educar a todos los usuarios sobre temas como "la regla de no
descargar nada" .
• Requerir que todas las instalaciones de software sean realizadas sólo por el personal autorizado.
• No permitir que los usuarios descarguen o instalen software shareware o de dominio publico,
como juegos y protectores de pantalla.
• Crear una regla por la que los usuarios no deberían traer dispositivos de almacenamiento
extraibles de su casa, a menos que permitan que sean inspeccionados por el administrador antes
de ser utilizados.
• Considerar el limitar el acceso a Internet a sitios aprobados. Los navegadores actuales permiten
al administrador crear una lista, protegida por clave, de los sitios aprobados.
• Definir el conjunto de aplicaciones que los usuarios tienen disponibles para hacer su trabajo.
• No permitir que se instale ningún software excepto el permitido para ese sistema.
•No permitir a los usuarios que accedan de forma remota la descarga de ficheros a la red a
menos que el administrador pueda verificar la integridad del PC que se esté usando para el
acceso remoto.
Educar a los usuarios
• Publicar enlaces a enciclopedias de virus fiables, como las del sitio de Symantec en
http://www.symantec.com/avcenter/ o Computer Associates en

http://www.cai.com/virusinfo/encyclopedia/ o McAfee en http://www.nai.com/
Página 16
• Instruir a los usuarios para recurrir a esos sitios cuando sospechen que tienen un virus o cuando
quieran información adicional.
• Hacer ver a los usuarios que la seguridad tiene como contrapartida una pequeña ralentización
en el trabajo del ordenador.
• Animar a los usuarios a instalar un paquete antivirus en sus ordenadores de casa.
• Animar a los usuarios a informar cuándo encuentran un virus en su sistema para que pueda
hacer un seguimiento de su red.
• Informar a los usuarios del lanzamiento de nuevos virus. Esto les hará aumentar su sentido de la
responsabilidad.
• Educar a los usuarios en el uso apropiado de la protección de virus de macro. Instrúyeles para
deshabilitar todas las macros cuando se les pregunte (Word/Excel) a menos que el documento
haya sido controlado previamente.
• Los usuarios que sean descubiertos rompiendo las políticas o introduciendo un virus en el entorno
de trabajo, serán requeridos para asistir al administrador en la limpieza de las estaciones de
trabajo fuera de horas de trabajo. ;-)
Formas de Infección, Ocultamiento y Destrucción
Formas de Infección
Antes de nada, hay que recordar que un virus no puede ejecutarse por si solo, necesita un
programa portador para poder cargarse en memoria e infectar; asimismo, para poder unirse a un
programa portador necesita modificar la estructura de éste, para que durante su ejecución
pueda realizar una llamada al código del virus. Las partes del sistema más susceptibles de ser
infectadas son el sector de arranque de los disquetes, la tabla de partición, el sector de arranque
del disco duro y los ficheros ejecutables (*.EXE y *.COM). Para la infección de cada una de estas
partes existen virus especializados, aunque muchos son capaces de infectar por sí solos estos tres
componentes del sistema.
En los disquetes, discos duros y dispositivos de almacenamiento en general, el sector de arranque

(que es una zona situada al principio del dispositivo) contiene datos relativos a la estructura del
mismo y un pequeño programa, que se ejecuta cada vez que arrancamos desde ese dispositivo
de almacenamiento.
En este caso, al arrancar con un disco contaminado o acceder a un dispositivo contaminado, el

virus se queda residente en memoria RAM, y a partir de ahí, infectará el sector de arranque de
todos los dispositivos a los que se acceda, ya sea al formatear o al hacer un listado de su
contenido, dependiendo de como esté programado el virus.
El proceso de infección consiste en sustituir el código de arranque original del disco por una
versión propia del virus, guardando el original en otra parte del disco; a menudo el virus marca los
sectores donde guarda el arranque original como en mal estado, protegiéndolos así de posibles
accesos, ésto suele hacerse por dos motivos: Primero, muchos virus no crean una rutina propia de
arranque, por lo que una vez residentes en memoria, efectúan una llamada al código de
arranque original, para iniciar el sistema y así aparentar que se ha iniciado el sistema como
siempre, con normalidad. Segundo, este procedimiento puede ser usado como técnica de
ocultamiento.
Página 17
Normalmente un virus completo no cabe en los 512 bytes que ocupa el sector de arranque, por lo
que en éste suele copiar una pequeña parte de si mismo, y el resto lo guarda en otros sectores del
disco, normalmente los últimos, marcándolos como defectuosos. Sin embargo, puede ocurrir que
alguno de los virus no marquen estas zonas, por lo que al llenar el disco estos sectores pueden ser
sobrescritos y así dejar de funcionar el virus.
La tabla de partición está situada en el primer sector del disco duro, y contiene una serie de bytes
de información de cómo se divide el disco y un pequeño programa de arranque del sistema. Al
igual que ocurre con el arranque de los disquetes, un virus de partición suplanta el código de
arranque original por el suyo propio; así, al arrancar desde disco duro, el virus se instala en
memoria para efectuar sus acciones. También en este caso el virus guarda la tabla de partición
original en otra parte del disco, aunque algunos la marcan como defectuosa y otros no.
Muchos virus guardan la tabla de partición y a ellos mismos en los últimos sectores de disco, y para
proteger esta zona, modifican el contenido de la tabla para reducir el tamaño lógico del disco.
De esta forma el sistema operativo no tiene acceso a estos datos, puesto que ni siquiera sabe que
esta zona existe. Casi todos los virus que afectan la partición también son capaces de hacerlo en
el arranque de los disquetes y en los ficheros ejecutables; un virus que actuara sobre particiones
de disco duro tendría un campo de trabajo limitado, por lo que suelen combinar sus habilidades.
Con todo, el tipo de virus que más abunda es el de fichero; en este caso usan como vehículo de
expansión los archivos de programa o ejecutables, sobre todo .EXE y. COM, aunque también a
veces contaminan archivos con otras extensiones. Al ejecutarse un programa infectado, el virus se
instala residente en memoria, y a partir de ahí permanece al acecho; al ejecutar otros programas,
comprueba si ya se encuentran infectados y, si no es así, se adhiere al archivo ejecutable,
añadiendo su código al principio y al final de éste, modificando su estructura de forma que al
ejecutarse dicho programa primero llame al código del virus devolviendo después el control al
programa portador y permitiendo su ejecución normal.
Este efecto de adherirse al fichero original se conoce vulgarmente como "engordar" el archivo, ya
que éste aumenta de tamaño al tener que albergar en su interior al virus, siendo esta
circunstancia muy útil para su detección. De ahí que la inmensa mayoría de los virus sean
programados en lenguaje ensamblador, por ser el que genera el código más compacto, veloz y
de menor consumo de memoria; un virus no sería efectivo si fuera fácilmente detectable por su
excesiva ocupación en memoria, su lentitud de trabajo o por un aumento exagerado en el
tamaño de los archivos infectados. No todos los virus de fichero quedan residentes en memoria, si
no que al ejecutarse su portador, éstos pueden infectar a otro archivo, elegido de forma aleatoria
de ese directorio o de otros.
Formas de Ocultamiento
Un virus puede considerarse efectivo si, además de extenderse lo más ampliamente posible, es
capaz de permanecer oculto al usuario el mayor tiempo posible; para ello se han desarrollado
varias técnicas de ocultamiento o sigilo. Para que estas técnicas sean efectivas, el virus debe estar
residente en memoria, puesto que debe monitorizar el funcionamiento del sistema operativo. La
base principal del funcionamiento de los virus y de las técnicas de ocultamiento, además de la
condición de programas residentes, es la intercepción de interrupciones y es aquí donde el virus
entra en acción, ya que puede sustituir alguna interrupción del sistema operativo por una suya
propia y así, cuando un programa solicite un servicio de esa interrupción, recibirá el resultado que
el virus determine.
Entre las técnicas más usuales en este sentido cabe destacar:
- el ocultamiento o stealth, que esconde los posibles signos de infección del sistema. Los síntomas
más claros del ataque de un virus los encontramos en el cambio de tamaño de los ficheros, de la
fecha en que se crearon y de sus atributos, y en la disminución de la memoria disponible.
Página 18
Estos problemas son indicadores de la posible presencia de un virus, pero mediante la técnica
ocultamiento es muy fácil (siempre que se encuentre residente el virus) devolver al sistema la
información solicitada como si realmente los ficheros no estuvieran infectados. Por este motivo es
fundamental que cuando vayamos a realizar un chequeo del disco duro arranquemos el
ordenador con un disco de sistema totalmente limpio.
-La auto encriptación o self-encryption es una de las técnicas víricas más extendidas. En la
actualidad casi todos los nuevos ingenios destructivos son capaces de encriptarse cada vez que
infectan un fichero, ocultando de esta forma cualquier posible indicio que pueda facilitar su
búsqueda. No obstante, todo virus encriptado posee una rutina de desencriptación, rutina que es
aprovechada por los antivirus para remonitorizar el origen de la infección.
El mayor avance en técnicas de encriptación viene dado por el polimorfismo. Gracias a él un virus
no sólo es capaz de encriptarse sino que además varía la rutina empleada cada vez que infecta
un fichero. De esta forma resulta imposible encontrar coincidencias entre distintos ejemplares del
mismo virus, y, ante esta técnica, el tradicional método de búsqueda de cadenas características
se muestra inútil.
- La intercepción de mensajes de error del sistema, en donde, supongamos, un virus va a infectar

un archivo de un disco protegido contra escritura. Al intentar escribir en el diskette obtendríamos
el mensaje: "Error de protección contra escritura leyendo unidad A Anular, Reintentar, Fallo?", por
lo que descubriríamos el anormal funcionamiento de nuestro equipo. Por eso, al virus le basta con
redireccionar la interrupción a una rutina propia que evita la salida de estos mensajes,
consiguiendo así pasar desapercibido.
Efectos Destructivos de los virus
Los efectos perniciosos que causan los virus son variados, entre éstos se encuentran:
· Formateo completo del disco duro.

· Eliminación de la tabla de partición de disco duro.
· Eliminación de archivos.
· Ralentización del sistema hasta limites exagerados.
· Enlaces de archivos destruidos.
· Corrupción de archivos de datos y de programas.
· Mensajes o efectos extraños en la pantalla.
· Emisión de música o sonidos.
· Revelación de claves de acceso y datos personales a través de Internet.
· Facilitar la intrusión de extraños en el equipo informático.
¿Cómo Reaccionar Ante Una Infección?
La prevención y la compra de un buen antivirus son las mejores armas con las que cuenta el
usuario ante el ataque de los virus. Sin embargo, siempre cabe la posibilidad de que en un
descuido se introduzca un inquilino no deseado en el PC. Ante esta situación lo primero que
debemos hacer es arrancar el ordenador con un disco de sistema totalmente libre de virus.
Posteriormente deberemos pasar un antivirus lo más actualizado posible, ya que si es antiguo
corremos el riesgo de que no detecte mutaciones recientes o nuevos virus.
En el disco de sistema limpio (que crearemos con la orden «format a: /s») incluiremos utilidades
como «mem.exe», «chkdsk.exe», «sys.com», «fdisk.exe» y todos los controladores para que el
teclado funcione correctamente. Si disponemos de dos o más antivirus es muy recomendable
pasarlos todos para tener mayor seguridad a la hora de inmunizar el PC.
Página 19
Si la infección se ha producido en el sector de arranque podemos limpiar el virus con la orden «sys
c:», siempre y cuando hayamos arrancado con el disquete antes mencionado. Para recuperar la
tabla de particiones podemos ejecutar «fdisk /mbr».
A día de hoy es habitual que los propios antivirus nos den la posibilidad de crear discos o un CD
de arranque seguro para la eliminación de virus en nuestro PC.
Software Antivirus
Para combatir la avalancha de virus informáticos se creó el software antivirus. Estos programas
suelen incorporar mecanismos para prevenir, detectar y eliminar virus. Hay un número
considerable de programas que detectan, evitan, quitan o eliminan los virus.
Estos se dividen en las siguientes categorías:
1. Rastreadores
2. Limpiadores o eliminadores
3. Protectores
1. Rastreadores.
Estos programas se utilizan para detectar virus que pueden estar en la memoria, en el sector de
arranque del disco duro, en la zona de partición del disco fijo y en la cola de algunos programas.
El programa no detecta todos los virus, sino sólo los que fueron integrados a la rutina, es decir, sólo
reconoce los virus que se han podido encontrar a la fecha de elaboración del antivirus.
2. Limpiadores.
Son antivirus complementarios a los rastreadores que sirve para la erradicación o eliminación de
virus. Se utilizan para detectar el virus y eliminarlo del sector de arranque, de la zona de partición
del disco fijo y en algunos programas.
3. Protectores.
Es un programa para prevenir la contaminación de nuestro sistema por virus, este tipo de
programas no son comúnmente usados porque utilizan memoria y decrementan la velocidad de
ejecución de los programas, así además pueden encontrar cierta incompatibilidad con algunos
paquetes ya instalados en el sistema.
Existen varios niveles de protección, por tal razón frecuentemente sólo se instala la utilidad con un
nivel bajo de protección. Así en caso de que se encuentre evidencias de algún virus, envía un
mensaje al usuario.
Para la prevención se suele usar programas residentes que alertan al usuario en todo momento de
cualquier acceso no autorizado o sospechoso a memoria o a disco, por lo que resultan
sumamente útiles al impedir la entrada del virus y hacerlo en el momento en que este intenta la
infección, facilitándonos enormemente la localización del programa maligno. Sin embargo
presentan ciertas desventajas, ya que al ser residentes consumen memoria RAM, y pueden
también resultar incompatibles con algunas aplicaciones. Por otro lado, pueden llegar a resultar
bastante molestos, puesto que por lo general suelen interrumpir nuestro trabajo habitual
avisándonos de intentos de acceso a memoria o a disco que en muchos casos provienen de
programas legítimos. A pesar de todo, son una medida de protección excelente y a ningún
usuario debería faltarle un programa de este tipo.
A la hora de localizar virus, los programas usados son los detectores o scanners. Normalmente
estos programas chequean primero la memoria RAM, después las zonas críticas del disco como el
sector de arranque o la tabla de particiones, y por ultimo los ficheros almacenados en él.
Página 20
Los productos antivirus han mejorado considerablemente sus algoritmos de búsqueda, aunque en
la actualidad la exploración de cadenas sigue siendo la técnica más empleada. Pero el aumento
imparable del número de virus y las técnicas de camuflaje y auto modificación que suelen
emplear, hacen que la búsqueda a través de una cadena genérica sea una tarea cada vez más
difícil. Por ello, es cada día es más frecuente el lanzamiento de antivirus con técnicas heurísticas.
La detección heurística es una de las fórmulas más avanzadas de detección de virus. La

búsqueda de virus mediante esta técnica se basa en el desensamblado del código del programa
que se intenta analizar con el objetivo de encontrar instrucciones (o un conjunto de ellas)
sospechosas. Sin duda, lo mejor es disponer de un antivirus que combine la búsqueda de cadenas
características y además cuente con técnicas heurísticas.
Gracias a la heurística se buscan programas que puedan quedar residentes o que sean capaces
de capturar aplicaciones que se estén ejecutando, código preparado para mover o sobrescribir
un programa en memoria, código capaz de auto modificar ejecutables, rutinas de encriptación y
desencriptación, y otras actividades propias de los virus.
Aunque las técnicas heurísticas han representado un gran avance en la detección de virus
desconocidos, presentan un gran inconveniente: es muy alta la posibilidad de obtener «falsos
positivos y negativos». Se produce un «falso positivo» cuando el antivirus anuncia la presencia de
un virus que no es tal, mientras que se llama «falso negativo» cuando piensa que el PC esta limpio
y en realidad se encuentra infectado.
¿Que Debemos Buscar En Un Antivirus?
A la hora de decidirnos por un antivirus, no debemos dejarnos seducir por la propaganda con
mensajes como "detecta y elimina 56.432 virus". Realmente existen miles de virus, pero en
muchísimos casos son mutaciones y familias de otros virus; esto está bien, pero hay que tener en
cuenta que una inmensa mayoría de virus no han llegado ni llegarán a nuestro país. Por lo que de
poco nos sirve un antivirus que detecte y elimine virus muy extendidos en América y que
desconozca los más difundidos en España. Por tanto, estaremos mejor protegidos por un software
que, de alguna forma, esté más "especializado" en virus que puedan detectarse en nuestro país.
Por otro lado, hemos de buscar un software que se actualice el mayor número posible de veces al
año; puesto que aparecen nuevos virus y mutaciones de otros ya conocidos con mucha
frecuencia, el estar al día es absolutamente vital.
Siete Reglas Básicas Para Escoger Un Buen Antivirus
Actualmente, son muchos los proveedores de soluciones de seguridad que quieren llegar al
mercado de las pymes, que se ha convertido en uno de los más golosos para los desarrolladores
de software. Sin embargo, antes de decantarnos por uno o por otro, hemos de tener en cuenta
algunos requisitos imprescindibles que debe cumplir cualquier antivirus apto para la pyme.
Apostar por soluciones comerciales
Aunque hay antivirus gratuitos disponibles en Internet (muchos de los cuales ofrecen un
rendimiento más que decente) en cuestiones de software de seguridad informática, siempre es
mejor optar por las opciones comerciales de fabricantes reconocidos que nos brinden un servicio
de soporte en caso de que lo necesitemos.
Página 21
Fabricantes reconocidos
Aunque existen decenas de proveedores que desarrollan software de seguridad, siempre es

recomendable trabajar con soluciones de empresas conocidas y que tengan cobertura mundial.
Muchas empresas únicamente tienen presencia en algunos países; esto implica que difícilmente
monitorean una red global de amenazas informáticas, y además, tardan más en generar
actualizaciones para las herramientas de su marca. Además muchos fabricantes menores, usan
los motores antivirus de otros desarrolladores, por ejemplo: F-Secure usa el motor de Kaspersky.
Aplicaciones de ámbito corporativo
Generalmente los principales fabricantes de seguridad ofrecen dos gamas de sus soluciones;
versiones para usuarios domésticos, y las del tipo empresarial o corporativo. Aunque las versiones
para usuarios domésticos cumplen prácticamente con cualquiera de las exigencias que puedan
presentarse en una pequeña pyme, si las instalamos en un entorno corporativo algo más
complejo (redes LAN, etc.) no cumplirán correctamente con su función ya que no están
diseñados para adaptarse a este tipo de entornos.
La importancia del soporte técnico
La mayoría de las pymes no cuentan con un departamento de sistemas propio, por lo que el
hecho de que nuestro proveedor de software de seguridad disponga de un departamento de
atención al cliente y soporte en condiciones, es de vital importancia en caso de que se presente
alguna incidencia. Si una empresa fabricante no ofrece un buen esquema de soporte incluido en
la licencia, no es un proveedor muy recomendable.
Valor agregado en la distribución
Generalmente los grandes fabricantes de software trabajan bajo el esquema de distribuidores

locales certificados para la comercialización, instalación y atención de sus clientes. Si una
organización no cuenta con un técnico o departamento de sistemas propio, es altamente
recomendable que seleccione una herramienta de un fabricante que tenga un distribuidor
certificado cercano a las oficinas de su empresa; así las gestiones de instalación y soporte en sitio
serán accesibles.
Entornos multiplataforma
La infraestructura informática de una empresa está compuesta por múltiples PC, servidores, y otros
dispositivos. Muchos de ellos no comparten el mismo sistema operativo, por ello, es conveniente si
éste es nuestro caso, seleccionar un proveedor que pueda ofrecernos una cobertura completa,
para todos y cada uno de los dispositivos de nuestra red. No es recomendable tener soluciones
de diferentes fabricantes trabajando juntas en diferentes segmentos de la red de la empresa, ya
que entre ellas puedan identificarse como riesgos de seguridad y vulnerar la seguridad total de la
red de la organización
Catálogo amplio
Relacionado con el punto anterior, cuando seleccionamos un fabricante específico, debemos

considerar que probablemente en un futuro y dependiendo de las necesidades de la empresa,
requiramos añadir más herramientas de seguridad que complementen a la aplicación antivirus
inicial con la que contaremos. Por este motivo es recomendable seleccionar un proveedor que
disponga de un catálogo amplio de herramientas y aplicaciones que incluyan soluciones
antispam, backup y restauración, seguridad para dispositivos móviles, etc.
Página 22
Firewall o cortafuego
Un cortafuego (o firewall en inglés) es una parte de un sistema o una red que está diseñado para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se
trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros
criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinación de

ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no
autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets.
Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que
examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad
especificados.
Ventajas de un cortafuegos
• Establece perímetros confiables.

• Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organización sólo
se permite desde máquinas autorizadas de otros segmentos de la organización o de
Internet.
• Protección de información privada.- Permite definir distintos niveles de acceso a la

información, de manera que en una organización cada grupo de usuarios definido tenga
acceso sólo a los servicios e información que le son estrictamente necesarios.
• Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la

comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de
seguridad.
Limitaciones de un cortafuegos
Las limitaciones se desprenden de la misma definición del cortafuegos: filtro de tráfico. Cualquier
tipo de ataque informático que use tráfico aceptado por el cortafuegos (por usar puertos TCP
abiertos expresamente, por ejemplo) o que sencillamente no use la red, seguirá constituyendo
una amenaza. La siguiente lista muestra algunos de estos riesgos:
• Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través
de él.
• El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques
internos o usuarios negligentes. El cortafuegos no puede prohibir a espías corporativos
copiar datos sensibles en medios físicos de almacenamiento (discos, memorias, etc.) y
sustraerlas del edificio.
• El cortafuegos no puede proteger contra los ataques de ingeniería social.
• El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus
informáticos a través de archivos y software. La solución real está en que la organización
debe ser consciente en instalar software antivirus en cada máquina para protegerse de los
virus que llegan por cualquier medio de almacenamiento u otra fuente.
Página 23
• El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo

tráfico esté permitido. Hay que configurar correctamente y cuidar la seguridad de los
servicios que se publiquen en Internet.
Políticas del cortafuegos
Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la

filosofía fundamental de la seguridad en la organización:
• Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente

permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el
tráfico de los servicios que se necesiten.
• Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente

denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente
caso por caso, mientras que el resto del tráfico no será filtrado.
La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico
potencialmente peligroso, mientras que en la política permisiva es posible que no se haya
contemplado algún caso de tráfico peligroso y sea permitido por omisión.
Página 24
Medidas A Adoptar Para La Protección De Una Red Interna
Unas medidas mínimas de seguridad en las empresas minimizaría el impacto de un virus

informático y dificultarían su propagación.
1. Utiliza siempre un servidor de ficheros, (NT, Windows 2000, Linux + Samba, Novell, etc)
2. Todas las máquinas deben conectarse a un dominio de ese servidor, con autentificación
basado en Login/Password.
3. Todos los trabajos que se efectúen en los puestos clientes, documentos, programas, hojas de
cálculo, etc, se deben guardar en el servidor.
4. Se deben de hacer copias de seguridad de esos datos. Conviene que el servidor disponga de
un sistema automatizado de realización de copias de seguridad.
5. El servidor debe disponer de un potente antivirus de red, que analice todos los documentos que
se escriben en él.
6. Si dispone de servidor de correo electrónico en su empresa, instale un antivirus que funcione

para el modelo de servidor de correo electrónico que está usando.
7. Si es posible, sustituye el sistema operativo de sus máquinas de Windows 9X a Windows NT o

superior, y que los usuarios entren con una cuenta que no tenga privilegios de administrador sobre
su propia máquina.
8. Volviendo al servidor, no todos los usuarios deberían poder acceder a todos los ficheros,
establece un sistema de permisos, por ejemplo, que un usuario no pueda borrar o alterar un
documento creado por otro usuario.
9. El servidor debería tener exportado a la red las instalaciones de los programas más frecuentes,
(como WinZip, Acrobat Reader, el antivirus utilizado, los drivers de los dispositivos que usan los
ordenadores de su empresa, etc).
10. Esta unidad exportada, naturalmente debe de estar como sólo lectura, todo el mundo puede
leer de ella, pero no escribir, y debe de estar prohibida la instalación de software desde otra
fuente.
11. Desactiva desde la BIOS las disqueteras y ponga un password a la BIOS. Asumo que la inmensa
mayoría de los ordenadores de su empresa no tienen lector de CD. ;-).
12. Si dispones de servidores o máquinas que desempeñan alguna función especial, no común,
prepare un plan de contingencia, un "¿qué hacer si ...?".
13. Si utiliza alguna de las versiones de Office, siempre que sea posible, desactiva la capacidad
de procesar macros, enviar un fichero de Word con un virus de macro a un cliente queda muy
mal aunque no haga daños. En cualquier caso, puede poner como sólo lectura la plantilla
normal.dot
14. Si en tu empresa se trabaja con disquetes, configure la BIOS de los ordenadores para que
arranquen primero desde C: en lugar que hacerlo desde A:, eso evitará la infección por virus de
boot. De paso habilita la detección de escrituras en la tabla de partición.
15. Si la empresa se conecta a Internet, un buen firewall bien configurado, evitará que alguien
desde fuera pueda establecer contacto con un troyano.
Página 25
Otros Términos Relacionados Con Los Virus Informáticos
A continuación se presentan y explican una serie de términos que están relacionados con el tema
de los virus informáticos.
Jokes o virus de broma:
No son exactamente virus, sino programas con distintas funciones, pero todas con un fin de
diversión, nunca de destrucción, aunque pueden llegar a ser muy molestos.
Hoaxes o falsos virus:
Son mensajes con una información falsa; normalmente son difundidos mediante el correo
electrónico, a veces con el fin de crear confusión entre la gente que recibe este tipo de mensajes
o, aún peor, perjudicar a alguien o atacar al ordenador mediante ingeniería social.
Virus de macros:
Una macro es una secuencia de órdenes de teclado y ratón asignadas a una sola tecla, símbolo
o comando. Son muy útiles cuando este grupo de instrucciones se necesitan repetidamente. Los
virus de macros afectan a archivos y plantillas que los contienen, haciéndose pasar por una
macro y no actuarán hasta que el archivo se abra o utilice.
Spyware:
Los programas espías o spywares son aplicaciones que recopilan información sobre una persona u
organización sin su conocimiento. La función más común que tienen estos programas es la de
recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones
interesadas, pero también se han empleado en círculos legales para recopilar información contra
sospechosos de delitos, como en el caso de la piratería de software.
Adware:
Un programa adware es cualquier programa que automáticamente ejecuta, muestra o baja

publicidad al computador después de instalado el programa o mientras se está utilizando la
aplicación.
Malware:
Malware es un software que tiene como objetivo infiltrarse en o dañar un ordenador sin el
conocimiento de su dueño y con finalidades muy diversas ya que en esta categoría encontramos
desde un troyano hasta un spyware.
Exploit:
Un exploit es un programa informático malicioso, o parte del programa, que trata de forzar alguna
deficiencia o vulnerabilidad de otro programa (llamadas bugs)., uno de las herramientas más
utilizadas para realizar este tipo de ataque informático es el Metasploit que se encuentra en su
ultima versión.
Rootkit
Un rootkit es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma
y esconder a otros programas, procesos, archivos, directorios, llaves de registro, y puertos que
permiten al intruso mantener el acceso a un sistema para remotamente comandar acciones o
extraer información sensible, a menudo con fines maliciosos o destructivos. Existen rootkits para
Página 26
una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft Windows. Algunas
versiones españolas de programas lo han traducido como "Encubridor".
Nuke
Un Nuke es un viejo ataque de denegación de servicio contra redes de computadoras.
¿Qué es un ataque de Nuke?
Dicho ataque consiste en enviar paquetes de datos ICMP fragmentados o de alguna otra forma
inválidos a un objetivo, lo que se consigue usando una herramienta de ping modificada para
enviar estos datos corruptos una y otra vez, ralentizando la computadora afectada hasta que
deje de funcionar. En los juegos en línea, "nukear" es mandar mensajes uno tras del otro a uno o
varios usuarios, en rápida sucesión, que contienen texto al azar. Dichas técnicas también se ven
en programas de mensajería instantánea ya que el texto repetido puede ser asignado a una
macro. Hoy en día, los sistemas operativos modernos son resistentes a esas técnicas, y la mayoría
de los juegos en línea traen "control de inundación" (flood control).
Keylogger
Un keylogger (derivado del inglés: Key (Tecla) y Logger (Registrador); registrador de teclas. Es un
tipo de software que se encarga de registrar las pulsaciones que se realizan en el teclado, para
memorizarlas en un fichero y/o enviarlas a través de Internet.
Suele usarse como malware del tipo demonio, permitiendo que otros usuarios tengan acceso a
contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información
privada que se quiera obtener.
El registro de lo que se teclea puede hacerse tanto con medios de hardware como de software.
Los sistemas comerciales disponibles incluyen dispositivos que pueden conectarse al cable del
teclado (lo que los hace inmediatamente disponibles pero visibles si un usuario revisa el teclado) y
al teclado mismo (que no se ven pero que se necesita algún conocimiento de como soldarlos
para instalarlos en el teclado). Escribir aplicaciones para realizar keylogging es trivial y, como
cualquier programa computacional, puede ser distribuido a través de un troyano o como parte
de un virus informático o gusano informático. Se dice que se puede utilizar un teclado virtual para
evitar esto, ya que sólo requiere clicks del ratón. Sin embargo, las aplicaciones más nuevas
también registran screenshots (capturas de pantalla) al realizarse un click, que anulan la
seguridad de esta medida. Cabe decir que esto podría ser falso ya que los eventos de mensajes
del teclado deben ser enviados al programa externo para que se escriba el texto, por lo que
cualquier keylogger podría registrar el texto escrito mediante un teclado virtual.
Criptovirus (ransomware)
Hace inaccesibles determinados ficheros en el ordenador y coacciona al usuario víctima a pagar

un “rescate” (ransom en inglés) para poder acceder a la información. Generalmente lo que se
hace es cifrar los ficheros con los que suela trabajar el usuario, por ejemplo, documentos de texto,
hojas Excel, imágenes…
Clicker
Redirecciona las páginas de Internet a las que intenta acceder el usuario, de este modo logra
aumentar el número de visitas a la página redireccionada, realizar ataques de Denegación de
Servicio a una página víctima o engañar al usuario sobre la página que está visitando, por
Página 27
ejemplo, creyendo que está accediendo a una página legítima de un banco cuando en
realidad está accediendo a una dirección falsa.
Puerta trasera (Backdoor)
Permite el acceso de forma remota a un sistema operativo, página Web o aplicación, haciendo
que el usuario evite las restricciones de control y autenticación que haya por defecto. Puede ser
utilizado por responsables de sistemas o webmasters con diversos fines dentro de una
organización, pero también puede ser utilizados por atacantes para realizar varias acciones en el
ordenador infectado, por ejemplo:
• Utilizar los ficheros que desee para leer su información, moverlos, subirlos al ordenador,
descargarlos, eliminarlos…
• Reiniciar el ordenador
• Obtener diversa información de la máquina infectada: nombre del ordenador, dirección
MAC, sistema operativo instalado…
• etc.
Secuestrador del navegador (browser hijacker)
Modifica la página de inicio del navegador, la página de búsqueda o la página de error por otra
de su elección, también pueden añadir barras de herramientas en el navegador o incluir enlaces
en la carpeta de “Favoritos”. Todas estas acciones las realiza generalmente para aumentar las
visitas de la página de destino.
Cookies maliciosas
Existe un tipo de ficheros que según el uso que tengan, pueden o no ser peligrosos, son las
cookies. Las cookies son pequeños ficheros de texto que se crean en el navegador al visitar
páginas Web; almacenan diversa información que, por lo general, facilitan la navegación del
usuario por la página Web que se está visitando y lo más importante no tienen capacidad para
consultar información del ordenador en el que están almacenadas. Sin embargo existen un tipo
de cookies llamadas cookies maliciosas que su cometido no es facilitar la navegación por
determinadas páginas, sino monitorizar las actividades del usuario en Internet con fines maliciosos,
por ejemplo capturar los datos de usuario y contraseña de acceso a determinadas páginas Web
o vender los hábitos de navegación a empresas de publicidad.
Rogue
El software rogue es un tipo de malware que tiene la capacidad de instalarse en los equipos
informáticos sin que los usuarios lo perciban. Aunque en este punto puede ser confundido con un
tipo de spyware, se diferencia de éste en que el Software Rogue se presenta ante el usuario como
una versión de prueba de un supuesto programa antispyware, que el usuario descarga e instala
de forma voluntaria, al creer que se trata de un programa antimalware legítimo.
En este sentido, en el Rogue se combina tanto la distribución de malware con la ingeniería social,
ya que se engaña al usuario para que, ante la promesa de productos gratuitos, se descarguen e
instalen voluntariamente códigos maliciosos.
Pistas que nos permiten detectar Software Rogue.
En un sitio web se ofrece una solución gratuita para un malware determinado. Cuando el usuario
descarga e instala el producto, se desinfecta al usuario pero se instala otro tipo de programas
maliciosos como spyware y adware.
Página 28
1. Se repite la escena anterior pero con la diferencia de que se informa al usuario sobre una
supuesta infección (que puede ser real, o no) y si el usuario desea desinfectar el sistema, se
exige una registración del usuario y un pago determinado.
2. Se repite alguna de las escenas anteriores, pero al momento de descargar el producto, se
exige el ingreso de datos correspondientes a la tarjeta de crédito.
3. Se repite cualquiera de las escenas anteriores pero además, continuamente se informa al
usuario acerca de una infección. El aviso puede realizarse de diversas formas e
insistentemente. Tiene el objetivo de “cansar” al usuario o hacerle creer que se trata de un
ataque real para que este ingrese sus datos o realice un pago para acreditarse la solución
de seguridad que “desinfecte” el sistema.
¿Cómo podemos desinfectar los daños producidos por el software rogue?
A menos que el software rogue sea demasiado nuevo, los antivirus y antispyware más conocidos
pueden evitar la instalación y la activación de los mismos. En caso de que aún el software rogue
no haya sido detectado por ninguna empresa fabricante de productos antimalware, será
necesario hallar los archivos infectados y desinfectarlos de forma manual, lo que posee una
complejidad extrema.
Lamentablemente, muchas veces se prefiere confiar en la palabra “free” o “gratis” por los
supuestos beneficios que ofrecen, en vez de pensar que todo producto de seguridad debe pasar
por estrictos controles y evaluaciones que terminan dictaminando la confiabilidad de un
producto. En este sentido, no hay como elegir siempre soluciones de seguridad informática de
fabricantes ampliamente conocidos, y de cobertura mundial.
Phising (http://seguridad.internautas.org/html/451.html)
¿Qué es el Phishing?
El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus
datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo
"todos los datos posibles" para luego ser usados de forma fraudulenta.
¿En que consiste?
Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una
empresa o entidad publica", de esta manera hacen "creer" a la posible víctima que realmente los
datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
¿Cómo lo realizan?
El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una
llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y
conocida por los internautas, la recepción de un correo electrónico. Pueden existir mas formatos
pero en estos momentos solo mencionamos los más comunes;
- SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos personales.
- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor suplanta a una
entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el
producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están
llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que
luego utilizan para hacerles cargos monetarios.
- Página web o ventana emergente; es muy clásica y bastante usada. En ella se simula
suplantando visualmente la imagen de una entidad oficial , empresas, etc pareciendo ser las
oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la
Página 29
"imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco
olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y
donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de
Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada
para robar datos bancarios.
- Correo electrónico, el más usado y más conocido por los internautas. El procedimiento es la
recepción de un correo electrónico donde SIMULAN a la entidad o organismo que quieren
suplantar para obtener datos del usuario novel. Los datos son solicitados supuestamente por
motivos de seguridad, mantenimiento de la entidad, mejorar su servicio, encuestas, confirmación
de su identidad o cualquier excusa, para que usted facilite cualquier dato. El correo puede
contener formularios, enlaces falsos, textos originales, imágenes oficiales, etc., todo para que
visualmente sea idéntica al sitio web original. También aprovechan vulnerabilidades de
navegadores y gestores de correos, todo con el único objetivo de que el usuario introduzca su
información personal y sin saberlo lo envía directamente al estafador, para que luego pueda
utilizarlos de forma fraudulenta: robo de su dinero, realizar compras, etc.
¿Cómo protegerme?
La forma más segura para estar tranquilo y no ser estafado, es que NUNCA responda a NINGUNA
solicitud de información personal a través de correo electrónico, llamada telefónica o mensaje
corto (SMS).
Las entidades u organismos NUNCA le solicitan contraseñas, números de tarjeta de crédito o

cualquier información personal por correo electrónico, por teléfono o SMS. Ellos ya tienen sus
datos, en todo caso es usted el que los puede solicitar por olvido o pérdida y ellos se lo facilitarán.
Ellos NUNCA se lo van a solicitar porque ya los tienen, es de sentido común. Para visitar sitios Web,
teclee la dirección URL en la barra de direcciones. NUNCA POR ENLACES PROCEDENTES DE
CUALQUIER SITIO. Las entidades bancarias contienen certificados de seguridad y cifrados
seguros NO TENGA MIEDO al uso de la banca por Internet.
Página 30

2010 TSMI Los Virus Informaticos

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

2010 TSMI Los Virus Informaticos

Загружено:

Авторское право:

Доступные форматы

Técnico en Sistemas Microinformáticos

La información aquí presentada en una recopilación de la información consultada y existente en libros,

 ¿Qué son los virus?

 Historia de los virus.

 Seguridad Informática, Virus y Auditoria

 Clasificación de los virus.

 Síntomas que puede tener un ordenador al estar infectado por un virus.

 Cómo llegan al ordenador.

 La prevención y detección contra los virus.

 Formas de infección, ocultamiento y destrucción.

 Cómo reaccionar ante una infección.

 Qué debemos buscar en un antivirus.

 Siete reglas básicas para escoger un buen antivirus.

 Medidas a Adoptar para la protección de una red Interna

 Otros términos relacionados con los virus informáticos.

¿Qué son los virus?

Un virus es particularmente dañino debido a que, sin la detección o protección de un antivirus, el

Dentro de la programación de un virus se pueden distinguir tres módulos principales:

El módulo de reproducción se encarga de manejar las rutinas de "parasitación" de archivos

El módulo de ataque es optativo. En caso de estar presente es el encargado de manejar las

El módulo de defensa tiene, obviamente, la misión de proteger al virus y como el de ataque,

Historia de los Virus

Seguridad Informática, Virus y Auditoria

La auditoria informática se encarga de recoger, agrupar y evaluar evidencias para determinar si

La información, que en muchos casos es confidencial para algunas personas o a escala

Clasificación de los Virus

Un verdadero virus tiene como características más importantes la capacidad de copiarse a sí

Los reproductores (o también conocidos como conejos - Rabbits) se reproducen de forma

Un gusano en un programa cuya única finalidad es ir consumiendo la memoria del sistema,

Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada

o borrar o cambiar el contenido de un documento.

o asignar un password a un documento.

o borrar un documento (incluso un grupo de documentos), e incluso añadir o modificar

Como ejemplo de este virus tenemos el virus “Melissa”:

Ni siquiera es necesario tener demasiado tiempo el ordenador conectado a Internet. Apenas

Organismos de gobierno, empresas y desprevenidos usuarios que pretenden ser generosos al

Síntomas Que Puede Tener Un Ordenador Al Estar Infectado Por Un

Ralentizamiento del ordenador

Pérdida injustificada de espacio en discos

Funciones del sistema operativo que dejan de funcionar o se hacen inaccesibles

Imposibilidad de ejecutar programas antivirus, anti espías y anti malware

Este es un sistema de defensa de muchos virus, que incapacita la ejecución de cualquier

Pérdida de propiedades de imagen y sonido

Este es otro posible síntoma de la acción de un virus o malware. La imposibilidad repentina de

Pérdida de archivos del sistema

Tráfico en Internet no justificado

Aparición de páginas web no solicitadas

Esto va desde la apertura descontrolada de páginas no solicitadas hasta redireccionamientos a

Esto afecta sobre todo a navegadores y programas de mensajería instantánea.

De repente no permite grabar ficheros descargados de Internet

Bloqueos y reinicios en el ordenador

No es posible iniciar Windows

Nos pide una contraseña de usuario que no hemos puesto

Desaparición de archivos, imposibilidad de acceso carpetas o incluso a unidades

Cambios en las propiedades de algunos archivos

El sistema no nos permite ejecutar determinados programas

Pérdida de acceso al disco duro

- Instalar un buen antivirus (que los hay muy buenos gratuitos).

- Si utilizamos un router Wifi, encriptarlo siempre y cambiar la clave de acceso a la ocnfiguración

Cómo Llegan Al Ordenador

• Explotando una vulnerabilidad:

• Por un archivo malicioso:

• Uso incontrolado a software almacenado en dispositivos extraíbles:

La Prevención y Detección de los Virus

¿Qué son los virus?

Historia de los virus.

Seguridad Informática, Virus y Auditoria

Clasificación de los virus.

Síntomas que puede tener un ordenador al estar infectado por un virus.

Cómo llegan al ordenador.

La prevención y detección contra los virus.

Formas de infección, ocultamiento y destrucción.

Cómo reaccionar ante una infección.

Qué debemos buscar en un antivirus.

Siete reglas básicas para escoger un buen antivirus.

Medidas a Adoptar para la protección de una red Interna

Otros términos relacionados con los virus informáticos.