Академический Документы
Профессиональный Документы
Культура Документы
II. DESARROLLO
A.¿Qué es el Malware?
Podemos definir que es todo software que tiene propósitos
dañinos. Los propósitos que tiene el Malware van desde la
simple recolección de información personal del usuario (para
poder venderla a otras compañías), pasando por el uso de
recursos de forma remota o simplemente el dañar la estructura
del sistema operativo afectado incluso obtener dinero de forma
ilegal. Dichos propósitos están estrictamente relacionados con la
persona que los diseña; algunos lo hacen por simple ocio,
mientras que la gran mayoría lo hace en pos de un beneficio
económico.
2
pueden incrustar código malicioso. ejecutados, parecen realizar tareas inofensivas pero en paralelo
•El sistema de arranque (sectores HD, archivos de inicio y realizan otras tareas ocultas en el ordenador.
principalmente el registro de configuraciones que se ha Los Troyanos a diferencia de los Gusanos y Virus, no tienen
convertido en el sitio preferido para cargar todo tipo de la capacidad de reproducirse por sí mismo.
malware). Según las estadísticas en su informe trimestral PandaLabs [7],
•El pool de procesos en memoria (que representa la lista de hasta el tercer trimestre del año, los troyanos ocupaban el
procesos en ejecución). 72,58% en producción de nuevos malware creados (Casi 3 de
•El sistema de archivos (obviamente una aplicación debe cada 4 muestras de malware son troyanos).
ejecutarse desde un archivo que contenga sus instrucciones
ejecutables y hace del spam y el phishing un caso especial de Los propósitos para los cuales pueden ser utilizados los
malware). Troyanos son muchos, por ejemplo: Robo de información del
•El tráfico de red (donde se intercambian paquetes de sistema, registro de tipeo y robo de contraseñas o accesos
información con otras máquinas). remotos (puertas traseras), donde permiten al atacante conectarse
Rootkits: Se trata de programas diseñados para ocultar remotamente al equipo infectado.
objetos como procesos, archivos o entradas del Registro de Los troyanos los podemos clasificar en los siguientes tipos:
sistemas. Este tipo de software no es malicioso en sí mismo, Backdoors: Troyanos de acceso remotos o puertas trasera,
pero es utilizado por los creadores de malware para esconder tienen la características de permitirle al atacante conectarse
evidencias y utilidades en los sistemas infectados. Existen remotamente al equipo infectado. Luego de que el atacante
ejemplares de malware que emplean rootkits con la finalidad de accede al ordenador del usuario, los usos que puede hacer del
ocultar su presencia en el sistema en el que se instalan. mismo son variados, según las herramientas que utilice: enviar
Rootkits[6], trabajan como parte del sistema operativo y no correos masivos, eliminar o modificar archivos, ejecución de
dejar que los usuarios puedan ver las tareas o servicios reales. archivos, reiniciar el equipo o usos más complejos como
El Sistema operativo estará bajo el control total del atacante y instalar aplicaciones para uso malicioso (por ejemplo:
se puede esconder todo lo que quiera en el sistema. Rootkits alojamiento de sitios web de violencia o pedofilia).
tienen dos grupos principales con diferentes arquitecturas, En los últimos meses [8], esta rápida proliferación mundial
Rootkits clásica y rootkits de kernel. de código malicioso cada vez más inteligentes ha llegado
Inicialmente los rootkit aparecieron en el sistema operativo acompañado de un método de ataque dañino: troyanos que se
UNIX y eran una colección de una o más herramientas que le instalan puertas traseras en los sistemas de redes
permitían al atacante conseguir y mantener el acceso al usuario
comprometidas para que puedan participar en la actividad
de la computadora más privilegiado (en los sistemas UNIX, este
malintencionada desde un sistema infectado y enviar los datos
usuario se llama *root* y de ahí su nombre). En los sistemas
a ubicaciones remotas .
basados en Windows, los rootkits se han asociado en general con
herramientas usadas para ocultar programas o procesos al El código del troyano se disfraza como un programa
usuario. Una vez que se instala, el rootkit utiliza funciones del inofensivo, correo electrónico, o una imagen, etc, y con el
sistema operativo para ocultarse, de manera tal de no ser éxito de obtener acceso al sistema, el troyano puede dar rienda
detectado y es usado en general para ocultar otros programas suelta a código dañino como la instalación de puertas traseras.
dañinos. Una vez establecida la puerta trasera, ningún cracker puede
Un rootkit ataca directamente el funcionamiento de base de un perpetrar, pirata informático, o otra persona con conocimiento
sistema operativo. En Linux, modificando y trabajando de la apertura puede utilizarla para la entrada del sistema.
directamente en el kernel del sistema. En Windows, Keyloggers: Son uno de los troyanos más utilizados para
interceptando los APIs (Interfaz de Aplicaciones de obtener información sensible de los usuarios. Son programas
Programación) del sistema operativo. Estas, interactúan entre el creados para robar información, para lo cual monitorean todas
usuario y el kernel; de esta forma, el rootkit manipula el kernel las pulsaciones del teclado y las almacenan para un posterior
sin trabajar directamente en él como en el caso del software envío al creador, quien puede obtener beneficios económicos o
libre. de otro tipo a través de su uso o distribución. Por ejemplo, al
La utilización de estos programas se alinea a la perfección con
la dinámica actual del malware: El Cibercrimen. Si el objetivo es
la realización de delitos informáticos para conseguir beneficios
económicos, será de vital importancia pasar lo más inadvertido
posible. De esta forma, se maximizará la cantidad de tiempo que
el malware consiga estar activo dentro del ordenador, sin ser
detectado.
Troyanos: El término troyano proviene de la leyenda del
caballo de Troya, ya que su objetivo inicial es el de engañar a los
usuarios para que los ejecuten simulando ser archivos normales e
indefensos, como juegos, programas, animaciones etc. De esta
forma logran instalarse en nuestros sistemas y una vez
4
introducir un número de tarjeta de crédito el keylogger guarda número de ataques de malware sea a equipos con este sistema, y
el número, posteriormente lo envía al autor y éste puede hacer que el 99% porcentaje de software malicioso que detectan
pagos fraudulentos con esa tarjeta. Los keyloggers empresas como Karpesky es para la plataforma ya mencionada.
normalmente son usados para recopilar contraseñas y otros
datos, pero también se pueden usar para espiar conversaciones Spyware: Estos recopilan la información de los usuarios
de chat u otros fines. respecto a los accesos a internet sin el consentimiento de ellos, y
Banker: Se denomina troyanos bancarios a la familia de posteriormente envían estos datos a personas externas.
códigos maliciosos cuya finalidad es la obtención de Aunque este tipos de malware no dañan el ordenador, si
información bancaria de los usuarios infectados. Utilizan afectan el rendimiento de este, además de atentar contra la
diferentes estrategias para obtener las claves de acceso a todo privacidad de los usuarios y modificar algunas configuraciones
tipo de entidad financiera. Algunas de estas estrategias son: de los navegadores web.
Remplazar el sitio web de la entidad de manera total o parcial, La mayoría de los programas Spyware, son instalados como
capturar pantallas de la página bancaria cuando se utiliza teclado troyanos junto a software bajados por internet.
virtual entre otros, enviándose esta información al atacante por Ciertos spyware poseen características adicionales para
correo electrónico normalmente. conseguir información e intentan interactuar con el usuario
Botnets: Son utilizados para crear redes de equipos zombis. simulando ser buscadores o barras de herramientas. Con estas
El atacante utiliza el troyano para controlar una cantidad de técnicas, los datos obtenidos son más legítimos y confiables que
computadores y así, utilizarlos para cualquier fin maligno. Se con otros métodos espías utilizados.
utilizan para enviar Spam o para realizar ataques de negación Adware: Son programas que muestran publicidad al
de servicios, de los cuales pueden sacar beneficios usuario de manera intrusiva en forma de ventanas pop-up o de
económicos. cualquier otra forma. Esta publicidad aparece inesperadamente
Las botnets [9] se han identificado recientemente como una en el equipo y resulta muy molesta.
de las amenazas más importantes para la seguridad del Internet. Al igual que los Spyware, los Adware no atentan contra la
Tradicionalmente, las botnets se organizan de forma jerárquica integridad de los sistemas operativos, si no que sus
con un comando central y lugar de control. Esta ubicación puede consecuencias se ven reflejadas primero en el rendimiento de
ser estáticamente definido en el bot, o puede ser definido de este, ya que consumen procesador, memoria y ancho de banda
forma dinámica basada en un servidor de directorio. En la y segundo en la molestia que causan a los usuarios mostrando
actualidad, la característica central de botnets es útil para ventanas con publicidad la cual aparece sin ningún tipo de
profesionales de la seguridad, ya que ofrece un punto central de orden dada al computador.
la insuficiencia de la red de bots. En un futuro próximo, creemos Ransomware: Son programas que cifran los archivos
que los atacantes se moverán a las arquitecturas más flexibles. importantes para el usuario, haciéndolos inaccesibles. Luego de
Una de las amenazas más importantes a la Internet hoy en día esto se exige pagar un "rescate" para poder recibir la contraseña
es la amenaza de botnets, que son redes de ordenadores que permite recuperar dichos archivos.
infectados bajo el control de un atacante. Es difícil medir la El Ransomware es una de las amenazas informáticas más
magnitud del daño causado en Internet por botnets, pero es similares a un ataque sin medios tecnológicos: el secuestro.
ampliamente aceptado que el daño es significativo. Además, es Este tipo de ataques por lo general es perpetrado por un solo
el mas potencial en magnitud de daño que existe en el futuro. atacante quien casi siempre utiliza los archivos de ofimática
Password Stealer: Los Stealer roban la información privada como víctimas del ataque. También imágenes y correos
que se encuentra guardada en el equipo. Al ejecutarse, electrónicos, son prioritarios para el común de los ataques.
comprueban los programas instalados en el equipo y si tienen
contraseñas recordadas (por ejemplo en navegadores web)
descifran esa información y la envían al creador.
Dialer: Toman el control del módem, realizan una llamada a
un número de teléfono de tarifa especial (muchas veces
internacional) y dejan la línea abierta, cargando el costo de la
llamada al usuario. La forma más habitual de infección suele ser
en páginas web que ofrecen contenidos gratuitos pero que sólo
permiten el acceso mediante conexión telefónica, y los señuelos
suelen ser videojuegos, salvapantallas o pornografía.
Actualmente la mayoría de las conexiones a internet son
mediante ADSL y no mediante módem, por lo que los dialers ya
no son tan populares.
Además de los diferentes tipos de troyanos descritos, cabe
resaltar la incursión y evolución de Troyanos para dispositivos
móviles y para Mac. En el caso de los primeros, el creciente
mercado de los equipos con Android, ha llevado a que el mayor
5
REFERENCIAS
[1] Fast Malware Classification. Cyber Defense Laboratory.
Department of Computer Science Department NC State
University, Raleigh, NC, USA. | Younghee Park, Douglas
Reeves, Vikram Mulukutla, Balaji Sundaravel. (2010).
[2] Symantec Intelligence Report: July 2012. Disponible en
Internet:
http://www.symanteccloud.com/verify.nocache?filename=SY
MCINT_2012_07_July.pdf
[3] Panda Security Antivirus. Security Info Classic -
Malware: su historia, su evolución | PandaLabs, el laboratorio
antimalware de Panda Security. Disponible en Internet:
http://www.pandasecurity.com/spain/homeusers/security-
info/classic-malware/
[4] Elementos teórico-prácticos útiles para conocer los virus
informáticos. | Lic. Ramón Orlando Bello Hernández y Ms C.
Ileana R. Alfonso Sánchez. (2003).
[5] HUNTER. Modelo de Antivirus Inteligente para La
Protección contra Gusanos. | Siler Amador, Hilda Quinayás,
Guillermo Jurado, Beatriz Garzón y Leidy Yurany Aley.
(2008).
[6] Trojans and Backdoors. | Shahram Monshi Pouri, Nikunj
Modi.
[7] Panda Security Antivirus. Informes - Trimestrales |
Informe Trimestrales PandaLabs [citado Octubre 2012].
Disponible en internet:
http://prensa.pandasecurity.com/wp-
content/uploads/2012/12/Informe-Trimestral-PandaLabs-Julio-
Septiembre-2012.pdf
[8] The Digital Insider: Backdoor Trojans. The World Bank
Integrator Unit | Tom Kellermann, CISM and Yumi
Nishiyama. (2003).
[9] Peer-to-Peer Botnets: Overview and Case Study | Julian B.
Grizzard, Vikram Sharma, Chris Nunnery, and Brent
ByungHoon Kang (2007).