Pasar al contenido principal

Protección frente a programas maliciosos

¿Por qué lo necesito?

El panorama de amenazas cibernéticas que amenaza a los sistemas actualmente hace necesaria la protección frente a programas maliciosos. Actualmente existen bandas criminales dedicadas a la monetización de ataques en base al robo de información, robo de cuentas (Correo, Netflix, Paypal, Ebay…), robo de tarjetas de crédito, robo de credenciales bancarias, extorsión por cifrado de datos, inclusión de publicidad abusiva, minado de criptomonedas usando tu propio ordenador, etc.


Por todo ello, hay que conocer qué es el malware, cómo funciona y se introduce en los sistemas y cómo protegernos de él.

¿Qué es un programa malicioso?

Un programa malicioso o malware (de “MAlicious softWARE”) es un programa cuyo objetivo consiste en comprometer nuestro equipo para realizar acciones no permitidas, potencialmente dañinas y sin conocimiento del usuario.

Estos programas maliciosos son comúnmente conocidos como virus, pero no todos los malwares son virus, hay distintos tipos de categorías. Las más habituales actualmente son:

  • El Ransomware es un software destructivo que cifra los archivos y normalmente solicita un rescate en criptomonedas a cambio de la contraseña de descifrado
  • Los troyanos normalmente una vez se instalan en el equipo, descargan una segunda fase, para tomar el control de este y poder moverse la red robando datos y/o descargar posteriores fases como puede ser un Ransomware.
  • Los virus son un tipo de malware cuyo principal objetivo consiste en propagarse a través de un software. Suelen contener una carga dañina (payload) que realiza distintos cometidos, desde gastar una broma a generar tráfico inútil o bloquear redes informáticas.
  • El Spyware, recopila información sobre nuestras acciones. Lo hace monitorizando las pulsaciones de teclado como los keyloggers, o comprobando los destinatarios de nuestro correo, con el objetivo de vender posteriormente esa información.
  • El Adware puede ser de los más inofensivos ya que muestra anuncios y su objetivo es monetizarlos a través de clicks y mostrar constantes anuncios con notificaciones en el escritorio o redirección de enlaces, inserción de anuncios sobre el navegados… con el objetivo de que el usuario acceda a los anuncios. 
  • Los Cryptominers son programas que se instalan en el equipo y consumen recursos de este para minar criptomonedas. Suelen pertenecer a granjas de minado distribuido.
  • Hay otros tipos de malware, como gusanos, rogeware, malvertising, rootkits… cuyo impacto es distinto, pero no dejan de ser software con fines dañinos para el usuario.

Objetivo del malware

Años atrás el objetivo de los virus muchas veces no era más que demostrar la capacidad técnica de poder superar límites de los programas, como en el caso del primer malware (Gusano Morris) o el hacktivismo, que consiste en activismo por causas sociales o políticas de forma digital. Actualmente, esta idea romántica casi ha desaparecido y el principal objetivo es la monetización de las infecciones.

Tras estos programas maliciosos la mayor parte de las veces están bandas criminales organizadas, que se dedican infectar sistemas mediante distintas técnicas, con el objetivo de conseguir dinero a cambio.

Normalmente el objetivo es el robo de información para la venta en mercados en la deepweb, el secuestro de equipos a través del cifrado con ransomware, o la introducción en una botnet para minar criptomonedas, mandar spam o realizar ataques de denegación de servicio.

Para hacer esto, principalmente se valen de Ingeniería social. La ingeniería social no deja de ser una forma de engañar a la víctima con distintos estímulos y argumentos, como elementos gratuitos, medicamentos milagrosos, o facturas sin pagar. Normalmente apelan a la urgencia para que no se revisen mucho estas estafas.

Vectores de infección

A continuación se indican algunas de las formas de infección más habituales:

Correo electrónico: La infección puede venir dada por correos con archivos adjuntos en documentos con macros o contenido activo, archivos ejecutables o enlaces desde los que descargar el programa malicioso, o páginas webs falsas que simulan la webs genuinas para robar contraseñas o descargar el archivo malicioso. Casi siempre se valen de la ingeniería social para conseguir que la víctima realice las acciones necesarias para lanzar la infección

SMS: Con el objetivo principalmente de atacar terminales móviles y por la limitación de caracteres, suelen contener un enlace para descargar Apps maliciosos, o acceder a webs similares a las genuinas para el robo de credenciales.

Descarga de ficheros: Hay veces en las que hay sitios web comprometidos que las descargar un archivo no estamos descargando un software malicioso, otras veces son estafas en las que el objetivo es infectar ele quipo, o programas que se saltan protecciones anticopia y adicionalmente llevan un malware incorporado.

Exploits vulnerabilidades: Cuando un equipo está expuesto a internet y no esta actualizado correctamente, es posible que sea atacado de forma aleatoria. Hay escáneres de vulnerabilidades que están continuamente analizando el direccionamiento IP de internet buscando equipos que se puedan explotar de forma sencilla, para posteriormente poder introducir segundas fases de ataque como exfiltración de información, espionaje, cifrado...

Memorias USBs: Nos referimos a unidades extraíbles que se han conectado a equipos de los que no tenemos control. Un ejemplo clásico suele ser el Pendrive de un hijo, amigo o familiar, que conectamos a un equipo corporativo puntualmente para copiar un archivo. Si este USB ha estado en un equipo infectado, esta unidad extraíble puede extender la infección a los equipos a los que se conecte.

Tipos de protecciones 

Actualización de sistemas

Una de los métodos más habituales que utilizan los atacantes para acceder a la información de forma maliciosa, es la explotación de las vulnerabilidades de los sistemas y programas. Por ello es de vital importancia que tantos los sistemas operativos de ordenadores, portátiles, servidores y demás dispositivos estén actualizados a la última versión disponible.

También hay que vigilar que estos elementos dispongan de programas que estén dentro de su ciclo de vida útil y continúen recibiendo actualizaciones de seguridad.

Como se ha comentado, no solo hay que actualizar los sistemas operativos, sino también los programas que se instalan sobre estos sistemas operativos.

De esta forma al reducir las vulnerabilidades, se reduce la posibilidad de que un atacante encuentre una y la explote.

Sistemas antimalware

Los sistemas que detectan software malicioso en la actualidad son una necesidad básica en los sistemas digitales, ya que ante el creciente volumen de datos que se manejan y la exposición a redes inseguras, es posible que ciertos archivos maliciosos puedan llegar a los sistemas. Estas herramientas pueden estar presentes en ordenadores de usuario, servidores, equipos de red como cortafuegos o pasarelas de correo seguras por poner unos ejemplos. Pueden ser desde los tradicionales antivirus, hasta sistemas de emulación, elementos de machine learning o detección de comportamiento.

Control de acceso

Una de las máximas en el control de accesos es el principio de mínimo privilegio, por lo que un usuario únicamente debe tener acceso a la información a la que esté autorizado.

Un ejemplo de esto puede ser no utilizar un usuario con permisos de administrador en nuestro equipo en el día a día, y utilizarlo solo para realizar tareas específicas como instalación de programas o actualización de drivers.

Adicionalmente es necesario que los usuarios utilicen credenciales seguras, utilizando distintos tipos de caracteres como mayúsculas, minúsculas, números y símbolos, además de que se renueven habitualmente. Otra recomendación es utilizar factores de autenticación adicionales a la contraseña, como tokens con números que varían cada pocos segundos o sensores biométricos.

Protección de correo electrónico

Uno de los vectores de infección principales es el correo electrónico, y actualmente discriminar el correo genuino de que no lo es, es una ardua tarea para los usuarios y administradores. Por ello es recomendable fijarse en si la dirección de correo la conocemos o es fiable, si está bien escrita o tiene alguna letra cambiada, si el dominio es el correcto. Algo muy habitual suelen ser una mala traducción del inglés al castellano. Fallos en la construcción de frases o formatos poco elaborados.

Adicionalmente hay que fijarse en los enlaces, y si estos nos llevan a dominios que no son conocidos o distintos al que aparece en el cuerpo del correo e intentar evitar archivos ejecutables que instalen programas o archivos adjuntos de documentos o de hojas de cálculo con macros.

Algo muy importante es ayudar a los proveedores de correo electrónico identificando los correos maliciosos como spam, para que lo incorporen en sus bases de datos de correos maliciosos y puedan mejorar sus capacidades de detección.

Referencias

https://www.osi.es/es/actualidad/blog/2016/10/11/malware-cual-es-su-objetivo-y-como-nos-infecta

https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp.html

https://www.incibe.es/protege-tu-empresa/blog/descubre-proteger-tu-empresa-del-malware

Compartir

Compartir en Linkedin