Diferencia entre revisiones de «Malware»
Contenido eliminado Contenido añadido
m Revertidos los cambios de 150.241.162.241 (disc.) a la última edición de SeroBOT Etiqueta: Reversión |
Correcciones de estilo y ortografía. |
||
Línea 1:
[[Archivo:Malware logo.svg|right|150px|thumb|El ''malware'' suele ser representado con símbolos de peligro o advertencia de archivo maligno.]]
Se llama '''
Antes de que el término ''malware'' fuera acuñado por Yisrael Radai en 1990,<ref> {{ Cita web | url = https://www.pcworld.com/article/147698/tech.html | título = Tech Talk: Where'd it Come From, Anyway? | fechaacceso = 12 de abril de 2019 | apellidos = Messmer | nombres = Ellen | fecha = 29 de junio de 2008 | sitioweb = [[PC World]] | idioma = en | cita = MALWARE: A term to describe the wide range of malicious code, it was first used by Yisrael Radai on July 4, 1990, in a public posting in which he wrote: "Trojans constitute only a very small percentage of malware (a word I just coined for trojans, viruses, worms, etc)." Chris Klaus gets credit for being the first to widely use the word malware in presentations. | formato = html | urlarchivo = https://web.archive.org/web/20121016035507/https://www.pcworld.com/article/147698/tech.html | fechaarchivo = 16 de octubre de 2012 }} </ref><ref name="Elisan2012">{{Cita libro |autor=Christopher Elisan |título=Malware, Rootkits & Botnets A Beginner's Guide |url=https://books.google.com/books?id=jOsFlLPg1KkC&pg=PA10 |fecha=5 de septiembre de 2012 |editorial=McGraw Hill Professional |isbn=978-0-07-179205-9 |páginas=10–}}</ref> el ''software'' maligno se agrupaba bajo el término «[[virus informático]]» (un virus es en realidad un tipo de programa maligno).<ref> {{ Cita web | url = https://www.csoonline.com/article/3295877/what-is-malware-viruses-worms-trojans-and-beyond.html | título = What is malware? How to prevent, detect and recover from it | fechaacceso = 12 de abril de 2019 | apellidos = Fruhlinger | nombres = Josh | fecha = 23 de enero de 2019 | sitioweb = Revista CSO ([[:en:IDG Ventures|IDG Ventures]]) | idioma = en | cita = This means that the question of, say, what the difference is between malware and a virus misses the point a bit: a virus is a type of malware, so all viruses are malware (but not every piece of malware is a virus). | formato = html | urlarchivo = https://web.archive.org/web/20190330072037/https://www.csoonline.com/article/3295877/what-is-malware-viruses-worms-trojans-and-beyond.html | fechaarchivo = 30 de marzo de 2019 }} </ref>
Para el 2020 un
El ''malware'' tiene darse por ''hackers'' que entran a un dispositivo por diferentes movimientos, uno de ellos son por
== Motivaciones ==
Durante los [[años 1980]] y [[Años 1990|1990]], el ''malware'' era creado como una forma de [[vandalismo]] o travesura. Sin embargo hoy día la motivación principal es la obtención de un beneficio económico. En los últimos años está apareciendo malware asociado a [[Amenaza persistente avanzada|amenazas persistentes avanzadas]], que son campañas fuertemente orquestadas realizadas por grupos asociados a estados o a importantes instancias con poder, cuyo objetivo más habitual es el robo de información estratégica o producir daños en sistemas de organizaciones objetivo.
Las motivaciones más habituales para la creación de ''malware'' son:
* Experimentar al aprender. Por el ejemplo el [[Gusano Morris]] tuvo este origen
* Realizar bromas, provocar molestias y satisfacer el ego del creador. Ejemplos de este tipo de virus son [[Melissa (informática)|Melissa]] y los llamados [[Virus joke]].
Línea 23:
** Tomando control de computadoras para su explotación en el [[mercado negro]]. Estas computadoras infectadas [[Zombi (informática)|zombis]]) son usadas luego para por ejemplo el envío masivo de [[spam|correo basura]], para alojar datos ilegales como [[pornografía infantil]],<ref>{{Cita web |url=http://www.pcworld.com/article/id,116841-page,1/article.html |título=Zombie PCs: Silent, Growing Threat |autor=PC World |idioma=inglés |urlarchivo=https://web.archive.org/web/20080727001520/http://www.pcworld.com/article/id,116841-page,1/article.html |fechaarchivo=27 de julio de 2008 }}</ref>, distribuir malware ([[pago por instalación]]<ref>[https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/1516-el-60-del-malware-se-distribuye-mediante-pay-per-install.html El 60% del malware se distribuye mediante pay-per-install]. ccn-cert.cni.es. 13 de Septiembre 2011 </ref>), o para unirse en ataques de [[DDoS|denegación de servicio distribuido]] (DDoS).
Cuando el ''malware'' produce pérdidas económicas para el usuario o propietario de un equipo, también se clasifica como '''[[crimeware|''crimeware'']]''' o '''software criminal'''. Estos programas suelen estar encaminados al aspecto financiero, la suplantación de personalidad y el espionaje.<ref>{{Cita web |título=Definición de Crimeware |autor=ALEGSA |url=http://www.alegsa.com.ar/Dic/crimeware.php}}</ref>
Algunos autores distinguen el ''malware'' del '''''grayware''''' (también llamados '''''greyware''''', '''''graynet''''' o '''''greynet'''''), definiendo estos como programas que se instalan sin la autorización usuario y se comportan de modo tal que resultan molestos o indeseables para el usuario, pero son menos peligrosos que los ''malware''. En esta categoría, por ejemplo, se incluyen los [[adware|programas publicitarios]], [[dialer|marcadore]]s, [[
== Estructura ==
Dentro del código del ''malware'' podemos tener código destinado a aportantes distintos tipos de funcionalidades:
*La [[Carga útil (informática)|carga útil]]. Es la parte del código relacionada con la actividad maliciosa que realiza el malware. Por tanto esta parte es obligatoria.<ref>{{Cita web|url=http://www.eset.com.mx/centro-amenazas/amenazas/2148-PayLoad|título=Tipos de malware y otras amenazas informáticas|autor=ESET|urlarchivo=https://web.archive.org/web/20091214211926/http://www.eset.com.mx/centro-amenazas/amenazas/2148-PayLoad|fechaarchivo=14 de diciembre de 2009}}</ref>
*Opcionalmente el ''malware'' puede tener código para su distribución automática, se le llama reproducción, que propaga el ''malware'' a otras ubicaciones. Por tanto la infección por el ''malware'' puede ser directa, por ejemplo a través de la ejecución de programas descargados de la red, o a través de esta reproducción automática.
*Opcionalmente el ''malware'' puede tener un código útil para el usuario destinado a ocultar la funcionalidad verdadera del software. Es típico ocultar el ''malware'' en [[plugins]] o programas de utilidad básica como [[salvapantallas]]. A los ''malware'' que tienen este componente se les llama [[Troyano (informática)|troyanos]].
*Opcionalmente el ''malware'' puede tener código destinado a ocultar la actividad maliciosa realizada.
== Tipos ==
Hay distintos tipos de ''malware'' donde un caso concreto de ''malware'' puede pertenece a varios tipos a la vez:
* [[Virus informático|Virus]]: secuencia de código malicioso que se aloja en fichero ejecutable (huésped) de manera que al ejecutar el programa también se ejecuta el virus. Tienen la propiedades de propagarse por reproducción dentro de la misma computadora.
* [[Gusano informático|Gusano]]: ''malware'' capaz de ejecutarse por sí mismo. Se propaga por la red explotando [[Error de software|vulnerabilidades]] para infectar otros equipos.
* [[Troyano (informática)|Troyano]]: programa que bajo apariencia inofensiva y útil tiene otra funcionalidad oculta maliciosa. Típicamente esta funcionalidad suele permitir el control de forma remota del equipo ([[administración remota]]) o la instalación de [[puerta trasera|puertas traseras]] que permitan conexiones no autorizadas al equipo. No se reproducen. Los troyanos conocidos como [[Dropper (malware)|droppers]] son usados para empezar la propagación de un gusano inyectándolo dentro de la [[red local]] de un usuario.<ref>{{Cita web|url=http://www.viruslist.com/sp/virusesdescribed?chapter=153318112|título=Droppers troyanos|autor=Viruslist.com|urlarchivo=https://web.archive.org/web/20100924190200/http://www.viruslist.com/sp/virusesdescribed?chapter=153318112|fechaarchivo=24 de septiembre de 2010}}</ref><ref>{{Cita web |url=http://www.symantec.com/security_response/writeup.jsp?docid=2002-082718-3007-99 |título=Trojan.Dropper |autor=[[Symantec Corporation]] |idioma=inglés}}</ref>
* [[Bomba lógica]]: programas que se activan cuando se da una condición determinada causando daños en el sistema. Las condiciones de ejecución típicas suelen ser que un contador llegue a un valor concreto o que el sistema esté en una hora o fecha concreta.
* [[Adware]]: muestran publicidad no solicitada de forma intrusiva provocando molestias. Algunos programas ''[[shareware]]'' permiten usar el programa de forma gratuita a cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al instalar el programa. Este tipo de ''adware'' no debería ser considerado ''malware'', pero muchas veces los términos de uso no son completamente transparentes y ocultan lo que el programa realmente hace.
* [[Spyware]]: envía información del equipo a terceros sin que el usuario tenga conocimiento. La información puede ser de cualquier tipo como por ejemplo información industrial a datos personales, contraseñas, tarjetas de crédito, direcciones de [[e-mail|correo electrónico]] (
* [[Malvertising]]: se aprovecha de recursos disponibles por ser un anunciante publicitario, para buscar puertas traseras y poder ejecutar o instalar otro ''malware''. Por ejemplo anunciante publicitario en una página web aprovecha brecha de seguridad de navegador para instalar ''malware''.
* [[Ransomware]] o
* [[Keylogger]]: software que almacena las teclas pulsadas por el usuario con el fin de capturar información confidencial como contraseñas o número de tarjeta de crédito o conversaciones de chat.
* [[Stealer (informática)|Stealer]]: roban información privada guardada en el equipo. Típicamente al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas recordadas, por ejemplo en los [[navegadores web]] o en [[clientes de mensajería instantánea]].
Línea 72:
* Uso de [[Algoritmo de generación de dominio|Algoritmos de generación de dominio]]. Estos algoritmos generan automáticamente dominios nuevos que son usados para alojar servidores usados en el ciberataque. Típicamente se usan para alojar servidores de [[Mando y control (malware)|mando y control]].<ref>[http://www.davidromerotrejo.com/2015/03/algoritmo-de-generacion-de-dominios.html Algoritmo de Generación de Dominios]. David Romero Trejo. davidromerotrejo.com. 2 de marzo de 2015</ref>
* Uso de técnicas de ''[[Blind proxy redirection]]''. Consiste en usar equipos intermedios como [[proxy inverso]] con el propósito de dificultar los intentos de descubrir los servidores desde donde se controla el ataque. Estos nodos actúan como intermediarios entre nodos esclavos y [[Mando y control (malware)|servidores de C&C]], así como entre sí. Agentes bot actúan como redireccionadores que canalizan las solicitudes y los datos hacia y desde otros servidores bajo el control del operador del ataque.<ref name="fantasma">[https://pdfs.semanticscholar.org/80e4/0811e200a7becc608b4640b775908b7642e9.pdf Botnets: La amenaza fantasma]. Guillermo Calvo Ortega. Enero 2018</ref>
*Ocultar el tráfico en el tráfico habitual. Es habitual aprovechar comunicaciones [[Internet Relay Chat|IRC]], programas de mensajería (
*Establecer comunicaciones y tráficos aleatorios entre servidores comprometidos y [[Mando y control (malware)|servidores de C&C]].<ref name="fantasma"/>
*[[Camuflaje de dominio|Domain shadowing]]. Consiste en tomar el control de un dominio registrado consiguiendo las credenciales de administración de modo que sea posible crear registros DNS para nuevos subdominios. Creando multitud de subdominios, el atacante configura una lista lo más amplia posible. Este comportamiento ha demostrado ser alta-mente efectivo para evitar técnicas de bloqueo típicas como el blacklisting y/o sinkholingde sitios o direcciones IP. A diferencia de fast-flux donde se cambia rápidamente la IP asignada a un único dominio, domain shadowing rota subdominos asociados a un dominio. Esos subdominios pueden apuntar bien a una única IP, o a un conjunto de ellas según las necesidades y circunstancias.<ref name="fantasma"/>
Línea 124:
* '''[[Captcha#Servicios de resolución de CAPTCHA|Servicios de resolución de CAPTCHA]]'''. Es frecuente que el malware haga uso de servicios de resolución de CAPTCHA con el fin de poder acceder a recursos gratuitos que ofrece la red. Por ejemplo, malware que crea cuentas falsas en redes sociales.<ref name="teddybear"/>
* '''[[Acortador de URL]]'''. Es habitual que el malware hagan de servicios de URL acortadas. Estos servicios permite ocultar la URLs final de servicios maliciosos.<ref>[https://www.redeszone.net/2018/04/04/estafas-malware-urls-acortadas/ Cómo utilizan los ciberdelincuentes las URLs acortadas para estafar y distribuir malware]. Adrián Crespo. redeszone.net. 4 de abril de 2018</ref> Además, en ocasiones, permiten introducir publicidad y registrar datos sobre los usuarios (navegador, sistema operativo,...).<ref name="israfer">[https://www.nobbot.com/pantallas/mejores-acortadores-url/ Qué es un acortador de URL y cuáles son los mejores]. Israel Fernández. nobbot.com. 13 de marzo de 2019</ref> Por todas estas razones, es frecuento que algunos servicios que acortan URL, especialmente los que no controlan los destinos de los enlaces, se han dominios prohibidos en las listas negras.
* '''[[Sumidero de DNS]]'''. Para luchar contra el malware a veces es efectivo tener un sumidero de DNS que proporcione IPs falsas o nulas como resolución de cierto dominio que solicita el malware. De esta forma se evita que el malware use un cierto nombre de dominio en el ataque (
== Protección contra malware ==
|