12 tipos de malware

¿Qué es el malware?

El malware es un software malicioso diseñado para infiltrarse y atacar sistemas informáticos, redes y dispositivos. ¿Y para qué se utiliza? Para acceder de forma fraudulenta a información confidencial cifrada, como la financiera, así como para dañar a empresas o a usuarios particulares. Para lograrlo, el software malicioso puede distribuirse a través de diversos canales, como archivos adjuntos vía correo electrónico, sitios web infectados, enlaces fraudulentos online, técnicas de ingeniería social o aprovechando brechas de seguridad.

Tipos de malware más habituales

Existen 12 tipos de malware que difieren en su naturaleza y modus operandi. De hecho, estos 12 tipos de malware pueden combinarse entre sí, dando aún más poder a los hackers en sus ataques. Pasemos a examinar al detalle cómo funciona cada tipo de malware y cómo puede perjudicarte.

1. Virus

Un virus es un software que se inserta en los sistemas informáticos, pudiendo autorreplicarse y, de ese modo, propagarse a todo tipo de sistemas y dispositivos. Los virus suelen atacar cuando se activan. Esto es, por ejemplo, cuando la víctima abre un archivo descargado que lo contiene. Cuando se activa, el virus informático es capaz de encriptar, modificar y robar tus datos, entre otros ataques de malware más complejos.

Por lo general, un virus necesita de la colaboración del afectado (aunque este no sepa que lo está haciendo). Para ello, el ciberdelincuente recurre a las llamadas técnicas de ingeniería social, pues le permiten engañar a la víctima, consiguiendo que descargue y ejecute el archivo infectado con el virus. Normalmente, esto se hace a través de archivos adjuntos en correo electrónico, recursos de red compartidos, sitios web o incluso a través de dispositivos extraíbles (los pendrive o unidades USB son un buen ejemplo de ello).

En mayo de 2000 se dio a conocer uno de los virus más populares de la historia, el ILOVEYOU. Se distribuía como adjunto a correos electrónicos, simulando una carta de amor. Cuando lo descargabas y lo abrías, el virus era capaz de tomar los archivos del ordenador infectado, enviando copias a otros usuarios de la libreta de direcciones de Microsoft Outlook del afectado.

2. Gusanos

Un gusano es un malware capaz de replicarse a sí mismo. Busca brechas de seguridad en el sistema operativo que quiere atacar para incrustarse en la red. Normalmente, los gusanos se enfocan en la memoria o los discos duros de los dispositivos. En gran medida, están diseñados para dañar la conexión, mermando el ancho de banda. También son capaces de robar datos sensibles o incluso pueden utilizarse para llevar a cabo ciberataques elaborados de gran alcance.

A diferencia de los virus, los gusanos no requieren de la cooperación humana ni se insertan en un software para propagarse. Los gusanos suelen entrar en los sistemas informáticos a través de puertas traseras integradas en el propio software o aprovechando determinados puntos vulnerables. Eso sí, coinciden con los virus en los canales de transmisión, ya que los gusanos también pueden esparcirse a través de unidades flash o archivos adjuntos vía correo electrónico.

En 2008, se dio a conocer el gusano Conficker, que puso en jaque los sistemas operativos Microsoft Windows a causa de una brecha de seguridad. Siendo así, logró propagarse rápidamente por millones de ordenadores de todo el mundo. Atacó principalmente aquellos sistemas que no estaban actualizados en términos de seguridad, siendo capaz de viajar a través de redes compartidas y dispositivos extraíbles. Conficker, una vez infectado el sistema, era capaz de controlar los ordenadores, lo que permitía a los ciberdelincuentes tomar posesión del contenido.

3. Adware

El adware es un software publicitario que muestra anuncios no deseados o maliciosos en el dispositivo del usuario. Si no se bloquea, permite rastrear la actividad de los usuarios mientras navegan, recopilando datos para ofrecer publicidad personalizada. El adware es un tipo de grayware: es decir, no es intrínsecamente dañino, pero puede entorpecer el rendimiento del dispositivo, así como derivar en la descarga de otros tipos de malware.

El adware suele instalarse junto con un software que ha sido buscado deliberadamente, es un adicional que se ejecuta sin el conocimiento del usuario. De esta forma, empiezan a aparecer anuncios en la pantalla del dispositivo del afectado. ¿Cómo? La presentación habitual es a través de pestañas web adicionales o ventanas emergentes.

Una de las campañas de adware más famosas sucedió en 2017. Conocida como Fireball, se propagó oculta en software legítimo. Este adware secuestra el navegador infectado y modifica su configuración. Para posteriormente, dirigir las consultas de búsqueda y monitorear la actividad del usuario para ofrecer anuncios personalizados. Los informes indican que la campaña Fireball infectó más de 250 millones de ordenadores en todo el mundo.

4. Troyanos

Un troyano es un programa malicioso que puede presentarse como software, aplicación o juego. A priori, parece inofensivo o legítimo, lo que invita a los usuarios a descargarlo con confianza. Sin embargo, una vez que el troyano se infiltra en el sistema, concede al atacante el control no autorizado de los dispositivos vulnerados o propaga malware sin el conocimiento del usuario. Esto incluye el robo de información sensible, la modificación de los archivos contenidos, la toma de control del sistema o la creación de puertas traseras para el acceso remoto.

Los troyanos suelen distribuirse a través de técnicas de ingeniería social, como el phishing por correo electrónico, falsas actualizaciones de software o sitios web no seguros. Afortunadamente, el malware no puede propagarse de forma autónoma, por lo que necesita de una persona que lo ejecute.

Emotet es uno de los troyanos históricos. Surgió en 2014 y se propagó principalmente a través de correos electrónicos que parecían legítimos. Estos contenían archivos adjuntos infectados o links maliciosos. Cuando el usuario ejecutaba estos archivos o visitaba dichos enlaces, Emotet robaba la información del dispositivo y servía de plataforma de distribución para otros programas maliciosos, como ransomware y troyanos bancarios.

5. Ransomware

El ransomware es un ciberataque temporal. En él, un hacker cifra los archivos o dispositivos del usuario y pide un rescate por ellos, poniendo una fecha límite. Sin embargo, una vez la víctima hace el pago, nadie le garantiza que pueda recuperar el acceso a sus dispositivos y archivos, pues este permiso ya solo puede darlo el hacker.

Los ataques de ransomware pueden iniciarse de varias formas: a través de archivos maliciosos, kits de exploits web, sitios web de dudosa reputación o descargas y enlaces infectados con malware. Los atacantes también suelen adaptar los mensajes a las víctimas. Una vez instalado, el ransomware crea una puerta trasera para que el hacker acceda al dispositivo de la víctima y cifre los datos que contiene.

El ataque de ransomware más conocido fue WannaCry, que tuvo lugar en 2017. Vulneró la seguridad de miles de ordenadores en más de 150 países. Se propagó rápidamente a través de una brecha de seguridad SMB de Windows, bloqueando archivos y exigiendo el pago del rescate en Bitcoin. Las vulnerabilidades SMB están detrás de estos y otros muchos ataques de malware famosos, como, por ejemplo, el ransomware Petya/NotPetya, que también afectó a usuarios de todo el mundo.

6. Spyware

El spyware, como su propio nombre indica, es un espía que vigila en secreto las actividades del usuario, a menudo sin su consentimiento o conocimiento, para recopilar información sobre él o robar el contenido de sus dispositivos. Se usa habitualmente para hacerse con contraseñas, especialmente si estas están relacionadas con el acceso a información financiera, aunque también puede ejecutarse para estudiar hábitos de navegación. Todos los datos obtenidos se transmiten posteriormente al atacante de forma remota.

El spyware puede disfrazarse de software legítimo o distribuirse a través de archivos adjuntos maliciosos en un mensaje de correo electrónico o a través de sitios web infectados. Este tipo de malware se utiliza a menudo como un primer paso en la violación de datos, permitiendo al hacker que explore el sistema libremente.

Un ejemplo histórico de spyware fue la campaña de ciberataque de larga duración llamada Darkhotel. Se centró en viajeros de negocios de alto standing. El nombre del ataque deriva del modo en que se rastrean los planes de viaje: el malware se infiltra en los dispositivos de las víctimas con programas espía a través de la wifi del hotel. El objetivo del ataque Darkhotel suele ser el robo de datos confidenciales de altos cargos gubernamentales.

7. Bot and botnets

Un bot es una aplicación de software malicioso diseñada para crear una red de dispositivos infectados. Esta se llama botnet y está bajo el control de un hacker. Una vez que un dispositivo se infecta con un bot, pasa a formar parte de la botnet. Esto permite al atacante controlar y comandar los dispositivos comprometidos de forma remota.

Los botnets lanzan ciberataques controlados a distancia a través de las redes informáticas infectadas. Gracias a ello, logra robar información confidencial o consigue llevar a cabo campañas de spam a gran escala. Los bots suelen propagarse utilizando estrategias de ingeniería social o aprovechando vulnerabilidades de software mientras navegan por internet intentando encontrar brechas de seguridad.

La botnet Mirai es una de las más famosas de la historia. Surgida en 2016, se creó para atacar dispositivos del Internet de las Cosas (IoT), como routers, videocámaras o grabadoras de vídeo digital (DVR). Una vez que se infectaron estos aparatos, pasaron a formar parte de la botnet Mirai. Gracias a ello, se utilizaron posteriormente para ataques masivos de denegación de servicio distribuido (DDoS).

8. Rootkit

Rootkit es un malware que permite el acceso no autorizado a un sistema informático. Se logra a través de la obtención ilegítima de privilegios administrativos. Los rootkits suelen ser el primer paso en una violación de datos y se utilizan para ocultar y propagar otras infecciones de malware. También permiten robar información confidencial, modificar archivos, replicar pulsaciones de teclas o interceptar el tráfico de red.

Los rootkits están diseñados para el largo plazo. Lo que se intenta es que permanezcan el mayor tiempo posible en el sistema infectado, siendo indetectables tanto para el usuario como para el software de seguridad implicado. Este malware puede instalarse o reactivarse automáticamente después de reiniciar el sistema o aplicar determinadas medidas de seguridad. Los rootkits suelen propagarse a través de ataques de phishing, descargas maliciosas no solicitadas o archivos compartidos corruptos.

Un ejemplo de ataque de rootkit sofisticado es Zacinlo, que se produjo en 2018. El objetivo de este rootkit era realizar un fraude de clics: Secuestraba navegadores, colocaba anuncios fraudulentos en las páginas web y atraía los clics de los usuarios en esos anuncios para generar ingresos ilícitos a los actores del ataque.

9. Malware sin archivos

El malware sin archivos es un programa malicioso que ataca la memoria del ordenador sin dejar rastro en el sistema. El malware sin archivos se utiliza a menudo en ataques dirigidos para obtener acceso a largo plazo a un sistema informático concreto. Es capaz de eludir las medidas de seguridad tradicionales, lo que lo convierte en una opción atractiva para los ciberataques más sofisticados.

El malware sin archivos afecta a programas legítimos del dispositivo. ¿Cómo? Modifica archivos, aplicaciones, protocolos o software. Dado que todos estos elementos son inherentes al sistema operativo, el software antivirus tiene dificultades para detectar el malware sin archivos.

Un ejemplo real de un ciberataque sin archivos es el Astaroth. Este ataque de malware, descubierto en 2018, mostró resistencia en los sistemas informáticos infectados. Modificaba el registro de Windows y programaba tareas por sí mismo. Además, se comunicaba con sus servidores de comando y control, por lo que recibía actualizaciones, descargaba cargas útiles adicionales y robaba datos.

10. Keylogger

Un keylogger es un software o hardware malicioso que registra las pulsaciones del teclado de un ordenador. Están diseñados para capturar y trackear información sensible, como nombres de usuario, contraseñas, datos de tarjetas de crédito y otros datos confidenciales que introducen los usuarios mientras navegan.

Los keyloggers suelen ser difíciles de detectar. El motivo es que pueden ejecutarse en segundo plano, lo que les permite eludir los antivirus. De esta forma, pueden capturar las pulsaciones del teclado sin que el usuario lo sepa.

En 2007 se produjo un ataque de keylogger llamado Zeus, o Zbot. Su objetivo fueron numerosas instituciones financieras de todo el mundo. Zeus se distribuía a través de correos electrónicos de phishing y kits de exploits y, una vez instalado, implementa un componente keylogger en el dispositivo de la víctima para capturar información sensible.

11. Malvertising

Malvertising, palabra compuesta por «malicioso» y «publicidad», es la distribución de contenido malicioso a través de anuncios en línea. El malvertising puede atacar con varios tipos de malware, como virus, ransomware, spyware o adware.

La publicidad maliciosa suele utilizar sitios web legítimos y de buena reputación para llevar a cabo sus ataques. Un clic por error en el anuncio contaminado puede desencadenar la descarga automática de programas maliciosos y la propagación de malware por los dispositivos de las víctimas sin que ni siquiera estas sean conscientes de ello.

La campaña de malvertising de Kyle y Stan que tuvo lugar en 2016 afectó a varios sitios web importantes. Los anuncios maliciosos explotan vulnerabilidades en los navegadores o plugins de los usuarios, lo que les permitía llevar a cabo diversos ataques de malware, como los ransomware o los troyanos bancarios. El objetivo de estas campañas de malvertising era robar información confidencial, encriptar archivos para pedir un rescate y obtener acceso no autorizado a los dispositivos de las víctimas.

12. Bomba lógica

Una bomba lógica es un ataque preestablecido que se ejecuta a través de un código o software malicioso. Permanece inactiva hasta que se activa por una condición específica o por las propias víctimas. Las bombas lógicas suelen estar preparadas con virus informáticos o gusanos, pudiendo sabotear sistemas, extorsionar a las víctimas para obtener beneficios económicos o crear interrupciones en todo el sistema.

¿Y cómo se realizan los ataques con bombas lógicas? Una opción es a través de software o infraestructura de red probadas, lo que los hace más difíciles de detectar. Este tipo de ciberataque suele desencadenarse mediante un catalizador positivo (por ejemplo, cuando se abre un archivo concreto) o negativo (por ejemplo, cuando nadie desactiva el ataque).

Uno de los ataques con bomba lógica más famosos tuvo lugar en San Francisco en 2008, cuando un trabajador público activó este malware en la infraestructura de red de la ciudad. La meta de esta bomba lógica era sabotear toda la red informática en cuanto esta se cerrase por mantenimiento.

¿Qué es un malware híbrido?

El malware híbrido es un software malicioso que combina características de distintos tipos de malware. De este modo, es capaz de potenciar su capacidad de daño, así como las posibilidades de eludir los sistemas de seguridad. Un malware híbrido puede darse combinando de dos o más tipos de malware, como virus, gusanos, troyanos o ransomware.

Este tipo de malware puede emplear diversas técnicas para alterar dinámicamente su código o estructura, lo que dificulta su detección por las soluciones de seguridad actuales. Por ejemplo, un troyano puede convertirse en gusano o virus una vez que ha entrado en el sistema. Al igual que otros tipos de ciberataques, los ataques híbridos pueden propagarse a través de brechas de seguridad halladas en el software en cuestión, técnicas de ingeniería social, sitios web infectados o dispositivos de red vulnerables.

Cómo protegerse de un malware

La mejor forma de evitar que tu dispositivo quede expuesto a ataques de malware es utilizar herramientas de seguridad de software. Esto te ayudará a mantenerte al tanto de las amenazas en línea.

Estas son algunas de las opciones más sencillas pero eficaces de mantenerse a salvo frente a las amenazas en línea:

• Autenticación multifactor (MFA). MFA refuerza los procesos de inicio de sesión con un paso adicional que debes completar antes de acceder a tu cuenta. Normalmente, se trata de un código: una contraseña de un solo uso basada en el tiempo (TOTP), por lo que solo es válida durante un breve periodo. Como el código cambia cada vez que te conectas al sistema, conservarlo resulta inútil para futuros intentos de autenticación.
• Antivirus. Instalar un software antivirus fiable es otra opción para mantenerte seguro, pues vigilará, detectará y detendrá muchos tipos de malware antes de que puedan acceder a tus datos o bloquear la red. También es beneficioso utilizar soluciones adicionales de protección contra malware para aumentar tu seguridad en línea. De esta forma, resultará más fácil hacer frente a amenazas en línea más específicas para cada caso.
• Ten cuidado con las estrategias de ingeniería social. La sospecha es la clave para detectar el malware y mantenerse seguro mientras navegas por Internet. Evita responder mensajes, hacer clic en enlaces o descargar archivos de direcciones de correo electrónico desconocidas o de aspecto sospechoso: utiliza siempre filtros antispam. Si ves un anuncio que parece demasiado bueno para ser verdad, probablemente sea así, una auténtica estafa. Así que, asegúrate de no hacer nunca clic en enlaces que te invitan una y otra vez a hacerlo, ya que así evitarás descargar código malicioso.