AÑO 2014

PROTECCIÓN DE LA INFORMACIÓN Y LOS

DATOS
SOFTWARE MALICIOSO (MALWARE)

EQUIPO TIC
SERVICIO NACIONAL DE APRENDIZAJE
CENTRO DE LA CONSTRUCCIÓN REGIONAL VALLE
 1. ¿Qué es el malware?
Malware (del inglés malicious software), también llamado
badware, código maligno, software malicioso o software
malintencionado, es un tipo de software que tiene como
objetivo infiltrarse o dañar una computadora o Sistema de
información sin el consentimiento de su propietario.
El malware en muchos casos se instala en nuestro
computador sin nuestro conocimiento, generalmente a través
de descargas o enlaces de carácter engañoso que simulan
ser contenido en el que podríamos estar interesados. Una vez
que el malware se ha instalado en el computador, las
personas que tienen el control en muchas ocasiones pueden intentar acceder a nuestra información
personal. A veces registran nuestras pulsaciones de teclas (keylogging) o controlan la actividad de
nuestro equipo, pudiendo forzarlo a visitar determinados sitios web, enviar correos electrónicos o
realizar otras acciones sin nuestro conocimiento.
Los efectos del malware pueden ser tan inofensivos como una pequeña molestia o tan graves como un
robo de identidad, con todo el perjuicio que ello nos puede causar.
Según los datos de Kaspersky Security Network, en el tercer trimestre de 2013 los productos de
Kaspersky Lab han detectado y neutralizado 978.628.817 objetos maliciosos, tal como se evidencia en
la figura 1
Figura1: Riesgo de infección local que corren los equipos en diferentes países, cuarto de 2013

Fuente: viruslist, [Link]

 2. Síntomas más habituales de infección:

Aparición de barras de elementos adicionales en nuestro navegador web sin que nosotros las
hayamos instalado conscientemente.
Nuestra página de inicio cambia sin que nosotros lo indiquemos. Si la sustituimos por la correcta,
vuelve a cambiar automáticamente.
Cuando navegamos por Internet, determinadas páginas son redirigidas automáticamente a otras
de dudoso contenido (pornografía, hacking, juegos on-line, páginas de acceso mediante pago...).
El equipo se ralentiza y se cargan iconos desconocidos en la barra de Windows.

3. ¿A qué afectan los códigos maliciosos?

Los programas maliciosos afectan a cualquier dispositivo que tenga un Sistema Operativo que pueda
entender el fichero malicioso, es decir:
 Ordenadores personales
 Servidores
 Teléfonos Móviles
 PDAs
 Videoconsolas

4. Tipos de malware y técnicas de infección más

comunes
 5. Los ejemplos de malware más habituales
suelen ser los siguientes:

Según su capacidad de propagación

Atendiendo a su capacidad de propagación, o mejor dicho de autopropagación, existen tres tipos de

códigos maliciosos:

Virus: tipo de malware cuya finalidad es la de alterar el

funcionamiento normal de nuestro equipo, sin el permiso o el
conocimiento del usuario.

Los virus son cada vez más sofisticados y actualmente basta con
copiar un archivo para que todo el sistema se infecte. Los virus
permanecen en la memoria de la computadora y comienzan a infectar
todo lo que pasa por la computadora.

En la actualidad, y debido a la vulnerabilidad de los sistemas informáticos al estar

permanentemente expuestos por el uso frecuente de Internet, circulan diferentes tipos de virus
que se modifican y evolucionan con el fin de lograr sus objetivos.

Tipos de virus

Virus de tipo residente: Como su nombre lo indica, esta clase de virus poseen la
particularidad de poder ocultarse en sectores de la memoria RAM del equipo y residir allí,
controlando cualquier operación de entrada o salida de datos que lleve a cabo el sistema
operativo.

Su principal misión es la de infectar todos los archivos y programas que puedan ser llamados
para su ejecución, ya sea para su copia, borrado o toda otra operación dañina que pueda ser
realizada con ellos.

Mientras permanecen ocultos en la RAM de nuestra computadora, yacen latentes a la espera de

cualquier evento que haya sido programado por su desarrollador para comenzar con su ataque.

Esta reacción puede ser desencadenada, por ejemplo, al haberse cumplido un lapso de tiempo
en una fecha u hora prevista.
Virus de tipo de acción directa: La característica fundamental que define a los virus de
tipo de Acción Directa es que no necesitan permanecer residentes en la memoria RAM de la
computadora, ya que su método para comenzar con su ataque es esperar que se cumpla una
determinada condición para activarse y poder replicarse y realizar la dañina tarea para la cual
fueron concebidos. Este tipo de virus poseen la particularidad de, tras una infección de archivos,
estos ficheros pueden ser por completo restaurados, volviendo al estado anterior a su infección.

Virus de sobre-escritura: poseen la habilidad de destruir todo o parte del contenido de un

archivo infectado por él, ya que cuando un fichero es infectado por el virus, este escribe datos
dentro del mismo, dejando a este archivo total o parcialmente inútil.

Una característica que define a este tipo de virus informático, es que los archivos no aumentarán
de tamaño en caso de una infección, esto es debido a que el virus oculta su código reemplazando
parte del código propio del archivo infectado.

Este es uno de los virus más perjudiciales que circulan en la actualidad. Lamentablemente una
de las pocas formas que existen de erradicar el virus, es eliminado el archivo infectado, con la
consiguiente pérdida de los datos escritos en él.
Virus de tipo de boot o arranque: Como todos sabemos el sector de arranque o también
conocido por MBR (Master Boot Record), es una zona del disco rígido donde reside el programa
de inicio del sistema operativo.

La clase de virus que ataca el sector de arranque no infectarán archivos, sino que su misión
principal es replicarse en cualquier otro disco rígido que se encuentre a su alcance.

Virus polimórficos: son aquellos que poseen la habilidad de encriptarse (ocultarse) de un

modo diferente y variable con cada nueva infección que realizan.

Su principal característica consiste en que con cada replicación, utilizan diferentes claves y
algoritmos de encriptación, de modo que las cadenas que componen su código, una especie de
firma para los sistemas antivirus, varían de tal forma que nunca lograrán concordar con las firmas
existentes en las bases de datos que utilizan estos antivirus para su detección.

Debido a la utilización de esta complicada técnica, estos virus son capaces de generar gran
cantidad de copias de sí mismos, pero nunca iguales.

Gusanos (worms): programas informáticos malintencionados que se

replican automáticamente, usando una red informática para enviar copias de sí
mismos a otros ordenadores de la red, pudiendo causar un enorme efecto en
muy poco tiempo.
 Los gusanos se suelen propagar por los siguientes métodos:

 Correo electrónico
 Redes de compartición de ficheros (P2P)
 Explotando alguna vulnerabilidad
 Mensajería instantánea
 Canales de chat

Troyanos: programas destructivos que se hace pasar por una aplicación

legítima e inofensiva, pero por detrás y sin el conocimiento del usuario, roba
información, daña el sistema o abre una puerta trasera para poder entrar al equipo
de forma remota sin ser detectado.

Según las acciones que realizan

Según las acciones que realiza un código malicioso, existen varios tipos, es posible que un
programa malicioso pertenezca a un tipo en concreto, aunque también puede suceder que
pertenezca a varias de estas categorías a la vez.

Software espía (spyware): software malintencionado que extrae

información sobre los usuarios sin su conocimiento y la distribuyen a
agencias de publicidad u otras organizaciones interesadas. Algunos de
los datos que recogen son las páginas web que visita el usuario y
direcciones de correo electrónico, a las que después se envía spam
(correo basura o mensaje basura a los mensajes no solicitados, no
deseados o de remitente no conocido correo anónimo, habitualmente
de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican
de alguna o varias maneras al receptor)

Software publicitario (adware): cualquier paquete de software que reproduce,

muestra o descarga anuncios en nuestro ordenador de forma automática sin
consentimiento, muestran publicidad al usuario de forma intrusiva en forma de
ventana emergente (pop-up) o de cualquier otra forma. Esta publicidad
aparece inesperadamente en el equipo y resulta muy molesta.
 Los hijackers son programas que realizan cambios en la
configuración del navegador web. Por ejemplo, algunos cambian la
página de inicio del navegador por páginas web de publicidad o página
pornográfica, otros redireccionan los resultados de los buscadores hacia
anuncios de pago o páginas de phishing bancario (Técnica utilizada para
captar datos bancarios de los usuarios a través de la utilización de la
imagen de la entidad bancaria).

Crimeware es un tipo de software que ha sido específicamente

diseñado para la ejecución de delitos financieros en entornos en línea, ha
sido diseñado, mediante técnicas de ingeniería social u otras técnicas
genéricas de fraude en línea, con el fin de conseguir el robo de identidades
para acceder a los datos de usuario de las cuentas en línea de compañías
de servicios financieros o compañías de venta por correo, con el objetivo
de obtener los fondos de dichas cuentas, o de completar transacciones no
autorizadas por su propietario legítimo, que enriquecerán al ladrón que
controla el crimeware.

Rootkits: conjuntos de programas que modifican el sistema operativo de nuestro PC para permitir
que el malware permanezca oculto al usuario.

Rogue software y Ransomware:

Los Rogue software: hacen creer al usuario que la computadora está infectada por algún tipo
de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o
a instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no
necesita ese software puesto que no está infectado.

Ransomware: También llamados criptovirus o secuestradores,

son programas que cifran los archivos importantes para el usuario,
haciéndolos inaccesibles, y piden que se pague un "rescate" para
poder recibir la contraseña que permite recuperar los archivos.
 Los keyloggers y los stealers programas maliciosos creados para
robar información sensible. El creador puede obtener beneficios
económicos o de otro tipo social, La principal diferencia entre ellos es la
forma en la que recogen la información. Los keyloggers monitorizan todas
las pulsaciones del teclado y las almacenan para un posterior envío al
creador. Por ejemplo al introducir un número de tarjeta de crédito el
keylogger guarda el número, posteriormente lo envía al autor del programa y este puede hacer
pagos fraudulentos con esa tarjeta. Si las contraseñas se encuentran recordadas en el equipo, de
forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers.
La mayoría los keyloggers son usados para recopilar contraseñas de acceso pero también pueden
ser usados para espiar conversaciones de chat u otros fines.

Joke. Son programas inofensivos que simulan el comportamiento de un

virus en el ordenador de la víctima No realiza ninguna acción maliciosa en
el ordenador infectado pero, mientras se ejecuta, gasta una “broma” al
usuario haciéndole pensar que su ordenador está infectado, por ejemplo,
mostrando un falso mensaje de que se va a borrar todo el contenido del
disco duro o mover el ratón de forma aleatoria.

5. Distribución por tipos de software malicioso,

cuarto trimestre de 2013

Fuente: viruslist, [Link]

 6. ¿Cómo llega el malware hasta nuestro PC?
Existen gran variedad de formas por las que el malware puede llegar a un ordenador:

Explotando una vulnerabilidad en cualquier programa que puede ser aprovechada para
introducir programas maliciosos. Para prevenir infecciones por esta vía, se recomienda tener
siempre actualizado el software en nuestro equipo.

Ingeniería social: Las técnicas de ingeniería social apremian al usuario a que realice determinada
acción, amenazándolo de diversas formas. lo más importante es no hacer caso de correos
recibidos de remitentes desconocidos y tener en cuenta que su banco nunca le va a pedir sus
datos bancarios por correo.

A través de un archivo malicioso que puede llegar como adjunto de un mensaje, por redes P2P,
como enlace a un fichero que se encuentre en Internet, a través de carpetas compartidas en las
que el gusano haya dejado una copia de sí mismo, La mejor forma de prevenir la infección es
analizar con un antivirus actualizado todos los archivos antes de ejecutarlos, aparte de no
descargar archivos de fuentes que no sean confiables.

Dispositivos extraíbles (ej: llaves USB): muchos gusanos suelen dejar copias de sí .mismos en
dispositivos extraíbles para que automáticamente, cuando el dispositivo se conecte a un
ordenador, ejecutarse e infectar el nuevo equipo.

7. Cómo combatir el malware. Medidas prácticas

1. Actualiza tu sistema operativo con todos los parches más recientes y activa las
actualizaciones automáticas si es posible.
2. Instala periódicamente todas las actualizaciones del navegador o elige navegadores que se
actualizan de forma automática y transparente a la última versión. Instala únicamente
extensiones en las que confíes.
3. Ten mucho cuidado al hacer clic en un enlace o descargar un archivo. Para proteger tu
ordenador, descarga únicamente archivos de fuentes de confianza. Ten cuidado cuando accedas
a sitios desconocidos. Si no estás seguro, sal del sitio y busca información sobre el software que
se te pide que instales.
4. Desconfía de cualquier elemento de un correo electrónico que parezca sospechoso.
5. No abras archivos si no conoces su extensión o si recibes advertencias o mensajes del
navegador web que no te resulten familiares.
 6. Al instalar software, presta especial atención a los mensajes que aparezcan y lee la letra
pequeña. También es recomendable buscar información sobre cualquier software desconocido
antes de iniciar el proceso de instalación.
7. Ten mucha precaución con las unidades USB. Siempre ten la precaución de analizar la
unidad externa con un buen software antivirus antes de abrir los archivos.
8. No te fíes de las ventanas emergentes que te piden que descargues software. Cierra la
ventana y asegúrate de no hacer clic en ninguna zona de la ventana emergente.
9. Ten cuidado con la descarga de ficheros desde redes P2P (eMule, Ares…). El software
malintencionado se puede hacer pasar por un programa, un disco, una película o cualquier
elemento conocido.
10. Elimina el malware lo antes posible. Existe una serie de programas específicos como Spybot
S&D y Malwarebytes Antimalware que te pueden resultar útiles.

8. ¿Por qué hay gente que crea programas

maliciosos?

Cuando surgieron los primeros virus y programas maliciosos solía ser muy sencillo darse cuenta de que
el ordenador estaba infectado, ya que los virus generalmente realizaban alguna acción visible en el
equipo, por ejemplo, borrar ficheros, formatear el disco duro, cambiar los caracteres de escritura, etc.
Actualmente los programas maliciosos han evolucionado y suelen perseguir un fin lucrativo. Para lograr
más fácilmente su cometido suelen pasar desapercibidos para el usuario, por lo que son más difíciles
de detectar de forma sencilla. Hay varias formas en las que el creador del programa malicioso puede
obtener un beneficio económico, las más comunes son:
Robar información sensible del ordenador infectado, como datos personales, contraseñas, credenciales
de acceso a diferentes entidades…
Crear una red de ordenadores infectados -generalmente llamada red zombie o botnet- para que el
atacante pueda manipularlos todos simultáneamente y vender estos servicios a entidades sin escrúpulos
que puedan realizar acciones poco legítimas como el envío de SPAM, envío de mensajes de phishing,
realizar ataques de denegación de servicio, etc.
Vender falsas soluciones de seguridad que no realizan las acciones que afirman hacer, por ejemplo,
falsos antivirus que muestran mensajes con publicidad informando de que el ordenador está infectado
cuando en realidad no es así, la infección que tiene el usuario es el falso antivirus.
Cifrar el contenido de los ficheros del ordenador y solicitar un “rescate” al usuario del equipo para
recuperar la información, como hacen los criptovirus.
Referencias en Internet

Instituto Nacional de Tecnologías de la Comunicación (INTECO)

[Link]
Oficina de Seguridad del Internauta (OSI)
[Link]
Guardia Civil - Grupo de Delitos Telemáticos:
[Link]
Policía Nacional – Brigada de Investigación Tecnológica
[Link]
Vídeos Intypedia: Lección 6 – Malware (con ejercicios)
[Link]
InfoSpyware:
[Link]
Eset Security:
[Link]