Un malware, traducido del inglés como programa malicioso, programa maligno,

programa malintencionado o código maligno, es cualquier tipo de software que

realiza acciones dañinas en un sistema informático de forma intencionada (al
contrario software defectuoso) y sin el conocimiento del usuario (al contrario que
el software potencialmente no deseado1).2 Ejemplos típicos de estas actividades
maliciosas son el3 robo de información (p. ej. a través de troyanos), dañar o
causar un mal funcionamiento del sistema informático (p. ej. mediante Stuxnet,
Shamoon o Chernobyl), provocar perjuicios económicos, chantajear a propietarios de
los datos de sistemas informáticos (p. ej. con un ransomware), permitir el acceso
de usuarios no autorizados, provocar molestias o una combinación de varias de estas
actividades.4567

Antes de que el término «malware» fuera acuñado por Yisrael Radai en 1990,89 el
software maligno se agrupaba bajo el término «virus informático» (un virus es en
realidad un tipo de malware).10

Para el 2020, un programa malicioso conocido con el nombre de Joker —debido a que
el ícono que utiliza al momento de aparecer en tiendas de aplicaciones es el de un
payaso— infectó a más de 1700 aplicaciones que tuvieron que ser retiradas de once
tiendas de aplicaciones. Sin embargo, este programa malicioso se adapta muy
rápidamente a la tienda y se puede ocultar fácilmente.11

Motivaciones
Durante los años 1980 y 1990, se creaba malware como una forma de vandalismo o
travesura. Sin embargo, en la actualidad, la principal motivación es la obtención
de un beneficio económico. En los últimos años, está apareciendo malware asociado a
amenazas persistentes avanzadas, que son campañas fuertemente orquestadas
realizadas por grupos asociados a estados o a importantes instancias con poder,
cuyo objetivo más habitual es el robo de información estratégica o producir daños
en sistemas de organizaciones objetivo.

Las motivaciones más habituales para la creación de programas maliciosos son:

Experimentar al aprender (p. ej. el Gusano Morris)

Realizar bromas, provocar molestias y satisfacer el ego del creador. (p. ej.
Melissa y los virus joke)
Producir daños en el sistema informático, ya sea en el hardware (p. ej. con Stuxnet
y Chernobyl), en el software (p. ej. Ramen que cambia la página inicial del
servidor web), en los datos (p. ej. Shamoon o Narilam que buscan destruir los
datos)12 o provocando la caída de servidor (p. ej. Code Red)
Provocar una degradación en el funcionamiento del sistema. Por ejemplo, consumiendo
ancho de banda de la red o tiempo de CPU.
Sacar beneficio económico. Por ejemplo:
Robando información (personal, empresarial, de defensa...) para luego usarla
directamente en fraudes o revenderla a terceros. Al tipo de programa malicioso que
roba información se le llama programa espía o spyware.
Chantajeando al propietario del sistema informático (p. ej. el ransomware)
Presentar publicidad. A este tipo de programa malicioso se le llama adware.
Mediante la suplantación de identidad. Es el objetivo final de muchos ataques de
phishing.
Tomando control de computadoras para su explotación en el mercado negro. Estas
computadoras zombis son usadas luego para, por ejemplo, el envío masivo de correo
basura, para alojar datos ilegales como pornografía infantil,13 distribuir malware
(pago por instalación14) o para unirse en ataques de denegación de servicio
distribuido (DDoS).
Cuando el malware produce pérdidas económicas para el usuario o propietario de un
equipo, también se clasifica como crimeware o software criminal. Estos programas
suelen estar encaminados al aspecto financiero, la suplantación de personalidad y
el espionaje.15
Algunos autores distinguen el malware del grayware (también llamados greyware,
graynet o greynet), definiendo estos como programas que se instalan sin la
autorización del usuario y se comportan de modo tal que resultan molestos o
indeseables para el usuario, pero son menos peligrosos que el malware. En esta
categoría, por ejemplo, se incluyen los programas publicitarios, marcadores,
programas espía, herramientas de acceso remoto y virus de broma. El término
grayware comenzó a utilizarse en septiembre del 2004.16171819

Estructura
Dentro del código del malware podemos tener un código destinado a aportantes
distintos tipos de funcionalidades:

La carga útil, que es la parte del código relacionada con la actividad maliciosa
que realiza el malware.20
Opcionalmente, el malware puede tener un código para su distribución automática, se
le llama reproducción, que propaga el malware a otras ubicaciones. Así, la
infección por el malware puede ser directa, por ejemplo, a través de la ejecución
de programas descargados de la red, o a través de esta reproducción automática.
Usualmente, el malware puede tener un código útil para el usuario destinado a
ocultar la funcionalidad verdadera del software. Es típico ocultar el malware en
plugins o programas de utilidad básica como salvapantallas. Al malware que tiene
este componente se les llama troyanos.
El malware, para realizar alguna de sus funciones, puede hacer uso de programas
legítimos aprovechando sus funcionalidades para, por ejemplo, eliminar, bloquear,
modificar, copiar datos o alterar el rendimiento de computadoras o redes. A este
tipo de programas legítimos se les llama Riskware.21 Algunos tipos de programas que
son riskware son: utilidades de administración remota, clientes IRC, descargadores
de archivos, monitorizadores de la actividad de la computadora, utilidades de
administración de contraseñas, servidores de Internet (FTP, Web, proxy,
telnet, ...). Es habitual que los antivirus permitan detectar el riskware
instalado.

Tipos
Hay distintos tipos de programas maliciosos, aunque estos pueden pertenecer a
varios tipos a la vez:

Virus: secuencia de código malicioso que se aloja en fichero ejecutable (huésped)

de manera que al ejecutar el programa también se ejecuta el virus. Tienen las
propiedades de propagarse por reproducción dentro de la misma computadora.
Gusano: programa malicioso capaz de ejecutarse por sí mismo. Se propaga por la red
explotando vulnerabilidades para infectar otros equipos.
Troyano: programa que bajo apariencia inofensiva y útil tiene otra funcionalidad
oculta maliciosa. Típicamente, esta funcionalidad suele permitir el control de
forma remota del equipo (administración remota) o la instalación de puertas
traseras que permitan conexiones no autorizadas al equipo. Además, no se
reproducen. Los troyanos conocidos como droppers son usados para empezar la
propagación de un gusano inyectándolo dentro de la red local de un usuario.2223
Bomba lógica: programas que se activan cuando se da una condición determinada
causando daños en el sistema. Las condiciones de ejecución típicas suelen ser que
un contador llegue a un valor concreto o que el sistema esté en una hora o fecha
concreta.
Adware: muestran publicidad no solicitada de forma intrusiva provocando molestias.
Algunos programas shareware permiten usar el programa de manera gratuita a cambio
de mostrar publicidad, en este caso, el usuario acepta la publicidad al instalar el
programa. Este tipo de adware no debería ser considerado malware, pero muchas veces
los términos de uso no son completamente transparentes y ocultan lo que el programa
realmente hace.
Programa espía (spyware): envía información del equipo a terceros sin que el
usuario tenga conocimiento. La información puede ser de cualquier tipo como, por
ejemplo, información industrial, datos personales, contraseñas, tarjetas de
crédito, direcciones de correo electrónico (utilizable para enviarles correos
basura) o información sobre páginas que se visitan (usable para seleccionar el tipo
de publicidad que se le envía al usuario). Los autores de estos programas que
intentan actuar de manera legal pueden incluir unos términos de uso, en los que se
explica de manera imprecisa el comportamiento del programa espía, que los usuarios
aceptan sin leer o sin entender. La mayoría de los programas espías son instalados
como troyanos junto a programas deseables descargados de internet. Sin embargo,
otras veces los programas espías provienen de programas famosos de pago (ej. Red
Shell fue distribuido a través de la plataforma Steam por los propios
desarrolladores de juegos).24 Los programas espías suelen estar centrado en obtener
tipos específicos de información. Según como operan o la clase de información al
que están orientados, tenemos distintos tipos de programas espías. Hay que tener en
cuenta que un programa espía concreto puede ser de varios tipos a la vez. Algunos
de los tipos más frecuentes son:
Keylogger: software que almacena las teclas pulsadas por el usuario con el fin de
capturar información confidencial. Este tipo de software permite obtener
credenciales, números de tarjeta de crédito, conversaciones de chat, contenido de
correos, direcciones de los sitios web a los que se accede, etc.25
Banking Trojan: software que aprovecha vulnerabilidades para adquirir credenciales
de financieras (de bancos, portales financieros por Internet, cartera de
criptomonedas, brókeres por Internet, ...).25 Además, este tipo de software suele
modificar el contenido de transacciones o de la página web, así como insertar
transacciones adicionales.25
Ladrón de contraseñas (del inglés: Password Stealer): software que se encarga de
recopilar cualquier contraseña introducida dentro del dispositivo infectado.25
Infostealer: software que roba información sensible guardada en el equipo
(navegadores, clientes de correo, clientes de mensajería instantánea, ...), como
por ejemplo contraseñas, usuarios, direcciones de correo electrónico, ficheros de
log, historial del navegador, información del sistema, hojas de cálculo,
documentos, ficheros multimedia...
Cookies de seguimiento (del inglés: Tracking Cookie) o Cookies de terceros (del
inglés: third-party cookies). Es una cookie que se usa para compartir detalles de
las actividades de navegación realizadas por el usuario entre dos o más sitios o
servicios no relacionados.26 Suelen estar relacionadas con empresas de publicidad
que tienen algún acuerdo con sitios web y utilizan esa información para realizar
marketing dirigido, orientar y mostrar anuncios de forma tan precisa como sea
posible a segmentos relevantes de usuarios (Adware Tracking Cookie).2728 También
pueden utilizarse para crear un perfil y realizar un seguimiento detallado de la
actividad del usuario.29 Por ejemplo, en 2000 se anunció que la Oficina de la Casa
Blanca de la Política Nacional para el Control de Drogas, en colaboración con
DoubleClick, había usado cookies de terceros para medir la eficacia de una campaña
por Internet antidrogas haciendo seguimiento de quien había clicado en el anuncio y
que páginas fueron vistas a continuación (Cookiegate).3031 Google tiene previsto
eliminar el soporte de cookies de terceros en 2023 e imponer el uso de la API FLoC
como sustituto.32
Stalkerware. Es un programa espía especialmente diseñado para dispositivos móviles
que tiene como objetivo obtener todo tipo de datos e información de la víctima, su
actividad por Internet y controlar todos sus movimientos.33
Malvertising: se aprovecha de recursos disponibles por ser un anunciante
publicitario, para buscar puertas traseras y poder ejecutar o instalar otro
programa malicioso. Por ejemplo, un anunciante publicitario en una página web
aprovecha cualquier brecha de seguridad de navegador para instalar programas
maliciosos.
Ransomware o criptovirus: software que afecta gravemente al funcionamiento del
ordenador infectado (p. ej.: cifra el disco duro o lo bloquea) y le ofrece al
usuario la posibilidad de comprar la clave que permita recuperarse de la
información. En algunas versiones del malware (p. ej. Virus ucash) se enmascara el
ataque como realizado por la policía y el pago como el abono de una multa por haber
realizado una actividad ilegal como, por ejemplo, descargar un software ilegal.
Rogueware: es un falso programa de seguridad que no es lo que dice ser, sino que es
un malware. Por ejemplo, falsos antivirus, antiespía, cortafuegos o similar. Estos
programas suelen promocionar su instalación usando técnicas de scareware, es decir,
recurriendo a amenazas inexistentes como, por ejemplo, alertando de que un virus ha
infectado el dispositivo. En ocasiones también son promocionados como antivirus
reales sin recurrir a las amenazas en la computadora. Una vez instalados en la
computadora, es frecuente que simulen ser la solución de seguridad indicada,
mostrando que han encontrado amenazas y que, si el usuario quiere eliminarlas, es
necesario la versión de completa, la cual es de pago.34
Decoy o señuelo: software que imita la interfaz de otro programa para solicitar la
contraseña del usuario y así poder obtener esa información.
Dialer: toman el control del módem dial-up, realizan una llamada a un número de
teléfono de tarificación especial, muchas veces internacional y dejan la línea
abierta cargando el coste de dicha llamada al usuario infectado. La forma más
habitual de infección suele ser en páginas web que ofrecen contenidos gratuitos,
pero que solo permiten el acceso mediante conexión telefónica. Actualmente la
mayoría de las conexiones a Internet son mediante ADSL y no mediante módem, lo cual
hace que los dialers ya no sean tan populares como en el pasado.
Secuestrador de navegador: son programas que realizan cambios en la configuración
del navegador web. Por ejemplo, algunos cambian la página de inicio del navegador
por páginas web de publicidad o páginas pornográficas, otros redireccionan los
resultados de los buscadores hacia anuncios de pago o páginas de phishing bancario.
Wiper: es un malware orientado al borrado masivo de datos. Por ejemplo, discos
duros o bases de datos.35
Clipper malware: es un malware que se aprovecha de que los usuarios tienden a, en
lugar de insertar manualmente, copiar cierto tipo de informaciones en el
portapapeles (en inglés clipboard) y luego la utilizan pegándola en donde
necesitan. Lo que hace este tipo de malware es monitorizar el portapapeles y cuando
su contenido se ajusta a ciertos patrones lo reemplaza de manera oculta con lo que
el atacante quiera.3637 El uso más habitual de este tipo de aplicaciones es el
secuestro de transacciones de pago al cambiar el destino de estas.3638 Lo que hacen
es sustituir dirección de una cartera digital o cartera de criptomonedas, posible
destino de la transacción, copiada en el portapapeles, por una perteneciente al
atacante.363738 Este tipo de ataque explota la complejidad inherente a cierto tipo
de datos, los cuales son largas cadenas de números y/o letras que parecen
aleatorios.37 Esto favorece que el usuario se apoye en la acción de copiar y pegar
del portapapeles y además, dificulta que al pegar pueda ser advertido que el dato
ha sido reemplazado.37
Criptominado malicioso (del inglés cryptojacking): es un tipo de programa malicioso
que se oculta en un ordenador y se ejecuta sin consentimiento utilizando los
recursos de la máquina (CPU, memoria, ancho de banda, ...) para la minería de
criptomonedas y así obtener beneficios económicos. Este tipo de programa se puede
ejecutar directamente sobre el sistema operativo de la máquina o desde plataforma
de ejecución como el navegador.3940
Cryptostealer o malware para el robo de criptomonedas. Para este cometido es
habitual el uso de Clipper malware, tipo de malware ya visto, diseñado para
controlar el portapapeles y cuando detecta una dirección de criptomonedas,
automáticamente la reemplaza por la del atacante.3641 De esta forma, si queremos
realizar una transferencia a la dirección que creemos que tenemos en el
portapapeles, en este caso, iría a la dirección del atacante.41 Otros malware, como
HackBoss, se centran en robar claves de carteras de criptomonedas.42
Web skimming: software que los atacantes instalan en aplicaciones webs de comercio
electrónico con el fin de recopilar información de pago (datos personales y de
tarjetas de crédito, fundamentalmente) de los usuarios que visitan dicho sitio web
comprometido.43
Apropiador de formulario: software que permite robar información que es introducida
en formularios web.