Cules son los diferentes tipos de malware (virus, spyware, adware, troyanos y otros)
Aunque normalmente son conocidos como virus, en realidad los virus son solo una parte del software malicioso, conocido como MALWARE.
El malware es un tipo de software malicioso que se instala en nuestro ordenador sin nuestro consentimiento ni conocimiento, con el fin de causar un perjuicio o de obtener un beneficio, siendo este ltimo caso el ms habitual en la actualidad, lo que ha hecho que el malware sea cada vez ms sofisticado y difcil de identificar.
Por supuesto que este malware aprovecha las brechas de seguridad de los sistemas operativos y de navegadores como Internet Explorer, Firefox o cualquier otro, o programas de mensajera instantnea y de gestores de correo (y cualquiera es bueno para este fin) para instalarse en nuestro ordenador, pero el que tenga mayor incidencia en determinados sistemas operativos, navegadores o gestores de correo es ms por una simple razn de rentabilidad a la hora de elegir una plataforma para su difusin que por un peor diseo de estos programas, aunque algunos se empeen en lo contrario, ya que cuanto ms difundidos estn mayor es la compensa, en trminos econmicos. Hoy por hoy es mucho ms rentable crear malware para Windows y programas que se ejecuten bajo este sistema que para otros. Buena prueba de esto que comento es que, a medida que se ha ido extendiendo el navegador Firefox, que hasta hace bien poco era un navegador extremadamente seguro, es cada vez mayor el nmero de malware diseado para actuar tambin en l. Esto es solo una muestra de que la situacin est cambiando y cada vez resulta ms productivo el trabajo extra que pueda suponer disear un malware para Mac o para Linux.
Adems, tambin cuentan con el mal uso que en muchas ocasiones hacemos del ordenador (y que es la mejor puerta que le podemos abrir a un virus), como la navegacin compulsiva, sin fijarnos donde clicamos, la recepcin y posterior reenvo masivo (generalmente a toda nuestra lista de contactos) de correo conteniendo imgenes o simples bromas o el uso indiscriminado de programas P2P (este, por cierto, se est convirtiendo en uno de los medios ms utilizados para la distribucin de malware, existiendo ya virus especficamente diseados para este medio de propagacin).
Otro factor que est cambiando radicalmente es el perfil del diseador de estos virus, que
ha dejado de ser un programador con ganas de gastar una broma o de producir un dao especifico, ms por un cierto afn de notoriedad que por otros motivos, para convertirse en grupos totalmente organizados, cuyo objetivo es el de obtener unos beneficios econmicos.
Como dato sobre esto que comento, hace ya unos aos que el trfico de dinero que genera los delitos informticos supera al generado por el trfico de drogas, y estamos hablando de muchos cientos de miles de millones de euros al ao a nivel mundial.
Paralelamente tambin ha aumentado la sofisticacin de los programas de deteccin de malware, a la vez que ha aumentado el nmero de empresas que se dedican a este tipo de software, y la creacin de grupos especializados dentro de las fuerzas de seguridad de la mayora de los pases, pero como siempre cuando de delitos se trata, y hay que olvidarse de la imagen de virus como sinnimo de broma, como ocurra en los principios, con el de la pelotita y otros similares, y considerarlos como lo que son, un delito con fines econmicos, stas van unos pasos por detrs de los delincuentes.
Vamos a ver contra qu nos enfrentarnos cuando de malware se trata:
VIRUS:
Un virus es un programa que puede tener la capacidad de reproducirse automticamente y que tiene como fin difundirse y provocar daos en archivos y sistemas. Por la similitud de sus objetivos y comportamiento con los de los virus biolgicos es por lo que se adopt ese nombre en 1.984.
Existen varias clasificaciones de los virus, dependiendo de distintos factores, como pueden ser lo que infecten o cual sea su comportamiento y estructura.
Dependiendo de lo que infectan, estos se dividen en:
Virus de archivo
Son aquellos que infectan archivos, como su nombre indica.
Dentro de estos encontramos varios tipos:
- Virus residentes: Se ejecutan cada vez que encendemos el ordenador y se ocultan en la RAM, controlando todas las operaciones que se realizan con el ordenador, teniendo la capacidad de infectar todos los archivos que abramos, cerremos, copiemos, ejecutemos, etc. En definitiva, cualquier archivo con el que trabajemos. Suelen tener como particularidad que solo se activan cuando se cumple una cierta condicin impuesta por el creador del virus, como puede ser una fecha o la ejecucin de una determinada accin, permaneciendo ocultos hasta ese momento.
- Virus de accin directa: Estos virus se reproducen y actan en el mismo momento de ejecutarse. Normalmente solo afectan a los archivos que se encuentran en su misma carpeta o en las que se encuentren en el path. A esta categora pertenecen los primeros virus, y tienen la ventaja de ser los ms fciles de eliminar sin dejar rastro.
- Virus de sobre-escritura: Estos virus lo que hacen es escribir dentro de un archivo reemplazando su contenido. El archivo infectado no vara de tamao, ya que solo es sobre- escrito. Los archivos infectados por un virus de este tipo quedan inservibles, debiendo ser eliminados con la consiguiente prdida de la informacin que contengan.
- Virus de macro: Son virus especficos para programas que usen macros (como Word, Excel, Power Point, Corel Draw y similares). Hay un tipo de virus de macro para cada tipo de archivo que los contenga, no pudiendo afectar un virus de un tipo determinado de macro a otro tipo diferente (un virus de macro para Word no puede afectar a una macro de Corel Draw).
- Virus de ejecutables: Afectan exclusivamente a ficheros ejecutables (.exe y .com), produciendo una serie de efectos indeseados. A este tipo pertenecen la mayora de los virus existentes.
Virus de disco.
Son virus que no afectan a archivos, sino a las mismas unidades de almacenamiento.
Bsicamente existen dos tipos de virus de disco:
- Virus de boot: Son aquellos que infectan los sectores de arranque del disco duro (boot). Para que estos acten es necesario que arranquemos el ordenador con un medio que tenga el boot (arranque) infectado, por lo que, a pesar de ser extremadamente peligrosos, ya que infectan una parte esencial del sistema, pudiendo llegar a dejarlo inservible, es relativamente fcil protegerse de ellos.
- Virus de FAT: Estos virus atacan la FAT, que es el sector de un disco donde se guarda la informacin de la ubicacin en ste de las diferentes carpetas y archivos. Estos virus pueden dejar inaccesibles ficheros o directorios enteros.
Adems, dependiendo de su estructura y comportamiento se pueden dividir en:
Virus encriptados: Estos virus se encriptan a s mismos para evitar ser detectados por los antivirus. Cuando actan se desencriptan, volvindose a encriptar una vez que han actuado para seguir permaneciendo ocultos.
Virus polimrficos: Son de los tipos ms difciles de detectar, ya que cada vez que se ejecutan se encriptan de forma diferente, creando a la vez una gran cantidad de copias del mismo. Suelen ser muy peligrosos, ya que unen a la ya de por s peligrosa forma de actuar de un virus encriptado la propiedad de mutar su encriptacin y la de la saturacin que pueden producir en nuestro sistema.
Virus multipartites: Son considerados como virus muy peligrosos, ya que son virus muy avanzados que pueden combinar mltiples sistemas de infeccin y comportamiento, siendo sus efectos muy perjudiciales.
Tambin existen otros tipos de malware que si bien no son estrictamente hablando virus, tienen igualmente efectos perjudiciales en nuestro sistema.
Estos pseudo virus son:
Bombas lgicas: No se reproducen ni son programas en s mismos, se trata de cdigos ocultos dentro de otro programa con la finalidad de destruir informacin y causar el mayor dao posible cuando se cumple una condicin. Pueden llegar a ser extremadamente peligrosas, ya que incluso pueden eliminar toda la informacin de un disco. Limitando sus efectos, estas bombas lgicas han sido bastante utilizadas en el pasado para la proteccin anti-copia de programas, programndose para dejar estos inutilizables si no se cumpla una determinada condicin, como poda ser su registro.
Gusanos: Los gusanos (worms) no son virus propiamente dichos, ya que su cometido no es el de infectar ficheros, simplemente es el de reproducirse a una gran velocidad, llegando as a colapsar nuestro sistema. Su medio de propagacin suele ser el correo electrnico, las redes y los chat. No infectan ningn fichero, pero pueden dejarnos totalmente bloqueado el ordenador.
Hoax: Los Hoaxes son mensajes difundidos normalmente por correo electrnico destinados a crear confusin entre los usuarios al hacer creer la existencia de un falso virus o cualquier otro tipo de noticia ms o menos creble, pero que genere cierta alarma. La funcin destinada a estos, en su faceta de malware, suele ser la de que el que lo recibe lo reenve a su lista de contactos, intentando de paso causar con ello una sobrecarga de trfico en los servidores de correo o como mnimo la alarma del que lo recibe y de su entorno, y es ste el motivo por el que lo incluimos en esta lista. Un hoax como tal no causa ningn dao o problema (salvo el ya comentado de una posible saturacin de los servidores de correo si son muchos), y la forma de defenderse de ellos es simplemente eliminarlos, es decir, borrar el correo.
Todos los relacionados hasta ahora se consideran virus o pseudovirus, siendo el tratamiento para su eliminacin un programa anti virus, salvo en en el caso de las bombas lgicas, que por sus caractersticas no son reconocidas por los antivirus, ya que se trata de simples cdigos de programacin sin ninguna de las caractersticas comunes de los virus y, como hemos visto, los hoaxes, que basta con eliminar el mensaje.
MALWARE:
Pero, aunque tcnicamente un virus es una variante de malware, hay otros tipos de malware, en casi todos los casos ms extendidos que los virus tradicionales, casi siempre mucho ms perjudiciales, y para los que se necesita un software especializado si queremos detectarlos y eliminarlos, aunque esto no siempre es posible. Es un malware que en la mayora de los casos no est diseado para reproducirse ni para causar dao a archivos o discos, sino para extraer informacin de nuestro equipo y envirsela a terceros o para permitir a otros tomar posesin y libre acceso a nuestro sistema. Intentan pasar lo ms desapercibidos que les sea posible, y la nica prueba de su presencia la tenemos no por los efectos del malware en s, sino por una serie de efectos secundarios que su ejecucin o mtodos de ocultacin causan, como puede ser una ralentizacin del sistema, de la conexin a Internet o a la red o la imposibilidad de ejecutar cierto tipo de programas y servicios.
ADWARE: El adware se considera un tipo de malware. La finalidad de ste suele ser publicitaria, y se emplea sobre todo para financiar ciertos tipos se software gratuito, pero tambin para forzar la compra de versiones shareware de programas. Lo peor de este tipo de malware radica, aparte de lo molesto que es, en que llega a ralentizar extremadamente los sistemas y en que en muchos casos est muy protegido para evitar su desinstalacin o la del programa que lo contiene, siendo necesario eliminarlo con programas especficos anti adware. Su medio natural de difusin son las descargas de pginas web y, en mucha menor medida, el correo electrnico.
DIALERS: Un dialer es un programa que fuerza la marcacin a un nmero predeterminado. Este tipo de programa, utilizado como virus, es muy peligroso, y ha sido muy empleado cuando el acceso a Internet se haca a travs de mdem y conexiones RTB. Con conexiones ADSL o cable (en cualquiera de sus variantes) no tiene ninguna influencia, ya que este tipo de conexiones a Internet no permiten el desvo de llamadas a la RTB. Los dialer son los responsables de que ms de uno recibiera facturas de telfono de cientos de euros, al desviar la conexin a Internet a nmeros de pago, del tipo 800.
EXPLOITS: Un exploit (del ingls To exploit, que significa explotar o aprovechar) es un programa o tcnica que aprovecha una vulnerabilidad. Los exploits dependen de los sistemas operativos y sus configuraciones, de las configuraciones de los programas que se estn ejecutando en un ordenador y de la red donde estn. Hay muchos tipos de vulnerabilidades, y van desde un error en la programacin o un supuesto no previsto al hacerla hasta un fallo o error en la configuracin de cualquier servicio, incluidos firewall y servicios de conexin de red, por lo que una vulnerabilidad no siempre es culpa del sistema operativo o del programa que la genera, sino que muchas veces es culpa del usuario. Un ejemplo de esto puede ser una mala configuracin en el Messenger o una mala configuracin de seguridad en una red o de los permisos de acceso. Los exploits pueden estar creados en cualquier lenguaje, entre los que destacan C o ensamblador en exploits para Windows y C o perl en los exploits para Unix (incluido Linux).
KEYLOGGERS: En realidad un keylogger (su nombre viene del ingls: Key (Tecla) y Logger (Registrador), registrador de teclas) es una herramienta de diagnstico, utilizada en el desarrollo de software, que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero y proceder despus a su estudio. Visto as se trata de programas totalmente legtimos y bastante tiles, el problema viene cuando se instalan sin nuestro consentimiento, a travs de un troyano, y se utilizan para enviar por Internet un registro de las pulsaciones del teclado, teniendo as acceso a claves, contraseas y en general a todo lo que escribimos en l. Normalmente se activan como un servicio, y son muy difciles de detectar, salvo con software especializado.
TROYANOS: Los troyanos (tambin conocidos como Caballos de Troya) son extremadamente peligrosos, no por el troyano en s mismo, sino por su contenido y por la dificultad de detectarlos y eliminarlos. Su principal misin es la de instalar en nuestro ordenador, sin nuestro consentimiento ni conocimiento, otro programa oculto dentro del troyano que permita a terceros extraer informacin o tomar el control de nuestro ordenador. Tienen la capacidad de extraer, copiar y enviar informacin, as como de abrir puertos de comunicacin, pero ni se multiplican ni afectan a otros ficheros. Es un tipo de malware muy extendido en la actualidad, ya que es el que ms beneficios puede reportar a sus diseadores y a los que hacen uso de ellos, utilizndose mucho
para su distribucin el correo electrnico y los programas P2P. Normalmente se incrusta dentro del cdigo de algn fichero legtimo, y son muy difciles de detectar antes de que se instalen en el sistema, sobre todo si la forma de difusin es mediante programas de intercambio de archivos.
PHISHING: El phishing, refirindonos a phishing informtico, es un tipo de malware basado en programas de ingeniera social (prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos) que intenta conseguir informacin confidencial de forma fraudulenta, ya sean claves personales o nmeros de cuentas y contraseas. Los sistemas empleados suelen ser muy variados, pero en lo que a nosotros nos atae, los ms empleados son falsos mensajes de correo electrnico hacindose pasar por entidades reales pidindonos en muchos casos confirmacin de estos datos. Aqu quiero aclarar que si bien existen suites anti virus que incluyen proteccin anti phishing, la mejor proteccin en este caso est en nosotros mismos y en nuestro comportamiento. NO HAY NINGUNA ENTIDAD FINANCIERA que utilice el correo electrnico para solicitarnos este tipo de informacin. Existen funciones y programas anti phishing, pero en este caso, al contrario de lo que ocurre en otros muchos, es el usuario el que enva la informacin confidencial que le piden, por lo que el mejor mtodo de defensa es no hacer caso de estos mensajes y, como mucho, ponerse en contacto (telefnico o personal) con la entidad que nos pide los datos.
OJO, que el phishing no solo existe en su vertiente informtica, tambin se utiliza a travs de llamadas telefnicas u otros medios, por lo que nunca debemos dar datos confidenciales sin asegurarnos antes muy bien de que quien nos los pide est legitimado para hacerlo.
ROGUE: Un rogue (Rogueware, FakeAVs, Badware, Scareware) es un programa que, bajo la apariencia de un antivirus, anti espa u otro tipo de antimalware, se trata realmente de todo lo contrario. Se manifiesta en forma de ventanas que se abren en el navegador, advirtindonos de la existencia de virus o archivos infectados en nuestro ordenador, sin que hayamos solicitado ningn anlisis, e indicndonos que instalemos un determinado programa (el rogue propiamente dicho) para solucionar esta situacin. Estos son totalmente falsos, ya que no ha habido ningn proceso de anlisis ni nada por el estilo. Ojo, que hasta ah no hay problema, el problema surge cuando se instala el programa en cuestin, que s que se trata de un virus o programa espa, o cuando menos de un programa que nos va a obligar a pagar una licencia. No existen programas anti rogue que eviten que se instalen, pero s que se pueden eliminar posteriormente, aunque hay mtodos para impedir, al menos en parte, su instalacin. Uno de los medios de defensa que suelen funcionar es tener bloqueados los Popup o ventanas emergentes, ya que es ste el mtodo que utilizan normalmente para mostrarse. Los navegadores permiten luego desbloquear stos en un momento determinado o para una pgina en la que confiemos plenamente, ya que hay muchas que los necesitan para poder funcionar. En cuanto a pulsar en Cancelar o cerrar la ventana que se nos muestra haciendo clic en la X de cierre de ventana, no suele dar ningn resultado, ya que estas acciones estn normalmente previstas, y sea la que sea que hagamos el resultado es el mismo, la instalacin del rogue. Tan solo finalizar la tarea desde el Administrador de tareas suele dar un buen resultado.
ROOTKITS: Un rootkit es una herramienta o grupo de herramientas que tiene como finalidad esconderse a s misma y esconder otros programas, procesos, archivos, directorios, claves de registro, y puertos que permiten a un intruso mantener el acceso a un sistema para, de forma
remota, ejecutar acciones o extraer informacin, casi siempre con fines maliciosos o destructivos. Existen rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Windows.
Por su morfologa y efectos se puede considerar como uno de los tipos ms peligrosos de malware que existen, ya que son prcticamente indetectables una vez que se estn ejecutando. Se suelen utilizar junto con otros virus para protegerlos, y son los responsables de que no se puedan ejecutar acciones destinadas a la limpieza del sistema, tales como ejecutar antivirus, acceder al registro, acceder al Administrador de tareas y acciones similares, que incluyen el negar la instalacin de determinados tipos de programas, normalmente aquellos que puedan suponer una amenaza para el virus o para el propio rootkit. Como he dicho, son prcticamente indetectables, salvo para software especializado anti-rootkit, y afectan a cualquier sistema operativo, teniendo algunos incluso la capacidad de modificar el kernel. Suelen incluir backdoors (puertas traseras), que facilitan un medio de acceso y lanzan una consola que permite a terceros tomar posesin de nuestro sistema de forma remota. Uno de los mayores problemas de los rootkit es que, una vez eliminado (si es que se elimina), los daos causados en el sistema persisten.
SPYWARE: El Spyware, o programa espa, es un tipo de malware que tiene por finalidad la recopilacin y envo de informacin sobre los usuarios de un ordenador o sistema sin su conocimiento y consentimiento. Est sumamente extendido (probablemente el que ms), y adems de enviar esta informacin personal, ralentizan el sistema, siendo junto con el adware la principal causa de este problema. Un programa espa suele instalarse oculto en otro programa o bien mediante un troyano, y su eliminacin es mediante programas anti spyware. En ocasiones su instalacin conlleva la de otro tipo de malware, como rootkits, lo que lo hace muy peligroso.
No todos los programas de recopilacin y envo de datos son spyware, ya que para que un programa de este tipo tenga la consideracin de programa espa se deben dar como condiciones el que se instale sin nuestro conocimiento y consentimiento y/o que los datos recopilados sean diferentes a los que en un principio se anuncian. Hay programas de recopilacin de informacin totalmente legtimos, como es el caso de la barra de navegacin Alexa o el PageRank en la Barra de Google, que en ambos casos tienen como finalidad el control de sitios web visitados para la elaboracin de estadsticas, y algunas otras barras de navegacin y programas, que siempre piden autorizacin explcita para recabar y enviar este tipo de informacin, con los que se controlan las web ms visitadas, hbitos de navegacin, etc., de forma totalmente annima.
Visto esto, y a modo de conclusin, la primera y casi ms importante lnea de defensa contra todo este tipo de ataques somos nosotros mismos. Una de las cosas que ms impide la propagacin de un virus es un uso responsable de los medios que tanto Internet como el correo electrnico y los programas de mensajera instantnea ponen a nuestro servicio. No quiero decir (ni mucho menos) que un anti malware no sea til o necesario, sino todo lo contrario, es casi imprescindible. Lo que quiero decir es que sin nuestra ayuda todo anti malware que tengamos a la larga se convertir en un programa totalmente intil. Si no se actualiza regularmente o cuando intentamos bajar algo de Internet el antivirus no nos lo permite o no nos deja leer un determinado correo o entrar en alguna pgina concreta, la solucin NO es detener el antivirus, es NO bajarse ese archivo, eliminar ese correo o no entrar en la pgina en cuestin.