Tipos de malware y ejemplos

¿Qué significa “malware”?

La palabra “malware” es una contracción de “software malicioso”. El malware es software intruso que está diseñado deliberadamente para provocar daños en equipos y sistemas informáticos. En cambio, el software que provoca daños involuntarios suele denominarse “error de software”.

A menudo, las personas preguntan sobre la diferencia entre un virus y malware. La diferencia es que el malware es un término genérico para una variedad de amenazas en línea, incluidos virus, spyware, adware, ransomware y otros tipos de software malicioso. Un virus informático es solo un tipo de malware.

El malware puede entrar en una red a través de phishing, archivos adjuntos maliciosos, descargas maliciosas, ingeniería social o unidades flash. En esta descripción general, observaremos los tipos de malware comunes.

Tipos de malware

Es importante comprender los diferentes tipos de ataques de malware para protegerse contra amenazas. Si bien algunas categorías de malware son conocidas (al menos por nombre), otras no tanto:

Adware

El adware, una contracción de “advertising-supported software” (software publicitario), muestra anuncios no deseados, y a veces maliciosos, en la pantalla de la computadora o en el dispositivo móvil, redirige resultados de búsquedas a sitios web de publicidad, y recopila datos de los usuarios que se pueden vender a anunciantes sin su consentimiento. No todo el adware es malware, ya que algunos son legítimos y se pueden usar de manera segura.

Los usuarios pueden modificar la frecuencia del adware o los tipos de descargas que permiten al administrar los controles emergentes y las preferencias dentro de sus navegadores de Internet o mediante un bloqueador de publicidad.

Ejemplos de adware:

Fireball: Fireball salió en los titulares en 2017 cuando una empresa de software israelí descubrió que 250 millones de equipos y una quinta parte de las redes corporativas del mundo estaban infectadas con este adware. Cuando Fireball afecta su equipo, se apodera del navegador. Cambia la página de inicio por un motor de búsqueda falso, Trotus, e inserta anuncios molestos en las páginas web que visita. Además, no le permite modificar la configuración del navegador.
Appearch : Appearch es otro programa de adware común que actúa como un secuestrador de navegadores. Por lo general, se incluye con otros software gratuitos e inserta tantos anuncios en el navegador que navegar por Internet se vuelve muy difícil. Cuando intenta visitar un sitio web, en su lugar se abre Appearch.info. Si logra abrir una página web, Appearch convierte bloques aleatorios de texto en enlaces para que, cuando seleccione el texto, se abra una ventana emergente que lo invita a descargar actualizaciones de software.

Spyware

El spywarees una forma de malware que se esconde en su dispositivo, controla su actividad y roba información confidencial como datos financieros, información de la cuenta, contraseñas y mucho más. El spyware puede propagarse al explotar vulnerabilidades de software o puede incluirse con software legítimos o en troyanos.

Ejemplos de spyware:

CoolWebSearch: Este programa aprovechó vulnerabilidades de seguridad de Internet Explorer para secuestrar el navegador, cambiar la configuración y enviar los datos de navegación a su autor.
Gator: Por lo general, se incluye con software de transferencia de archivos, como Kazaa. Este programa monitorea los hábitos de navegación de la víctima y usa la información para mostrarle anuncios específicos.

Ransomware y criptomalware

El ransomware es malware diseñado para bloquear el acceso de los usuarios a su sistema o denegar el acceso a los datos hasta que se pague un rescate. El criptomalware es un tipo de ransomware que cifra los archivos del usuario y reclama un pago antes de una fecha específica y, a menudo, a través de una criptomoneda como el Bitcoin. El ransomware es una amenaza persistente para las organizaciones de muchas industrias desde hace varios años. Ya que cada vez más empresas adoptan la transformación digital, la probabilidad de ser el objetivo de un ataque de ransomware crece considerablemente.

Ejemplos de ransomware:

CryptoLocker es una forma de malware predominante en 2013 y 2014 que los ciberdelincuentes usaron para obtener acceso y cifrar archivos en un sistema. Los ciberdelincuentes usaron tácticas de ingeniería social con el fin de engañar a los empleados para que descargaran ransomware en sus computadoras, lo que infectó la red. Una vez descargado, CryptoLocker mostraba un mensaje de rescate en el que ofrecía descifrar los datos si se realizaba un pago en efectivo o con Bitcoins antes de la fecha indicada. Aunque se destruyó el ransomware de CryptoLocker, se cree que los operadores consiguieron alrededor de tres millones de dólares extorsionando organizaciones desprevenidas.
Phobos malware : Una forma de ransomware que apareció en 2019. Esta variedad de ransomware se basa en la familia de ransomware anteriormente conocida como Dharma (también llamada CrySis).

Troyanos

Un troyano (o caballo de Troya) se disfraza como software legítimo con el fin de engañarlo para que ejecute software malicioso en su computadora. Debido a que parece legítimo, los usuarios lo descargan y, sin darse cuenta, permiten que el malware entre en su dispositivo. Los troyanos son una puerta de entrada. A diferencia de un gusano, necesitan un host para funcionar. Una vez que el troyano se instala en un dispositivo, los piratas informáticos pueden usarlo para eliminar, modificar o capturar datos, recolectar su dispositivo como parte de un botnet u obtener acceso a su red.

Ejemplos de troyanos:

Qbot malware, también conocido como “Qakbot” o “Pinkslipbot”, es un troyano bancario activo desde 2007 que se centra en robar datos de usuarios y credenciales bancarias. El malware evolucionó para incluir nuevos mecanismos de entrega, técnicas de comando y control, y funciones antianálisis.
TrickBot malware: Identificado por primera vez en 2016, es un troyano desarrollado y operado por agentes de ciberdelitos sofisticados. Diseñado originalmente como un troyano bancario para robar datos financieros, TrickBot evolucionó en un malware modular de varias fases que les proporciona a sus operadores un conjunto completo de herramientas para llevar a cabo numerosas actividades cibernéticas ilegales.

Gusanos

Los gusanos, que son uno de los tipos de malware más comunes, se propagan en redes informáticas mediante la explotación de vulnerabilidades del sistema operativo. Un gusano es un programa independiente que se replica para infectar otros equipos sin requerir la acción de nadie. Dado que se pueden propagar rápido, los gusanos suelen utilizarse para ejecutar una carga (un fragmento de código creado para dañar el sistema). Las cargas pueden eliminar archivos en un sistema host, cifrar datos para un ataque de ransomware, robar información, eliminar archivos y crear botnets.

Ejemplo de gusano:

SQL Slammer era un gusano informático conocido que no usaba métodos de distribución tradicionales. En cambio, generaba direcciones IP aleatorias en las que se enviaba para buscar a aquellos que no estaban protegidos por software antivirus. Poco después de surgir en 2003, infectó más de 75 000 equipos que se vieron involucrados involuntariamente en ataques DDoS en varios sitios web importantes. Aunque hay un parche de seguridad relevante que está disponible hace varios años, SQL Slammer resurgió en 2016 y 2017.

Virus

Un virus es un fragmento de código que se inserta en una aplicación y se ejecuta cuando esta se abre. Una vez dentro de la red, un virus puede robar datos confidenciales, ejecutar ataques DDoS o llevar a cabo ataques de ransomware. Un virus, que suele propagarse por sitios web infectados, transferencias de archivos o descargas de archivos adjuntos de correos electrónicos, permanecerá inactivo hasta que el archivo o programa infectado se active. Cuando eso sucede, el virus puede replicarse y propagarse en sus sistemas.

Ejemplo de virus:

Stuxnet: Stuxnet apareció en 2010 y se cree que los gobiernos de EE. UU. e Israel lo usaron para interrumpir el programa nuclear de Irán. Propagado por una memoria USB, apuntó a los sistemas de control industrial de Siemens para que las centrifugadoras fallaran y se autodestruyeran a velocidad récord. Se cree que Stuxnet infectó más de 20 000 equipos y arruinó una quinta parte de las centrifugadoras nucleares de Irán, lo que atrasó varios años su programa.

Comprender los diferentes tipos de malware puede ayudarlo a saber cómo protegerse mejor. La imagen muestra un hombre con una capucha puesta y la parte inferior de su rostro cubierto, parado detrás de una pantalla con las palabras “acceso otorgado” en ella.

Keyloggers

Un keylogger es un tipo de spyware que monitorea la actividad del usuario. Los keyloggers se pueden utilizar para fines legítimos: por ejemplo, una familia puede usarlos para realizar un seguimiento de la actividad de sus hijos en Internet o una organización puede usarlo para supervisar la actividad de los empleados. Sin embargo, cuando se instalan con fines maliciosos, los keyloggers pueden usarse para robar datos de contraseñas, información bancaria y otra información confidencial. Los keyloggers pueden entrar en un sistema a través de phishing, ingeniería social o descargas maliciosas.

Ejemplo de keylogger:

En 2017, un estudiante de la Universidad de Iowa fue arrestado después de instalar keyloggers en las computadoras del personal para robar credenciales con el fin de modificar y cambiar calificaciones. El estudiante fue declarado culpable y sentenciado a cuatro meses de prisión.

Bots y botnets

Un bot es un equipo infectado con malware que un pirata informático puede controlar de manera remota. El bot, a veces llamado equipo zombie, se puede utilizar para ejecutar más ataques o formar parte de una colección de bots llamada botnet. Los botnets pueden incluir millones de dispositivos que se propagan de forma desapercibida. Los botnets ayudan a los piratas informáticos con numerosas actividades maliciosas, incluidos los ataques DDoS, el envío de mensajes de spam y phishing, y la propagación de otros tipos de malware.

Ejemplos de botnet:

Andromeda malware : La botnet Andromeda se asoció con 80 familias de malware diferentes. Creció tanto que en un momento infectaba un millón de máquinas nuevas por mes y se distribuía a través de redes sociales, mensajes instantáneos, correos electrónicos no deseados, kits de exploits y mucho más. El FBI, el Centro Europeo de Ciberdelincuencia de Europol y otras agencias desmantelaron la operación en 2017, pero muchas PC siguen infectadas.
Mirai : En 2016, un ataque masivo de DDoS dejó a gran parte de la costa este de EE. UU. sin acceso a Internet. El ataque, el cual las autoridades al principio temían que fuera obra de un estado nacional hostil, fue provocado por el botnet Mirai. Mirai es un tipo de malware que busca automáticamente dispositivos de la Internet de las cosas (IoT) para infectarlos y reclutarlos en un botnet. Desde allí, este ejército de IoT se puede usar para armar ataques DDoS en los que una corriente de elementos no deseados inunda los servidores de un objetivo con tráfico malicioso. Mirai sigue provocando problemas en la actualidad.

Malware de PUP

Los PUP, cuya sigla significa “programas potencialmente indeseables”, son programas que pueden incluir anuncios, barras de herramientas y ventanas emergentes que no están relacionados con el software que descargó. En un sentido estricto, los PUP no siempre son malware. Los desarrolladores de PUP destacan que sus programas se descargan con el consentimiento de los usuarios, a diferencia del malware. Sin embargo, se sabe que las personas descargan PUP principalmente porque no se dieron cuenta de lo que están haciendo.

Los PUP suelen estar incluidos en otros software más legítimos. La mayoría de las personas instalan un PUP porque descargaron un programa nuevo y no leyeron las letras pequeñas cuando lo instalaron. Por lo tanto, no se dieron cuenta de que estaban descargando programas adicionales que no tienen un propósito real.

Ejemplo de malware de PUP:

Mindspark malware: Este era un PUP que se instalaba fácilmente y que terminaba en las máquinas de los usuarios sin que se dieran cuenta de la descarga. Mindspark puede cambiar la configuración y activar comportamientos en el dispositivo sin el conocimiento del usuario. Es notablemente difícil de eliminar.

Híbridos

En la actualidad, la mayoría de los malware son una combinación de diferentes tipos de software maliciosos que suele incluir partes de troyanos, gusanos y, a veces, también un virus. Por lo general, el programa de malware le aparece al usuario final como un troyano, pero una vez que se ejecuta, ataca a otras víctimas a través de la red, como un gusano.

Ejemplo de malware híbrido:

En 2001, un desarrollador de malware que se hacía llamar “Lion” lanzó un malware híbrido que era una combinación de gusano y rootkit. Los rootkits permiten que los piratas informáticos manipulen archivos del sistema operativo, mientras que los gusanos son vectores poderosos que propagan fragmentos de código con rapidez. Esta combinación maliciosa provocó estragos: causó daños en más de 10 000 sistemas Linux. El malware que combinaba gusano y rootkit estaba explícitamente diseñado para explotar vulnerabilidades en sistemas Linux.

Malware sin archivos

El malware sin archivos es un tipo de software malicioso que utiliza programas legítimos para infectar un equipo. No se basa en archivos y no deja rastros, lo que dificulta su detección y eliminación. El malware sin archivos surgió en 2017 como un tipo de ataque popular, pero muchos de estos métodos de ataque se implementan desde hace mucho tiempo.

Las infecciones sin archivos, que no están almacenadas en un archivo ni se instalan directamente en una máquina, van directo a la memoria, y el contenido malicioso nunca toca el disco duro. Los ciberdelincuentes utilizan cada vez más malware sin archivos como una forma alternativa eficaz de ataque, lo que dificulta que el antivirus tradicional lo detecte debido a los pocos rastros que deja y a la ausencia de archivos para analizar.

Ejemplos de malware sin archivos:

Frodo, Number of the Beast y The Dark Avenger son ejemplos claros de este tipo de malware.

Bombas lógicas

Las bombas lógicas son un tipo de malware que solo se disparan cuando se activan, como en una fecha y hora específicas o en la 20.° vez que inicia sesión en una cuenta. Los virus y gusanos suelen contener bombas lógicas para entregar su carga (es decir, código malicioso) a una hora predefinida o cuando se cumple una condición. El daño que causan las bombas lógicas va desde cambiar bytes de datos hasta hacer que los discos duros no se puedan leer.

Ejemplo de bomba lógica:

En 2016, un programador logró que las hojas de cálculo no funcionaran correctamente en una sucursal de Siemens Corporation cada cierta cantidad de años, de modo que tuvieron que contratarlo una y otra vez para solucionar el problema. En este caso, nadie sospechó nada hasta que una coincidencia puso en evidencia el código malicioso.

¿Cómo se propaga el malware?

Entre las formas más comunes en las que se pueden propagar las amenazas de malware, se incluyen las siguientes:

Correos electrónicos: Si alguien pirateó su correo electrónico, el malware puede forzar al equipo a enviar correos electrónicos con archivos adjuntos infectados o enlaces a sitios web maliciosos. Cuando un destinatario abre el archivo adjunto o hace clic en el enlace, el malware se instala en su equipo y el ciclo se repite.
Medios físicos: Los piratas informáticos pueden cargar malware en unidades flash USB y esperar a que las víctimas desprevenidas las conecten en sus computadoras. Esta técnica suele utilizarse en el espionaje corporativo.
Alertas emergentes: Esto incluye alertas de seguridad falsas que lo engañan para que descargue software de seguridad falso que, en algunos casos, puede contener malware adicional.
Vulnerabilidades: Un defecto de seguridad en el software puede permitir que el malware tenga acceso no autorizado al equipo, el hardware o la red.
Puertas traseras: Apertura intencional o accidental de software, hardware, redes o la seguridad del sistema.
Descargas ocultas: Descarga accidental de software con o sin el conocimiento del usuario final.
Escalamiento de privilegios: Una situación en la que un atacante obtiene acceso escalado a un equipo o red y, luego, lo usa para ejecutar un ataque.
Homogeneidad: Si todos los sistemas ejecutan el mismo sistema operativo y están conectados a la misma red, aumenta el riesgo de que un gusano se propague a otro equipo.
Amenazas combinadas: Paquetes de malware que combinan características de varios tipos de malware, lo que dificulta detectarlos y detenerlos debido a que pueden explotar diferentes vulnerabilidades.

Indicios de una infección de malware

Si observó algunos de los siguientes indicios, es posible que tenga malware en su dispositivo:

Un equipo lento, que tiene fallas o que se bloquea
La infame “pantalla azul de la muerte”
Programas que se abren y cierran automáticamente o que se modifican
Falta de espacio de almacenamiento
Mayor cantidad de ventanas emergentes, barras de herramientas y otros programas no deseados
Correos electrónicos y mensajes que se envían sin su conocimiento

Use el antivirus para protegerse de amenazas de malware:

La mejor forma de protegerse de un ataque de malware y de programas potencialmente indeseables es a través del uso de un antivirus integral. Kaspersky Total Security brinda una protección ininterrumpida contra piratas informáticos, virus y malware, lo que lo ayuda a mantener la seguridad de sus datos y dispositivos.

Artículos relacionados:

¿Cuáles son los diferentes tipos de malware?

Kaspersky

El malware es un software malicioso diseñado para provocar daños. Aprenda la diferencia entre virus y malware, los tipos de software maliciosos y ejemplos de malware.