El último ataque de un malware a nivel mundial, el del ya famoso WannCrypt, no sólo ha dejado en evidencia la seguridad de cientos de empresas en medio mundo, sino también lo mucho que nos liamos a veces a la hora de manejar la terminología de estas amenazas. ¿Es lo mismo un virus que un malware? ¿Y qué es un ransomware y en qué se diferencia del resto de amenazas?

Por lo general a todo esto siempre le llamamos virus informático y ya está. Pero hoy vamos a ir un poco más allá y te vamos a explicar cual es el significado de términos como malware, virus, gusanos, spyware, troyanos, ransomware, etcétera.

Qué es un malware

La palabra malware viene del inglés, y es el término resultante de la unión de las palabras 'malicious software' o software malicioso. El malware es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario.

Por lo tanto, el malware es el término principal que se utiliza para hablar de todas las amenazas informáticas. Dentro de esta categoría ya tenemos diferentes clasificaciones bastante más específicas de para las amenazas, como la de los troyanos, los gusanos, los virus informáticos, el adware, el spyware o ransomware entre otras.

Sin embargo no son malware todos los programas que pueden exponer tus datos. Tenemos que distinguirlo del software defectuoso, que son esos programas que no se han diseñado con malas intenciones, pero que tienen determinados errores dentro de su código por culpa de los cuales tu información puede quedar expuesta o tu sistema se hace vulnerable a determinados peligros.

Hábitos, utilidades y consejos para protegerse del ransomware

Qué es un virus informático

Un virus informático es un tipo de malware cuyo objetivo es alterar el correcto funcionamiento de un dispositivo. Lo hace infectando los ficheros de un ordenador mediante un código maligno, y su principal característica es que necesita de la intervención del usuario para ser ejecutado. Momento en el que toma el control con el objetivo de infectar un ordenador y propagarse.

Aunque el primer virus informático apareció en 1971, no fue hasta los años 80 del siglo pasado que se adoptó oficialmente el término. Este nombre es debido a su parecido con los virus biológicos que infectan a una célula, y esta a su vez propaga el virus al resto de células de un organismo.

Hay diferentes tipos de virus, desde los que son simples bromas hechas con la única función de molestar hasta otros que pueden dañar muy seriamente tu ordenador borrando archivos que repercuten directamente en su funcionamiento. En cualquiera de los casos, su punto en común es que todos modifican el normal comportamiento de un ordenador.

Por lo general los virus son totalmente transparentes. No se esconden, sino que suelen viajar dentro de archivos ejecutables como los .exe de Windows. Eso sí, pueden hacerlo con los nombres de otras aplicaciones en un intento de engañarte y tratar de que ejecutes el programa.

Gusano informático

El gusano informático es otro de los tipos de malware más comunes en la red, y su principal diferencia con los virus informáticos es que no necesita la intervención del usuario ni la modificación de ningún archivo existente para infectar un equipo. Por lo demás, tiene la característica de replicarse a sí mismo para expandirse por las redes a las que está conectado un dispositivo.

Cuando consigue penetrar en un equipo, el gusano intenta obtener las direcciones de otros ordenadores mediante tus listas de contactos para enviarles sus copias y tratar de infectarlos también. No tienen por qué manipular ningún programa ni hacer que el ordenador funcione incorrectamente, lo que los hace un poco más difíciles de detectar.

Para hacerlo es recomendado que revises recursos que pudiera estar consumiendo como la RAM, algo que hará que tareas ordinarias se vuelvan excesivamente lentas. De tener uno también es posible que veas que tu equipo ha enviado mensajes sin tu permiso por correo electrónico o redes sociales.

En cuanto a su uso, hoy en día estos gusanos suelen utilizarse por ejemplo para crear botnets. Se tratan de redes de ordenadores zombies que pueden actuar de forma simultánea cuando un operador le da la orden para enviar SPAM de forma masiva, difundir malware o lanzar diferentes tipos de ataques informáticos ataques DDoS o de denegación de servicio.

Qué es un troyano

El troyano tiene algunas semejanzas con los virus informáticos, pero su funcionamiento no es exactamente el mismo. Mientras que un virus suele ser destructivo, un troyano trata de pasar desadvertido mientras accede a tu dispositivo con la intención de ejecutar acciones ocultas con las que abrir una puerta trasera para que otros programas maliciosos puedan acceder a él.

Sin embargo, uno de los puntos en común entre varios tipos de malware es que los troyanos también llegarán a ti disfrazados de archivos legítimos. Lo harán con ejecutables que aparentemente no harán nada malo al ser utilizados, pero que enseguida empezarán a trabajar a tus espaldas sin que te des cuenta.

Su nombre es el del mítico Caballo de Troya de la Odisea de Homero, que según dice el relato fue utilizado para engañar a los defensores de Troya. De la misma manera, este malware entra en tu ordenador camuflado como un programa legítimo, y una vez dentro hace un hueco entre tus defensas para que otros programas o tipos de malware tengan por dónde entrar.

A diferencia de los gusanos informáticos de los que te hemos hablado, los troyanos no se propagan a sí mismo. Puedes infectarte con uno al recibirlo deliberadamente, pero también suelen pulular en redes P2P u otras webs con aplicaciones ejecutables aparentemente inofensivas. Suelen ser utilizados, entre otras cosas, para robar información sin tu consentimiento a través de esa puerta trasera.

Qué es un spyware

Se trata de otro tipo de programa que se instala en tu equipo por sí sólo o mediante la interacción de una segunda aplicación que lo lanza sin que te des cuenta. Suelen trabajar a escondidas tratando de ocultar su rastro para que levantes la guardia y actúes con normalidad.

Su finalidad es la de recolectar información sobre el usuario u organización dueña de un ordenador de forma no autorizada. De forma que no sean detectados, estos programas monitorizan y recopilan datos sobre las acciones realizadas en un equipo, el contenido del disco duro, las aplicaciones instaladas o todo lo que hacen en Internet. También pueden llegar a instalar otras aplicaciones.

Qué es el Adware

El adware es un tipo de programa bastante polémico y difícil de catalogar. Algunos lo consideran una clase de spyware, mientras que otros aseguran que ni siquiera puede ser considerado un malware porque su intención final no es la de dañar los ordenadores principales.

Su única misión es la de meterse en tu ordenador y empezar a mostrarte publicidad, ya sea mientras estás navegando por internet, a forma de popup en momentos aleatorios o durante la ejecución de un programa. Los hay incluso que se limitan a sustituir la publicidad de una web por otra propia con la que sus creadores pueden obtener beneficios.

Por lo general, este tipo de software suele instalarse en programas que después se difunden gratuitamente como una fuente de ingresos para sus creadores. La razón por la que algunas personas los consideran spyware, es porque algunos de ellos pueden recolectar y enviar tus datos personales.

Cómo activar la protección contra ransomware de Windows 10

Qué es el Ransomware

Y por último tenemos al ransomware. Ransom quiere decir rescate en inglés, y de hecho lo que hace es secuestrar los datos de un ordenador y pedir un rescate económico a cambio de liberarlo. Normalmente lo que hace es cifrar tus datos, y lo que te ofrecen a cambio del rescate económico es la clave para poder descifrarlos.

Este tipo de programas puede acceder a tu ordenador a lomos de un gusano informático u otro tipo de malware, y una vez cifre tus datos bloqueará tu ordenador mostrándote una pantalla de advertencia en la que se te informa que has sido víctima del ataque. En esa pantalla se te muestra también la cantidad a pagar y el método de pago, que puede ser por SMS, Paypal o mediante bitcoins.

Se trata de una de las amenazas que más está creciendo en los últimos años, por lo que es importante tener tu ordenador siempre actualizado y seguir una serie de precauciones a la hora de enfrentarte a correos electrónicos o mensajes sospechosos, evitando siempre instalar nada que te manden por correo personas que no conozcas.

Otro consejo en el que coinciden casi todos los expertos en seguridad informática es que hay qe tratar de no pagar nunca el rescate que se te pide. Haciéndolo permites que los criminales se salgan con la suya, y fomentas el que sigan recurriendo a este tipo de programa. El método más fácil de combabirlo es tener siempre copias de seguridad actualizadas de tus bases de datos y formatear los equipos afectados recoperándolos después con estas copias.

Cómo un investigador anónimo ha detenido "accidentalmente" y con 10 euros el ransomware WannaCrypt

A estas alturas lo más probable es que estés más que familiarizado con WannaCrypt, el ransomware que ayer atacaba la red interna de Telefónica y que también ha ido dejando fuera de combate a otras organizaciones por medio mundo, incluyendo varios hospitales de Reino Unido. Parecía que nos encontrábamos ante una "epidemia informática" a nivel global pero, de pronto, las infecciones parecen haberse detenido.

¿El motivo? Un investigador británico, @MalwareTechBlog en Twitter, dice haber encontrado un "kill-switch", un interruptor de apagado de emergencia, en el código del ransomware, y ha hecho uso de él. En concreto, y según él asegura al diario The Guardian, WannaCrypt incluía en una parte de su código una conexión a un dominio concreto: si se conectaba, el malware se "dormía"; si no, procedía a atacar.

El dominio no estaba registrado, así que @MalwareTechBlog decidió registrarlo. Por unos 10 euros consiguió hacerse con dicho nombre de dominio e, inmediatamente después, comenzó a recibir a través de él numerosas peticiones de equipos infectados. Las redirige a un servidor sinkhole, a través del cual está detectando datos del ataque y enviándolos, según él asegura, al FBI. Como el ransomware detecta que hay conexión, entonces no infecta el equipo.

Captura del código donde se puede ver que WannaCrypt intenta conectarse a un dominio y, en función de la respuesta, sigue con el ataque o no.

La solución de @MalwareTechBlog nos sirve, además, para hacernos una idea de los numerosos ataques que WannaCrypt está intentando a nivel global. Con la procedencia de las solicitudes que recibe a través del dominio registrado, el investigador ha elaborado un mapa en tiempo real que muestra desde dónde se conectan los ordenadores infectados y el New York Times ha optado por enseñar en un mapa en diferido la evolución de las infecciones en todo el mundo.

La existencia de este "kill-switch" ha sido confirmada por Malwarebytes y por Talos Intelligence, perteneciente a CISCO. En el siguiente gráfico muestran cómo comenzaron a detectar un aumento de peticiones DNS sobre dicho dominio a partir de las 07.24 UTC, hasta alcanzar las 1.400 simultáneas horas más tarde:

Pero ¿ha detenido el ataque?

Tweet

See new Tweets

Conversación

warren mercer

@SecurityBeard

Las infecciones para WannaCry/WanaDecrpt0r se han reducido debido a que @MalwareTechBlog registró el dominio C2 inicial que condujo al interruptor de apagado #AccidentalHero

1:13 13 de mayo de 2017 Cliente web de Twitter

533 retuits

23 tuits de citas

637 me gusta

Todavía es pronto para responder, pero todo parece indicar que sí o, al menos, está ayudando a ralentizar la infección de nuevos equipos. Darien Huss, de la compañía de ciberseguridad Proofpoint, así lo asegura, y también CISCO a través de Warren Mercer, responsable técnico de Cisco Talos, y del propio análisis de Talos Intelligence que comentábamos antes. En Malwarebytes lo confirman y además lo explican así:

El WinMain de este ejecutable primero se intenta conectar al sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. No descarga nada de allí, simplemente intenta conectarse. Si se conecta, deja de ejecutarse.

Esto era probablemente una especie de kill-switch o técnica anti-sandbox. Pero, fuera lo que fuera, ha resultado contraproducente contra los autores del gusano, ya que el dominio ha sido redigirido a un sinkhole y el host en cuestión ahora resuelve una IP que hospeda un sitio web. Por tanto, nada pasará a los nuevos sistemas en los que se ejecute este ejecutable. Esto sólo se aplica a esta variante con el hash que hemos compartido; podría haber nuevas versiones en el futuro

Mercer se refiere a @MalwareTechBlog como un "héroe accidental", y el propio investigador británico lo confirma: "Confieso que no sabía que registrar el dominio detendría el malware hasta después de registrarlo, así que inicialmente fue accidental".

Ojo: lo más seguro es que aparezcan nuevas variantes que no se puedan detener con este método

Eso sí, esto no significa que las maldades de WannaCrypt se hayan terminado aquí. Los ordenadores infectados siguen infectados y, además, si alguien decidiera modificar el malware y volver a distribuirlo con otro dominio o directamente sin esa línea de código, podríamos volver a encontrarnos con una epidemia mundial, según advierten @MalwareTechBlog y otros expertos. ¿Lo mejor? Parchear los sistemas lo antes posible.