CyberArk Glossary >

¿Qué es un ataque de malware?

Malware es un término amplio que designa cualquier tipo de software malicioso diseñado para causar daños o perjuicios a un ordenador, servidor, red de cliente o de equipos o infraestructura sin el conocimiento del usuario final.

Los ciberatacantes crean, utilizan y venden malware por muchas razones diferentes, pero la mayoría de las veces se utiliza para robar información personal, financiera o corporativa. Aunque sus motivaciones varían, los ciberatacantes casi siempre centran sus tácticas, técnicas y procedimientos (TTP) en obtener acceso a credenciales y cuentas con privilegios para llevar a cabo su misión.

Clasificación del malware

La mayoría de los tipos de malware pueden clasificarse en una de las siguientes categorías:

  • Virus: Cuando un virus informático se ejecuta, puede replicarse modificando otros programas e insertando su código malicioso. Es el único tipo de malware que puede «infectar» otros archivos y es uno de los tipos de malware más difíciles de eliminar.
  • Gusano: Un gusano tiene la facultad de autorreplicarse sin intervención del usuario final y puede infectar redes enteras rápidamente pasando de un equipo a otro.
  • Troyano: El malware troyano se camufla como un programa legítimo, lo que lo convierte en uno de los tipos de malware más difíciles de detectar. Este tipo de malware contiene código e instrucciones maliciosas que, una vez ejecutadas por la víctima, pueden operar de forma desapercibida. A menudo se utiliza para permitir que otros tipos de malware entren en el sistema.
  • Malware híbrido: El malware moderno suele ser un «híbrido» o una combinación de distintos tipos de software malicioso. Por ejemplo, los «bots» primero tienen el aspecto de troyanos y luego, una vez ejecutados, actúan como gusanos. Suelen utilizarse para atacar a usuarios individuales como parte de un ciberataque más amplio en toda la red.
  • Adware: El adware distribuye publicidad no deseada y agresiva (por ejemplo, anuncios emergentes) al usuario final.
  • Malvertising: El malvertising utiliza anuncios legítimos para distribuir malware al equipo de los usuarios finales.
  • Spyware: El spyware espía al usuario final desprevenido, recolectando credenciales y contraseñas, el historial de navegación, etc.
  • Ransomware: El ransomware infecta equipos, cifra archivos y secuestra la clave necesaria para descifrarlos hasta que la víctima pague el rescate. Los ataques de ransomware dirigidos a empresas y entidades gubernamentales van en aumento y cuestan millones a las organizaciones, ya que algunas pagan a los atacantes para que restauren sistemas vitales. Cyptolocker, Petya y Loky son algunas de las familias de ransomware más comunes y notorias.

Ejemplos de malware

Estos son solo algunos de los muchos tipos de malware que los ciberatacantes utilizan para atacar datos sensibles:

  • El malware Pony es el malware más utilizado para robar contraseñas y credenciales. A veces se le conoce como Pony Stealer, Pony Loader o FareIT. Pony ataca equipos Windows y recoge información sobre el sistema y los usuarios conectados a él. Puede utilizarse para descargar otro malware o para robar credenciales y enviarlas al servidor de mando y control.
  • Loki, o Loki-Bot, es un malware que roba información y se dirige a credenciales y contraseñas de aproximadamente 80 programas, incluidos todos los navegadores conocidos, clientes de correo electrónico, programas de control remoto y programas de intercambio de archivos. Ha sido utilizado por los ciberatacantes desde 2016 y sigue siendo un método popular para robar credenciales y acceder a datos personales.
  • Krypton Stealer apareció por primera vez a principios de 2019 y se vende en foros extranjeros como «malware como servicio» (MaaS) por solo 100 dólares en criptodivisa. Ataca estaciones Windows con la versión 7 y superior y roba las credenciales sin necesidad de permisos de administrador. El malware también se dirige a números de tarjetas de crédito y otros datos sensibles almacenados en los navegadores, como el historial de navegación, el rellenado automático, las listas de descargas, las cookies y el historial de búsqueda.
  • El malware Triton paralizó las operaciones en un servicio de infraestructura crítico en Oriente Medio en 2017 en uno de los primeros ataques de malware registrados de su tipo. El malware se llama así por el sistema al que se dirige: los controladores del sistema de seguridad instrumentado (SIS) de Triconex. Estos sistemas se utilizan para detener la actividad en instalaciones nucleares, plantas petrolíferas y de gas en caso de que surja un problema, como un fallo de un equipo, explosiones o incendio. El malware Triton está diseñado para desactivar estos mecanismos de seguridad, lo que puede dar lugar a ataques físicos a infraestructuras críticas y a posibles daños humanos.

Cómo mitigar el riesgo del malware

Para reforzar la protección y la detección de malware sin afectar negativamente a la productividad de la empresa, las organizaciones suelen adoptar las siguientes medidas:

  • Usar herramientas antivirus para protegerse contra el malware común y conocido.
  • Utilizar la tecnología de detección y respuesta para endpoints para monitorizar y responder continuamente a los ataques de malware y otras ciberamenazas en los equipos de los usuarios finales.
  • Seguir las prácticas recomendadas de parcheado de aplicaciones y sistema operativo (SO).
  • Aplicar el principio del mínimo privilegio y el acceso Just-In-Time para elevar los privilegios de cuentas para tareas específicas autorizadas, a fin de mantener la productividad de los usuarios sin facilitarles privilegios innecesarios.
  • Eliminar los derechos de administrador local de las cuentas de usuario estándar para reducir la superficie de ataque.
  • Aplicar listas grises de aplicaciones en los endpoints de los usuarios para evitar que las aplicaciones desconocidas, como nuevas instancias de ransomware, accedan a Internet y obtengan los permisos de lectura, escritura y modificación necesarios para cifrar archivos.
  • Aplicar listas blancas de aplicaciones en los servidores para maximizar la seguridad de estos activos.
  • Hacer copias de seguridad periódicas y automáticas de los datos de endpoints y servidores para permitir una recuperación eficaz en caso de desastre.

Más información sobre el malware

OTRAS ENTRADAS AL GLOSARIO