Comprensión de la amenaza de malware

  • 8 minutos

Los sistemas informáticos que interactúan directamente con los usuarios se consideran sistemas de punto de conexión. Los sistemas de dispositivos, como portátiles, smartphones y equipos, se deben proteger. La protección de estos dispositivos impide que actúen como puertas de enlace para ataques de seguridad en los sistemas en red de una organización. En el escenario actual de Bring Your Own Device, esto implica incluso la protección de los dispositivos personales que tienen acceso a los recursos empresariales.

Las noticias están llenas de historias sobre organizaciones que filtran accidentalmente información personal. A menudo, estos accidentes han sido el resultado de una mala práctica de seguridad o de ataques deliberados. Los hackers obtienen acceso a los sistemas mediante la suplantación de un usuario real o mediante la inserción, de alguna manera, de malware en un equipo o dispositivo que tiene acceso autorizado a la red.

¿Qué es el malware?

El malware es software malintencionado diseñado para provocar daños en un equipo o red. A menudo, aprovecha las vulnerabilidades del software o de los usuarios no sospechosos que desconocen que lo están instalando.

El malware puede adoptar varias formas:

  • Virus
  • Gusanos
  • Caballos de Troya

Virus

Un virus informático, al igual que un virus vivo, necesita un huésped en el que residir. Los virus son fragmentos de código que se adjuntan a programas y documentos existentes o se ocultan en áreas protegidas del disco duro, como el sector de arranque. Como se ocultan en áreas protegidas, pueden ser difíciles de encontrar y quitar. Cuando se inicia el programa infectado, el virus se ejecuta, a menudo sin que el usuario sea consciente de nada. Después, puede realizar acciones malintencionadas en los datos del usuario o en otros archivos. Si un equipo infectado envía un archivo a otro equipo, puede distribuir el virus con los datos. Este comportamiento es lo que clasifica un virus informático: vive dentro de otros programas y requiere interacción humana para su propagación.

Algunos ejemplos de virus son: ILOVEYOU, Shamoon y CIH (virus de Chernobyl).

Gusanos

Un gusano es una parte del software independiente que se copia a sí mismo a través de una red de equipos. Al igual que un virus, un gusano está diseñado para duplicarse. Pero en lugar de esconderse en archivos existentes, un gusano existe como un programa independiente que puede infectar otros equipos sin intervención humana. Un gusano suele viajar por la red informática, ejecutándose en segundo plano en un equipo infectado. A partir de ahí, usa vulnerabilidades conocidas en el software del equipo para localizar e infectar otros dispositivos conectados.

Algunos ejemplos de gusanos son: Melissa, Code Red y Stuxnet.

Caballos de Troya

La historia de Troya y el caballo de madera que se usó para invadir la ciudad es de sobra conocida. Este malware adopta el mismo nombre, ya que finge ser algo que no es. Se considera que los caballos de Troya son el tipo de malware más peligroso debido a la finalidad para la que se suelen diseñar. Se propagan haciéndose pasar por una utilidad práctica de software que un usuario quiere instalar. Como el usuario autoriza la instalación, este software malintencionado a menudo obtiene acceso a los archivos del usuario, incluidos los datos confidenciales o privados. Además, los caballos de Troya suelen instalar puertas traseras para permitir que los hackers entren en el equipo, o bien que registradores de claves capturen pulsaciones de teclas, como contraseñas o tarjetas de crédito. A diferencia de otros tipos de malware, los caballos de Troya no están diseñados para replicarse mucho a sí mismos, sino específicamente para controlar o destruir los equipos concretos que infectan.

Algunos ejemplos de caballos de Troya son: Gh0st RAT, Zeus y Shedun (en Android).

¿Cómo se instala el malware?

Hay varias maneras en las que el malware puede llegar a un equipo inicialmente.

  1. Instalación directa. Actualmente, la mayoría del software se entrega a través de Internet. Los usuarios están condicionados a descargar e instalar software de diversos orígenes. El malware se puede instalar sin el conocimiento del usuario o a través de una descarga autorizada que se ha manipulado. Este enfoque también se aplica a las unidades infectadas (como las memorias USB) que se insertan en un equipo.

  2. Vulnerabilidad de seguridad. Un defecto o error en el software en ejecución, como un explorador. Incluso podría estar en el sistema operativo y permitir la instalación de malware en el equipo. En este caso, el malware aprovecha el error de seguridad para obtener acceso de administrador o para infectar archivos en el equipo.

  3. Puerta trasera. El malware también puede instalarse a través de una apertura diseñada en el software. Estas puertas traseras a menudo se colocan para la prueba y la depuración. Si la puerta trasera se deja instalada y se lanza a producción, puede aprovecharse para obtener acceso al equipo o a la red.

Protección frente a malware

Se pueden usar varias estrategias clave junto con Microsoft Defender for Cloud para proteger los equipos y la red del malware.

  • Mantenga actualizados sus servidores con las últimas correcciones y versiones del sistema operativo. Defender for Cloud le avisará automáticamente cuando los sistemas supervisados estén sin revisiones.
  • Instale antimalware, como Microsoft Antimalware para Azure Cloud Services y Virtual Machines con el fin de identificar y eliminar virus, spyware y otro software malintencionado.
  • Use firewalls para bloquear el tráfico de red. Defender for Cloud identifica el tráfico abierto a las máquinas virtuales y los servidores, y proporciona instrucciones para activar las funciones integradas de firewall de Azure.
  • Integre la solución antimalware con Defender for Cloud para supervisar el estado de la protección antimalware.

Este último paso es fundamental para establecer un plan de supervisión completo. Defender for Cloud resalta las incidencias, como las amenazas detectadas y si la protección es insuficiente, que pueden hacer vulnerables los equipos y las máquinas virtuales. Si usa la información descrita sobre incidencias de protección de puntos de conexión, puede preparar un plan para solucionar cualquier incidencia detectada.