Malware, un acrónimo de "software malicioso", se refiere a cualquier software, código o programa informático diseñado intencionalmente para causar daño a un sistema informático o a sus usuarios. Prácticamente todos los modernos ciberataque implica algún tipo de malware. Estos programas dañinos pueden variar en gravedad desde altamente destructivos y costosos (ransomware) hasta simplemente molesto, pero por lo demás inofensivo (adware).

Cada año, hay miles de millones de ataques de malware contra empresas y particulares. El malware puede infectar cualquier tipo de dispositivo o sistema operativo, incluidos Windows, Mac, iPhone y Android.

Los ciberdelincuentes desarrollan y utilizan malware para:

• Mantener como rehenes dispositivos, datos o redes empresariales por grandes sumas de dinero
• Obtenga acceso no autorizado a datos confidenciales o activos digitales
• Robar credenciales de inicio de sesión, números de tarjetas de crédito, propiedad intelectual, información de identificación personal (PII) u otra información valiosa
• Interrumpir los sistemas críticos de los que dependen las empresas y las agencias gubernamentales.

Si bien las palabras se usan a menudo indistintamente, no todos los tipos de malware son necesariamente virus. Malware es el término general que describe numerosos tipos de amenazas, como:

Virus: Un virus informático se define como un programa malicioso que no puede replicarse sin la interacción humana, ya sea haciendo clic en un enlace, descargando un archivo adjunto, iniciando una aplicación específica u otras acciones.

Gusanos: Esencialmente un virus autorreplicante, los gusanos no requieren interacción humana para propagarse, penetrando profundamente en diferentes sistemas informáticos y moviéndose entre dispositivos.

Redes de bots: Una red de computadoras infectadas bajo el control de un único atacante conocido como "bot-herder" que trabaja en conjunto al unísono.

Ransomware: Uno de los tipos más peligrosos de malware, los ataques de ransomware, toman el control de sistemas informáticos críticos o datos confidenciales, bloqueando a los usuarios y exigiendo rescates exorbitantes en criptomonedas como Bitcoin a cambio de recuperar el acceso. El ransomware sigue siendo uno de los tipos de ciberamenazas más peligrosos en la actualidad. 

Ransomware de extorsión múltiple: Como si los ataques de ransomware no fueran lo suficientemente amenazadores, el ransomware de extorsión múltiple agrega capas adicionales para causar más daño o agregar presión adicional para que las víctimas capitulen. En el caso de los ataques de ransomware de doble extorsión, el malware se utiliza no sólo para cifrar los datos de la víctima sino también para extraer archivos confidenciales, como información del cliente, que los atacantes luego amenazan con hacer públicos. Los ataques de triple extorsión van aún más allá, con amenazas de interrumpir sistemas críticos o extender el ataque destructivo a los clientes o contactos de la víctima. 

Virus de macro: Las macros son series de comandos que normalmente se integran en aplicaciones más grandes para automatizar rápidamente tareas simples. Los virus de macro aprovechan las macros programáticas al incorporar software malicioso en archivos de aplicaciones que se ejecutarán cuando el usuario abra el programa correspondiente.

Troyanos: Los troyanos, que reciben su nombre del famoso caballo de Troya, se disfrazan de programas útiles o se esconden dentro de software legítimo para engañar a los usuarios para que los instalen.

Spyware: Común en el espionaje digital, el software espía se esconde dentro de un sistema infectado para recopilar en secreto información confidencial y transmitirla a un atacante.

Adware: Considerado en su mayoría inofensivo, el adware generalmente se encuentra incluido con software gratuito y envía spam a los usuarios con ventanas emergentes no deseadas u otros anuncios. Sin embargo, algunos programas publicitarios pueden recopilar datos personales o redirigir a los navegadores web a sitios web maliciosos.

Rootkit: Un tipo de paquete de malware que permite a los piratas informáticos obtener acceso privilegiado a nivel de administrador al sistema operativo de una computadora u otros activos. 

Hitos en el malware 

Debido al gran volumen y variedad, un historial completo de malware sería bastante extenso. En lugar de ello, aquí presentamos un vistazo a algunos momentos infames en la evolución del malware.

1966: malware teórico

Mientras se construían las primeras computadoras modernas, el matemático pionero y colaborador del Proyecto Manhattan, John von Neumann, estaba desarrollando el concepto de un programa que podía reproducirse y difundirse por todo un sistema. Publicado póstumamente en 1966, su obra, Teoría de los autómatas que se reproducen a sí mismos, sirve como base teórica para los virus informáticos.

1971: gusano trepador

Apenas cinco años después de la publicación del trabajo teórico de John von Neumann, un programador llamado Bob Thomas creó un programa experimental llamado Creeper, diseñado para moverse entre diferentes computadoras en el ARPANET, un precursor de la Internet moderna. Su colega Ray Tomlinson, considerado el inventor del correo electrónico, modificó el programa Creeper no sólo para moverse entre ordenadores, sino también para copiarse de uno a otro. Así nació el primer gusano informático.

Aunque Creeper es el primer ejemplo conocido de gusano, en realidad no es malware. Como prueba de concepto, Creeper no se creó con intenciones maliciosas y no dañó ni interrumpió los sistemas que infectó, sino que solo mostró el mensaje caprichoso: "SOY EL CREEPER: ATRÁPAME SI PUEDES". Asumiendo su propio desafío, al año siguiente Tomlinson también creó Reaper, el primer software antivirus diseñado para eliminar Creeper moviéndose de manera similar a través de ARPANET.

1982: virus clonador de alces

Desarrollado por Rich Skrenta cuando solo tenía 15 años, el programa Elk Cloner pretendía ser una broma. Como miembro del club de informática de su escuela secundaria, Skranta era conocido entre sus amigos por alterar los juegos y otro software compartido entre los miembros del club, hasta el punto de que muchos miembros se negarían a aceptar un disco del conocido bromista.

En un esfuerzo por alterar el software de los discos a los que no podía acceder directamente, Skranta inventó el primer virus conocido para computadoras Apple. Lo que ahora llamaríamos un virus del sector de arranque, Elk Cloner se propagaba infectando el sistema operativo Apple DOS 3.3 y una vez transferido desde un disquete infectado, se copiaba a sí mismo en la memoria de la computadora. Cuando más tarde se insertaba un disco no infectado en la computadora, Elk Cloner se copiaba a sí mismo en ese disco y rápidamente se propagaba entre la mayoría de los amigos de Skranta. Aunque es deliberadamente malicioso, Elk Cloner podría sobrescribir y borrar sin darse cuenta algunos disquetes. También contenía un mensaje poético que decía:

CLONADOR DE ALCES:

EL PROGRAMA CON PERSONALIDAD

SE ENCONTRARÁ EN TODOS SUS DISCOS

SE INFILTRARÁ EN TUS CHIPS

¡SÍ, ES CLONADOR!

SE PEGARÁ A TI COMO PEGAMENTO

TAMBIÉN MODIFICARÁ LA RAM

¡ENVÍA EL CLONADOR!

1986: virus cerebral

Si bien el gusano Creeper podía moverse entre computadoras en ARPANET, antes de la adopción generalizada de Internet, la mayoría del malware se transmitía a través de disquetes como Elk Cloner. Sin embargo, mientras los efectos de Elk Cloner se limitaban a un pequeño club de informática, el virus Brain se propagó por todo el mundo.

Creado por los hermanos y distribuidores de software médico paquistaníes Amjad y Basit Farooq Alvi, Brain se considera el primer virus para la computadora personal IBM y se desarrolló inicialmente para evitar la infracción de derechos de autor. El virus tenía como objetivo impedir que los usuarios utilizaran versiones copiadas de su software. Cuando se instalaba, Brain mostraba un mensaje instando a los piratas a llamar a los hermanos para recibir la vacuna. Subestimando cuán extendido estaba su problema de piratería, los Alvis recibieron su primera llamada de Estados Unidos, seguida de muchas, muchas más de todo el mundo.

1988: gusano Morris

El gusano Morris es otro precursor de malware que no se creó con intenciones maliciosas, sino como prueba de concepto. Desafortunadamente para su creador, el estudiante del MIT Robert Morris, el gusano resultó ser mucho más eficaz de lo que había previsto. En ese momento, sólo unas 60,000 computadoras tenían acceso a Internet, principalmente en universidades y dentro del ejército. Diseñado para explotar una puerta trasera en sistemas Unix y permanecer oculto, el gusano se propagó rápidamente, copiándose a sí mismo una y otra vez e infectando un total del 10% de todas las computadoras en red.

Debido a que el gusano no sólo se copió a sí mismo en otras computadoras, sino que también se copió repetidamente en las computadoras infectadas, sin querer consumió memoria y detuvo varias PC. Como el primer ciberataque generalizado en Internet en el mundo, el incidente causó daños que algunas estimaciones cifran en millones. Por su parte, Robert Morris fue el primer ciberdelincuente condenado por ciberfraude en Estados Unidos. 

1999: gusano Melissa

Si bien no es tan dañino como el gusano Morris, aproximadamente una década después, Melissa demostró cuán rápido se puede propagar el malware por correo electrónico, infestando aproximadamente un millón de cuentas de correo electrónico y al menos 100,000 computadoras en el lugar de trabajo. El gusano que se propagó más rápido en su época, causó importantes sobrecargas en los servidores de correo electrónico de Microsoft Outlook y Microsoft Exchange, lo que resultó en ralentizaciones en más de 300 corporaciones y agencias gubernamentales, incluido Microsoft, el Equipo de Respuesta a Emergencias Informáticas del Pentágono y aproximadamente 250 organizaciones adicionales.

2000: virus TE AMO 

Siendo la necesidad la madre de la invención, cuando Onel de Guzmán, residente de Filipinas de 24 años, se vio incapaz de pagar el servicio de acceso telefónico a Internet, creó un gusano macrovirus que robaba las contraseñas de otras personas, convirtiendo a ILOVEYOU en la primera pieza significativa de malware. El ataque es un ejemplo temprano de ingeniería social y suplantación de identidad. De Guzmán utilizó la psicología para aprovecharse de la curiosidad de las personas y manipularlas para que descargaran archivos adjuntos de correo electrónico maliciosos disfrazados de cartas de amor. “Me di cuenta de que muchas personas quieren un novio, se quieren el uno al otro, quieren amor”, dijo de Guzmán. 

Una vez infectado, el gusano hizo más que robar contraseñas: también borró archivos y causó daños millonarios, llegando incluso a cerrar el sistema informático del Parlamento del Reino Unido durante un breve período. Aunque de Guzmán fue capturado y arrestado, se retiraron todos los cargos porque en realidad no había infringido ninguna ley local.

2004: gusano Mydoom

Al igual que ILOVEYOU, el gusano Mydoom también utilizó el correo electrónico para autorreplicarse e infectar sistemas en todo el mundo. Una vez echado raíces, Mydoom secuestraba el ordenador de la víctima para enviar por correo electrónico más copias de sí mismo. Sorprendentemente efectivo, el spam de Mydoom alguna vez representó el 25% de todos los correos electrónicos enviados en todo el mundo, un récord que nunca se ha superado, y terminó causando daños por 35 mil millones de dólares. Ajustado a la inflación, sigue siendo el malware más destructivo desde el punto de vista monetario jamás creado.

Además de secuestrar programas de correo electrónico para infectar tantos sistemas como fuera posible, Mydoom también utilizó ordenadores infectados para crear una botnet y lanzar denegación de servicio distribuida (ataques DDoS). A pesar de su impacto, los ciberdelincuentes detrás de Mydoom nunca han sido capturados ni siquiera identificados. 

2007: virus Zeus

Identificado por primera vez en 2007, Zeus infectó computadoras personales mediante phishing y descargas automáticas y demostró el peligroso potencial de un virus de estilo troyano que puede generar muchos tipos diferentes de software malicioso. En 2011 se filtró su código fuente y su manual de instrucciones, proporcionando datos valiosos tanto para los profesionales de la ciberseguridad como para otros piratas informáticos.

2013: ransomware CryptoLocker 

CryptoLocker, uno de los primeros casos de ransomware, es conocido por su rápida propagación y sus potentes (para su época) capacidades de cifrado asimétrico. Distribuido a través de botnets maliciosas capturadas por el virus Zeus, CryptoLocker cifra sistemáticamente los datos de los PC infectados. Si la PC infectada es un cliente en una red local, como una biblioteca u oficina, los recursos compartidos son el objetivo primero.

Para recuperar el acceso a estos recursos cifrados, los creadores de CryptoLocker solicitaron un rescate de dos bitcoins, que en ese momento estaban valorados en aproximadamente 715 dólares estadounidenses. Afortunadamente, en 2014 el Departamento de Justicia, en colaboración con agencias internacionales, logró tomar el control de la botnet maliciosa y descifrar los datos de los rehenes de forma gratuita. Desafortunadamente, el programa CyrptoLocker también se propaga a través de ataques de phishing básicos y sigue siendo una amenaza persistente.

2014: troyano Emotet

Una vez llamado el "rey del malware" por Arne Schoenbohm, jefe de la Oficina Alemana de Seguridad de la Información, el troyano Emotet es un excelente ejemplo de lo que se conoce como malware polimórfico que dificulta que los especialistas en seguridad de la información lo erradiquen por completo. El malware polimórfico funciona alterando ligeramente su propio código cada vez que se reproduce, creando no una copia exacta, sino una variante igual de peligrosa. De hecho, es más peligroso porque los troyanos polimórficos son más difíciles de identificar y bloquear para los programas antimalware.

Al igual que el troyano Zeus, Emotet persiste como un programa modular que se utiliza para distribuir otras formas de malware y, a menudo, se comparte mediante ataques de phishing tradicionales.

2016: botnet Mirai 

A medida que las computadoras continúan evolucionando, extendiéndose desde computadoras de escritorio, portátiles, dispositivos móviles y una infinidad de dispositivos en red, también lo hace el malware. Con el auge del Internet de las cosas, los dispositivos inteligentes de IoT presentan una nueva y enorme ola de vulnerabilidades. Creada por el estudiante universitario Paras Jha, la botnet Mirai encontró y se hizo cargo de una gran cantidad de cámaras CCTV, en su mayoría habilitadas para IoT, con seguridad débil.

Inicialmente diseñada para atacar servidores de juegos DoS, la botnet Mirai era incluso más poderosa de lo que Jha había anticipado. Fijando su mirada en un importante proveedor de DNS, cortó efectivamente grandes extensiones de la costa este de los Estados Unidos de Internet durante casi un día entero.

2017: ciberespionaje 

Aunque el malware ya había desempeñado un papel en la guerra cibernética durante muchos años, 2017 fue un año excepcional para los ciberataques patrocinados por el estado y el espionaje virtual, comenzando con un ransomware relativamente corriente llamado Petya. Aunque peligroso, el ransomware Petya se propagó a través de phishing y no fue particularmente infeccioso hasta que fue modificado en el gusano limpiador NotPetya, un programa que parecía ransomware, pero que destruía los datos de los usuarios incluso si se enviaban pagos de rescate. Ese mismo año se produjo el Ransomware WannaCry El gusano ataca a varios objetivos de alto perfil en Europa, particularmente en el Servicio Nacional de Salud de Gran Bretaña. 

Se cree que NotPetya está vinculado a la inteligencia rusa, que pudo haber modificado el virus Petya para atacar a Ucrania, y WannaCry puede estar conectado con sectores adversarios similares del gobierno de Corea del Norte. ¿Qué tienen en común estos dos ataques de malware? Ambos fueron habilitados por un exploit de Microsoft Windows denominado Eternalblue, que fue descubierto por primera vez por la Agencia de Seguridad Nacional. Aunque Microsoft finalmente descubrió y parchó el exploit ellos mismos, criticaron a la NSA por no informarlo antes de que los piratas informáticos pudieran aprovechar la vulnerabilidad.

2019: ransomware como servicio (RaaS)

En los últimos años, el malware ransomware ha despegado y disminuido. Sin embargo, si bien los casos de ataques de ransomware exitosos pueden estar disminuyendo, los piratas informáticos se dirigen a objetivos de mayor perfil y causan mayores daños. Ahora, el ransomware como servicio es una tendencia preocupante que ha cobrado impulso en los últimos años. RaaS, que se ofrece en los mercados de la web oscura, proporciona un protocolo plug-and-play en el que piratas informáticos profesionales realizan ataques de ransomware a cambio de una tarifa. Si bien los ataques de malware anteriores requerían cierto grado de habilidad técnica avanzada, los grupos de mercenarios que ofrecen RaaS empoderan a cualquiera con malas intenciones y dinero para gastar.

2021: Estado de emergencia

El primer ataque de ransomware de doble extorsión de alto perfil tuvo lugar en 2019, cuando los piratas informáticos se infiltraron en la agencia de personal de seguridad Allied Universal, cifrando simultáneamente sus datos y amenazando con publicar los datos robados en línea. Esta capa adicional significaba que incluso si Allied Universal hubiera podido descifrar sus archivos, todavía sufrirían una violación de datos dañina. Si bien este ataque fue digno de mención, el ataque al Colonial Pipeline de 2021 es más notorio por la gravedad de la amenaza implícita. En ese momento, Colonial Pipeline era responsable del 45% de la gasolina y el combustible para aviones del este de los Estados Unidos. El ataque, que duró varios días, afectó tanto al sector público como al privado a lo largo de la costa este y llevó al presidente Biden a declarar un estado de emergencia temporal.

2022: una emergencia nacional

Si bien puede parecer que los ataques de ransomware están disminuyendo, los ataques altamente dirigidos y efectivos continúan presentando una amenaza escalofriante. En 2022, Costa Rica sufrió una serie de ataques de ransomware, primero paralizando al Ministerio de Finanzas e impactando incluso a las empresas civiles de importación y exportación. Luego, un ataque posterior dejó fuera de servicio el sistema de salud del país, afectando potencialmente directamente a todos los ciudadanos del país. Como resultado, Costa Rica hizo historia como el primer país en declarar un estado de emergencia nacional en respuesta a un ciberataque.

Explore las soluciones de ransomware QRadar SIEM