Malware

Un malware (unha amálgama de software malicioso)^[1] é calquera software deseñado intencionadamente para interromper un ordenador, servidor, cliente ou rede informática, filtrar información privada, obter acceso non autorizado a información ou sistemas, privar do acceso á información ou interferir sen sabelo na privacidade e seguridade do ordenador dun usuario.^{[1][2][3][4][5]} Os investigadores tenden a clasificar o malware nun ou máis subtipos (é dicir, virus informáticos, vermes, cabalos de Troia, bombas lóxicas, ransomware, spyware, adware, software fraudulento, wipers e keyloggers).^[1]

Malware
Instancia de tipo de software
Subclase de programa informático Badware software Risco de seguranza
Historia cronoloxía dos virus e vermes informáticos
Medio usado Vector de ataque
[ Wikidata ] [ C:Commons ]

Características

O software malicioso supón graves problemas para particulares e empresas en Internet.^[6][7] Segundo o Informe de ameazas á seguridade en Internet (ISTR) de Symantec de 2018, o número de variantes de software malicioso aumentou ata as 669.947.865 en 2017, o que supón o dobre de variantes de software malicioso que en 2016.^[8] Prevese que a ciberdelincuencia, que inclúe ataques de software malicioso e outros delitos informáticos, lle custe á economía mundial 6 billóns de dólares en 2021 e está a medrar a un ritmo do 15% anual.^[9] Desde 2021, o software malicioso deseñouse para dirixirse a sistemas informáticos que executan infraestruturas críticas, como as redes de distribución de electricidade.^[10]

As estratexias de defensa contra o software malicioso varían segundo o tipo, pero a maioría pódense frustrar instalando software antivirus, devasas, aplicando parches regulares, protexendo as redes contra intrusións, facendo copias de seguridade regulares e illando os sistemas infectados. O software malicioso pode estar deseñado para evadir os algoritmos de detección do software antivirus.^[8]

Historia

A noción dun programa informático autorreplicante remóntase ás primeiras teorías sobre o funcionamento de autómatas complexos. John von Neumann demostrou que, en teoría, un programa podía reproducirse a si mesmo.^[11] Isto constituíu un resultado plausible na teoría da computabilidade. Fred Cohen experimentou con virus informáticos e confirmou o postulado de Neumann e investigou outras propiedades do malware, como a detectabilidade e a autoofuscación mediante criptografía rudimentaria. A súa tese doutoral de 1987 tratou sobre o tema dos virus informáticos.^[12] A combinación da tecnoloxía criptográfica como parte da carga útil dos virus, explotándoa con fins de ataque, foi pioneira e investigada desde mediados da década de 1990 e inclúe as primeiras ideas de ransomware e evasión.^[13]

Antes de que o acceso a Internet se xeneralizase, os virus propagáronse aos ordenadores persoais infectando programas executables ou os sectores de arranque dos disquetes. Ao inserir unha copia de si mesmo nas instrucións do código máquina destes programas ou sectores de arranque, un virus provoca a súa execución cada vez que se executa o programa ou se inicia o disco. Os primeiros virus informáticos foron escritos para Apple II e Mac, pero xeneralizáronse co dominio do IBM PC e MS-DOS. O primeiro virus de IBM PC que se produciu foi un virus de sector de arranque alcumado (c)Brain, creado en 1986 polos irmáns Farooq Alvi en Paquistán.^[14] Os distribuidores de software malicioso enganaban aos usuarios para que arrancasen ou executasen desde dispositivos ou soportes infectados. Por exemplo, un virus podía enganar a un ordenador infectado para que engadise código autoexecutable a calquera unidade flash USB que estivese conectada a el. Calquera que logo conectase a unidade flash a outro ordenador que estivese configurado para executarse automaticamente desde USB infectaríase e transmitiría a infección do mesmo xeito.^[15]

O software de correo electrónico máis antigo, abría automaticamente correos electrónicos HTML que contiñan código JavaScript potencialmente malicioso. Os usuarios tamén podían executar anexos de correos electrónicos maliciosos disfrazados. O Informe de investigacións de violacións de datos de 2018 de Verizon, citado por CSO Online, afirma que o correo electrónico é o principal método de entrega de software malicioso, representando o 96% das entregas de malware en todo o mundo.^[16][17]

Os primeiros worms, programas infecciosos que se propagaban polas redes, non se orixinaron en ordenadores persoais, senón en sistemas Unix multitarefa. O primeiro worm coñecido foi o Morris de 1988, que infectou os sistemas SunOS e VAX BSD. A diferenza dun virus, este verme non se inseriu noutros programas. En vez diso, aproveitou os buratos de seguridade (vulnerabilidades) nos programas dos servidores de rede e comezou a executarse como procesos separados.^[18] Este mesmo comportamento tamén o empregan os vermes hoxe en día.^[19]

Co ascenso da plataforma Microsoft Windows na década de 1990, e as macros flexibles das súas aplicacións, fíxose posible escribir código infeccioso na linguaxe de macros de Microsoft Word e programas similares. Estes virus de macros infectan documentos e modelos en lugar de aplicacións (executables), pero baséanse no feito de que as macros dun documento de Word son unha forma de código executable.^[20]

Moitos dos primeiros programas infecciosos, incluído o verme Morris, o primeiro worm de Internet, foron escritos como experimentos ou bromas.^[21] Hoxe en día, tanto os hackers sombreiros negros como os gobernos, empregan o malware para roubar información persoal, financeira ou empresarial.^[22][23] Hoxe en día, calquera dispositivo que se conecte a un porto USB (mesmo luces, ventiladores, altofalantes, xoguetes ou periféricos como un microscopio dixital) pode empregarse para propagar malware. Os dispositivos poden infectarse durante a produción ou a entrega se o control de calidade é inadecuado.^[15]

Obxectivos

Desde a chegada do acceso xeneralizado a internet de banda ancha, o malware deseñouse cada vez máis con fins lucrativos. Desde 2003, os virus e vermes máis estendidos foron deseñados para tomar o control dos ordenadores dos usuarios con fins ilícitos.^[24] Os "ordenadores zombis" infectados poden usarse para enviar correos electrónicos de spam, aloxar datos de contrabando como pornografía infantil,^[25] ou participar en ataques de denegación de servizo distribuídos como forma de extorsión.^[26] O malware úsase amplamente contra sitios web gobernamentais ou corporativos para recompilar información confidencial,^[27] ou para interromper o seu funcionamento. O software malicioso tamén se pode empregar contra individuos para obter información como números ou datos de identificación persoal, números bancarios ou de tarxetas de crédito e contrasinais.^[28][29]

Ademais de lucrarse coa delincuencia, o malware pode empregarse para sabotar, a miúdo por razóns políticas. Stuxnet, por exemplo, foi deseñado para interromper equipos industriais moi específicos. Os ataques con motivación política estendéronse e pecharon grandes redes informáticas, incluíndo a eliminación masiva de ficheiros e a corrupción do rexistro de arranque mestre, descrita como "matazón de ordenadores". Estes ataques leváronse a cabo contra Sony Pictures Entertainment (25 de novembro de 2014, usando software malicioso coñecido como Shamoon ou W32.Disttrack) e Saudi Aramco (agosto de 2012).^[30][31]

Tipos

O malware pódese clasificar de varias maneiras e certos programas maliciosos poden clasificarse en dúas ou máis categorías simultaneamente. En termos xerais, o software pódese clasificar en tres tipos: (i) goodware; (ii) greyware; e (iii) malware.^[32]

Clasificación de software potencialmente malicioso
Datos obtidos de: Molina-Coronado et al. (2023)^[32]

Tipo	Características	Exemplos
Goodware	Obtido dunha fonte fiable	Aplicacións de Google Play Software con erros
Greyware	Consenso ou métricas insuficientes	Programas potencialmente non desexados Spyware Adware
Malware	Existe un amplo consenso entre o software antivirus de que o programa é malicioso ou obtivo de fontes sinalizadas.	Virus Worms Rootkits Backdoors Ransomware Cabalos de Troia

Malware

==== Virus ====joke programs

Artigo principal: Virus informático.

Saída do virus «Kuku» de MS-DOS.

Un virus informático é un software que normalmente se agocha dentro doutro programa aparentemente inofensivo e que pode producir copias de si mesmo e inserilas noutros programas ou ficheiros, e que normalmente realiza unha acción prexudicial (como destruír datos),^[33] polo que foron comparados cos virus biolóxicos.^[3] Un exemplo disto é unha infección por execución portátil, unha técnica que se emprega habitualmente para propagar software malicioso e que insire código ou datos executábeis adicionais nos ficheiros PE.^[34] Un virus informático é un software que se integra noutro software executable (incluído o propio sistema operativo) no sistema de destino sen o coñecemento e consentimento do usuario e, unha vez executado, o virus propágase a outros ficheiros executables.

Worms

Volcado hexadecimal do worm Blaster, que mostra unha mensaxe deixada ao cofundador de Microsoft, Bill Gates, polo programador do verme.

Un worm (verme informático) é un elemento de software malicioso autónomo que se propaga activamente por unha rede para infectar outros ordenadores e pode replicarse sen infectar ficheiros. Estas definicións levan á observación de que un virus require que o usuario execute software infectado ou un sistema operativo infectado para que o virus se propague, mentres que un verme se propaga por si só.^[35]

Rootkits

Artigo principal: Rootkit.

Unha vez instalado o software malicioso nun sistema, é fundamental que permaneza oculto para evitar a súa detección. Os paquetes de software coñecidos como rootkits permiten esta ofuscación modificando o sistema operativo anfitrión para que o malware quede oculto ao usuario. Os rootkits poden evitar que un proceso malicioso sexa visible na lista de procesos do sistema ou que se lean os seus ficheiros.^[36]

Algúns tipos de malware conteñen rutinas para evadir os intentos de identificación ou eliminación, non só para ocultarse. Un exemplo temperán deste comportamento está rexistrado no glosario «Jargon File», sobre un par de programas que infestan un sistema de tempo compartido Xerox CP-V:

Cada traballo pantasma detectaba o feito de que o outro fora eliminado e iniciaba unha nova copia do programa recentemente detido en poucos milisegundos. O único xeito de matar a ambas pantasmas era matalas simultaneamente (moi difícil) ou bloquear o sistema deliberadamente.^[37]

Backdoors

Un backdoor («porta traseira») é un termo amplo para un programa informático que permite a un atacante acceso remoto persistente e non autorizado á máquina dunha vítima, a miúdo sen o seu coñecemento.^[38][39] O atacante normalmente emprega outro ataque (como un troiano, worm ou un virus) para eludir os mecanismos de autenticación, normalmente a través dunha rede non segura, como Internet, para instalar a aplicación de porta traseira. Unha porta traseira tamén pode ser un efecto secundario dun erro de software en software lexítimo que é explotado por un atacante para obter acceso ao ordenador ou á rede dunha vítima.

A miúdo suxeriuse a idea de que os fabricantes de ordenadores preinstalen backdoors nos seus sistemas para proporcionar soporte técnico aos clientes, pero isto nunca se verificou de forma fiable. En 2014 informouse de que axencias gobernamentais dos Estados Unidos estaban a desviar ordenadores comprados por aqueles considerados «obxectivos» a talleres secretos onde se instalaba software ou hardware que permitía o acceso remoto por parte da axencia, considerada unha das operacións máis produtivas para obter acceso a redes de todo o mundo.^[40] As portas traseiras poden ser instaladas por troianos, vermes, implantes ou outros métodos.^[41][42]

Cabalos de Troia

Artigo principal: Cabalo de Troia (informática).

Un cabalo de Troia disfrazase de programa ou utilidade normal e benigna para persuadir a unha vítima de que o instale. Un cabalo de Troia normalmente leva unha función destrutiva oculta que se activa cando se inicia a aplicación. O termo deriva da antiga historia grega do cabalo de Troia usado para invadir furtivamente a cidade de Troia.^[43][44]

Os cabalos de Troia adoitan ser espallados por algunha forma de enxeñaría social, por exemplo, cando un usuario é enganado para que execute un anexo de correo electrónico disfrazado de insospeitado (por exemplo, un formulario de rutina que se debe cubrir) ou mediante a "descarga directa". Aínda que a súa carga útil pode ser calquera, moitas formas modernas actúan como unha porta traseira, contactando cun controlador (chamando a casa) que pode obter acceso non autorizado ao ordenador afectado, instalando potencialmente software adicional como un rexistrador de pulsacións de teclas para roubar información confidencial, software de criptominería ou adware para xerar ingresos para o operador troiano.^[45] Aínda que os troianos e as portas traseiras non son doadamente detectables por si sós, os ordenadores poden parecer que funcionan máis lentos, emiten máis calor ou experimentan ruído do ventilador debido ao uso intensivo do procesador ou da rede, como pode ocorrer cando se instala software de criptominería. Os criptomineros poden limitar o uso de recursos ou executarse só durante os períodos de inactividade nun intento de evitar a detección.

A diferenza dos virus e vermes informáticos, os troianos xeralmente non intentan inxectarse noutros ficheiros nin propagarse doutro xeito.^[46]

Na primavera de 2017, os usuarios de Mac foron afectados por unha nova versión do troiano de acceso remoto Proton (RAT),^[47] adestrado para extraer datos de contrasinais de varias fontes, como datos de autocompletado do navegador, bóvedas de contrasinais e o chaveiro do Mac OS.^[48]

Dropper

Os droppers son un subtipo de troianos que teñen como único obxectivo entregar software malicioso ao sistema que infectan, co obxectivo de subvertir a detección mediante unha carga útil lixeira e discreta.^[49] É importante non confundir un dropper cun cargador ou stager. Un cargador ou stager simplemente carga unha extensión do malware (por exemplo, unha colección de funcións maliciosas mediante a inxección reflexiva de bibliotecas de enlaces dinámicos) na memoria. O propósito é manter a etapa inicial lixeira e indetectable. Un dropper simplemente descarga máis software malicioso ao sistema.

Ransomware

Artigo principal: Ransomware.

O ransomware impide que un usuario acceda aos seus ficheiros ata que se pague un rescate. Hai dous tipos de ransomware: o ransomware criptográfico e o ransomware locker.^[50] O ransomware locker simplemente bloquea un sistema informático sen cifrar o seu contido, mentres que o ransomware criptográfico bloquea un sistema e cifra o seu contido. Por exemplo, programas como CryptoLocker cifran ficheiros de forma segura e só os descifran tras o pago dunha suma substancial de diñeiro.^[51]

As pantallas de bloqueo, ou bloqueadores de pantalla, son un tipo de ransomware de "ciberpolicía" que bloquea as pantallas dos dispositivos Windows ou Android con acusacións falsas de recollida ilegal de contido, intentando asustar as vítimas para que paguen unha taxa.^[52] Jisut e SLocker afectan aos dispositivos Android máis que outras pantallas de bloqueo, e Jisut representa case o 60 por cento de todas as deteccións de ransomware de Android.^[53]

O ransomware baseado en cifrado, como o propio nome indica, é un tipo de ransomware que cifra todos os ficheiros dunha máquina infectada. Este tipo de malware mostra unha xanela emerxente informando ao usuario de que os seus ficheiros foron cifrados e que debe pagar (normalmente en Bitcoin) para recuperalos. Algúns exemplos de ransomware baseado en cifrado son CryptoLocker e WannaCry.^[54]

Segundo a Unidade de Delitos Dixitais de Microsoft, en maio de 2025, Lumma Stealer ("Lumma"), que rouba contrasinais, tarxetas de crédito, contas bancarias e carteiras de criptomoedas, é o malware preferido para roubar información usado por centos de actores de ameazas cibernéticas e permite aos delincuentes baleirar contas bancarias, esixir rescates ás escolas e interromper servizos esenciais.^[55]

Fraude de clics

Algúns programas maliciosos utilízanse para xerar diñeiro mediante fraude de clics, facendo que pareza que o usuario do ordenador fixo clic nunha ligazón publicitaria nun sitio web, xerando un pago por parte do anunciante. En 2012 estimouse que entre o 60 e o 70% de todo o software malicioso activo empregaba algún tipo de fraude de clics e que o 22% de todos os clics en anuncios eran fraudulentos.^[56]

Grayware

O grayware é calquera aplicación ou ficheiro non desexado que pode degradar o rendemento do ordenador e supoñer riscos de seguridade, pero para o que non hai consenso ou datos suficientes para clasificalo como malware.^[32] Os tipos de greyware normalmente inclúen spyware, adware, dialers fraudulentos, jokeware (programas de broma) e ferramentas de acceso remoto.^[38] Por exemplo, nun momento dado, os discos compactos Sony BMG instalaron silenciosamente un rootkit nos ordenadores dos compradores para evitar copias ilícitas.^[57]

Programas potencialmente non desexados

Os programas potencialmente non desexados (PUP) son aplicacións que doutro xeito serían consideradas non desexadas, a pesar de que moitas veces se descargan intencionadamente polo usuario.^[58] Entre os programas potencialmente non desexados inclúense spyware, adware e dialers fraudulentos.

Moitos produtos de seguridade clasifican os xeradores de claves como programas potencialmente non desexados, aínda que a miúdo levan software malicioso real máis alá do seu propósito aparente.^[59] De feito, Kammerstetter et al. (2012) estimaron que ata o 55% dos xeradores de claves poden conter software malicioso e que arredor do 36% dos xeradores de claves maliciosos non foron detectados polo software antivirus.^[59]

Adware

Algúns tipos de adware desactivan a protección contra software malicioso e antivirus; existen solucións técnicas dispoñibles.^[60]

Spyware

O spyware é un programa deseñado para supervisar a navegación web dos usuarios, mostrar anuncios non solicitados ou redirixir os ingresos do marketing de afiliados. Os programas spyware non se propagan como virus; en cambio, normalmente instálanse aproveitando fallos de seguridade. Tamén poden ocultarse e combinarse con software non relacionado instalado polo usuario.^[61] O rootkit Sony BMG foi deseñado para evitar a copia ilícita; pero tamén denunciaba os hábitos de escoita dos usuarios e creaba vulnerabilidades de seguridade adicionais sen querer.^[57]

Detección

O software antivirus normalmente usa dúas técnicas para detectar malware: (i) análise estática e (ii) análise dinámica ou heurística.^[62] A análise estática implica estudar o código do software dun programa potencialmente malicioso e producir unha sinatura para ese programa. Esta información utilízase entón para comparar os ficheiros analizados por un programa antivirus. Dado que esta estratexia non é útil para o malware que aínda non foi estudado, o software antivirus pode empregar a análise dinámica para supervisar como se executa o programa nun ordenador e bloquealo se realiza actividades inesperadas.

O obxectivo de calquera software malicioso é ocultarse para que os usuarios ou o software antivirus non o detecten.^[1] Detectar malware potencial é difícil por dúas razóns. A primeira é que é difícil determinar se o software é malicioso.^[32] A segunda é que o software malicioso utiliza medidas técnicas para dificultar a detección.^[62] Estímase que o 33% do software malicioso non é detectado polo software antivirus.^[59]

A técnica antidetección máis empregada consiste en cifrar a carga útil do malware para evitar que o software antivirus recoñeza a sinatura.^[32] Ferramentas como os cifradores inclúen un blob de código malicioso cifrado e un stub de descifrado. O stub descifra o blob e cárgao na memoria. Dado que o software antivirus normalmente non analiza a memoria e só analiza os ficheiros da unidade, isto permite que o malware evada a detección. O malware avanzado pode mutar en diferentes variantes, o que fai que sexa menos probable que se detecte debido ás diferenzas nas súas sinaturas. Isto coñécese como malware polimórfico. Outras técnicas comúns empregadas para evadir a detección inclúen, desde as máis comúns ata as pouco comúns:^[63] (1) evasión da análise e a detección mediante a toma de impresións dixitais do ambiente cando se executa;^[64] (2) métodos confusos de detección de ferramentas automatizadas. Isto permite que o software malicioso evite a detección por tecnoloxías como o software antivirus baseado en sinaturas alterando o servidor empregado polo software malicioso;^[63] (3) evasión baseada no tempo. Isto ocorre cando o software malicioso se executa en momentos específicos ou despois de accións específicas do usuario, polo que se executa durante certos períodos vulnerables, como durante o proceso de arranque, mentres permanece inactivo o resto do tempo; (4) ofuscación de datos internos para que as ferramentas automatizadas non poidan detectar o software malicioso;^[65] (v) técnicas de ofuscación da información, é dicir, stegomalware;^[66] e (5) software malicioso sen ficheiros, que se executa na memoria en lugar de usar ficheiros e utiliza ferramentas do sistema existentes para realizar actos maliciosos. Empregar binarios existentes para levar a cabo actividades maliciosas é unha técnica coñecida como LotL, ou Living off the Land ("Vivir da Terra").^[67] Isto reduce a cantidade de artefactos forenses dispoñibles para a súa análise. Recentemente, este tipo de ataques fixéronse máis frecuentes, cun aumento do 432% en 2017 e representando o 35% dos ataques en 2018. Estes ataques non son fáciles de executar, pero cada vez son máis frecuentes coa axuda de kits de exploits.^[68][69]