Malware

Un malware (unha amálgama de software malicioso)^[1] é calquera software deseñado intencionadamente para interromper un ordenador, servidor, cliente ou rede informática, filtrar información privada, obter acceso non autorizado a información ou sistemas, privar do acceso á información ou interferir sen sabelo na privacidade e seguridade do ordenador dun usuario.^{[1][2][3][4][5]} Os investigadores tenden a clasificar o malware nun ou máis subtipos (é dicir, virus informáticos, vermes, cabalos de Troia, bombas lóxicas, ransomware, spyware, adware, software fraudulento, wipers e keyloggers).^[1]

Malware
Instancia de tipo de software  Subclase de programa informático Badware software Risco de seguranza  Historia cronoloxía dos virus e vermes informáticos  Medio usado Vector de ataque
Identificadores Freebase /m/0582c OpenAlex C541664917
Wikidata C:Commons

Características

O software malicioso supón graves problemas para particulares e empresas en Internet.^[6][7] Segundo o Informe de ameazas á seguridade en Internet (ISTR) de Symantec de 2018, o número de variantes de software malicioso aumentou ata as 669.947.865 en 2017, o que supón o dobre de variantes de software malicioso que en 2016.^[8] Prevese que a ciberdelincuencia, que inclúe ataques de software malicioso e outros delitos informáticos, lle custe á economía mundial 6 billóns de dólares en 2021 e está a medrar a un ritmo do 15% anual.^[9] Desde 2021, o software malicioso deseñouse para dirixirse a sistemas informáticos que executan infraestruturas críticas, como as redes de distribución de electricidade.^[10]

As estratexias de defensa contra o software malicioso varían segundo o tipo, pero a maioría pódense frustrar instalando software antivirus, devasas, aplicando parches regulares, protexendo as redes contra intrusións, facendo copias de seguridade regulares e illando os sistemas infectados. O software malicioso pode estar deseñado para evadir os algoritmos de detección do software antivirus.^[8]

Historia

A noción dun programa informático autorreplicante remóntase ás primeiras teorías sobre o funcionamento de autómatas complexos. John von Neumann demostrou que, en teoría, un programa podía reproducirse a si mesmo.^[11] Isto constituíu un resultado plausible na teoría da computabilidade. Fred Cohen experimentou con virus informáticos e confirmou o postulado de Neumann e investigou outras propiedades do malware, como a detectabilidade e a autoofuscación mediante criptografía rudimentaria. A súa tese doutoral de 1987 tratou sobre o tema dos virus informáticos.^[12] A combinación da tecnoloxía criptográfica como parte da carga útil dos virus, explotándoa con fins de ataque, foi pioneira e investigada desde mediados da década de 1990 e inclúe as primeiras ideas de ransomware e evasión.^[13]

Antes de que o acceso a Internet se xeneralizase, os virus propagáronse aos ordenadores persoais infectando programas executables ou os sectores de arranque dos disquetes. Ao inserir unha copia de si mesmo nas instrucións do código máquina destes programas ou sectores de arranque, un virus provoca a súa execución cada vez que se executa o programa ou se inicia o disco. Os primeiros virus informáticos foron escritos para Apple II e Mac, pero xeneralizáronse co dominio do IBM PC e MS-DOS. O primeiro virus de IBM PC que se produciu foi un virus de sector de arranque alcumado (c)Brain, creado en 1986 polos irmáns Farooq Alvi en Paquistán.^[14] Os distribuidores de software malicioso enganaban aos usuarios para que arrancasen ou executasen desde dispositivos ou soportes infectados. Por exemplo, un virus podía enganar a un ordenador infectado para que engadise código autoexecutable a calquera unidade flash USB que estivese conectada a el. Calquera que logo conectase a unidade flash a outro ordenador que estivese configurado para executarse automaticamente desde USB infectaríase e transmitiría a infección do mesmo xeito.^[15]

O software de correo electrónico máis antigo, abría automaticamente correos electrónicos HTML que contiñan código JavaScript potencialmente malicioso. Os usuarios tamén podían executar anexos de correos electrónicos maliciosos disfrazados. O Informe de investigacións de violacións de datos de 2018 de Verizon, citado por CSO Online, afirma que o correo electrónico é o principal método de entrega de software malicioso, representando o 96% das entregas de malware en todo o mundo.^[16][17]

Os primeiros worms, programas infecciosos que se propagaban polas redes, non se orixinaron en ordenadores persoais, senón en sistemas Unix multitarefa. O primeiro worm coñecido foi o Morris de 1988, que infectou os sistemas SunOS e VAX BSD. A diferenza dun virus, este verme non se inseriu noutros programas. En vez diso, aproveitou os buratos de seguridade (vulnerabilidades) nos programas dos servidores de rede e comezou a executarse como procesos separados.^[18] Este mesmo comportamento tamén o empregan os vermes hoxe en día.^[19]

Co ascenso da plataforma Microsoft Windows na década de 1990, e as macros flexibles das súas aplicacións, fíxose posible escribir código infeccioso na linguaxe de macros de Microsoft Word e programas similares. Estes virus de macros infectan documentos e modelos en lugar de aplicacións (executables), pero baséanse no feito de que as macros dun documento de Word son unha forma de código executable.^[20]

Moitos dos primeiros programas infecciosos, incluído o verme Morris, o primeiro worm de Internet, foron escritos como experimentos ou bromas.^[21] Hoxe en día, tanto os hackers sombreiros negros como os gobernos, empregan o malware para roubar información persoal, financeira ou empresarial.^[22][23] Hoxe en día, calquera dispositivo que se conecte a un porto USB (mesmo luces, ventiladores, altofalantes, xoguetes ou periféricos como un microscopio dixital) pode empregarse para propagar malware. Os dispositivos poden infectarse durante a produción ou a entrega se o control de calidade é inadecuado.^[15]

Obxectivos

Desde a chegada do acceso xeneralizado a internet de banda ancha, o malware deseñouse cada vez máis con fins lucrativos. Desde 2003, os virus e vermes máis estendidos foron deseñados para tomar o control dos ordenadores dos usuarios con fins ilícitos.^[24] Os "ordenadores zombis" infectados poden usarse para enviar correos electrónicos de spam, aloxar datos de contrabando como pornografía infantil,^[25] ou participar en ataques de denegación de servizo distribuídos como forma de extorsión.^[26] O malware úsase amplamente contra sitios web gobernamentais ou corporativos para recompilar información confidencial,^[27] ou para interromper o seu funcionamento. O software malicioso tamén se pode empregar contra individuos para obter información como números ou datos de identificación persoal, números bancarios ou de tarxetas de crédito e contrasinais.^[28][29]

Ademais de lucrarse coa delincuencia, o malware pode empregarse para sabotar, a miúdo por razóns políticas. Stuxnet, por exemplo, foi deseñado para interromper equipos industriais moi específicos. Os ataques con motivación política estendéronse e pecharon grandes redes informáticas, incluíndo a eliminación masiva de ficheiros e a corrupción do rexistro de arranque mestre, descrita como "matazón de ordenadores". Estes ataques leváronse a cabo contra Sony Pictures Entertainment (25 de novembro de 2014, usando software malicioso coñecido como Shamoon ou W32.Disttrack) e Saudi Aramco (agosto de 2012).^[30][31]

Tipos

O malware pódese clasificar de varias maneiras e certos programas maliciosos poden clasificarse en dúas ou máis categorías simultaneamente. En termos xerais, o software pódese clasificar en tres tipos: (i) goodware; (ii) greyware; e (iii) malware.^[32]

Clasificación de software potencialmente malicioso
Datos obtidos de: Molina-Coronado et al. (2023)^[32]

Tipo	Características	Exemplos
Goodware	Obtido dunha fonte fiable	Aplicacións de Google Play Software con erros
Greyware	Consenso ou métricas insuficientes	Programas potencialmente non desexados Spyware Adware
Malware	Existe un amplo consenso entre o software antivirus de que o programa é malicioso ou obtivo de fontes sinalizadas.	Virus Worms Rootkits Backdoors Ransomware Cabalos de Troia

Malware

Virus

Artigo principal: Virus informático.

Saída do virus «Kuku» de MS-DOS.

Un virus informático é un software que normalmente se agocha dentro doutro programa aparentemente inofensivo e que pode producir copias de si mesmo e inserilas noutros programas ou ficheiros, e que normalmente realiza unha acción prexudicial (como destruír datos),^[33] polo que foron comparados cos virus biolóxicos.^[3] Un exemplo disto é unha infección por execución portátil, unha técnica que se emprega habitualmente para propagar software malicioso e que insire código ou datos executábeis adicionais nos ficheiros PE.^[34] Un virus informático é un software que se integra noutro software executable (incluído o propio sistema operativo) no sistema de destino sen o coñecemento e consentimento do usuario e, unha vez executado, o virus propágase a outros ficheiros executables.

Worms

Artigo principal: Verme informático.

Volcado hexadecimal do worm Blaster, que mostra unha mensaxe deixada ao cofundador de Microsoft, Bill Gates, polo programador do verme.

Un worm (verme informático) é un elemento de software malicioso autónomo que se propaga activamente por unha rede para infectar outros ordenadores e pode replicarse sen infectar ficheiros. Estas definicións levan á observación de que un virus require que o usuario execute software infectado ou un sistema operativo infectado para que o virus se propague, mentres que un verme se propaga por si só.^[35]

Rootkits

Artigo principal: Rootkit.

Unha vez instalado o software malicioso nun sistema, é fundamental que permaneza oculto para evitar a súa detección. Os paquetes de software coñecidos como rootkits permiten esta ofuscación modificando o sistema operativo anfitrión para que o malware quede oculto ao usuario. Os rootkits poden evitar que un proceso malicioso sexa visible na lista de procesos do sistema ou que se lean os seus ficheiros.^[36]

Algúns tipos de malware conteñen rutinas para evadir os intentos de identificación ou eliminación, non só para ocultarse. Un exemplo temperán deste comportamento está rexistrado no glosario «Jargon File», sobre un par de programas que infestan un sistema de tempo compartido Xerox CP-V:

Cada traballo pantasma detectaba o feito de que o outro fora eliminado e iniciaba unha nova copia do programa recentemente detido en poucos milisegundos. O único xeito de matar a ambas pantasmas era matalas simultaneamente (moi difícil) ou bloquear o sistema deliberadamente.^[37]

Backdoors

Un backdoor («porta traseira») é un termo amplo para un programa informático que permite a un atacante acceso remoto persistente e non autorizado á máquina dunha vítima, a miúdo sen o seu coñecemento.^[38][39] O atacante normalmente emprega outro ataque (como un troiano, worm ou un virus) para eludir os mecanismos de autenticación, normalmente a través dunha rede non segura, como Internet, para instalar a aplicación de porta traseira. Unha porta traseira tamén pode ser un efecto secundario dun erro de software en software lexítimo que é explotado por un atacante para obter acceso ao ordenador ou á rede dunha vítima.

A miúdo suxeriuse a idea de que os fabricantes de ordenadores preinstalen backdoors nos seus sistemas para proporcionar soporte técnico aos clientes, pero isto nunca se verificou de forma fiable. En 2014 informouse de que axencias gobernamentais dos Estados Unidos estaban a desviar ordenadores comprados por aqueles considerados «obxectivos» a talleres secretos onde se instalaba software ou hardware que permitía o acceso remoto por parte da axencia, considerada unha das operacións máis produtivas para obter acceso a redes de todo o mundo.^[40] As portas traseiras poden ser instaladas por troianos, vermes, implantes ou outros métodos.^[41][42]

Cabalos de Troia

Artigo principal: Cabalo de Troia (informática).

Un cabalo de Troia disfrazase de programa ou utilidade normal e benigna para persuadir a unha vítima de que o instale. Un cabalo de Troia normalmente leva unha función destrutiva oculta que se activa cando se inicia a aplicación. O termo deriva da antiga historia grega do cabalo de Troia usado para invadir furtivamente a cidade de Troia.^[43][44]

Os cabalos de Troia adoitan ser espallados por algunha forma de enxeñaría social, por exemplo, cando un usuario é enganado para que execute un anexo de correo electrónico disfrazado de insospeitado (por exemplo, un formulario de rutina que se debe cubrir) ou mediante a "descarga directa". Aínda que a súa carga útil pode ser calquera, moitas formas modernas actúan como unha porta traseira, contactando cun controlador (chamando a casa) que pode obter acceso non autorizado ao ordenador afectado, instalando potencialmente software adicional como un rexistrador de pulsacións de teclas para roubar información confidencial, software de criptominería ou adware para xerar ingresos para o operador troiano.^[45] Aínda que os troianos e as portas traseiras non son doadamente detectables por si sós, os ordenadores poden parecer que funcionan máis lentos, emiten máis calor ou experimentan ruído do ventilador debido ao uso intensivo do procesador ou da rede, como pode ocorrer cando se instala software de criptominería. Os criptomineros poden limitar o uso de recursos ou executarse só durante os períodos de inactividade nun intento de evitar a detección.

A diferenza dos virus e vermes informáticos, os troianos xeralmente non intentan inxectarse noutros ficheiros nin propagarse doutro xeito.^[46]

Na primavera de 2017, os usuarios de Mac foron afectados por unha nova versión do troiano de acceso remoto Proton (RAT),^[47] adestrado para extraer datos de contrasinais de varias fontes, como datos de autocompletado do navegador, bóvedas de contrasinais e o chaveiro do Mac OS.^[48]

Dropper

Os droppers son un subtipo de troianos que teñen como único obxectivo entregar software malicioso ao sistema que infectan, co obxectivo de subvertir a detección mediante unha carga útil lixeira e discreta.^[49] É importante non confundir un dropper cun cargador ou stager. Un cargador ou stager simplemente carga unha extensión do malware (por exemplo, unha colección de funcións maliciosas mediante a inxección reflexiva de bibliotecas de enlaces dinámicos) na memoria. O propósito é manter a etapa inicial lixeira e indetectable. Un dropper simplemente descarga máis software malicioso ao sistema.

Ransomware

Artigo principal: Ransomware.

O ransomware impide que un usuario acceda aos seus ficheiros ata que se pague un rescate. Hai dous tipos de ransomware: o ransomware criptográfico e o ransomware locker.^[50] O ransomware locker simplemente bloquea un sistema informático sen cifrar o seu contido, mentres que o ransomware criptográfico bloquea un sistema e cifra o seu contido. Por exemplo, programas como CryptoLocker cifran ficheiros de forma segura e só os descifran tras o pago dunha suma substancial de diñeiro.^[51]

As pantallas de bloqueo, ou bloqueadores de pantalla, son un tipo de ransomware de "ciberpolicía" que bloquea as pantallas dos dispositivos Windows ou Android con acusacións falsas de recollida ilegal de contido, intentando asustar as vítimas para que paguen unha taxa.^[52] Jisut e SLocker afectan aos dispositivos Android máis que outras pantallas de bloqueo, e Jisut representa case o 60 por cento de todas as deteccións de ransomware de Android.^[53]

O ransomware baseado en cifrado, como o propio nome indica, é un tipo de ransomware que cifra todos os ficheiros dunha máquina infectada. Este tipo de malware mostra unha xanela emerxente informando ao usuario de que os seus ficheiros foron cifrados e que debe pagar (normalmente en Bitcoin) para recuperalos. Algúns exemplos de ransomware baseado en cifrado son CryptoLocker e WannaCry.^[54]

Segundo a Unidade de Delitos Dixitais de Microsoft, en maio de 2025, Lumma Stealer ("Lumma"), que rouba contrasinais, tarxetas de crédito, contas bancarias e carteiras de criptomoedas, é o malware preferido para roubar información usado por centos de actores de ameazas cibernéticas e permite aos delincuentes baleirar contas bancarias, esixir rescates ás escolas e interromper servizos esenciais.^[55]

Fraude de clics

Algúns programas maliciosos utilízanse para xerar diñeiro mediante fraude de clics, facendo que pareza que o usuario do ordenador fixo clic nunha ligazón publicitaria nun sitio web, xerando un pago por parte do anunciante. En 2012 estimouse que entre o 60 e o 70% de todo o software malicioso activo empregaba algún tipo de fraude de clics e que o 22% de todos os clics en anuncios eran fraudulentos.^[56]

Grayware

O grayware é calquera aplicación ou ficheiro non desexado que pode degradar o rendemento do ordenador e supoñer riscos de seguridade, pero para o que non hai consenso ou datos suficientes para clasificalo como malware.^[32] Os tipos de greyware normalmente inclúen spyware, adware, dialers fraudulentos, jokeware (programas de broma) e ferramentas de acceso remoto.^[38] Por exemplo, nun momento dado, os discos compactos Sony BMG instalaron silenciosamente un rootkit nos ordenadores dos compradores para evitar copias ilícitas.^[57]

Programas potencialmente non desexados

Os programas potencialmente non desexados (PUP) son aplicacións que doutro xeito serían consideradas non desexadas, a pesar de que moitas veces se descargan intencionadamente polo usuario.^[58] Entre os programas potencialmente non desexados inclúense spyware, adware e dialers fraudulentos.

Moitos produtos de seguridade clasifican os xeradores de claves como programas potencialmente non desexados, aínda que a miúdo levan software malicioso real máis alá do seu propósito aparente.^[59] De feito, Kammerstetter et al. (2012) estimaron que ata o 55% dos xeradores de claves poden conter software malicioso e que arredor do 36% dos xeradores de claves maliciosos non foron detectados polo software antivirus.^[59]

Adware

Algúns tipos de adware desactivan a protección contra software malicioso e antivirus; existen solucións técnicas dispoñibles.^[60]

Spyware

O spyware é un programa deseñado para supervisar a navegación web dos usuarios, mostrar anuncios non solicitados ou redirixir os ingresos do marketing de afiliados. Os programas spyware non se propagan como virus; en cambio, normalmente instálanse aproveitando fallos de seguridade. Tamén poden ocultarse e combinarse con software non relacionado instalado polo usuario.^[61] O rootkit Sony BMG foi deseñado para evitar a copia ilícita; pero tamén denunciaba os hábitos de escoita dos usuarios e creaba vulnerabilidades de seguridade adicionais sen querer.^[57]

Detección

O software antivirus normalmente usa dúas técnicas para detectar malware: (i) análise estática e (ii) análise dinámica ou heurística.^[62] A análise estática implica estudar o código do software dun programa potencialmente malicioso e producir unha sinatura para ese programa. Esta información utilízase entón para comparar os ficheiros analizados por un programa antivirus. Dado que esta estratexia non é útil para o malware que aínda non foi estudado, o software antivirus pode empregar a análise dinámica para supervisar como se executa o programa nun ordenador e bloquealo se realiza actividades inesperadas.

O obxectivo de calquera software malicioso é ocultarse para que os usuarios ou o software antivirus non o detecten.^[1] Detectar malware potencial é difícil por dúas razóns. A primeira é que é difícil determinar se o software é malicioso.^[32] A segunda é que o software malicioso utiliza medidas técnicas para dificultar a detección.^[62] Estímase que o 33% do software malicioso non é detectado polo software antivirus.^[59]

A técnica antidetección máis empregada consiste en cifrar a carga útil do malware para evitar que o software antivirus recoñeza a sinatura.^[32] Ferramentas como os cifradores inclúen un blob de código malicioso cifrado e un stub de descifrado. O stub descifra o blob e cárgao na memoria. Dado que o software antivirus normalmente non analiza a memoria e só analiza os ficheiros da unidade, isto permite que o malware evada a detección. O malware avanzado pode mutar en diferentes variantes, o que fai que sexa menos probable que se detecte debido ás diferenzas nas súas sinaturas. Isto coñécese como malware polimórfico. Outras técnicas comúns empregadas para evadir a detección inclúen, desde as máis comúns ata as pouco comúns:^[63] (1) evasión da análise e a detección mediante a toma de impresións dixitais do ambiente cando se executa;^[64] (2) métodos confusos de detección de ferramentas automatizadas. Isto permite que o software malicioso evite a detección por tecnoloxías como o software antivirus baseado en sinaturas alterando o servidor empregado polo software malicioso;^[63] (3) evasión baseada no tempo. Isto ocorre cando o software malicioso se executa en momentos específicos ou despois de accións específicas do usuario, polo que se executa durante certos períodos vulnerables, como durante o proceso de arranque, mentres permanece inactivo o resto do tempo; (4) ofuscación de datos internos para que as ferramentas automatizadas non poidan detectar o software malicioso;^[65] (v) técnicas de ofuscación da información, é dicir, stegomalware;^[66] e (5) software malicioso sen ficheiros, que se executa na memoria en lugar de usar ficheiros e utiliza ferramentas do sistema existentes para realizar actos maliciosos. Empregar binarios existentes para levar a cabo actividades maliciosas é unha técnica coñecida como LotL, ou Living off the Land ("Vivir da Terra").^[67] Isto reduce a cantidade de artefactos forenses dispoñibles para a súa análise. Recentemente, este tipo de ataques fixéronse máis frecuentes, cun aumento do 432% en 2017 e representando o 35% dos ataques en 2018. Estes ataques non son fáciles de executar, pero cada vez son máis frecuentes coa axuda de kits de exploits.^[68][69]

Riscos

Software vulnerable

Unha vulnerabilidade é unha debilidade, un fallo ou un erro de software nunha aplicación, nun ordenador completo, nun sistema operativo ou nunha rede informática que é explotada por software malicioso para eludir as defensas ou obter privilexios que require para executarse. Por exemplo, TestDisk 6.4 ou anterior contiña unha vulnerabilidade que permitía aos atacantes inxectar código en Windows.^[70] O software malicioso pode aproveitar defectos de seguranza (erros ou vulnerabilidades de seguranza) no sistema operativo, nas aplicacións (como os navegadores, por exemplo, versións antigas de Microsoft Internet Explorer compatibles con Windows XP^[71]) ou en versións vulnerables de complementos de navegador como Adobe Flash Player, Adobe Acrobat ou Reader, ou Java SE.^[72][73] Por exemplo, un método común é a explotación dunha vulnerabilidade de desbordamento do búfer, onde o software deseñado para almacenar datos nunha rexión específica da memoria non impide que se subministren máis datos dos que o búfer pode aloxar. O malware pode proporcionar datos que desbordan o búfer, con código executable malicioso ou datos despois do final; cando se accede a esta carga útil, fai o que determina o atacante, non o software lexítimo.

O malware pode explotar vulnerabilidades descubertas recentemente antes de que os desenvolvedores teñan tempo de lanzar un parche axeitado.^[6] Mesmo cando se publican novos parches que solucionan a vulnerabilidade, é posible que non se instalen necesariamente de inmediato, o que permite que o software malicioso se aproveite dos sistemas que carecen de parches. Ás veces, mesmo a aplicación de parches ou a instalación de novas versións non desinstala automaticamente as versións antigas.

Hai varias maneiras nas que os usuarios poden manterse informados e protexidos das vulnerabilidades de seguridade do software. Os provedores de software adoitan anunciar actualizacións que solucionan problemas de seguridade.^[74] Ás vulnerabilidades comúns asígnanselles identificadores únicos (ID CVE) e aparecen en bases de datos públicas como a Base de Datos Nacional de Vulnerabilidades. Ferramentas como Secunia PSI,^[75] gratuítas para uso persoal, poden analizar un ordenador en busca de software desactualizado con vulnerabilidades coñecidas e tentar actualizalas. As devasas e os sistemas de prevención de intrusións poden monitorizar o tráfico da rede para detectar actividades sospeitosas que poidan indicar un ataque.^[76]

Privilexios excesivos

Aos usuarios e programas pódenselles asignar máis privilexios dos que precisan, e o software malicioso pode aproveitarse disto. Por exemplo, das 940 aplicacións de Android analizadas, un terzo delas solicitaron máis privilexios dos que necesitaban.^[77] As aplicacións dirixidas á plataforma Android poden ser unha fonte importante de infección por software malicioso, pero unha solución é usar software de terceiros para detectar aplicacións ás que se lles asignaron privilexios excesivos.^[78]

Algúns sistemas permiten que todos os usuarios fagan cambios nos compoñentes ou configuracións principais do sistema, o que hoxe en día se considera acceso excesivamente privilexiado. Este era o procedemento operativo estándar para os primeiros sistemas de microcomputación e ordenadores domésticos, onde non había distinción entre un administrador ou root e un usuario normal do sistema. Nalgúns sistemas, os usuarios que non son administradores teñen privilexios excesivos por deseño, no sentido de que se lles permite modificar as estruturas internas do sistema. Nalgúns contornos, os usuarios teñen privilexios excesivos porque se lles concedeu inadecuadamente o status de administrador ou equivalente.^[79] Isto pode deberse a que os usuarios tenden a esixir máis privilexios dos que necesitan, polo que a miúdo acaban sendo asignados privilexios innecesarios.^[80]

Algúns sistemas permiten que o código executado por un usuario acceda a todos os dereitos dese usuario, o que se coñece como código con sobreprivilexios. Este tamén era o procedemento operativo estándar para os primeiros sistemas de microcomputación e ordenadores domésticos. O software malicioso, que se executa como código con privilexios excesivos, pode usar este privilexio para subvertir o sistema. Case todos os sistemas operativos populares na actualidade, e tamén moitas aplicacións de scripting, permiten demasiados privilexios ao código, normalmente no sentido de que cando un usuario executa código, o sistema concede a ese código todos os dereitos dese usuario.^[81]

Contrasinais débiles

Un ataque de credenciais ocorre cando se piratea unha conta de usuario con privilexios administrativos e esa conta se usa para proporcionarlle ao software malicioso os privilexios axeitados.^[82] Normalmente, o ataque ten éxito porque se usa a forma máis débil de seguridade da conta, que adoita ser un contrasinal curto que se pode descifrar mediante un dicionario ou un ataque de forza bruta. Empregar contrasinais fortes e activar a autenticación en dous pasos pode reducir este risco. Con esta última activada, mesmo se un atacante pode descifrar o contrasinal, non pode usar a conta sen ter tamén o token en posesión do usuario lexítimo desa conta.

Uso do mesmo sistema operativo

A homoxeneidade pode ser unha vulnerabilidade. Por exemplo, cando todos os ordenadores dunha rede executan o mesmo sistema operativo, ao explotar un, un verme pode explotalos a todos:^[83] en particular, Microsoft Windows ou Mac OS X teñen unha cota de mercado tan grande que unha vulnerabilidade explotada que se concentre en calquera dos sistemas operativos podería subvertir un gran número de equipos. Estímase que aproximadamente o 83% das infeccións de software malicioso entre xaneiro e marzo de 2020 se propagaron a través de sistemas con Windows 10.^[84] Este risco mitígase segmentando as redes en diferentes subredes e configurando devasas para bloquear o tráfico entre elas.^[85][86]

Mitigación

Software antivirus/antimalware

Os programas antimalware (ás veces tamén chamados antivirus) bloquean e eliminan algúns ou todos os tipos coñecidos de software malicioso. Por exemplo, Microsoft Security Essentials (para Windows XP, Vista e Windows 7) e Windows Defender (para Windows 8, 10 e 11) ofrecen protección en tempo real. A ferramenta de eliminación de software malicioso de Windows elimina o software malicioso do sistema.^[87] Ademais, hai varios programas antivirus compatibles dispoñibles para a súa descarga gratuíta desde Internet (normalmente restrinxidos ao uso non comercial).^[88] As probas descubriron que algúns programas gratuítos son competitivos cos comerciais.^[88][89][90]

Normalmente, o software antivirus pode combater os programas maliciosos das seguintes maneiras:

1. Protección en tempo real: poden proporcionar protección en tempo real contra a instalación de software malicioso nun ordenador. Este tipo de protección contra malware funciona do mesmo xeito que a protección antivirus, xa que o software antimalware analiza todos os datos de rede entrantes en busca de malware e bloquea calquera ameaza coa que se atope.^[91]
2. Eliminación: os programas antimalware só se poden usar para a detección e eliminación de software malicioso que xa se instalou nun ordenador. Este tipo de software antimalware analiza o contido do rexistro de Windows, os ficheiros do sistema operativo e os programas instalados nun ordenador e proporciona unha lista de calquera ameaza atopada, o que permite ao usuario escoller que ficheiros eliminar ou conservar, ou comparar esta lista cunha lista de compoñentes de software malicioso coñecidos, eliminando os ficheiros que coincidan.^[91]
3. Aislamiento de procesos: o aislamiento de procesos (sandboxing) confina as aplicacións dentro dun ambiente controlado, restrinxindo as súas operacións e illándoas doutras aplicacións no host, á vez que limita o acceso aos recursos do sistema.^[92] O aislamiento de procesos do navegador illa os procesos web, para evitar software malicioso e exploits, mellorando a seguridade.^[91][93]

Protección en tempo real

Un compoñente específico dos programas antimalware, coñecido habitualmente como «escáner en tempo real» ou «en acceso», conéctase profundamente ao núcleo ou kernel do sistema operativo e funciona dun xeito similar a como certo tipo de software malicioso intentaría funcionar, aínda que co permiso informado do usuario para protexer o sistema. Cada vez que o sistema operativo accede a un ficheiro, o analizador no momento do acceso comproba se o ficheiro está infectado ou non. Normalmente, cando se atopa un ficheiro infectado, a execución detense e o ficheiro ponse en corentena coa intención de evitar danos irreversibles no sistema. A maioría dos antivirus permiten aos usuarios anular este comportamento. Isto pode ter un impacto considerable no rendemento do sistema operativo, aínda que o grao de impacto depende de cantas páxinas cree na memoria virtual.^[94]

Aislamiento de procesos

O acondicionamento en zonas de probas (sandboxing) é un modelo de seguridade que confina as aplicacións dentro dun ambiente controlado, restrinxindo as súas operacións a accións "seguras" autorizadas e illándoas doutras aplicacións no host. Tamén limita o acceso aos recursos do sistema como a memoria e o sistema de ficheiros para manter o illamento.^[92]

O aislamiento de procesos do navegador é unha medida de seguridade que illa os procesos e as lapelas do navegador web do sistema operativo para evitar que o código malicioso aproveite as vulnerabilidades. Axuda a protexer contra software malicioso, ataques de día cero e fugas de datos non intencionais ao atrapar código potencialmente prexudicial dentro do ambiente de probas. Implica a creación de procesos separados, a limitación do acceso aos recursos do sistema, a execución de contido web en procesos illados, a monitorización das chamadas do sistema e as restricións de memoria. A comunicación entre procesos (IPC na sigla en inglés) utilízase para a comunicación segura entre procesos. Escapar do ambiente de probas implica atacar vulnerabilidades no mecanismo do sandbox ou nas funcionalidades de sandbox do sistema operativo.^[93][95]

Aínda que o aislamiento de procesos non é infalible, reduce significativamente a superficie de ataque das ameazas comúns. Manter os navegadores e os sistemas operativos actualizados é crucial para mitigar as vulnerabilidades.^[93][95]

Análises de seguridade de sitio web

As análises de vulnerabilidades comproban o sitio web, detectan software malicioso, poden sinalar software desactualizado e informar de problemas de seguridade coñecidos para reducir o risco de que o sitio sexa comprometido.^[96]

Segregación de redes

Estruturar unha rede como un conxunto de redes máis pequenas e limitar o fluxo de tráfico entre elas ao que se sabe que é lexítimo, pode dificultar a capacidade do malware infeccioso para replicarse pola rede máis ampla. As redes definidas por software proporcionan técnicas para implementar estes controis.^[97]

Illamento por «fenda de aire» ou «rede paralela»

Como último recurso, os ordenadores poden protexerse contra o software malicioso, e o risco de que os ordenadores infectados difundan información fiable pode reducirse considerablemente impoñendo unha «fenda de aire» (air gap) (é dicir, desconectándoos completamente de todas as outras redes) e aplicando controis mellorados sobre a entrada e saída de software e datos do mundo exterior. Non obstante, o software malicioso aínda pode cruzar o espazo de seguridade nalgunhas situacións, sobre todo debido á necesidade de introducir software na rede con espazo de seguridade, o que pode danar a dispoñibilidade ou a integridade dos activos nela.^[98] Stuxnet é un exemplo de software malicioso que se introduce no ambiente de destino a través dunha unidade USB, causando danos aos procesos compatibles co ambiente sen necesidade de exfiltrar datos.^[98]

AirHopper,^[99] BitWhisper,^[100] GSMem^[101] e Fansmitter^[102] son catro técnicas introducidas por investigadores que poden filtrar datos de ordenadores con espazos en branco mediante emisións electromagnéticas, térmicas e acústicas.

Tendencias

En 2025, identificouse un crecemento na oferta de «malware como servizo» (Malware-as-a-Service ou MaaS) e «troianos de acceso remoto» (Remote Access Trojan ou RAT) en sitios web escuros, aínda que os operadores de ransomware seguiron activos. Os sectores máis obxectivos nos Estados Unidos foron os de saúde (co 93% das organizacións que informaron de polo menos un ciberataque en 2024), tecnoloxía, finanzas e educación (debido aos recursos de seguridade limitados). Tamén se observou que as linguaxes de programación como Rust e Go están a medrar no mercado da ciberdelincuencia.^[103]