Malware

Un malware (unha amálgama de software malicioso)^[1] é calquera software deseñado intencionadamente para interromper un ordenador, servidor, cliente ou rede informática, filtrar información privada, obter acceso non autorizado a información ou sistemas, privar do acceso á información ou interferir sen sabelo na privacidade e seguridade do ordenador dun usuario.^{[1][2][3][4][5]} Os investigadores tenden a clasificar o malware nun ou máis subtipos (é dicir, virus informáticos, vermes, cabalos de Troia, bombas lóxicas, ransomware, spyware, adware, software fraudulento, wipers e keyloggers).^[1]

Malware
Instancia de tipo de software
Subclase de programa informático Badware software Risco de seguranza
Historia cronoloxía dos virus e vermes informáticos
Medio usado Vector de ataque
[ Wikidata ] [ C:Commons ]

Características

O software malicioso supón graves problemas para particulares e empresas en Internet.^[6][7] Segundo o Informe de ameazas á seguridade en Internet (ISTR) de Symantec de 2018, o número de variantes de software malicioso aumentou ata as 669.947.865 en 2017, o que supón o dobre de variantes de software malicioso que en 2016.^[8] Prevese que a ciberdelincuencia, que inclúe ataques de software malicioso e outros delitos informáticos, lle custe á economía mundial 6 billóns de dólares en 2021 e está a medrar a un ritmo do 15% anual.^[9] Desde 2021, o software malicioso deseñouse para dirixirse a sistemas informáticos que executan infraestruturas críticas, como as redes de distribución de electricidade.^[10]

As estratexias de defensa contra o software malicioso varían segundo o tipo, pero a maioría pódense frustrar instalando software antivirus, devasas, aplicando parches regulares, protexendo as redes contra intrusións, facendo copias de seguridade regulares e illando os sistemas infectados. O software malicioso pode estar deseñado para evadir os algoritmos de detección do software antivirus.^[8]

Historia

A noción dun programa informático autorreplicante remóntase ás primeiras teorías sobre o funcionamento de autómatas complexos. John von Neumann demostrou que, en teoría, un programa podía reproducirse a si mesmo.^[11] Isto constituíu un resultado plausible na teoría da computabilidade. Fred Cohen experimentou con virus informáticos e confirmou o postulado de Neumann e investigou outras propiedades do malware, como a detectabilidade e a autoofuscación mediante criptografía rudimentaria. A súa tese doutoral de 1987 tratou sobre o tema dos virus informáticos.^[12] A combinación da tecnoloxía criptográfica como parte da carga útil dos virus, explotándoa con fins de ataque, foi pioneira e investigada desde mediados da década de 1990 e inclúe as primeiras ideas de ransomware e evasión.^[13]

Antes de que o acceso a Internet se xeneralizase, os virus propagáronse aos ordenadores persoais infectando programas executables ou os sectores de arranque dos disquetes. Ao inserir unha copia de si mesmo nas instrucións do código máquina destes programas ou sectores de arranque, un virus provoca a súa execución cada vez que se executa o programa ou se inicia o disco. Os primeiros virus informáticos foron escritos para Apple II e Mac, pero xeneralizáronse co dominio do IBM PC e MS-DOS. O primeiro virus de IBM PC que se produciu foi un virus de sector de arranque alcumado (c)Brain, creado en 1986 polos irmáns Farooq Alvi en Paquistán.^[14] Os distribuidores de software malicioso enganaban aos usuarios para que arrancasen ou executasen desde dispositivos ou soportes infectados. Por exemplo, un virus podía enganar a un ordenador infectado para que engadise código autoexecutable a calquera unidade flash USB que estivese conectada a el. Calquera que logo conectase a unidade flash a outro ordenador que estivese configurado para executarse automaticamente desde USB infectaríase e transmitiría a infección do mesmo xeito.^[15]

O software de correo electrónico máis antigo, abría automaticamente correos electrónicos HTML que contiñan código JavaScript potencialmente malicioso. Os usuarios tamén podían executar anexos de correos electrónicos maliciosos disfrazados. O Informe de investigacións de violacións de datos de 2018 de Verizon, citado por CSO Online, afirma que o correo electrónico é o principal método de entrega de software malicioso, representando o 96% das entregas de malware en todo o mundo.^[16][17]

Os primeiros worms, programas infecciosos que se propagaban polas redes, non se orixinaron en ordenadores persoais, senón en sistemas Unix multitarefa. O primeiro worm coñecido foi o Morris de 1988, que infectou os sistemas SunOS e VAX BSD. A diferenza dun virus, este verme non se inseriu noutros programas. En vez diso, aproveitou os buratos de seguridade (vulnerabilidades) nos programas dos servidores de rede e comezou a executarse como procesos separados.^[18] Este mesmo comportamento tamén o empregan os vermes hoxe en día.^[19]

Co ascenso da plataforma Microsoft Windows na década de 1990, e as macros flexibles das súas aplicacións, fíxose posible escribir código infeccioso na linguaxe de macros de Microsoft Word e programas similares. Estes virus de macros infectan documentos e modelos en lugar de aplicacións (executables), pero baséanse no feito de que as macros dun documento de Word son unha forma de código executable.^[20]

Moitos dos primeiros programas infecciosos, incluído o verme Morris, o primeiro worm de Internet, foron escritos como experimentos ou bromas.^[21] Hoxe en día, tanto os hackers sombreiros negros como os gobernos, empregan o malware para roubar información persoal, financeira ou empresarial.^[22][23] Hoxe en día, calquera dispositivo que se conecte a un porto USB (mesmo luces, ventiladores, altofalantes, xoguetes ou periféricos como un microscopio dixital) pode empregarse para propagar malware. Os dispositivos poden infectarse durante a produción ou a entrega se o control de calidade é inadecuado.^[15]

Obxectivos

Desde a chegada do acceso xeneralizado a internet de banda ancha, o malware deseñouse cada vez máis con fins lucrativos. Desde 2003, os virus e vermes máis estendidos foron deseñados para tomar o control dos ordenadores dos usuarios con fins ilícitos.^[24] Os "ordenadores zombis" infectados poden usarse para enviar correos electrónicos de spam, aloxar datos de contrabando como pornografía infantil,^[25] ou participar en ataques de denegación de servizo distribuídos como forma de extorsión.^[26] O malware úsase amplamente contra sitios web gobernamentais ou corporativos para recompilar información confidencial,^[27] ou para interromper o seu funcionamento. O software malicioso tamén se pode empregar contra individuos para obter información como números ou datos de identificación persoal, números bancarios ou de tarxetas de crédito e contrasinais.^[28][29]

Ademais de lucrarse coa delincuencia, o malware pode empregarse para sabotar, a miúdo por razóns políticas. Stuxnet, por exemplo, foi deseñado para interromper equipos industriais moi específicos. Os ataques con motivación política estendéronse e pecharon grandes redes informáticas, incluíndo a eliminación masiva de ficheiros e a corrupción do rexistro de arranque mestre, descrita como "matazón de ordenadores". Estes ataques leváronse a cabo contra Sony Pictures Entertainment (25 de novembro de 2014, usando software malicioso coñecido como Shamoon ou W32.Disttrack) e Saudi Aramco (agosto de 2012).^[30][31]

Tipos

O malware pódese clasificar de varias maneiras e certos programas maliciosos poden clasificarse en dúas ou máis categorías simultaneamente. En termos xerais, o software pódese clasificar en tres tipos: (i) goodware; (ii) greyware; e (iii) malware.^[32]

Clasificación de software potencialmente malicioso
Datos obtidos de: Molina-Coronado et al. (2023)^[32]

Tipo	Características	Exemplos
Goodware	Obtido dunha fonte fiable	Aplicacións de Google Play Software con erros
Greyware	Consenso ou métricas insuficientes	Programas potencialmente non desexados Spyware Adware
Malware	Existe un amplo consenso entre o software antivirus de que o programa é malicioso ou obtivo de fontes sinalizadas.	Virus Worms Rootkits Backdoors Ransomware Cabalos de Troia

Malware

Virus

Artigo principal: Virus informático.

Saída do virus «Kuku» de MS-DOS.

Un virus informático é un software que normalmente se agocha dentro doutro programa aparentemente inofensivo e que pode producir copias de si mesmo e inserilas noutros programas ou ficheiros, e que normalmente realiza unha acción prexudicial (como destruír datos),^[33] polo que foron comparados cos virus biolóxicos.^[3] Un exemplo disto é unha infección por execución portátil, unha técnica que se emprega habitualmente para propagar software malicioso e que insire código ou datos executábeis adicionais nos ficheiros PE.^[34] Un virus informático é un software que se integra noutro software executable (incluído o propio sistema operativo) no sistema de destino sen o coñecemento e consentimento do usuario e, unha vez executado, o virus propágase a outros ficheiros executables.

Worms

Volcado hexadecimal do worm Blaster, que mostra unha mensaxe deixada ao cofundador de Microsoft, Bill Gates, polo programador do verme.

Un worm (verme informático) é un elemento de software malicioso autónomo que se propaga activamente por unha rede para infectar outros ordenadores e pode replicarse sen infectar ficheiros. Estas definicións levan á observación de que un virus require que o usuario execute software infectado ou un sistema operativo infectado para que o virus se propague, mentres que un verme se propaga por si só.^[35]

Rootkits

Artigo principal: Rootkit.

Unha vez instalado o software malicioso nun sistema, é fundamental que permaneza oculto para evitar a súa detección. Os paquetes de software coñecidos como rootkits permiten esta ofuscación modificando o sistema operativo anfitrión para que o malware quede oculto ao usuario. Os rootkits poden evitar que un proceso malicioso sexa visible na lista de procesos do sistema ou que se lean os seus ficheiros.^[36]

Algúns tipos de malware conteñen rutinas para evadir os intentos de identificación ou eliminación, non só para ocultarse. Un exemplo temperán deste comportamento está rexistrado no glosario «Jargon File», sobre un par de programas que infestan un sistema de tempo compartido Xerox CP-V:

Cada traballo pantasma detectaba o feito de que o outro fora eliminado e iniciaba unha nova copia do programa recentemente detido en poucos milisegundos. O único xeito de matar a ambas pantasmas era matalas simultaneamente (moi difícil) ou bloquear o sistema deliberadamente.^[37]

Backdoors

Un backdoor («porta traseira») é un termo amplo para un programa informático que permite a un atacante acceso remoto persistente e non autorizado á máquina dunha vítima, a miúdo sen o seu coñecemento.^[38][39] O atacante normalmente emprega outro ataque (como un troiano, worm ou un virus) para eludir os mecanismos de autenticación, normalmente a través dunha rede non segura, como Internet, para instalar a aplicación de porta traseira. Unha porta traseira tamén pode ser un efecto secundario dun erro de software en software lexítimo que é explotado por un atacante para obter acceso ao ordenador ou á rede dunha vítima.

A miúdo suxeriuse a idea de que os fabricantes de ordenadores preinstalen backdoors nos seus sistemas para proporcionar soporte técnico aos clientes, pero isto nunca se verificou de forma fiable. En 2014 informouse de que axencias gobernamentais dos Estados Unidos estaban a desviar ordenadores comprados por aqueles considerados «obxectivos» a talleres secretos onde se instalaba software ou hardware que permitía o acceso remoto por parte da axencia, considerada unha das operacións máis produtivas para obter acceso a redes de todo o mundo.^[40] As portas traseiras poden ser instaladas por troianos, vermes, implantes ou outros métodos.^[41][42]

Cabalos de Troia

Artigo principal: Cabalo de Troia (informática).

Un cabalo de Troia disfrazase de programa ou utilidade normal e benigna para persuadir a unha vítima de que o instale. Un cabalo de Troia normalmente leva unha función destrutiva oculta que se activa cando se inicia a aplicación. O termo deriva da antiga historia grega do cabalo de Troia usado para invadir furtivamente a cidade de Troia.^[43][44]

Os cabalos de Troia adoitan ser espallados por algunha forma de enxeñaría social, por exemplo, cando un usuario é enganado para que execute un anexo de correo electrónico disfrazado de insospeitado (por exemplo, un formulario de rutina que se debe cubrir) ou mediante a "descarga directa". Aínda que a súa carga útil pode ser calquera, moitas formas modernas actúan como unha porta traseira, contactando cun controlador (chamando a casa) que pode obter acceso non autorizado ao ordenador afectado, instalando potencialmente software adicional como un rexistrador de pulsacións de teclas para roubar información confidencial, software de criptominería ou adware para xerar ingresos para o operador troiano.^[45] Aínda que os troianos e as portas traseiras non son doadamente detectables por si sós, os ordenadores poden parecer que funcionan máis lentos, emiten máis calor ou experimentan ruído do ventilador debido ao uso intensivo do procesador ou da rede, como pode ocorrer cando se instala software de criptominería. Os criptomineros poden limitar o uso de recursos ou executarse só durante os períodos de inactividade nun intento de evitar a detección.

A diferenza dos virus e vermes informáticos, os troianos xeralmente non intentan inxectarse noutros ficheiros nin propagarse doutro xeito.^[46]

Na primavera de 2017, os usuarios de Mac foron afectados por unha nova versión do troiano de acceso remoto Proton (RAT),^[47] adestrado para extraer datos de contrasinais de varias fontes, como datos de autocompletado do navegador, bóvedas de contrasinais e o chaveiro do Mac OS.^[48]

Dropper

Os droppers son un subtipo de troianos que teñen como único obxectivo entregar software malicioso ao sistema que infectan, co obxectivo de subvertir a detección mediante unha carga útil lixeira e discreta.^[49] É importante non confundir un dropper cun cargador ou stager. Un cargador ou stager simplemente carga unha extensión do malware (por exemplo, unha colección de funcións maliciosas mediante a inxección reflexiva de bibliotecas de enlaces dinámicos) na memoria. O propósito é manter a etapa inicial lixeira e indetectable. Un dropper simplemente descarga máis software malicioso ao sistema.