Tipos de amenazas

El término “amenaza” se entiende aquí como cualquier tipo de programa que directa o indirectamente puede dañar el ordenador, la red, la información o los derechos del usuario (es decir, software malicioso y no deseado). En un sentido más amplio, el término “amenaza” puede hacer referencia a cualquier peligro potencial para el ordenador o la red (es decir, vulnerabilidades que pueden ser aprovechadas por ataques de hackers).

Todos los tipos de programas descritos a continuación tienen el potencial de poner en peligro los datos del usuario o su privacidad. Los programas que no ocultan su presencia en el sistema (por ejemplo, algunos programas de envío de spam o analizadores de tráfico) no suelen considerarse una amenaza informática, aunque en determinadas circunstancias también pueden perjudicar al usuario.

Virus informáticos

Este tipo de amenazas informáticas se caracteriza por la capacidad de implantar su código en el de otros programas. Esa implantación se llama infección. En la mayoría de los casos, el archivo infectado se convierte en portador del virus, mientras que el código implantado no necesariamente coincide en un todo con el original. La mayor parte de los virus es creada para dañar o destruir datos.

En la compañía Doctor Web los virus se dividen según el tipo de archivos que infectan:

•Archivos de virus infectan archivos del sistema operativo (generalmente archivos ejecutables y bibliotecas dinámicas) y se activan al acceder a un archivo infectado.

•Macrovirus infectan los documentos que utilizan programas del paquete Microsoft® Office (y otros programas que utilizan macros escritas, por ejemplo, en el idioma Visual Basic). Macros son programas integrados escritos en un lenguaje de programación completo que se puede ejecutar bajo ciertas condiciones (por ejemplo, en Microsoft® Word las macros se pueden ejecutar al abrir, cerrar o guardar un documento).

•Virus script se escriben en lenguajes de secuencias de comandos (scripts) y en la mayoría de los casos infectan otros archivos de secuencias de comandos (por ejemplo, archivos de servicio del sistema operativo). También pueden infectar otros tipos de archivos que admiten secuencias de comandos al explotar las secuencias de comandos vulnerables en aplicaciones web.

•Virus de arranque infectan los sectores de arranque de discos y particiones, así como los principales sectores de arranque de los discos duros. Ocupan muy poca memoria y permanecen listos para realizar sus funciones hasta que el sistema se descarga, reinicia o apaga.

La mayoría de los virus cuentan con algún tipo de mecanismo de protección para evitar ser detectados. Los métodos de protección son constantemente mejorados, por eso los programas antivirus desarrollan nuevos modos para superar esa protección. Los virus pueden ser divididos según el tipo de protección que utilizan:

•Virus cifrados cifran su código con cada nueva infección, lo que dificulta su detección en un archivo, memoria o sector de arranque. Cada instancia de un virus de este tipo contiene solo un breve fragmento general (procedimiento de descifrado) que se puede seleccionar como firma.

•Virus polimórficos utilizan, además del cifrado del código, un procedimiento especial de descifrado que se modifica a sí mismo en cada nueva copia del virus, por lo que tales virus carecen de firma de bytes.

•Virus stealth (virus invisibles) realizan acciones especiales para ocultar sus actividades con el fin de ocultar su presencia en los objetos infectados. Dicho virus elimina las características de un objeto antes de infectarlo y luego transfiere los datos antiguos cuando lo solicita el sistema operativo o un programa que busca archivos modificados.

Los virus también se pueden clasificar por el lenguaje en el que están escritos (la mayoría están escritos en lenguaje ensamblador, pero también hay virus escritos en lenguajes de programación de alto nivel, lenguajes de scripting, etc.) y por los sistemas operativos que infectan.

Gusanos informáticos

Recientemente, el malware de tipo “gusanos informáticos” se ha vuelto mucho más común que los virus y otro malware. Al igual que los virus, estos programas pueden crear copias de sí mismos, pero no infectan otros objetos. El gusano penetra en una computadora desde la red (más a menudo como un archivo adjunto en mensajes de correo electrónico o en Internet) y envía sus copias funcionales a otras computadoras. Para comenzar a propagarse, los gusanos pueden usar tanto las acciones del usuario como el modo automático de seleccionar y atacar una computadora.

Los gusanos no están necesariamente compuestos por un único archivo (cuerpo del gusano). Muchos gusanos tienen una parte infecciosa (el shellcode) que se descarga en la memoria operativa del ordenador y luego descarga directamente el cuerpo del gusano como un archivo ejecutable a través de la red. Mientras el cuerpo del gusano no está en el sistema, es posible librarse de él reiniciando el ordenador (se limpia la memoria operativa). Pero si el cuerpo del gusano ya está en el sistema, solo puede encargarse de él un antivirus.

Los gusanos, debido a su capacidad de propagación, pueden poner fuera de servicio redes enteras, incluso si no portan ninguna carga útil (es decir, no causan ningún daño directo en el sistema).

En la compañía Doctor Web los gusanos son clasificados según su modo (medio) de propagación:

•Los Gusanos de red se propagan a través de diferentes protocolos de red y protocolos de intercambio de archivos;

•Los Gusanos de correo se propagan a través de protocolos de e-mail (POP3, SMTP, etc.).

•Gusanos de chat se distribuyen utilizando programas de mensajería instantánea populares (ICQ, IM, IRC, etc.).

Programas troyanos

Este tipo de malware no es capaz de autorreplicarse. Los caballos de Troya reemplazan a cualquiera de los programas que se lanzan con frecuencia y realizan sus funciones (o imitan la ejecución de estas funciones), al mismo tiempo que realizan acciones maliciosas (dañar y eliminar datos, enviar información confidencial, etc.), o hacer posible el uso no autorizado computadora por un intruso, por ejemplo, para dañar a terceros.

Estos programas tienen capacidades de enmascaramiento y daño similares a las de los virus e incluso pueden ser un componente de ellos, pero por regla general los troyanos se propagan como archivos ejecutables separados (a través de archivos de intercambio de los servidores, medios extraíbles de información o archivos adjuntos de correo) que son ejecutados por el mismo usuario o por algún proceso del sistema.

Es muy difícil clasificar los troyanos, en primer lugar, porque a menudo se propagan por virus y gusanos, y en segundo lugar, las acciones maliciosas que pueden realizar otros tipos de amenazas suelen atribuirse solo a los troyanos. A continuación se muestra una lista de algunos tipos de troyanos que Doctor Web clasifica en clases separadas:

•Backdoors: son troyanos que permiten obtener acceso privilegiado al sistema eludiendo el mecanismo existente de acceso y protección. Los backdoors no infectan archivos, pero se inscriben en el registro modificando las claves;

•Rootkits se usan para interceptar las funciones de sistema del sistema operativo con el fin de ocultar su presencia en él. Además, un rootkit puede ocultar procesos de otros programas, claves de registro, carpetas y archivos. El rootkit puede propagarse como programa independiente o como componente de otro programa malicioso. Existen dos tipos de rootkits según su modo de operación: los que funcionan en modo usuario (interceptan funciones de biblioteca del modo usuario) (User Mode Rootkits — UMR), y los que funcionan en modo kernel (interceptan funciones en el nivel del núcleo del sistema, lo que dificulta significativamente su detección y neutralización) (Kernel Mode Rootkits — KMR).

•Registradores de teclas (keyloggers) se utilizan para recopilar información que el usuario introduce a través del teclado. El objetivo de tales acciones es robar información personal (por ejemplo, contraseñas de red, nombres de usuario, números de tarjetas bancarias, etc.);

•Clickers redefinen los vínculos al hacer clic sobre ellos y así redirigen a los usuarios a sitios determinados (potencialmente peligrosos). A menudo el usuario es redirigido con el fin de aumentar el tráfico publicitario de los sitios web o para organizar un ataque de denegación de servicio (ataque DDoS).

•Troyanos-proxy permiten a los hackers acceder en forma anónima a Internet a través del ordenador de la víctima.

Además de las acciones arriba indicadas, los troyanos pueden ejecutar otras acciones maliciosas; por ejemplo, cambiar la página de inicio del navegador o eliminar ciertos archivos. Sin embargo, estas acciones también pueden ser ejecutadas por otros tipos de amenazas (por ejemplo, virus y gusanos).

Hacktools

Los hacktools son programas creados con el fin de ayudar al intruso. El tipo más extendido de estos programas son los escáners de puertos, que permiten detectar vulnerabilidades de los cortafuegos y de otros componentes del sistema de protección del ordenador. Además de los hackers, estas herramientas pueden ser utilizadas por los administradores para verificar la seguridad de sus redes. A veces entre los hacktools se hallan programas que utilizan técnicas de ingeniería social (elementos de sociotécnica).

Adware

A menudo con este término se hace referencia a un código de programa implementado en programas gratuitos que, al ser utilizados, muestran a la fuerza publicidad a los usuarios. Sin embargo, a veces estos códigos pueden propagarse de manera oculta a través de otros programas maliciosos y mostrar publicidad, por ejemplo en los navegadores. A menudo el adware funciona sobre la base de datos recopilados por programas espías.

Bromas

Es un tipo de programas maliciosos que, al igual que el adware, no dañan directamente el sistema. A menudo no hacen más que generar mensajes sobre errores inexistentes y amenazan con ejecutar acciones que pueden conducir a la pérdida de datos. Su función principal es asustar al usuario o irritarlo.

Dialers

Estos son programas informáticos especiales diseñados para escanear una variedad de números de teléfono para encontrar uno que el módem responda. En el futuro, los atacantes utilizan los números encontrados para liquidar los pagos del teléfono o para conectar de forma invisible al usuario a través de un módem a los costosos servicios telefónicos de pago.

Riskware

Estos programas no fueron diseñados para dañar, pero debido a su naturaleza, pueden representar una amenaza para la seguridad del sistema. Estos programas incluyen no solo aquellos que pueden dañar o eliminar datos accidentalmente, sino también aquellos que pueden ser utilizados por piratas informáticos u otros programas para dañar el sistema. Los programas potencialmente peligrosos incluyen varios programas de administración y comunicación remota, servidores FTP, etc.

Objetos sospechosos

Los objetos sospechosos incluyen cualquier amenaza potencial detectada mediante análisis heurístico. Dichos objetos pueden ser cualquier tipo de amenaza informática (quizás incluso desconocida para los especialistas en seguridad de la información) o pueden ser seguros en caso de un falso positivo. Se recomienda poner en cuarentena los archivos que contengan objetos sospechosos y enviarlos para su análisis a los especialistas del laboratorio antivirus Doctor Web.