Anexo А. Tipos de amenazas

 Menú principal  Atrás  Adelante

El término “amenaza” se entiende aquí como cualquier tipo de programa que directa o indirectamente puede dañar el ordenador, la red, la información o los derechos del usuario (es decir, software malicioso y no deseado). En un sentido más amplio, el término “amenaza” puede hacer referencia a cualquier peligro potencial para el ordenador o la red (es decir, vulnerabilidades que pueden ser aprovechadas por ataques de hackers).

Todos los tipos de programas listados más abajo tienen potencialmente la capacidad de poner en peligro la información o la confidencialidad del usuario. Los programas que no ocultan su presencia en el sistema (por ejemplo, programas para la distribución de spam o analizadores de tráfico) habitualmente no son considerados amenazas, aunque en ciertas circunstancias pueden provocar daño en el ordenador o red del usuario.

En los productos y documentos de la compañía Doctor Web las amenazas suelen dividirse en dos tipos en función de su grado de peligrosidad:

amenazas importantes: amenazas informáticas clásicas que pueden por sí mismas ejecutar diversas acciones destructivas o ilegales en el sistema (eliminación y robo de información relevante, alteración del funcionamiento de la red, etc.). Este tipo de amenazas informáticas está compuesto por programas habitualmente llamados malware (virus, gusanos y troyanos);

amenazas menores: amenazas informáticas consideradas menos peligrosas en comparación con las importantes, pero que pueden ser utilizadas por terceros para realizar acciones maliciosas. Además, la sola presencia de amenazas menores en el sistema constituye una prueba indudable del bajo nivel de protección del ordenador. Los especialistas en seguridad informática a veces llaman software “gris” o programas potencialmente no deseados a este tipo de amenazas. Entre las amenazas menores cabe mencionar los adware, los dialer, los programas broma, los programas potencialmente peligrosos y los hacktool.

Amenazas mayores

Virus informáticos

Este tipo de amenazas informáticas se caracteriza por la capacidad de implantar su código en el de otros programas. Esa implantación se llama infección. En la mayoría de los casos, el archivo infectado se convierte en portador del virus, mientras que el código implantado no necesariamente coincide en un todo con el original. La mayor parte de los virus es creada para dañar o destruir datos.

En la compañía Doctor Web los virus se dividen según el tipo de archivos que infectan:

los virus de archivo infectan archivos del sistema operativo (a menudo archivos ejecutables y bibliotecas dinámicas) y se activan al ejecutar el archivo infectado;

los macrovirus infectan archivos de documentos utilizados por las aplicaciones Microsoft® Office u otros programas que admiten macrocomandos escritos a menudo en el lenguaje Visual Basic. Los macrocomandos son programas incorporados (macros) escritos en un lenguaje de programación válido y que pueden ejecutarse en determinadas condiciones (por ejemplo, en Microsoft® Word las macros pueden ejecutarse al abrir, cerrar o guardar un documento);

los virus script se escriben en lenguajes de escenarios (scripts) y en la mayoría de los casos contagian otros archivos de escenarios (por ejemplo, archivos auxiliares del sistema operativo). Pueden infectar también otros tipos de archivo que soportan la ejecución de escenarios aprovechando escenarios vulnerables en las aplicaciones web;

los virus de descarga contagian el área de descarga de los discos y secciones, así como las áreas de descarga principales de los discos rígidos. Ocupan muy poca memoria y permanecen listos para ejecutar sus tareas hasta que el usuario inicia, reinicia o cierra el sistema.

La mayoría de los virus cuentan con algún tipo de mecanismo de protección para evitar ser detectados. Los métodos de protección son constantemente mejorados, por eso los programas antivirus desarrollan nuevos modos para superar esa protección. Los virus pueden ser divididos según el tipo de protección que utilizan:

los virus cifrados cifran su código con cada contagio, lo que dificulta su detección en el archivo, memoria o área de descarga. Cada copia de ese virus contiene solo un breve fragmento común (procedimiento de descifrado) que puede ser escogido como firma;

los virus polimórficos utilizan, además del cifrado del código, un procedimiento especial de descifrado que se modifica a sí mismo en cada nueva copia del virus, por lo que tales virus carecen de firma de bytes.

Los virus también pueden clasificarse por el lenguaje en que han sido escritos (en la mayoría de los casos es assembler, lenguajes de programación de alto nivel, lenguajes script, etc.) o por los sistemas operativos afectados.

Gusanos informáticos

Últimamente los programas maliciosos del tipo «gusano informático» han cobrado mayor difusión que los virus y otros programas maliciosos. Al igual que los virus, estos programas pueden crear sus copias. El gusano se infiltra en el ordenador desde la red (a menudo como archivo adjunto en los mensajes de correo) y distribuye sus copias funcionales a otros ordenadores. Para empezar a propagarse los gusanos pueden valerse de las acciones del usuario o del modo automático de selección y ataque del ordenador.

Los gusanos no están necesariamente compuestos por un único archivo (cuerpo del gusano). Muchos gusanos tienen una parte infecciosa (el shellcode) que se descarga en la memoria operativa del ordenador y luego descarga directamente el cuerpo del gusano como un archivo ejecutable a través de la red. Mientras el cuerpo del gusano no está en el sistema, es posible librarse de él reiniciando el ordenador (se limpia la memoria operativa). Pero si el cuerpo del gusano ya está en el sistema, solo puede encargarse de él un antivirus.

Los gusanos, debido a su capacidad de propagación, pueden poner fuera de servicio redes enteras, incluso si no portan ninguna carga útil (es decir, no causan ningún daño directo en el sistema).

En la compañía Doctor Web los gusanos son clasificados según su modo (medio) de propagación:

los gusanos de red se propagan a través de diferentes protocolos de red y protocolos de intercambio de archivos;

los gusanos de correo se propagan a través de protocolos de e-mail (POP3, SMTP, etc.).

Programas troyanos

Este tipo de programas maliciosos no es capaz de reproducirse. Los troyanos ejecutan acciones maliciosas (daño y eliminación de datos, envío de información confidencial, etc.) o permiten el uso no autorizado del ordenador por parte de hackers, por ejemplo, para ocasionar daños a terceros.

Estos programas tienen capacidades de enmascaramiento y daño similares a las de los virus e incluso pueden ser un componente de ellos, pero por regla general los troyanos se propagan como archivos ejecutables separados (a través de archivos de intercambio de los servidores, medios extraíbles de información o archivos adjuntos de correo) que son ejecutados por el mismo usuario o por algún proceso del sistema.

Aquí se ofrece una lista de algunos tipos de programas troyanos que en la compañía Doctor Web dividen en diferentes clases:

backdoors: son troyanos que permiten obtener acceso privilegiado al sistema eludiendo el mecanismo existente de acceso y protección. Los backdoors no infectan archivos, pero se inscriben en el registro modificando las claves;

droppers: son archivos-portadores que contienen en su cuerpo programas maliciosos. Cuando se ejecuta un dropper, este copia en el disco del usuario archivos maliciosos sin informar al usuario y los ejecuta;

los registradores de teclas (keyloggers) se utilizan para recopilar información que el usuario introduce a través del teclado. El objetivo de tales acciones es robar información personal (por ejemplo, contraseñas de red, nombres de usuario, números de tarjetas bancarias, etc.);

los clickers redefinen los vínculos al hacer clic sobre ellos y así redirigen a los usuarios a sitios determinados (potencialmente peligrosos). A menudo el usuario es redirigido con el fin de aumentar el tráfico publicitario de los sitios web o para organizar un ataque de denegación de servicio (ataque DoS);

los troyanos-proxy permiten a los hackers acceder en forma anónima a Internet a través del ordenador de la víctima;

los rootkits se usan para interceptar las funciones de sistema del sistema operativo con el fin de ocultar su presencia en él. Además, un rootkit puede ocultar procesos de otros programas, claves de registro, carpetas y archivos. El rootkit puede propagarse como programa independiente o como componente de otro programa malicioso. Existen dos tipos de rootkits según su modo de operación: los que funcionan en modo usuario (interceptan funciones de biblioteca del modo usuario) (User Mode Rootkits (UMR)), y los que funcionan en modo kernel (interceptan funciones en el nivel del núcleo del sistema, lo que dificulta significativamente su detección y neutralización) (Kernel Mode Rootkits (KMR)).

Además de las acciones arriba indicadas, los troyanos pueden ejecutar otras acciones maliciosas; por ejemplo, cambiar la página de inicio del navegador o eliminar ciertos archivos. Sin embargo, estas acciones también pueden ser ejecutadas por otros tipos de amenazas (por ejemplo, virus y gusanos).

Amenazas menores

Hacktools

Los hacktools son programas creados con el fin de ayudar al intruso. El tipo más extendido de estos programas son los escáners de puertos, que permiten detectar vulnerabilidades de los cortafuegos y de otros componentes del sistema de protección del ordenador. Además de los hackers, estas herramientas pueden ser utilizadas por los administradores para verificar la seguridad de sus redes. A veces entre los hacktools se hallan programas que utilizan técnicas de ingeniería social (elementos de sociotécnica).

Adware

A menudo con este término se hace referencia a un código de programa implementado en programas gratuitos que, al ser utilizados, muestran a la fuerza publicidad a los usuarios. Sin embargo, a veces estos códigos pueden propagarse de manera oculta a través de otros programas maliciosos y mostrar publicidad, por ejemplo en los navegadores. A menudo el adware funciona sobre la base de datos recopilados por programas espías.

Bromas

Es un tipo de programas maliciosos que, al igual que el adware, no dañan directamente el sistema. A menudo no hacen más que generar mensajes sobre errores inexistentes y amenazan con ejecutar acciones que pueden conducir a la pérdida de datos. Su función principal es asustar al usuario o irritarlo.

Dialers

Son programas especiales que utilizan el acceso a Internet desde el permiso del usuario para dirigirse a determinados sitios. A menudo tienen un certificado firmado e informan sobre todas sus acciones.

Riskware

Estos programas no han sido creados para provocar daño, pero en virtud de sus características pueden constituir una amenaza para la seguridad del sistema. A esta categoría pertenecen no solo los programas que pueden dañar o eliminar datos casualmente, sino también aquellos que pueden ser utilizados por los hackers u otros programas para provocar daño en el sistema. Entre tales programas cabe incluir distintas herramientas de acceso remoto y administración, servidores FTP, etc.

Objetos sospechosos

Objeto sospechoso es toda aquella amenaza potencial detectada en el análisis heurístico. Dichos objetos pueden constituir algún tipo de amenaza informática (incluso desconocido para los especialistas en seguridad informática) o resultar seguros en caso de una falsa alarma. Se recomienda mover a la cuarentena los archivos que contienen objetos sospechosos, y también enviarlos para su análisis a los especialistas del laboratorio antivirus de la compañía Doctor Web.