Etiqueta: malware

Publicado el

La inteligencia sobre las Amenazas en la Ciberseguridad

Debido a la constante evolución de los malware, una herramienta esencial a tomar en cuenta por las organizaciones es el uso de la inteligencia sobre las amenazas. Cuando una organización tiene activos nacionales, financieros, personales o intelectuales, mantener un enfoque completo de seguridad es la única manera de protegerse de la ciberdelincuencia, para ello debe utilizar una solución activa y eficaz como la inteligencia sobre las amenazas.

Esta herramienta combina información de múltiples fuentes, lo que proporciona una pantalla de protección más eficaz para su red.

Las organizaciones comprenden la necesidad de adoptar una herramienta como la inteligencia sobre amenazas, en su arquitectura de seguridad, que sea incisiva, en tiempo real, que brinde información actualizada sobre las técnicas de hackeo y los vectores de ataque con la finalidad de prevenir ataques.

La inteligencia sobre las amenazas debe abarcar todas las superficies de ataques, incluidos los dispositivos móviles, la nube, la red, los puntos de conexión y el IoT (internet de las cosas), vectores de ataque muy comunes en las organizaciones, esto nos ayudara a frenar las amenazas, controlar la red, tener una respuesta rápida ante incidentes y ataques

 Familias de Malware

  • Agent Tesla es un RAT avanzado que funciona como un registrador de pulsaciones de teclas e interceptación de contraseñas, capaz de monitorear y recopilar el ingreso de datos a través del teclado de la victima y del portapapeles del sistema, capturas de pantalla y extraer credenciales.
  • AZORult troyano que recopila y extrae datos del sistema infectado, puede enviar contraseñas guardadas, archivos locales, criptobilleteras e información del perfil de la PC a un servidor C&C remoto.
  • Cerberus es un RAT con funciones especificas de pantallas bancarias superpuestas para dispositivos Android, opera en un modelo de MaaS (Malware como un servicio), toma el control de mensajes de texto, registro de teclas, rastreo de ubicación, entre otros
  • Clop es un ransomware dirigido a grandes empresas y corporaciones, ejecuta una estrategia de doble extorsión, además de cifrar los datos, los atacantes amenazan con publicar la información robada si no cumplen con las demandas de rescate.
  • Coinhive es un servicio de criptomineria diseñado para realizar minería no autorizada en la línea de la criptomoneda Monero, cuando el usuario visita una pagina web en particular, utiliza gran cantidad de recursos informáticos de la maquina infectada, afectando su rendimiento.
  • Danabot es un troyano bancario modular escrito en Delphi dirigido a plataformas Windows, se distribuye mediante correos electrónicos maliciosos de spam, descargando código de configuración actualizados y otros módulos de servidor C&C que incluyen un sniffer para interceptar credenciales, un stealer para robar contraseñas de aplicaciones populares, un modulo VNC para control remoto entre otros.
  • DarkGate es un malware multifunción que combina capacidades de ransomware, robo de credenciales, RAT y criptomineria, principalmente al sistema Windows, emplea una variedad de técnicas de evasión.
  • DoppelPaymer variante del ransomware BitPaymer que apunta principalmente a medianas y grandes empresas, además de cifrar los datos, amenazan con publicarlos si no atienden sus demandas de rescate.
  • Dridex es un troyano bancario que tiene como objetivo la plataforma Windows, se introduce mediante campañas de spam y kits de explotación, se basa en seminarios web para interceptar y redirigir credenciales bancarias a un servidor controlado por los atacantes. También puede descargar y ejecutar módulos para el control remoto.
  • Emotet es un troyano modular de auto propagación, se utiliza como distribuidor de otros malware utilizando múltiples métodos para mantener la persistencia y técnicas de evasión, se puede propagar por correo electrónico de suplantación de identidad (phishing)
  • Formbook es un interceptor de información dirigido al sistema operativo Windows. Se distribuye a modo de MaaS en foros de hackeo ilegales, recopila credenciales de varios navegadores web y capturas de pantalla, controla y registra pulsaciones de teclas y puede descargar y ejecutar archivos.
  • Glupteba es una puerta trasera que gradualmente se convirtió en botnet.
  • Guerrilla es un troyano para Android incrustado en múltiples aplicaciones legitimas y con la capacidad de descargar cargas útiles maliciosas adicionales, genera ingresos publicitarios fraudulentos para los desarrolladores de aplicaciones.
  • Hawkeye es un malware de interceptación de información para Windows diseñado para robar credenciales de correo electrónico, registro de pulsaciones de teclas, actualmente tiene la capacidad de tomar capturas de pantalla, propagarse a través de USB, se vende como un MaaS.
  • Hiddad es un malware para Android que reempaqueta aplicaciones legitimas y las libera en tiendas de terceros, su función principal es mostrar anuncios, pero también pude obtener acceso a datos de seguridad clave integrados en el sistema operativo.
  • IcedID es un troyano que se propaga mediante spam y utiliza otros malware como Emotet para ayudar a su propagación, roba datos financieros a través de ataques de redireccionamiento.
  • JSEcoin es un criptominero basado en la web, realiza la minería de la criptomoneda Monero, ceso su actividad en abril 2020.
  • KPOT es un troyano que tiene como objetivo la plataforma Windows, roba información personal de diversas fuentes como navegadores web, cuentas Microsoft, mensajería instantánea, FTP, correos electrónicos, VPN, RPD, criptomonedas, software de juegos, enviando la información recopilada al servidor remoto, toma capturas de pantalla.
  • Lokibot es un interceptor de información de consumo para Windows, recolecta credenciales desde diversas aplicaciones, navegadores web, clientes de correo electrónico, herramientas de administración TI.
  • Lotoor es una herramienta de hackeo que aprovecha las vulnerabilidades de los sistemas operativos Android con el fin de obtener privilegios de usuario raíz de los dispositivos móviles infectados.
  • Lucifer es un criptominero y malware hibrido de DDoS que aprovecha las vulnerabilidades Windows, utiliza ataques de fuerza bruta para obtener credenciales de inicio de sesión e invadir servidores y equipos Windows, actualmente evoluciono a un malware multiplataforma y de múltiples arquitecturas con Linux y dispositivos IoT como objetivo.
  • Maze es un ransomware de doble extorsión, además de cifrar los datos de las victimas, publican los datos si sus demandas de rescate no son atendidas.
  • Mirai es un malware de IoT (internet de las cosas) que rastrea dispositivos IoT vulnerables como cámaras web, módems, enrutadores y los convierte en bots, utilizado por sus operadores para llevar a cabo ataques masivos de DDoS.
  • MyloBot es un botnet equipado con técnicas complejas de evasión como anti-VM, anti-sandbox y anti-depuración, permite tomar el control total del sistema.
  • NanoCore es un troyano de acceso remoto que fija los usuarios del sistema operativo Windows, puede efectuar capturas de pantalla, minería de criptomonedas, control remoto del robo de sesión del escritorio y cámara web.
  • Necro es un instalador de troyanos para Android, puede descargar otros malware, mostrar anuncios y cobrar fraudulentamente por suscripciones de pago.
  • NRSMiner es un criptominero utiliza la vulnerabilidad EternalBlue para propagarse a otras computadoras vulnerables en redes internas.
  • Phorpiex es un botnet también conocido como Trik, puede distribuir otras familias de malware a través de campañas de spam y campañas de extorsión sexual a gran escala.
  • PreAMo es un malware de clics para dispositivos Android, genera ingresos al imitar al usuario y hacer clic en anuncios sin el conocimiento del usuario.
  • Predator the Thief es un interceptor de información sofisticado, puede extraer contraseñas, acceder a la cámara de la victima y robar información de billeteras de criptomonedas.
  • Pykspa es un gusano que se propaga mediante el envío de mensajes instantáneos a os contactos Skype, extrae información personal del usuario y se comunica con servidores remotos mediante un algoritmo de generación de dominio.
  • Qbot también conocido como Qakbot, troyano bancario diseñado para robar las credenciales bancarias y las pulsaciones de teclas de los usuarios, distribuido por correo electrónico de spam, emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección.
  • Ragnar Locker es un ransomware que utiliza técnicas sofisticadas de evasión, como una maquina virtual en sistemas específicos para ocultar su actividad, también utilizan la doble extorsión.
  • Ramnit es un troyano bancario modular que roba la información de la sesión web y brinda a los operadores la capacidad de robar las credenciales de las cuentas de todos los servicios utilizados por la victima, cuentas bancarias, corporativas y de redes sociales, utiliza dominios con códigos fijos y dominios generados por un algoritmo de generación de dominio DGA para comunicarse con el servidor C&C.
  • Remcos es un RAT que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos spam, diseñado para evitar la seguridad de control de cuentas de usuario (User Account Control UAC) de Microsoft Windows y ejecutar malware con privilegios de alto nivel.
  • RigEK el mas antiguo y conocido de los exploits kits, sus servicios están a la venta en foros de hackeo y en la red TOR, ha evolucionado para entregar desde AZORult y Dridex hasta ransomware y criptomineros poco conocidos.
  • RubyMiner Esta dirigido a servidores Windows y Linux, busca servidores web vulnerables como PHP, Microsoft IIS y Ruby on Rails para usar en criptomineria mediante el minero de Monero de código abierto XMRig.
  • Ryuk es un ransomware utilizado por el grupo TrickBot en ataques bien planificados contra varias organizaciones en todo el mundo, es una derivación del ransomware Hermes cuyas capacidades técnicas son relativamente bajas, incluyen un instalador básico y un sistema de cifrado sencillo, sin embargo, logro causar graves daños a las organizaciones objetivo y las forzó a pagar rescates extremadamente altos en bitcoins, este ransomware se utiliza en ataques personalizados.
  • Sodinokibi es un ransomware como servicio que opera un programa de afiliados, cifra los datos en el directorio del usuario y elimina las copias de seguridad con el fin de dificultar la recuperación de los datos. Se propaga a través de las vulnerabilidades de servidores y del spam, por hackeo en los sistemas de back-end de los proveedores de servicios administrados (Managed Service Provider MSP), campañas de publicidad maliciosa con redirección al kit de explotación de RIG.
  • Trickbot es un troyano bancario modular dirigido a la plataforma de Windows, se introduce a través de campañas de spam u otras familias de malware como Emotet, envía información del sistema infectado, pudiendo descargar y ejecutar una variedad de módulos arbitrarios incluyendo un modulo VNC para control remoto y un modulo SMB para propagarse dentro de una red comprometida, puede no solo robar credenciales bancarias de la PC objetivo, sino también para el movimiento y reconocimiento laterales en la organización objetivo en si, antes de implementar un ataque de ransomware a toda la organización.
  • Ursnif es una variante del troyano bancario de Gozi para Windows, cuyo código fuente se ha filtrado en línea, tiene capacidades como las del ataque Man-in-the-browser para robar información y las credenciales bancarias para los servicios populares en línea, además puede robar información de clientes de correo electrónico, exploradores, billeteras de criptomonedas, descargar y ejecutar archivos adicionales en el sistema infectado.
  • Valak originalmente era un instalador de malware, fue mejorado con capacidades de interceptación de información, se propaga a través de campañas de malspam y suele responder a los hilos de correo electrónico de una cuenta comprometida. Este malware se envía junto con otro malware como Ursnif.
  • Vidar es un interceptador de información que fija los sistemas Windows, diseñado para robar contraseñas, datos de tarjetas de crédito, información confidencial de diversos navegadores web, billeteras digitales. Se vende en varios foros en línea y se utiliza como un instalador de malware para descargar el ransomware GrandCrab.
  • WannaMine es n sofisticado gusano de criptomineria Monero, se propaga mediante la vulnerabilidad EternalBlue, implementa un mecanismo de propagación y técnicas de persistencia aprovechando las suscripciones de eventos. (Windows Management Instrumentation WMI)
  • xHelper es un malware de Android que muestra principalmente anuncios intrusivos de ventanas emergentes y spam de notificaciones, es muy difícil eliminarlo por sus capacidades de reinstalación.
  • XMRig es un software de minería de CPU de código abierto utilizado para extraer la criptomoneda Monero, los atacantes utilizan este software para integrarlo a un malware.
  • Zeus es un troyano para Windows, se utiliza para robar información bancaria, credenciales de la cuenta que son enviadas a los atacantes mediante una cadena de servidores de comando y control. (C&C)
  • Zloader es un malware bancario que utiliza inyecciones web para robar credenciales e información privada, puede extraer contraseñas y cookies del navegador web de la victima, descarga VNC lo que permite conectarse al sistema y realizar transacciones financieras desde el dispositivo del usuario.
Publicado el

Seguridad para el Trabajo Remoto

Con el reciente aumento del número de empleados que trabajan desde casa como resultado del brote de COVID-19, la red empresarial se ha dispersado y crecido considerablemente, ocasionando que sea mas difícil controlar y asegurar la información. 

Si bien es cierto las organizaciones pueden implementar estrategias y herramientas de control para mitigar los riesgos para una fuerza de trabajo móvil dispersa, son los propios empleados los llamados a garantizar buenas practicas en su trabajo, no confiar en nada ni en nadie por defecto aumentando el nivel de seguridad.

Los trabajadores remotos deben tomar las medidas necesarias para proteger su red doméstica, utilizar aplicaciones de forma responsable y bloquear sus dispositivos, tanto por su propia seguridad como para los sistemas corporativos, puesto que es probable que estén conectados gran parte del día.

Lo que suceda en la red doméstica puede transmitirse fácilmente a la empresa, especialmente cuando no se cumplen con las buenas prácticas o se emplean aplicaciones que pueden afectar la seguridad tanto de la red domestica como la corporativa.

Bajo el concepto de confianza cero los usuarios deben considerar que tanto los dispositivos como las redes son hostiles y asumir que todo puede ser una vía de ataque potencial, hasta que puedan ser validados y verificar que no lo son.

Vectores de ataque

Los atacantes utilizan una amplia variedad de medios para infectar a sus objetivos. Siendo necesario tomar conciencia sobre los vectores de ataque:

Ingeniería social

La ingeniería social se aprovecha de una de las vulnerabilidades más difíciles de mitigar, nuestra tendencia innata a confiar y utiliza muchas formas desde correos electrónicos, llamadas telefónicas, redes sociales.

La ingeniería social puede explotar muchas formas, desde correos electrónicos de phishing maliciosos y notificaciones falsas de fuentes aparentemente confiables. 

El mejor consejo para reducir la probabilidad de ser víctima de una operación de ingeniería social es simplemente pensar antes de actuar. Los ingenieros sociales cuentan que el objetivo es una persona distraída que no prestan mucha atención a lo que están haciendo. Busque señales de que algo anda mal, confíe en su instinto, si le dice que algo anda mal y no parece correcto, no se sienta presionado para actuar, si no está seguro, simplemente deje de hacer lo que está haciendo y póngase en contacto con su equipo de seguridad de TI para obtener ayuda. 

Acceso físico al dispositivo

Un atacante con acceso físico a un dispositivo no seguro puede instalar el software malicioso o tomar el control de las cuentas. Esto se puede hacer de varias formas, que van desde la inserción de un dispositivo de almacenamiento extraíble como una memoria USB, instalación de programas maliciosos desde una ubicación en línea o accediendo a cuentas en las que los usuarios ya han iniciado sesión.

El mejor consejo aquí es que nunca deje su dispositivo desatendido, ni siquiera por un breve momento, y asegúrese siempre de usar un bloqueo de pantalla habilitado con contraseña con un tiempo de espera automático establecido, incluso cuando se encuentra en entornos de confianza como la oficina o el hogar.              

Explotaciones de vulnerabilidad de las aplicaciones

Las vulnerabilidades dentro de las aplicaciones presentes en un dispositivo se pueden aprovechar para obtener acceso remoto.  Si bien no se puede hacer mucho acerca de las vulnerabilidades desconocidas es preciso garantizar que el sistema operativo y cada pieza de software instalada en el dispositivo están actualizados. 

Para obtener la mejor protección, habilite las actualizaciones automáticas para el sistema operativo y el software para que no tenga que realizar un seguimiento de cuándo están saliendo nuevas versiones, y puede estar seguro de que recibirá los parches tan pronto como estén disponibles. 

Además, cierre sus aplicaciones cuando no esté en uso, es menos probable que un atacante pueda aprovechar una vulnerabilidad de una aplicación si no está abierta, esto incluye a las aplicaciones que aparentemente están cerradas, pero en realidad estas se ejecutan en segundo plano. 

 Es importante crear un perfil de usuario en su dispositivo para el uso diario que no tiene privilegios administrativos habilitado para que los atacantes no puedan aprovechar esos privilegios. Además, asegúrese de que los dispositivos tengan un conjunto de soluciones de protección de endpoints que pueden evitar la explotación de vulnerabilidades desconocidas.

Aplicaciones maliciosas y permisos excesivos

Aplicaciones maliciosas descargadas de sitios web de terceros no verificados e incluso algunas que están en tiendas de aplicaciones legítimas, pueden ser aprovechados por los atacantes para comprometer un dispositivo. Verifique los permisos que solicitan las aplicaciones antes de la descarga. pregúntese ¿Realmente la aplicación necesita acceso a su cámara, micrófono, mensajería y contactos? si no está seguro, comuníquese con su equipo de seguridad de TI para ser asistido.

Sitios web maliciosos y comprometidos

Las infecciones pueden ocurrir al visitar sitios web controlados por atacantes. Este tipo de ataques a menudo se denominan ataques «drive-by» o «watering hole» dependiendo de la naturaleza de la operación. La mayoría de las personas comprenden los riesgos de la navegación web casual y la posibilidad de ser infectados con un malware, sin embargo, la mayoría no se dan cuenta cuando sitios web legítimos han sido comprometidos, o albergan una biblioteca de anuncios maliciosos que pueden infectar un dispositivo.

Hay algunas cosas que puede hacer para prevenir estas situaciones, como asegurarse de que su navegador esté actualizado a la última versión, instalando un programa bloqueador de anuncios legítimo y simplemente actuar con buen juicio y no navegar por la web en forma riesgosa.

Infecciones a través de cables de carga USB

Conectar su dispositivo móvil a una estación de carga o PC comprometida con un cable USB podría provocar una infección de malware.  Tenga presente que siempre que utilice una conexión USB para cargar el dispositivo móvil, existen riesgos debido a que el cable está diseñado para energía y datos.

Ataques a través de interfaces inalámbricos

Los dispositivos que tienen capacidades de interfaz inalámbrica pueden ser atacados a través de la red celular, conexiones, Wi-Fi, Bluetooth o comunicaciones de campo cercano (NFC): esa es la naturaleza del riesgo en cualquier forma de conectividad cuando no está conectado pero habilitado, pueden revelar información sobre el dispositivo que pueden aprovechar en un ataque, por lo que es una buena practica desactivarlos por completo cuando no estén en uso.

Además, cambie las contraseñas y los pines predeterminados para los dispositivos que se conectan a través de Bluetooth, deshabilite la función de conexión automática. Recuerde también que, aunque las conexiones NFC solo pueden efectuarse a una distancia muy corta, la conexión no es segura, apáguela cuando no esta en uso.

 Código malicioso

Dependiendo del tipo de malware que infecte sus dispositivos, un atacante puede hacer  prácticamente cualquier cosa en su dispositivo y en algunos casos mucho más, como el software espía, puede grabar llamadas telefónicas, audios, conversaciones, y registrar pulsaciones de teclas para robar información como credenciales de inicio de sesión. Algunos programas espía también pueden leer mensajes de texto y utilizarse para socavar la autenticación multifactor.

Los troyanos de acceso remoto (RAT) pueden permitir que un atacante tome el control total de su dispositivo y modificar la configuración de este o tomar capturas de pantalla. Los RAT también pueden permitirles hacerse pasar por ti y potencialmente infectar a otros en su red. Si alguien tiene acceso a su correo electrónico, redes sociales, medios y aplicaciones de texto, podrían engañar fácilmente a tus contactos pensando que son comunicaciones hechas por ti.

El malware también presenta problemas de privacidad generales, especialmente si permite el acceso del atacante a su correo electrónico personal, mensajes de texto, mensajes de voz, contenido de aplicaciones de chat y registro de llamadas. Algunos programas maliciosos también pueden permitir la recuperación de datos de ubicación, historial de navegación y medios almacenados como fotos y videos, datos personales confidenciales e incluso datos corporativos si usa su dispositivo para trabajar. Por último, pero no menos importante, está el ransomware. Si bien todo el malware es malo, el ransomware es quizás el peor de su clase en algunos aspectos. Cuando un dispositivo está infectado, el ransomware cifrará todos los datos y luego normalmente produce un mensaje para el propietario del dispositivo con instrucciones sobre cómo obtener la clave de cifrado para restaurar sus datos, pero esto tiene un costo significativo de rescate. Depende del propietario del dispositivo decidir si pagar o no un rescate para recuperar datos, y existen buenos argumentos a favor y en contra de hacerlo y riesgos específicos. Si paga, es posible que no recupere sus datos o podría generar más demandas de pago. Si no paga, corre el riesgo de perder todo lo que hay en el dispositivo. Obviamente lo mejor es no contraer una infección de ransomware si es posible.

Comportamiento de navegación arriesgado

Una de las cosas más fáciles que pueden hacer todos los usuarios para reducir significativamente el riesgo de dispositivos comprometidos, es abstenerse de comportamientos riesgosos de navegación web. Esto requiere tener conocimiento de los tipos de sitios web de los que se abusa con mayor frecuencia en los ataques y simplemente evitarlos. Si bien algunos de los comportamientos de navegación más riesgosos involucran sitios web de naturaleza adulta, hay muchos tipos de sitios web que tienen altas probabilidades de ser empleados en ataques a los usuarios, en estos sitios se pueden descargar música y películas que a menudo se promocionan en las redes sociales, ofrecen encuestas u otras novedades, así mismo, sitios web de apuestas, sitios con ventanas emergentes excesivas o que promocionen y noticias, además los usuarios también deben ser conscientes de que incluso los sitios web legítimos pueden ser utilizados para difundir malware, incluidos sitios web de juegos populares o sitios de noticias y entretenimiento.

Desactivar todas las descargas automáticas

Es una buena practica cuando esté en línea, deshabilitar las descargas automáticas de todos los archivos multimedia, como imágenes, audio, video y archivos de documentos, en aplicaciones y navegadores. Aunque es bueno desplazarse por los feeds de las redes sociales y hacer clic en todos los contenidos, puede poner en riesgo a la empresa si esta utilizando el dispositivo para el trabajo.

Comprobación de URL y documentos abreviados

URL abreviadas, que son particularmente populares en sitios de redes sociales como Twitter que tienen límites de caracteres, presentan un problema potencial para los usuarios porque no muestran exactamente a donde se dirige el enlace. Además, los acotadores de URL personalizados que se utilizan para crear enlaces URL personalizados que aparentan ser legítimos, pueden ser utilizados para dirigir a un sitio web malicioso.

A menudo, se puede ver la ruta de destino de una URL abreviada simplemente colocando el cursor del mouse sobre la dirección antes de hacer clic. 

SSL / HTTPS y seguridad del sitio web

Algunos sitios web se adhirieran a las mejores prácticas de seguridad al ofrecer conexiones encriptadas, como sitios bancarios y de comercio electrónico donde la información confidencial es intercambiada. Esas prácticas deberían estar vigentes para todos y cada uno de los sitios web independientemente de si hay información sensible o no, ya que protege a los usuarios de ataques.

Al visitar cualquier sitio web, los usuarios deben asegurarse de ver “HTTPS” y / o el ícono del candado en la barra de direcciones URL para asegurarse de que el trafico del sitio web se encuentra encriptado mediante Secure Socket 

Algunos navegadores incluso notificarán al usuario si el sitio web tiene la reputación de ser riesgoso o malicioso. Es una buena idea prestar atención a estas advertencias y evitar esos sitios. También hay herramientas y servicios disponibles que proporcionan filtrado de DNS que bloquea automáticamente los sitios web no seguros.

El correo electrónico es uno de los principales vectores de ataque y no podemos dejar de enfatizar lo importante que es estar atento cuando se trata de la seguridad del correo electrónico; Como usuarios finales, nos hemos acostumbrado demasiado a utilizar el correo electrónico para fines de rutina con niveles de comunicación a menudo voluminosos, siendo fácil bajar la guardia y obviamente los atacantes conocen esto.

Phishing y Spear Phishing

La mayoría de nosotros probablemente conocemos los riesgos de los correos electrónicos no deseados que pueden ser parte de campañas de phishing. 

El phishing es una forma de ingeniería social en la que los atacantes intentan engañar a los destinatarios para que revelen información confidencial o ejecuten un archivo con malware infectando su dispositivo y la red a la que esta conectado. 

Spear phishing lleva el phishing a otro nivel mediante el aprovechamiento de información privilegiada relacionada con el objetivo, aumentando significativamente la probabilidad de que el ataque tenga éxito.  Puede incluir el uso de correos electrónicos falsificados, diseñados para parecer que son de un remitente legítimo y confiable, comprometiendo cuentas de correo electrónico personal o corporativas utilizadas en un ataque. 

Los correos electrónicos de suplantación de identidad pueden incluir enlaces maliciosos o documentos contaminados que pueden generar una infección de malware o simplemente pueden contener instrucciones para navegar a un sitio web que parece legítimo pero que esta controlado por los atacantes donde se le pide al objetivo que ingrese las credenciales de la cuenta u otra información confidencial.

Publicado el

¿QUÉ ES SPYWARE?

El spyware es un tipo de Malware o «software malicioso» que recopila y comparte información sobre una computadora o red sin el consentimiento del usuario. Se puede instalar como un componente oculto de paquetes de software genuinos o a través de vectores de Malware tradicionales, como anuncios engañosos, sitios web, correo electrónico, mensajes instantáneos, así como conexiones directas para compartir archivos. A diferencia de otros tipos de Malware, el spyware es muy utilizado no solo por organizaciones criminales, sino también por anunciantes y compañías sin escrúpulos que usan spyware para recopilar datos de mercado de los usuarios sin su consentimiento. Independientemente de su origen, el software espía se oculta al usuario y a menudo es difícil de detectar, sin embargo puede provocar síntomas de degradación del rendimiento del sistema y un comportamiento inusual (ventanas emergentes, página de inicio del navegador redirigida, resultados de búsqueda, etc.) .

Usar un Spyware para infectar un sistema para sustraer información tiene poco valor si el atacante no puede obtener la información. Para tal efecto, el software espía emplea una variedad de técnicas para comunicarse con el atacante de manera que no genere sospechas ni genere atención de los equipos de seguridad de la información .

Como herramienta de publicidad, el software espía se utiliza para recopilar y vender información de usuarios a anunciantes interesados ​​u otras partes interesadas. El spyware puede recopilar casi cualquier tipo de datos, incluidos los hábitos de navegación web y la actividad de descarga. Quizás la mayor preocupación relacionada con el software espía es que, independientemente de si se puede detectar la presencia o no, el usuario no tiene ni idea de qué información se captura, envía o usa, ni dispone de mecanismo o tecnología para averiguarlo.

El Spyware puede usar key loggers para obtener detalles personales como nombre del usuario, dirección, contraseñas, información bancaria, crediticia y la información de seguridad social. Puede escanear archivos en el disco duro del sistema, interceptar otras aplicaciones, instalar software espía adicional, leer cookies y modificar la configuración de Internet del sistema y las bibliotecas vinculadas dinámicamente (DLL). Esto puede abrir la puerta para invitar a más malware, ocasionando fallas en el ordenador y en la conexión de Internet, que pueden reflejarse como anuncios emergentes, ya sea en línea o fuera de línea, fallas de conectividad  en la configuración de Internet.

Además de las amenazas declaradas que el software espía representa para las computadoras infectadas, también puede ser un gran consumidor de recursos del sistema, acaparando la potencia del procesador, la memoria RAM, los discos y el tráfico de red. La degradación del rendimiento resultante puede provocar fallos o inestabilidad general del sistema. Algunos programas espía incluso deshabilitan o eliminan los programas de software espía de la competencia y pueden detectar e interceptar los intentos del usuario de eliminarlo.

El spyware se puede prevenir mediante una combinación de controles de seguridad de red y el punto final. Las funciones antispyware a menudo se integran en productos de software antivirus modernos que brindan protección al sistema. 

Publicado el

¿QUÉ ES UN MALWARE?

Malware («software malicioso») es un archivo o código, que generalmente se propaga a través de una red, que infecta, explora, roba o conduce prácticamente cualquier comportamiento que desee un atacante. Aunque varía el tipo y capacidades, el malware generalmente tiene uno de los siguientes objetivos:

  • Proporcionar control remoto para que un atacante use una máquina infectada.
  • Envía spam desde la máquina infectada a objetivos confiados.
  • Investigue la red local del usuario infectado.
  • Robar datos sensibles.

Malware es un término que involucra todo tipo de software malicioso:

Virus: programas que se copian a sí mismos a través de una PC o red. Los virus se incorporan a los programas existentes y  se activan cuando el usuario abre el programa. En el peor de los casos, los virus pueden corromper o eliminar datos, usar el correo electrónico del usuario para propagarse o borrar todo en un disco duro.

Gusanos: virus de autorreplicación que aprovechan las vulnerabilidades de seguridad para propagarse automáticamente a través de computadoras y redes. A diferencia de muchos virus, los gusanos no se adjuntan a programas existentes ni alteran archivos. Por lo general, pasan desapercibidos hasta que la replicación alcanza una escala que consume recursos significativos del sistema o el ancho de banda de la red.

Troyanos: software malicioso disfrazado de lo que pareciera ser un software legítimo. Una vez activados, los troyanos realizarán la acción para la que fueron programados. A diferencia de los virus y gusanos, los troyanos no se replican ni se reproducen a través de la infección. «Troyano» alude a la historia mitológica de los soldados griegos escondidos dentro de un caballo de madera que fue entregado a la ciudad enemiga de Troya.

Rootkits: programas que proporcionan acceso privilegiado (nivel de raíz) a una PC. Los rootkits varían y se esconden en el sistema operativo.

Herramientas de administración remota (RAT): software que permite a un operador remoto controlar un sistema. Estas herramientas se construyeron originalmente para uso legítimo, sin embargo ahora son utilizadas por delincuentes informáticos. Las RAT permiten el control administrativo, lo que permite a un atacante hacer casi cualquier cosa en una computadora infectada. Son difíciles de detectar, ya que no suelen aparecer en listas de programas o tareas en ejecución y sus acciones a menudo se confunden con las acciones de programas legítimos.

Botnets: («red de robots»), son redes de computadoras infectadas bajo el control de atacantes individuales que utilizan servidores de comando y control. Los botnets son altamente versátiles y adaptables, capaces de mantener la capacidad de recuperación a través de servidores redundantes y al usar computadoras infectadas para retransmitir el tráfico. Los botnets son a menudo los ejércitos detrás de los ataques distribuidos de denegación de servicio (DDoS).

Spyware: software malicioso que recopila información sobre el uso de la computadora infectada y la comunica al atacante. El término incluye botnets, adware, keyloggers, robo de datos y gusanos de red.

Malware polimórfico : cualquiera de los tipos de malware anteriores con la capacidad de «transformarse» regularmente, alterando la apariencia del código y manteniendo el algoritmo en su interior. La alteración de la apariencia superficial del software subvierte la detección a través de firmas de virus tradicionales.

Abrir chat
¿Necesitas ayuda?
Hola,

Si tuvieses alguna duda y/o consulta, será un placer para nosotros poder ayudarte.

Comunícate con nosotros directamente vía Whatsapp, donde resolveremos todas tus dudas y preguntas.

Contacte ahora!!