Malware (un acrónimo de software malicioso ) [1] es cualquier software diseñado intencionalmente para causar interrupción en una computadora , servidor , cliente o red informática , filtrar información privada, obtener acceso no autorizado a información o sistemas, privar el acceso a información, o que interfiere sin saberlo con la seguridad y privacidad del ordenador del usuario . [1] [2] [3] [4] [5] Los investigadores tienden a clasificar el malware en uno o más subtipos (es decir, virus informáticos , gusanos , caballos de Troya , ransomware , spyware , adware , software malicioso , limpiadores y registradores de pulsaciones de teclas ) . . [1]
El malware plantea serios problemas a personas y empresas en Internet. [6] [7] Según el Informe sobre amenazas a la seguridad en Internet (ISTR) de 2018 de Symantec , el número de variantes de malware aumentó a 669 947 865 en 2017, lo que representa el doble de variantes de malware que en 2016. [8] Cibercrimen , que incluye ataques de malware así como otros delitos cometidos por computadora, se prevé que costará a la economía mundial 6 billones de dólares en 2021 y está aumentando a un ritmo del 15% anual. [9] Desde 2021, se ha diseñado malware para atacar sistemas informáticos que ejecutan infraestructuras críticas, como la red de distribución de electricidad . [10]
Las estrategias de defensa contra el malware difieren según el tipo de malware, pero la mayoría pueden frustrarse instalando software antivirus , firewalls , aplicando parches regulares , protegiendo las redes contra intrusiones, realizando copias de seguridad periódicas y aislando los sistemas infectados . Se puede diseñar malware para evadir los algoritmos de detección del software antivirus. [8]
La noción de un programa informático que se reproduce a sí mismo se remonta a las teorías iniciales sobre el funcionamiento de autómatas complejos. [11] John von Neumann demostró que, en teoría, un programa podría reproducirse a sí mismo. Esto constituyó un resultado de plausibilidad en la teoría de la computabilidad . Fred Cohen experimentó con virus informáticos, confirmó el postulado de Neumann e investigó otras propiedades del malware, como la detectabilidad y la autoofuscación mediante cifrado rudimentario. Su tesis doctoral de 1987 versó sobre el tema de los virus informáticos. [12] La combinación de tecnología criptográfica como parte de la carga útil del virus, explotándola con fines de ataque, se inicializó e investigó desde mediados de la década de 1990, e incluye ransomware inicial e ideas de evasión. [13]
Antes de que el acceso a Internet se generalizara, los virus se propagaban en las computadoras personales infectando programas ejecutables o sectores de arranque de disquetes. Al insertar una copia de sí mismo en las instrucciones del código de máquina en estos programas o sectores de arranque , un virus hace que se ejecute cada vez que se ejecuta el programa o se arranca el disco. Los primeros virus informáticos se escribieron para Apple II y Macintosh , pero se generalizaron con el predominio de IBM PC y el sistema MS-DOS . El primer virus para PC de IBM que apareció "salvaje" fue un virus del sector de arranque denominado (c)Brain , [14] creado en 1986 por los hermanos Farooq Alvi en Pakistán. [15] Los distribuidores de malware engañarían al usuario para que iniciara o ejecutara desde un dispositivo o medio infectado. Por ejemplo, un virus podría hacer que una computadora infectada agregue un código ejecutable automáticamente a cualquier memoria USB conectada a ella. Cualquiera que luego conectara el dispositivo a otra computadora configurada para ejecutarse automáticamente desde USB se infectaría y también transmitiría la infección de la misma manera. [dieciséis]
El software de correo electrónico más antiguo abriría automáticamente el correo electrónico HTML que contenía código JavaScript potencialmente malicioso . Los usuarios también pueden ejecutar archivos adjuntos de correo electrónico maliciosos disfrazados. El Informe de investigaciones de vulneración de datos de 2018 de Verizon , citado por CSO Online , afirma que los correos electrónicos son el método principal de entrega de malware y representan el 96 % de la entrega de malware en todo el mundo. [17] [18]
Los primeros gusanos, programas infecciosos transmitidos por la red , no se originaron en computadoras personales, sino en sistemas Unix multitarea. El primer gusano conocido fue el gusano Morris de 1988, que infectó los sistemas SunOS y VAX BSD . A diferencia de un virus, este gusano no se insertaba en otros programas. En cambio, aprovechó los agujeros de seguridad ( vulnerabilidades ) en los programas del servidor de red y comenzó a ejecutarse como un proceso separado . [19] Los gusanos actuales también utilizan este mismo comportamiento. [20]
Con el auge de la plataforma Microsoft Windows en la década de 1990 y las macros flexibles de sus aplicaciones, fue posible escribir código infeccioso en el lenguaje de macros de Microsoft Word y programas similares. Estos virus de macro infectan documentos y plantillas en lugar de aplicaciones ( ejecutables ), pero se basan en el hecho de que las macros en un documento de Word son una forma de código ejecutable . [21]
Muchos de los primeros programas infecciosos, incluido el gusano Morris , el primer gusano de Internet, se escribieron como experimentos o bromas. [22] Hoy en día, tanto los hackers de sombrero negro como los gobiernos utilizan el malware para robar información personal, financiera o empresarial. [23] [24] Hoy en día, cualquier dispositivo que se conecte a un puerto USB (incluso luces, ventiladores, parlantes, juguetes o periféricos como un microscopio digital) puede usarse para propagar malware. Los dispositivos pueden infectarse durante la fabricación o el suministro si el control de calidad es inadecuado. [dieciséis]
Desde el aumento del acceso generalizado a Internet de banda ancha , el software malicioso se ha diseñado con mayor frecuencia con fines de lucro. Desde 2003, la mayoría de los virus y gusanos más difundidos han sido diseñados para tomar el control de los ordenadores de los usuarios con fines ilícitos. [25] Las " computadoras zombies " infectadas pueden usarse para enviar correo no deseado , alojar datos de contrabando como pornografía infantil , [26] o participar en ataques distribuidos de denegación de servicio como forma de extorsión . [27] El malware se utiliza ampliamente contra sitios web gubernamentales o corporativos para recopilar información confidencial, [28] o para interrumpir su funcionamiento en general. Además, el malware se puede utilizar contra personas para obtener información como números o detalles de identificación personal, números de tarjetas bancarias o de crédito y contraseñas. [29] [30]
Además de para ganar dinero con fines delictivos, el malware puede utilizarse para sabotajes, a menudo por motivos políticos. Stuxnet , por ejemplo, fue diseñado para alterar equipos industriales muy específicos. Ha habido ataques por motivos políticos que se extendieron y cerraron grandes redes informáticas, incluida la eliminación masiva de archivos y la corrupción de registros maestros de arranque , lo que se describe como "asesinato de computadoras". Estos ataques se realizaron contra Sony Pictures Entertainment (25 de noviembre de 2014, utilizando un malware conocido como Shamoon o W32.Disttrack) y Saudi Aramco (agosto de 2012). [31] [32]
Hay muchas formas posibles de clasificar el malware y algunos programas maliciosos pueden superponerse en dos o más categorías. [1] En términos generales, el software se puede clasificar en tres tipos: [33] (i) goodware; (ii) greyware y (iii) malware.
Un virus informático es un software normalmente oculto dentro de otro programa aparentemente inofensivo que puede producir copias de sí mismo e insertarlas en otros programas o archivos, y que normalmente realiza una acción dañina (como destruir datos). [34] Se les ha comparado con virus biológicos . [3] Un ejemplo de esto es una infección de ejecución portátil, una técnica, generalmente utilizada para propagar malware, que inserta datos adicionales o código ejecutable en archivos PE . [35] Un virus informático es un software que se incrusta en algún otro software ejecutable (incluido el propio sistema operativo) en el sistema de destino sin el conocimiento y consentimiento del usuario y, cuando se ejecuta, el virus se propaga a otros archivos ejecutables.
Un gusano es un software malicioso independiente que se transmite activamente a través de una red para infectar otras computadoras y puede copiarse a sí mismo sin infectar archivos. Estas definiciones llevan a la observación de que un virus requiere que el usuario ejecute un software o sistema operativo infectado para que se propague, mientras que un gusano se propaga solo. [36]
Una vez que se instala software malicioso en un sistema, es esencial que permanezca oculto para evitar ser detectado. Los paquetes de software conocidos como rootkits permiten este ocultamiento modificando el sistema operativo del host para que el malware quede oculto al usuario. Los rootkits pueden evitar que un proceso dañino sea visible en la lista de procesos del sistema o impedir que se lean sus archivos. [37]
Algunos tipos de software dañino contienen rutinas para evadir los intentos de identificación y/o eliminación, no simplemente para ocultarse. Un ejemplo temprano de este comportamiento se registra en la historia de Jargon File sobre un par de programas que infestan un sistema de tiempo compartido Xerox CP-V :
Cada trabajo fantasma detectaría el hecho de que el otro había sido eliminado e iniciaría una nueva copia del programa recientemente detenido en unos pocos milisegundos. La única forma de matar a ambos fantasmas era matarlos simultáneamente (muy difícil) o bloquear deliberadamente el sistema. [38]
Una puerta trasera es un término amplio para un programa informático que permite a un atacante acceso remoto no autorizado persistente a la máquina de una víctima, a menudo sin su conocimiento. [39] El atacante normalmente utiliza otro ataque (como un troyano , un gusano o un virus ) para eludir los mecanismos de autenticación, generalmente a través de una red no segura, como Internet, para instalar la aplicación de puerta trasera. Una puerta trasera también puede ser un efecto secundario de un error de software legítimo que un atacante aprovecha para obtener acceso a la computadora o red de la víctima.
A menudo se ha sugerido la idea de que los fabricantes de computadoras preinstalen puertas traseras en sus sistemas para brindar soporte técnico a los clientes, pero esto nunca se ha verificado de manera confiable. En 2014 se informó que agencias del gobierno estadounidense habían estado desviando computadoras compradas por aquellos considerados "objetivos" a talleres secretos donde se instalaba software o hardware que permitía el acceso remoto por parte de la agencia, considerada una de las operaciones más productivas para obtener acceso a las redes de todo el mundo. el mundo. [40] Las puertas traseras pueden instalarse mediante caballos de Troya, gusanos , implantes u otros métodos. [41] [42]
Un caballo de Troya se tergiversa para hacerse pasar por un programa o utilidad normal y benigna con el fin de persuadir a la víctima para que lo instale. Un caballo de Troya suele llevar una función destructiva oculta que se activa cuando se inicia la aplicación. El término se deriva de la historia griega antigua del caballo de Troya utilizado para invadir sigilosamente la ciudad de Troya . [43] [44]
Los caballos de Troya generalmente se propagan mediante alguna forma de ingeniería social , por ejemplo, cuando se engaña a un usuario para que ejecute un archivo adjunto de correo electrónico disfrazado de no sospechoso (por ejemplo, un formulario de rutina que debe completar), o mediante una descarga no autorizada . Aunque su carga útil puede ser cualquier cosa, muchas formas modernas actúan como una puerta trasera, contactando a un controlador (llamando a casa) que luego puede tener acceso no autorizado a la computadora afectada, instalando potencialmente software adicional como un registrador de teclas para robar información confidencial, software de criptominería o adware. para generar ingresos para el operador del troyano. [45] Si bien los caballos de Troya y las puertas traseras no son fácilmente detectables por sí solos, puede parecer que las computadoras funcionan más lentamente, emiten más calor o ruido del ventilador debido al uso intensivo del procesador o de la red, como puede ocurrir cuando se instala software de criptominería. Los criptomineros pueden limitar el uso de recursos y/o ejecutarse solo durante los tiempos de inactividad en un intento de evadir la detección.
A diferencia de los virus y gusanos informáticos, los caballos de Troya generalmente no intentan inyectarse en otros archivos ni propagarse de ninguna otra manera. [46]
En la primavera de 2017, los usuarios de Mac se vieron afectados por la nueva versión del troyano de acceso remoto Proton (RAT) [47] entrenado para extraer datos de contraseñas de diversas fuentes, como datos de autocompletar del navegador, el llavero de Mac-OS y bóvedas de contraseñas. [48]
Los droppers son un subtipo de troyanos cuyo único objetivo es enviar malware al sistema que infectan con el deseo de subvertir la detección mediante el sigilo y una carga útil ligera. [49] Es importante no confundir un cuentagotas con un cargador o un cargador. Un cargador o stager simplemente cargará una extensión del malware (por ejemplo, una colección de funciones maliciosas mediante la inyección de una biblioteca de enlaces dinámicos reflectantes) en la memoria. El objetivo es mantener la etapa inicial ligera e indetectable. Un dropper simplemente descarga más malware en el sistema.
El ransomware impide que un usuario acceda a sus archivos hasta que se pague un rescate. Hay dos variaciones de ransomware: cripto ransomware y locker ransomware. [50] Locker ransomware simplemente bloquea un sistema informático sin cifrar su contenido, mientras que crypto ransomware bloquea un sistema y cifra su contenido. Por ejemplo, programas como CryptoLocker cifran archivos de forma segura y sólo los descifran mediante el pago de una suma sustancial de dinero. [51]
Algunos programas maliciosos se utilizan para generar dinero mediante fraude de clics , haciendo que parezca que el usuario de la computadora ha hecho clic en un enlace publicitario en un sitio, generando un pago por parte del anunciante. En 2012 se estimó que entre el 60 y el 70 % de todo el malware activo utilizaba algún tipo de fraude de clics, y que el 22 % de todos los clics en anuncios eran fraudulentos. [52]
Lock-screens, o screen lockers, es un tipo de ransomware de "policía cibernética" que bloquea pantallas en dispositivos Windows o Android con una acusación falsa de recopilar contenido ilegal, tratando de asustar a las víctimas para que paguen una tarifa. [53] Jisut y SLocker afectan a los dispositivos Android más que otras pantallas de bloqueo, y Jisut representa casi el 60 por ciento de todas las detecciones de ransomware de Android. [54]
El ransomware basado en cifrado, como su nombre indica, es un tipo de ransomware que cifra todos los archivos de una máquina infectada. Estos tipos de malware luego muestran una ventana emergente que informa al usuario que sus archivos han sido cifrados y que debe pagar (generalmente en Bitcoin) para recuperarlos. Algunos ejemplos de ransomware basado en cifrado son CryptoLocker y WannaCry . [55]
Grayware es cualquier aplicación o archivo no deseado que puede empeorar el rendimiento de los ordenadores y provocar riesgos de seguridad pero sobre el que no existe consenso ni datos suficientes para clasificarlo como malware. [33] Los tipos de greyware generalmente incluyen spyware , adware , marcadores fraudulentos , programas de broma ("jokeware") y herramientas de acceso remoto . [39] Por ejemplo, en un momento dado, los discos compactos Sony BMG instalaron silenciosamente un rootkit en las computadoras de los compradores con la intención de evitar copias ilícitas. [56]
Los programas potencialmente no deseados (PUP) son aplicaciones que se considerarían no deseadas a pesar de que el usuario las descarga a menudo intencionadamente. [57] Los programas basura incluyen software espía, software publicitario y marcadores fraudulentos.
Muchos productos de seguridad clasifican a los generadores de claves no autorizados como programas basura, aunque con frecuencia contienen malware real además de su propósito aparente. [58] De hecho, Kammerstetter et al. (2012) [58] estimaron que hasta el 55% de los generadores de claves podrían contener malware y que alrededor del 36% de los generadores de claves maliciosos no fueron detectados por el software antivirus.
Algunos tipos de adware (que utilizan certificados robados) desactivan la protección antivirus y antimalware; Hay remedios técnicos disponibles. [59]
Los programas diseñados para monitorear la navegación web de los usuarios, mostrar anuncios no solicitados o redirigir los ingresos del marketing de afiliados se denominan software espía . Los programas de software espía no se propagan como los virus; en cambio, generalmente se instalan aprovechando agujeros de seguridad. También se pueden ocultar y empaquetar junto con software no relacionado instalado por el usuario. [60] El rootkit Sony BMG estaba destinado a impedir la copia ilícita; pero también informó sobre los hábitos de escucha de los usuarios y, sin querer, creó vulnerabilidades de seguridad adicionales. [56]
El software antivirus suele utilizar dos técnicas para detectar malware: (i) análisis estático y (ii) análisis dinámico/heurístico. [61] El análisis estático implica estudiar el código de software de un programa potencialmente malicioso y producir una firma de ese programa. Luego, esta información se utiliza para comparar los archivos escaneados mediante un programa antivirus. Debido a que este enfoque no es útil para el malware que aún no se ha estudiado, el software antivirus puede utilizar el análisis dinámico para monitorear cómo se ejecuta el programa en una computadora y bloquearlo si realiza una actividad inesperada.
El objetivo de cualquier malware es ocultarse de la detección por parte de los usuarios o del software antivirus. [1] Detectar malware potencial es difícil por dos razones. La primera es que resulta difícil determinar si el software es malicioso. [33] La segunda es que el malware utiliza medidas técnicas para dificultar su detección. [61] Se estima que el software antivirus no detecta el 33% del malware. [58]
La técnica antidetección más comúnmente empleada implica cifrar la carga útil del malware para evitar que el software antivirus reconozca la firma. [33] Herramientas como los criptográficos vienen con un bloque cifrado de código malicioso y un código auxiliar de descifrado. El código auxiliar descifra el blob y lo carga en la memoria. Debido a que el antivirus normalmente no analiza la memoria y solo analiza los archivos en la unidad, esto permite que el malware eluda la detección. El malware avanzado tiene la capacidad de transformarse en diferentes variaciones, lo que hace que sea menos probable que sea detectado debido a las diferencias en sus firmas. Esto se conoce como malware polimórfico. Otras técnicas comunes utilizadas para evadir la detección incluyen, de comunes a poco comunes: [62] (1) evasión de análisis y detección mediante la toma de huellas dactilares del entorno cuando se ejecuta; [63] (2) métodos de detección confusos de herramientas automatizadas. Esto permite que el malware evite la detección mediante tecnologías como el software antivirus basado en firmas al cambiar el servidor utilizado por el malware; [62] (3) evasión basada en el tiempo. Esto ocurre cuando el malware se ejecuta en ciertos momentos o después de ciertas acciones realizadas por el usuario, por lo que se ejecuta durante ciertos períodos vulnerables, como durante el proceso de arranque, mientras permanece inactivo el resto del tiempo; (4) ofuscar los datos internos para que las herramientas automatizadas no detecten el malware; [64] (v) técnicas de ocultación de información, concretamente estegomalware ; [65] y (5) malware sin archivos que se ejecuta dentro de la memoria en lugar de utilizar archivos y utiliza herramientas existentes del sistema para llevar a cabo actos maliciosos. El uso de binarios existentes para llevar a cabo actividades maliciosas es una técnica conocida como LotL (Living off the Land). [66] Esto reduce la cantidad de artefactos forenses disponibles para analizar. Recientemente, este tipo de ataques se han vuelto más frecuentes, con un aumento del 432 % en 2017 y representaron el 35 % de los ataques en 2018. Estos ataques no son fáciles de realizar, pero se están volviendo más frecuentes con la ayuda de kits de exploits. [67] [68]
Una vulnerabilidad es una debilidad, falla o error de software en una aplicación , una computadora completa, un sistema operativo o una red informática que es explotada por malware para eludir las defensas u obtener los privilegios que requiere para ejecutarse. Por ejemplo, TestDisk 6.4 o anterior contenía una vulnerabilidad que permitía a los atacantes inyectar código en Windows. [69] El malware puede explotar defectos de seguridad ( errores o vulnerabilidades de seguridad ) en el sistema operativo, aplicaciones (como navegadores, por ejemplo, versiones anteriores de Microsoft Internet Explorer compatibles con Windows XP [70] ) o en versiones vulnerables de complementos de navegador como Adobe Flash Player , Adobe Acrobat o Reader , o Java SE . [71] [72] Por ejemplo, un método común es la explotación de una vulnerabilidad de desbordamiento del búfer , donde el software diseñado para almacenar datos en una región específica de la memoria no impide que se suministren más datos de los que el búfer puede acomodar. El malware puede proporcionar datos que desbordan el búfer, con código ejecutable malicioso o datos después del final; cuando se accede a esta carga útil, hace lo que determina el atacante, no el software legítimo.
El malware puede explotar vulnerabilidades descubiertas recientemente antes de que los desarrolladores hayan tenido tiempo de lanzar un parche adecuado . [6] Incluso cuando se han lanzado nuevos parches que abordan la vulnerabilidad, es posible que no necesariamente se instalen de inmediato, lo que permite que el malware aproveche los sistemas que carecen de parches. A veces, incluso aplicar parches o instalar nuevas versiones no desinstala automáticamente las versiones antiguas. Los avisos de seguridad de los proveedores de complementos anuncian actualizaciones relacionadas con la seguridad. [73] A las vulnerabilidades comunes se les asignan ID CVE y se enumeran en la Base de datos nacional de vulnerabilidades de EE. UU . Secunia PSI [74] es un ejemplo de software, gratuito para uso personal, que comprobará si un PC tiene software desactualizado vulnerable e intentará actualizarlo. Otros enfoques implican el uso de firewalls y sistemas de prevención de intrusiones para monitorear patrones de tráfico inusuales en la red informática local. [75]
A los usuarios y programas se les pueden asignar más privilegios de los que necesitan, y el malware puede aprovechar esto. Por ejemplo, de las 940 aplicaciones de Android analizadas, un tercio pidió más privilegios de los que necesitaban. [76] Las aplicaciones dirigidas a la plataforma Android pueden ser una fuente importante de infección de malware, pero una solución es utilizar software de terceros para detectar aplicaciones a las que se les han asignado privilegios excesivos. [77]
Algunos sistemas permiten que todos los usuarios modifiquen sus estructuras internas y hoy en día dichos usuarios se considerarían usuarios con demasiados privilegios . Este era el procedimiento operativo estándar para los primeros sistemas de microcomputadoras y computadoras domésticas, donde no había distinción entre un administrador o root y un usuario normal del sistema. En algunos sistemas, los usuarios que no son administradores tienen privilegios excesivos por diseño, en el sentido de que se les permite modificar las estructuras internas del sistema. En algunos entornos, los usuarios tienen demasiados privilegios porque se les ha concedido de forma inapropiada un estado de administrador o equivalente. [78] Esto puede deberse a que los usuarios tienden a exigir más privilegios de los que necesitan, por lo que a menudo terminan asignándoles privilegios innecesarios. [79]
Algunos sistemas permiten que el código ejecutado por un usuario acceda a todos los derechos de ese usuario, lo que se conoce como código con privilegios excesivos. Este también era el procedimiento operativo estándar para los primeros sistemas de microcomputadoras y computadoras domésticas. El malware, que se ejecuta como código con privilegios excesivos, puede utilizar este privilegio para subvertir el sistema. Casi todos los sistemas operativos actualmente populares, y también muchas aplicaciones de secuencias de comandos, permiten al código demasiados privilegios, generalmente en el sentido de que cuando un usuario ejecuta un código, el sistema le otorga a ese código todos los derechos de ese usuario.
Un ataque de credenciales ocurre cuando se descifra una cuenta de usuario con privilegios administrativos y esa cuenta se utiliza para proporcionar malware con los privilegios adecuados. [80] Por lo general, el ataque tiene éxito porque se utiliza la forma más débil de seguridad de la cuenta, que suele ser una contraseña corta que se puede descifrar mediante un diccionario o un ataque de fuerza bruta . El uso de contraseñas seguras y habilitar la autenticación de dos factores puede reducir este riesgo. Con este último habilitado, incluso si un atacante puede descifrar la contraseña, no puede usar la cuenta sin tener también el token en posesión del usuario legítimo de esa cuenta.
La homogeneidad puede ser una vulnerabilidad. Por ejemplo, cuando todos los ordenadores de una red ejecutan el mismo sistema operativo, al explotar uno, un gusano puede explotarlos a todos: [81] En particular, Microsoft Windows o Mac OS X tienen una cuota de mercado tan grande que una vulnerabilidad explotada concentrarse en cualquiera de los sistemas operativos podría subvertir una gran cantidad de sistemas. Se estima que aproximadamente el 83 % de las infecciones de malware entre enero y marzo de 2020 se propagaron a través de sistemas que ejecutaban Windows 10 . [82] Este riesgo se mitiga segmentando las redes en diferentes subredes y configurando firewalls para bloquear el tráfico entre ellas. [83] [84]
Los programas antimalware (a veces también llamados antivirus ) bloquean y eliminan algunos o todos los tipos de malware. Por ejemplo, Microsoft Security Essentials (para Windows XP, Vista y Windows 7) y Windows Defender (para Windows 8 , 10 y 11 ) brindan protección en tiempo real. La herramienta de eliminación de software malicioso de Windows elimina el software malicioso del sistema. [85] Además, varios programas de software antivirus capaces están disponibles para su descarga gratuita desde Internet (generalmente restringidos a uso no comercial). [86] Las pruebas encontraron que algunos programas gratuitos eran competitivos con los comerciales. [86] [87] [88]
Normalmente, el software antivirus puede combatir el malware de las siguientes maneras:
Un componente específico del software antimalware, comúnmente conocido como escáner en tiempo real o en acceso, se conecta profundamente con el núcleo o kernel del sistema operativo y funciona de manera similar a cómo cierto malware intentaría operar, aunque con el permiso informado del usuario para proteger el sistema. Cada vez que el sistema operativo accede a un archivo, el escáner en tiempo real comprueba si el archivo está infectado o no. Normalmente, cuando se encuentra un archivo infectado, se detiene la ejecución y el archivo se pone en cuarentena para evitar daños mayores con la intención de evitar daños irreversibles al sistema. La mayoría de los antivirus permiten a los usuarios anular este comportamiento. Esto puede tener un impacto considerable en el rendimiento del sistema operativo, aunque el grado de impacto depende de cuántas páginas crea en la memoria virtual . [91]
Debido a que muchos componentes de malware se instalan como resultado de vulnerabilidades del navegador o errores del usuario, el uso de software de seguridad (algunos de los cuales son antimalware, aunque muchos no lo son) para "aislar" los navegadores (esencialmente aísla el navegador de la computadora y, por lo tanto, cualquier malware). cambio inducido) también puede ser eficaz para ayudar a restringir cualquier daño causado. [90]
Los análisis de vulnerabilidad del sitio web comprueban el sitio web, detectan malware, pueden detectar software desactualizado y pueden informar problemas de seguridad conocidos, para reducir el riesgo de que el sitio se vea comprometido.
Estructurar una red como un conjunto de redes más pequeñas y limitar el flujo de tráfico entre ellas a lo que se sabe que es legítimo puede obstaculizar la capacidad del malware infeccioso de replicarse en la red más amplia. Las redes definidas por software proporcionan técnicas para implementar dichos controles.
Como último recurso, se pueden proteger las computadoras contra el malware, y el riesgo de que las computadoras infectadas difundan información confiable se puede reducir en gran medida imponiendo una "brecha de aire" (es decir, desconectándolas completamente de todas las demás redes) y aplicando controles mejorados sobre la entrada y salida de software y datos del mundo exterior. Sin embargo, el malware aún puede cruzar el espacio de aire en algunas situaciones, sobre todo debido a la necesidad de introducir software en la red con espacio de aire y puede dañar la disponibilidad o integridad de los activos en la misma. Stuxnet es un ejemplo de malware que se introduce en el entorno de destino a través de una unidad USB, causando daños a los procesos soportados en el entorno sin necesidad de extraer datos.
AirHopper, [92] BitWhisper, [93] GSMem [94] y Fansmitter [95] son cuatro técnicas introducidas por investigadores que pueden filtrar datos de computadoras aisladas mediante emisiones electromagnéticas, térmicas y acústicas.
Utilizando análisis bibliométrico, el estudio de las tendencias de investigación de malware de 2005 a 2015, considerando criterios como revistas de impacto, artículos muy citados, áreas de investigación, productividad, frecuencia de palabras clave, instituciones y autores, reveló una tasa de crecimiento anual del 34,1%. América del Norte lideró la producción de investigación, seguida de Asia y Europa . China y la India fueron identificadas como contribuyentes emergentes. [96]
El primer virus para PC se atribuye a dos hermanos, Basit Farooq Alvi y Amjad Farooq Alvi, de Pakistán.
Quienes implementaron Raccoon utilizaron mensajes de phishing y otros trucos para introducir el malware en potencialmente millones de computadoras de víctimas en todo el mundo.
Una vez instalado, el código proporcionaba acceso a las credenciales de inicio de sesión y otros datos almacenados en el sistema comprometido.
{{cite journal}}
: Citar diario requiere |journal=
( ayuda ){{cite journal}}
: Citar diario requiere |journal=
( ayuda )