Puede llegar en archivos informáticos, correos electrónicos, memorias y cables USB, y chips de todo tipo… pero ¿de dónde procede el malware que infecta los dispositivos? ¿Y dónde se esconde una vez que el dispositivo está infectado? ¿Cómo puede protegerse?
Los programas maliciosos pueden utilizar varios puntos de entrada para alcanzar su objetivo e infectar los sistemas informáticos. Se habla de la superficie de ataque de una organización, y cuyo tamaño abrirá un abanico de opciones para que los ciberdelincuentes creen su propia ruta, dependiendo del nivel de protección del objetivo previsto. Sin embargo, destacan algunos vectores de infección como los servicios de mensajería.
Las técnicas de phishing pueden ser más o menos elaboradas, y tienen como objetivo persuadir al usuario para que instale un malware o robar sus credenciales para obtener un acceso a su estación de trabajo. Desde la perspectiva del software, las principales plataformas de aplicaciones (Play Store, App Store, Google Play Store, etc.) contienen regularmente aplicaciones infectadas, muchas de las cuales, son descargadas por miles o incluso millones de personas antes de ser eliminadas de las plataformas. Desde la substracción de la base de datos de contactos hasta el secuestro del navegador web, el malware de estas aplicaciones puede utilizarse para robar contraseñas temporales; por ejemplo, cuando se envían por SMS. Por tanto, antes de descargar una aplicación, es importante comprobar su origen y la identidad de su desarrollador.
Adicionalmente, también están aumentando los llamados ciberataques a la cadena de suministro. Los ciberdelincuentes infectan las aplicaciones con la esperanza de contagiar luego a los clientes del software, normalmente a través de una actualización. A finales de 2020, casi 18.000 clientes de la empresa SolarWinds fueron infectados con el malware Sunburst en uno de estos ataques.
Aunque más complejas -y sobre todo más costosas- las amenazas también pueden aparecer a nivel de hardware, con medios físicos que se utilizan como vectores de infección. El ejemplo más evidente es una llave USB infectada que se utiliza en el día a día, y también en sectores más sensibles como la industria, o incluso en los hogares. Pero también existen otros menos convencionales, como el termómetro de un acuario en un casino o los monitores inteligentes para bebés, o máquinas de fax, impresoras, ratones de ordenador, e incluso cables USB y Lightning se identifican ahora regularmente como posibles puntos de entrada a los puestos de trabajo, y por tanto a las redes informáticas.
Cuando el malware ha infectado la máquina
Pero identificar que un dispositivo ha sido infectado con malware no es fácil, ya que los ciberdelincuentes tratan de pasar por debajo del radar de las soluciones de ciberseguridad. Mientras que algunos signos pueden ser reveladores -como una ralentización del sistema operativo, un número inusual de ventanas emergentes o un aumento repentino de pantallas azules- otros son más sigilosos. Y estos se identifican a través de la evidencia de un comportamiento sospechoso en una estación de trabajo.
Una vez que el malware se ha descargado, ¿dónde reside en el dispositivo? Suele instalarse en los directorios temporales del usuario. Los sistemas operativos contienen una multitud de carpetas temporales, que tienen un nivel de seguridad inherentemente bajo, lo que permite al malware utilizarlos para ejecutar código malicioso, ya sea en forma de script o de ejecutable. También es posible encontrar rastros de la instalación de malware en el registro de Windows.
¿Cómo deshacerse del malware?
Lo mejor de todo, es prevenir la infección, desde la perspectiva de que antes que el dispositivo, el primer objetivo suele ser el usuario, y esto afecta a los individuos de todos los niveles de una empresa. En este sentido, las ventanas emergentes, los archivos adjuntos sospechosos de usuarios desconocidos y los programas instalados a través de sitios no oficiales o «torrent» son peligros potenciales que hay que evitar. Pero más allá de la precaución ordinaria, las actualizaciones periódicas del sistema operativo y de los navegadores proporcionan un nivel básico de protección de la SI contra el malware.
Asimismo, existen soluciones técnicas para la protección contra los programas maliciosos, como las de detección de intrusos y de filtrado del correo electrónico, que ofrecen cierta capacidad para «limpiar» los enlaces y los archivos adjuntos. En cuanto a las estaciones de trabajo y los servidores, y dado que el bloqueo físico de los puertos USB de los ordenadores ya no es una medida funcional para contrarrestar los programas maliciosos que pueden transmitirse por vectores físicos, las funciones de protección de endpoint (EPP) ofrecerán una primera garantía de bloqueo de los ataques más sofisticados, tras lo cual las funciones de detección (EDR) proporcionarán información para su posterior análisis.
Pero incluso si el malware consigue infectar un ordenador, no está todo perdido. Una vez detectado, lo primero es desconectarse de Internet para eliminarlo: tanto el archivo malicioso en sí como los temporales, los mecanismos de persistencia y las claves del registro. En algunos casos más complejos, será necesario tomar otras medidas como una reinstalación completa del sistema. En cualquier caso, siempre será útil la ayuda externa de fuentes como el Instituto Nacional de Ciberseguridad (INCIBE), que ofrece diagnóstico y asistencia en línea. También es prioritario cambiar las contraseñas y actualizar el software y los sistemas operativos para evitar una reinfección inmediata.
Sébastien Viou
Cybersecurity product director de Stormshield
