Introducción

Aunque las tecnologías de la información han reportado numerosos beneficios

a la humanidad, es cierto que pueden ser utilizados de forma indiscriminada o
con fines maliciosos. Un claro ejemplo de esto es el empleo del malware o
software malicioso, que ha tomado auge desde finales del siglo pasado y se ha
convertido en una importante amenaza en los últimos años.
El malware (del inglés malicious software), programa malicioso o programa
maligno, también llamado badware, código
maligno, software malicioso, software dañino o software malintencionado, es un
tipo de software que tiene como objetivo infiltrarse o dañar
una computadora o sistema de información. El término malware es muy
utilizado por profesionales de la informática para referirse a una variedad
de software hostil, intrusivo o molesto. Antes de que el término malware fuera
acuñado por Yisrael Radai en 1990, el software malicioso se agrupaba bajo el
término «virus informático».
Un software se cataloga como un programa malicioso en función de los efectos
que provoque en un computador. El malware no es lo mismo que
«software defectuoso»; este último contiene errores peligrosos, pero no de
forma intencionada.
Algunos de los primeros programas maliciosos, incluido el gusano Morris y
algunos virus de MS-DOS, fueron elaborados como experimentos, como
bromas o simplemente como algo molesto, no para causar graves daños en
las computadoras. En algunos casos el programador no se daba cuenta de
cuánto daño podía hacer su creación. Algunos jóvenes que estaban
aprendiendo sobre los virus los crearon con el único propósito de demostrar
que podían hacerlo o simplemente para ver con qué velocidad se propagaban.
Incluso en 1999 un malware tan extendido conocido como Melissa parecía
haber sido elaborado tan solo como una travesura.
Sin embargo, debido al aumento de usuarios de internet, el software malicioso
ha llegado a ser diseñado para sacar beneficio de él, ya sea legal o
ilegalmente. Desde 2003, la mayor parte de los virus y gusanos han sido
diseñados para tomar control de computadoras para su explotación en
el mercado negro. Estas computadoras infectadas conocidas como zombis son
usadas para el envío masivo de correo basura para alojar datos ilegales
como pornografía infantil o para unirse en ataques de denegación de servicio
distribuido (DDoS) como forma de extorsión, entre otras cosas.
Hay muchos más tipos de malware producido con ánimo de lucro, como
el spyware, el adware intrusivo y los secuestradores tratan de mostrar
publicidad no deseada o redireccionar visitas hacia publicidad para beneficio
del creador. Estos tipos de malware no se propagan como los virus, ya que
generalmente son instalados aprovechándose de vulnerabilidades de los
sistemas o junto con software legítimo como las aplicaciones informáticas de
tipo descarga de contenido (P2P).
En el presente trabajo se abordarán los distintos tipos de software maliciosos y
sus características siendo los dos objetivos fundamentales del mismo:
Mencionar y caracterizar los principales tipos de software malicioso.
Desarrollo

Al utilizar ordenadores con cierta frecuencia es común escuchar hablar

de virus, gusanos, troyanos, malware, spyware, ransomware, spyware,
etc. pero es menos común conocer la diferencia entre estos, que suelen
quedar encasillados como virus.

En función de los efectos y de la forma de infectar el ordenador o dispositivo el

malware se clasifica en varios tipos, entre los que se encuentran los
mencionados anteriormente.

Unos tienen la habilidad de autorreplicarse, otros trabajan de espaldas al

usuario y, por supuesto, están el malware que es capaz de robar datos
bancarios al usuario o bloquear por completo el equipo.

A continuación te explicamos, uno a uno, qué es cada tipo de malware y las

diferencias entre ellos para que puedas saber exactamente lo que pueden
llegar a hacer y la mejor forma de evitarlos.

Malware infeccioso: virus y gusanos

.

Los tipos más conocidos de malware, virus y gusanos se distinguen por la

manera en que se propagan, más que por otro comportamiento particular.
El término virus informático se usa para designar un programa que, al
ejecutarse, se propaga infectando otro software ejecutable dentro de la misma
computadora. Los virus también pueden tener una carga útil que realice otras
acciones a menudo maliciosas, por ejemplo, borrar archivos. Por otra parte, un
gusano es un programa que se transmite a sí mismo,
explotando vulnerabilidades en una red de computadoras para infectar otros
equipos. El principal objetivo es infectar a la mayor cantidad posible
de usuarios, y también puede contener instrucciones dañinas al igual que los
virus.
Nótese que un virus necesita de la intervención del usuario para propagarse
mientras que un gusano se propaga automáticamente. Teniendo en cuenta
esta distinción, las infecciones transmitidas por correo electrónico o
documentos de Microsoft Word, que dependen de su apertura por parte del
destinatario para infectar su sistema, deberían ser clasificadas más como virus
que como gusanos.

Virus informático

Un virus es un programa informático diseñado para dañar de alguna forma el

equipo o dispositivo al que ataca y que cuenta con dos características
principales: actúa de forma transparente al usuario y tiene la capacidad de
autorreplicarse.

Su nombre se debe al parecido respecto al virus biológico, que se introduce en

el cuerpo humano infectando a una célula, que extenderá el virus al infectar a
otras células.

En el caso del virus informático lo que se infecta son los ficheros

mediante código maligno, aunque para ello el usuario debe ejecutar el archivo
que contiene ese virus.

Los efectos varían mucho en función de cuál sea exactamente el virus que ha
infectado al equipo, pero todos ralentizan el ordenador y suelen modificar su
comportamiento normal, llegando al extremo de ocasionar daños irreparables.
Todo ello, por supuesto, sin el consentimiento del usuario.

Los virus suelen viajar adjuntos a archivos ejecutables (.exe), fotografías,

vídeos o canciones y suelen expandirse a gran velocidad por Internet.

El primer virus informático fue Creeper, diseñado por Bob Thomas en 1971,
aunque su objetivo no era causar daño a los equipos infectados, sino que se
trataba de un experimento para comprobar si se podía crear un programa que
se moviera entre ordenadores como había propuesto en 1939 el científico
matemático John Louis Von Neumann.

El término "virus informático" no fue acuñado hasta la década de los ochenta,

cuando aparecieron los primeros virus que se propagaron masivamente entre
ordenadores, como Elk Cloner, programado por un estudiante de 15 años para
los Apple II.

Gusano Informático

Un gusano informático también tiene la habilidad de autorreplicarse, aunque en

este caso su único objetivo de aumentar su población y transferirse a otros
ordenadores a través de Internet o dispositivos de almacenamiento.

A diferencia de los virus los gusanos informáticos se pueden propagar de

ordenador a ordenador sin la necesidad de interacción humana, ya que
trabajan en secreto de espaldas al usuario.

En principio no realizan ningún daño sobre el equipo, aunque por su naturaleza

normalmente consumen espacio en el disco duro y, como consecuencia,
pueden llegar a ralentizar la velocidad del ordenador si lo hacen a gran escala.

Otra de las diferencias entre el gusano y el virus informático es que el primero

no necesita infectar los archivos de los programas, sino que entra directamente
en la memoria para duplicarse a sí mismo.
El gusano Morris ha pasado a los libros de historia como el primer malware de
este tipo. En 1988 llegó a infectar al 10 por ciento de Arpanet, la red creada por
encargo del Departamento de Defensa de los Estados Unidos precursora de
Internet, por lo que su creador, Robert Tappan Morris, fue sentenciado a tres
años de libertad condicional, 400 horas de trabajo social y una multa de 10.050
dólares

Hoy en día los gusanos informáticos se utilizan para crear redes de bots
gigantescas que controlan a ordenadores en todo el mundo,
denominados zombies, que se utilizan para enviar spam, lanzar ataques de
denegación de servicio (DDoS) o descargar todo tipo de malware.

Algunos de los gusanos informáticos más conocidos de la historia son SQL

Slammer, que ralentizó el tráfico de Internet a principios de 2003 y Code Red,
que llegó a dejar fuera de combate a 359.000 servidores en el año 2001.

Malware oculto: puerta trasera, drive-by downloads, rootkits y troyanos

Para que un software malicioso pueda completar sus objetivos, es esencial que
permanezca oculto al usuario. Por ejemplo, si un usuario experimentado
detecta un programa malicioso, terminaría el proceso y borraría
el malware antes de que este pudiera completar sus objetivos. El ocultamiento
también puede ayudar a que el malware se instale por primera vez en la
computadora.

Puertas traseras[editar]
Una puerta trasera (en inglés, backdoor) es un método para eludir los
procedimientos habituales de autenticación al conectarse a una computadora.
Una vez que el sistema ha sido comprometido (por uno de los anteriores
métodos o de alguna otra forma), puede instalarse una puerta trasera para
permitir un acceso remoto más fácil en el futuro. Las puertas traseras también
pueden instalarse previamente al software malicioso para permitir la entrada de
los atacantes.
Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de
ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte
técnico a los clientes, pero no ha podido comprobarse con seguridad.
Drive-by download[editar]
Google ha descubierto que una de cada 10 páginas web que han sido
analizadas a profundidad puede contener las llamadas drive-by downloads o
descargas automáticas, que son sitios que instalan spyware o códigos que dan
información de los equipos sin que el usuario se percate.
El término puede referirse a las descargas de algún tipo de malware que se
efectúa sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al
revisar un mensaje de correo electrónico o al entrar a una ventana emergente,
la cual puede mostrar un mensaje de error. Sin ser su verdadera intención, el
usuario consiente la descarga de software indeseable o de malware, y estas
vulnerabilidades se aprovechan.
En la mayor parte de los navegadores se están agregando
bloqueadores antiphishing y antimalware que contienen alertas que se
muestran cuando se accede a una página web dañada, aunque no siempre dan
una total protección.
Rootkits
Las técnicas conocidas como rootkits modifican el sistema operativo de una
computadora para permitir que el malware permanezca oculto al usuario. Por
ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de
procesos del sistema o que sus ficheros sean visibles en el explorador de
archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que
el ordenador está infectado por un malware. Originalmente, un rootkit era un
conjunto de herramientas instaladas por un atacante en un sistema Unix donde
el atacante había obtenido acceso de administrador (acceso root).
Actualmente, el término es usado generalmente para referirse a la ocultación
de rutinas en un programa malicioso.
Uno de los rootkits más famosos fue el que la empresa Sony BMG Music
Entertainment. Secretamente incluyó, dentro de la protección anticopia de
algunos CD de música, el software “Extended Copy Protection (XCP) y
MediaMax CD-3”, los cuales modificaban a Windows para que no lo pudiera
detectar y también resultar indetectable por los programas anti-virus y anti-
spyware. Actuaba enviando información sobre el cliente, además abrió la
puerta a otros tipos de malware que pudieron infiltrarse en las
computadoras, además de que si se detectaba, no podía ser eliminado,
pues se dañaba el sistema operativo.
Mikko Hypponen, jefe de investigación de la empresa de seguridad F-
Secure, con sede en Finlandia, consideró a este rootkit como uno de los
momentos fundamentales de la historia de los malware.

Troyano

Aunque a menudo se confunden los términos, los troyanos no son virus sino un
tipo de malware cuyo objetivo es proporcionar una puerta trasera de cara
a otros programas maliciosos o ciberdelincuentes, para que puedan entrar al
sistema y robar información sin conocimiento ni consentimiento del usuario.

A diferencia de los gusanos informáticos los troyanos no son capaces de

propagarse por sí solos. Su nombre proviene, evidentemente, de la historia del
caballo de Troya mencionada en la Odisea de Homero.

Las habilidades varían mucho entre cada troyano, pero los más
peligrosos pueden actuar como keyloggers que transmiten las pulsaciones
realizadas sobre el teclado de la víctima.

Los troyanos se han utilizado a lo largo de la historia como un arma de

sabotaje por los servicios de inteligencia de varios gobiernos.
Existen mil maneras de infectarse con un troyano, desde la descarga de
programas de redes P2P, páginas web que contienen contenido
ejecutable, exploits en aplicaciones no actualizadas o archivos adjuntos en
correos electrónicos. Los síntomas pueden ser imperceptibles para gran parte
de los usuarios, aunque algunas acciones como la aparición de pantallas poco
habituales, modificaciones del escritorio, lentitud en el sistema operativo o el
acceso a páginas de Internet sin consentimiento del usuario son señales de un
posible troyano.

Entre los troyanos más famosos destacan NetBus, creado por un programador
sueco a finales de los noventa, o Back Orifice, con el que se puede controlar un
ordenador de forma remota o JS. Debeski.

Malware para obtener beneficios

Grayware o greynet
Los términos grayware (o greyware) y graynet (o greynet) (del
inglés gray o grey, “gris”) suelen usarse para clasificar aplicaciones o
programas de cómputo que se instalan sin la autorización del departamento de
sistemas de una compañía; se comportan de modo tal que resultan molestos o
indeseables para el usuario, pero son menos peligrosos que los malware. En
este rubro se incluyen: adware, dialers, herramientas de acceso remoto,
programas de bromas (Virus joke), programas para conferencias, programa de
mensajería instantánea, spyware y cualesquiera otros archivos y programas no
bienvenidos que no sean virus y que puedan llegar a dañar el funcionamiento
de una computadora o de una red. El término grayware comenzó a utilizarse en
septiembre del 2004.

Adware

Este tipo de programas maliciosos suelen generar polémica ya que son

muchos los que consideran que el adware en realidad no es más que una clase
de spyware. Además, los programas adware no tienen intención alguna de
dañar el ordenador infectado, así que tampoco se ajustan del todo a la
definición de malware.

Un programa de clase adware es aquel muestra publicidad durante la

instalación o la ejecución de un programa, habitualmente los gratuitos ya que
ésta fórmula se articula como su única fuente de ingresos.

El fin de los programas de clase adware no es delictivo, sino publicitario y en

todo caso no recopila información sobre los datos bancarios sino sobre
las páginas más visitadas o los sitios favoritas para mostrar anuncios de interés
y generar así mayores ingresos.
La línea, eso sí, se difumina con los programas adware que llevan su actuación
al extremo por ejemplo al obligar a un usuario a utilizar un determinado
buscador con el que monitorea toda su actividad.
Spyware

Un programa espía o spyware se puede instalar por sí solo o ejecutarse en el

equipo a través de otro programa sin consentimiento ni conocimiento del
usuario. Los programas espía suelen trabajar a escondidas, a diferencia del
adware, intentando ocultar cualquier rastro o síntoma al usuario, aunque a
menudo afectan al rendimiento del equipo.

El spyware puede recopilar todo tipo de información del ordenador infectado,

desde los hábitos de navegación del usuario hasta la IP o documentos de
información personal. A diferencia de los virus y de los gusanos informáticos no
tiene la habilidad de autorreplicarse, por lo que su funcionamiento
habitualmente se compara al de un parásito.

hijacking
Los hijackers son programas que realizan cambios en la configuración
del navegador web. Por ejemplo, algunos cambian la página de inicio del
navegador por páginas web de publicidad o página pornográfica, otros
redireccionan los resultados de los buscadores hacia anuncios de pago o
páginas de phishing bancario. El pharming es una técnica que suplanta al DNS,
modificando el archivo hosts, para redirigir el dominio de una o varias páginas
web a otra página web, muchas veces una web falsa que imita a la verdadera.
Esta es una de las técnicas usadas por los hijackers o secuestradores del
navegador de Internet. Esta técnica también puede ser usada con el objetivo de
obtener credenciales y datos personales mediante el secuestro de una sesión.
Malware para robar información personal: keyloggers y stealers
Cuando un software produce pérdidas económicas para el usuario de un
equipo, también se clasifica como crimeware o software criminal, término dado
por Peter Cassidy para diferenciarlo de los otros tipos de software malicioso.
Estos programas están encaminados al aspecto financiero, la suplantación de
personalidad y el espionaje.
Los keyloggers y los stealers son programas maliciosos creados para
robar información sensible. El creador puede obtener beneficios económicos o
de otro tipo a través de su uso o distribución en comunidades underground. La
principal diferencia entre ellos es la forma en la que recogen la información.
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan
para un posterior envío al creador. Por ejemplo al introducir un número
de tarjeta de crédito el keylogger guarda el número, posteriormente lo envía al
autor del programa y este puede hacer pagos fraudulentos con esa tarjeta. Si
las contraseñas se encuentran recordadas en el equipo, de forma que el
usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen
los stealers. La mayoría los keyloggers son usados para
recopilar contraseñas de acceso pero también pueden ser usados para espiar
conversaciones de chat u otros fines.
Los stealers también roban información privada pero solo la que se encuentra
guardada en el equipo. Al ejecutarse comprueban los programas instalados en
el equipo y si tienen contraseñas recordadas, por ejemplo en los navegadores
web o en clientes de mensajería instantánea, descifran esa información y la
envían al creador.
Realizar llamadas telefónicas: dialers
Los dialers son programas maliciosos que toman el control del módem dial-up,
realizan una llamada a un número de teléfono de tarificación especial, muchas
veces internacional, y dejan la línea abierta cargando el coste de dicha llamada
al usuario infectado. La forma más habitual de infección suele ser en páginas
web que ofrecen contenidos gratuitos pero que solo permiten el acceso
mediante conexión telefónica. Suelen utilizar como señuelos videojuegos, salva
pantallas, pornografía u otro tipo de material.
Actualmente la mayoría de las conexiones a Internet son mediante ADSL y no
mediante módem, lo cual hace que los dialers ya no sean tan populares como
en el pasado.
Ataques distribuidos: Botnets

Las botnets son redes de computadoras infectadas, también llamadas

“zombis”, que pueden ser controladas a la vez por un individuo y realizan
distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o
para lanzar ataques DDoS contra organizaciones como forma de extorsión o
para impedir su correcto funcionamiento. La ventaja que ofrece a
los spammers el uso de ordenadores infectados es el anonimato, que les
protege de la persecución policial.
En una botnet cada computadora infectada por el malware se loguea en un
canal de IRC u otro sistema de chat desde donde el atacante puede dar
instrucciones a todos los sistemas infectados simultáneamente. Las botnets
también pueden ser usadas para actualizar el malware en los sistemas
infectados manteniéndolos así resistentes ante antivirus u otras medidas de
seguridad.

Otros tipos de malware : Ransomware y Rogue software

El rogue software hace creer al usuario que la computadora está infectada por
algún tipo de virus u otro tipo de software malicioso, esto induce al usuario a
pagar por un softwareinútil o a instalar un software malicioso que
supuestamente elimina las infecciones, pero el usuario no necesita
ese softwarepuesto que no está infectado.
Ransomware
También llamados criptovirus o secuestradores, son programas que cifran los
archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se
pague un «rescate» para poder recibir la contraseña que permite recuperar los
archivos.
InfoSpyware reporta en su blog que a partir de mayo del 2012, han existido dos
variantes del llamado «virus de la policía» o «Virus Ukash», que es producido
por el troyano Ransom.ab, que con el pretexto de que se entró a páginas de
pornografía infantil, se les hace pagar una supuesta multa para poder
desbloquear sus equipos, actualmente también utilizando la propia cámara
Web del equipo hacen unas supuestas tomas de vídeo que anexan en
su banner de advertencia, para asustarlos más al hacerlos pensar que están
siendo observado y filmado por la policía, siendo Rusia, Alemania, España y
Brasil los países más afectados o la versión falsa del antivirus gratuito Microsoft
Security Essentials que dice bloquear el equipo por seguridad y que para poder
funcionar adecuadamente se ofrece un módulo especial que se tiene que
pagar.
La Brigada de Investigación Tecnológica de la Policía Nacional de España,
junto con Europol e Interpol, desmantelaron en febrero del 2013, a la banda de
piratas informáticos creadores del «Virus de la Policía», responsables de
estafar alrededor de un millón de euros al año.
A pesar de ello, han ido surgiendo nuevas versiones y variantes con
características propias de unidades policiales de países de Latinoamérica,
siendo los países afectados Argentina, Bolivia, Ecuador, Uruguay y México, en
este último, saca la imagen de la desaparecida Policía Federal Preventiva.

¿Cómo evitar la infección de ransomware?

Con este tipo de software malicioso hay que vigilar mucho cómo y por dónde
navegamos en Internet. Te recomendamos seguir estos sencillos pasos
para minimizar el riesgo de verse infectado con ransomware:

 Instala todos los parches y actualizaciones del sistema.

 Usa un navegador moderno y actualizado.
 Instala las últimas actualizaciones de Java, Adobe Flash, y otras librerías
de Internet.
 Actualiza tu antivirus y tu cortafuegos y trabaja con ellos en segundo
plano.
 De forma periódica, al menos una vez al mes, revisa el equipo con
algún programa especializado en detectar malware.
 No descargues archivos sospechosos de correos electrónicos ni entres
en webs de mala reputación.
 Antes de ejecutar cualquier archivo del que no estés seguro utiliza el
antivirus para revisarlo.

Vulnerabilidades usadas por el malware

Existen varios factores que hacen a un sistema más vulnerable al malware:
homogeneidad, errores de software, código sin confirmar, sobre-privilegios de
usuario y sobre-privilegios de código.
Una causa de la vulnerabilidad de redes, es la homogeneidad
del software multiusuario. Por ejemplo, cuando todos los ordenadores de una
red funcionan con el mismo sistema operativo, si se puede comprometer ese
sistema, se podría afectar a cualquier ordenador que lo use. En
particular, Microsoft Windows tiene la mayoría del mercado de los sistemas
operativos, esto permite a los creadores de malware infectar una gran cantidad
de computadoras sin tener que adaptar el software malicioso a diferentes
sistemas operativos.
La mayoría del software y de los sistemas operativos contienen bugs que
pueden ser aprovechados por el malware. Los ejemplos típicos son
los desbordamiento de búfer (buffer overflow), en los cuales la estructura
diseñada para almacenar datos en un área determinada de la memoria permite
que sea ocupada por más datos de los que le caben, sobre escribiendo otras
partes de la memoria. Esto puede ser utilizado por el malware para forzar al
sistema a ejecutar su código malicioso.

Las memorias USB infectadas pueden dañar la computadora durante el

arranque.
Originalmente las computadoras tenían que ser booteadas con un disquete, y
hasta hace poco tiempo era común que fuera el dispositivo de arranque por
defecto. Esto significaba que un disquete contaminado podía dañar la
computadora durante el arranque, e igual se aplica a CD y memorias USB con
la función AutoRun de Windows la que ya ha sido modificada. Aunque eso es
menos común ahora, sigue siendo posible olvidarse de que el equipo se inicia
por defecto en un medio removible, y por seguridad normalmente no debería
haber ningún disquete, CD, etc., al encender la computadora. Para solucionar
este problema de seguridad basta con entrar en la BIOS del ordenador y
cambiar el modo de arranque del ordenador.
En algunos sistemas, los usuarios no administradores tienen sobre-privilegios
por diseño, en el sentido que se les permite modificar las estructuras internas
del sistema, porque se les han concedido privilegios inadecuados de
administrador o equivalente. Esta es una decisión de la configuración por
defecto, en los sistemas de Microsoft Windows la configuración por defecto es
sobre-privilegiar al usuario. Esta situación es debida a decisiones tomadas por
Microsoft para priorizar la compatibilidad con viejos sistemas sobre
la seguridad y porque las aplicaciones típicas fueron desarrollados sin tener en
cuenta a los usuarios no privilegiados. Como los exploits para escalar
privilegios han aumentado, esta prioridad se cambió para el lanzamiento
de Windows Vista. Como resultado, muchas aplicaciones existentes que
requieren excesos de privilegios pudieron tener problemas de compatibilidad
con Windows Vista. Sin embargo, el control de cuentas de usuario (UAC en
inglés) de Windows Vista intentó solucionar los problemas que tienen las
aplicaciones no diseñadas para usuarios no privilegiados a través de
la virtualización, actuando como apoyo para resolver el problema del acceso
privilegiado inherente en las aplicaciones heredadas.
El malware, funcionando como código sobre-privilegiado, puede utilizar estos
privilegios para modificar el funcionamiento del sistema. Casi todos los
sistemas operativos populares y también muchas
aplicaciones scripting permiten códigos con muchos privilegios, generalmente
en el sentido que cuando un usuario ejecuta el código, el sistema no limita ese
código a los derechos del usuario. Esto hace a los usuarios vulnerables al
malware contenido en archivos adjuntos de correos electrónicos, que pueden o
no estar disfrazados. Dada esta situación, se advierte a los usuarios de que
abran solamente archivos solicitados, y ser cuidadosos con archivos recibidos
de fuentes desconocidas. Es también común que los sistemas operativos sean
diseñados de modo que reconozcan dispositivos de diversos fabricantes y
cuenten con drivers para estos hardwares, algunos de estos drivers pueden no
ser muy confiables.
Evolución de los programas malignos desarrollados en Cuba

Autor: Edgar Guadis Salazar

Existen en la actualidad más de un centenar de programas malignos

desarrollados en Cuba o para Cuba, algunos de los cuales ocasionan daños a
los sistemas que infectan, incluyendo la pérdida total o parcial de la información
almacenada en los discos duros y otros dispositivos externos.

Aun cuando fue 1988 el año en que se aisló el primer virus informático
internacional llegado al país, nombrado Vienna.648, no fue hasta 1991 cuando
se detectó uno desarrollado en el archipiélago cubano, el cual fue identificado
como TERMINATOR.A. Tuvo como características fundamentales que se
replicó en el Sistema Operativo MS-DOS, teniendo como blancos a ficheros
ejecutables .COM, los cuales fueron destruidos durante la propagación al
sobrescribir sus códigos. Cuando se ejecutaba una aplicación infectada, solo lo
hacía el virus hospedado y no el código del programa original por lo que los
usuarios apreciaron que algo extraño sucedía, siendo muy bajo su nivel de
propagación. Otra de sus características es que contenía una condición de
activación para destruir los primeros 32 sectores del disco activo. En 1992 fue
identificada una segunda variante, TERMINATOR.B, que se propagaba
adicionando su código al inicio del fichero, mientras guardaba cifrado el código
del programa original. El creador de ambos fue el primer autor confeso de
programas malignos elaborados en Cuba.

A diferencia de los programas .COM, muy sencillos en estructura y que

igualmente fueron víctimas iniciales de los virus reportados internacionalmente,
las aplicaciones .EXE con el formato conocido como “MZ” comienzan con una
cabecera que le permite al sistema operativo conocer a priori algunas de sus
características y estructuras, y en base a ellas las cargan y ejecutan en
memoria. Similarmente a lo sucedido extra frontera, los consignados al territorio
cubano también tuvieron a estos últimos entre sus hospederos, siendo el
identificado como CNTV-2630, el más novedoso.

Este virus infectaba a los ficheros .COM y .EXE y colocaba su código, dividido
en dos bloques, dentro del ejecutable. El primero contenía la rutina de
descifrado y residía en una posición aleatoria dentro del fichero infectado,
mientras que el segundo, que estaba cifrado y contenía prácticamente al
cuerpo del virus, era agregado al final del archivo

Además, se activaba a partir de una determinada fecha y mostraba en pantalla

el mensaje: “A CuBaN NeW TeChNoLoGy ViRuS By SoMeBoDy!”.

En Agosto de 2011 fue aislado el Caballo de Troya W32.VRBAT, considerado

el más destructivo de los programas malignos desarrollados en Cuba o para
Cuba y el primero, de los reportados internacionalmente, que usó con fines
dañinos las propias medidas de seguridad del protocolo ATA, las cuales
permiten, entre sus opciones, limitar el acceso a los discos IDE y SATA con el
uso de palabras clave. Formado por varios componentes se propagó a través
de dispositivos removibles de almacenamiento como las memorias flash y
discos externos.

Una vez ejecutado en la computadora garantizó tomar el control cada vez que
se iniciaba una nueva sesión de entrada al sistema para continuar su
propagación y revisar si se cumplían las condiciones requeridas para su
activación, y en ese caso hacer los cambios necesarios que garantizaran la
realización de su acción más vandálica la próxima vez que se intentara iniciar
el sistema. Esta ocurría aún cuando no se hubiera cargado el Sistema
Operativo instalado, pues el programa maligno suplantaba con su código este
proceso y fue implementada de forma tal que no acaeciera el mismo día en que
se instalara el programa maligno y solo después de haber acontecido al menos
seis inicios de sesiones desde ese instante.

Satisfechos esos requisitos procedió a proteger con clave a los discos duros
dejándolos inservibles desde el punto de vista de los usuarios, lo que aparentó
errores de hardware. La clave en cuestión fue el número de serie del disco algo
modificada y el efecto dañino pudo ser ocasionado transcurrido varios días, e
incluso semanas, entre la instalación y la activación, en dependencia del uso
que se le dio a la computadora afectada.

Uno de los componentes empleados por este programa maligno era

identificado con antelación por el producto Segurmática Antivirus, por lo que no
se propagó en aquellas computadoras donde estaba actualizado y con la
protección permanente activa. La actualización con la identificación del resto de
los componentes se liberó el mismo día en que se recibieron las muestras en
Segurmática y a partir de sus análisis se comenzó a devolver la disponibilidad a
los dispositivos de almacenamiento afectados, que fueron llevados a la
empresa. Esta experiencia fue transmitida a especialistas de otras entidades
para facilitar su erradicación y llevar a cabo la restauración de los daños.
Referencias Bibliográficas

Consultoría y seguridad informática. (s. f.). Segurmáticasitio. Recuperado el 7

de agosto de 2015, de http://www.segurmatica.cu

Peter, S. (2005). The Art of Computer Virus Research and Defense.

Recuperado el 23 de agosto de 2015, de http://www.amazon.co.uk/Computer-
Virus-Research-Defense-Symantec/dp/0321304543#reader_B003DQ4WLQ

Referencias[editar]

1. Volver arriba↑ «programa maligno, mejor que malware». Consultado el

24 de octubre de 2017.
2. Volver arriba↑ Microsoft TechNet. «Defining Malware: FAQ» (en inglés).
3. Volver arriba↑ Christopher Elisan (5 de septiembre de 2012). Malware,
Rootkits & Botnets A Beginner's Guide. McGraw Hill Professional.
pp. 10-. ISBN 978-0-07-179205-9.
4. Volver arriba↑ Panda Labs. «La cantidad de malware creado aumenta
en 26% hasta llegar a más de 73,000 diarios». Consultado el 21 de
marzo de 2011.
5. Volver arriba↑ Panda Labs. «Informe anual Panda Labs Resumen
2011». Consultado el 16 de abril de 2012.
6. Volver arriba↑ El Universal.com, suplemento Tecnología. «suman 750
mil afectados por virus en Skaype».
7. Volver arriba↑ Google. searches web's dark side/ «BBC News» (en
inglés).
8. Volver arriba↑ Niels Provos. «The Ghost In The Browser, Analysis of
Web-based Malware» (en inglés).
9. Volver arriba↑ Catb.org. «The Meaning of ‘Hack’» (en inglés).
10. Volver arriba↑ Bruce Schneier (Traducción al español por José M.
Gómez). «El “rootkit” del DRM de Sony: la verdadera historia (Sony’s
DRM Rootkit: The Real Story)». Archivado desde el original el 29 de
mayo de 2010.
11. Volver arriba↑ Bob Brown, Network World. «Sony BMG rootkit scandal:
5 years later, Shocking rootkit revelation seen as “seminal moment in
malware history”» (en inglés).
12. Volver arriba↑ ESET. «Tipos de malware y otras amenazas
informáticas».
13. Volver arriba↑ Kaspersky lab. «Programas troyanos (Caballos de
Troya)». Archivado desde el original el 24 de febrero de 2013.
14. Volver arriba↑ Viruslist.com. «Droppers troyanos». Archivado desde el
original el 24 de septiembre de 2010.
15. Volver arriba↑ Symantec Corporation. «Trojan.Dropper» (en inglés).
16. Volver arriba↑ IIEMD, Instituto Internacional Español de Marketing
Digital (2 de diciembre de 2016). «Qué es Malware y cómo afectó a
millones de cuentas Google». https://iiemd.com/marketingdigital/.
Consultado el 2 de diciembre de 2016.
17. Volver arriba↑ ALEGSA. «Definición de Crimeware».
18. Volver arriba↑ InfoSpyware. «¿Qué es el Rogue Software o FakeAV?».
19. Volver arriba↑ Marcelo Rivero, Microsoft MVP Enterprise Security -
Founder & CEO to ForoSpyware & InfoSpyware. «El “virus de la policía”
latinoamericano!». Consultado el 22 de abril de 2013.