Troyano (inform�tica)

Ir a la navegaci�nIr a la b�squeda
�Esta p�gina se carg� con suficiente rapidez?
Para obtener m�s informaci�n, consulta la declaraci�n de privacidad de esta
encuesta.

Captura de pantalla del troyano Nuclear RAT.

En inform�tica, se denomina caballo de Troya, o troyano, a un malware que se
presenta al usuario como un programa aparentemente leg�timo e inofensivo, pero que,
al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.1?2? El
t�rmino troyano proviene de la historia del caballo de Troya mencionado en la
Odisea de Homero.

Los troyanos pueden realizar diferentes tareas, pero, en la mayor�a de los casos,
crean una puerta trasera (en ingl�s backdoor) que permite la administraci�n remota
a un usuario no autorizado.3?

Un troyano es un tipo de malware. Para que un malware sea un troyano solo tiene que
acceder y controlar la m�quina anfitriona sin ser advertido, bajo una apariencia
inocua.

Hay ciertas fuentes que lo descatalogan como malware debido a que aparentemente no
causa da�os en los sistemas, pero causan tambi�n otra clase de perjuicios, como el
robo de datos personales.

�ndice
1 Evoluci�n hist�rica
2 Prop�sitos de los troyanos
3 Caracter�sticas de los troyanos
4 Formas de infectarse con troyanos
5 Algunas se�ales de que nuestra computadora est� infectada por un troyano
6 Eliminaci�n de troyanos
7 Tipos de troyanos
8 Troyanos m�s famosos
9 V�ase tambi�n
10 Referencias
11 Enlaces externos
Evoluci�n hist�rica
Los troyanos se concibieron como una herramienta para causar el mayor da�o posible
en el equipo infectado. En los �ltimos a�os y gracias al mayor uso de Internet,
esta tendencia ha cambiado hacia el robo de datos bancarios o informaci�n
personal.1?

Desde sus or�genes, los troyanos han sido utilizados como arma de sabotaje por los
servicios de inteligencia como la CIA, cuyo caso m�s emblem�tico fue el Sabotaje al
Gasoducto Siberiano en 1982. La CIA instal� un troyano en el software que se
ocupar�a de manejar el funcionamiento del gasoducto, antes de que la URSS comprara
ese software en Canad�.4?

De acuerdo con un estudio de la empresa responsable del software de seguridad

BitDefender desde enero hasta junio de 2009, �El n�mero de troyanos est� creciendo,
representan el 83 % del malware detectado�.5?

Prop�sitos de los troyanos

Los troyanos est�n dise�ados para permitir a un individuo el acceso remoto a un
sistema. Una vez en ejecuci�n, el atacante puede acceder al sistema de forma remota
y realizar diferentes acciones sin necesitar permiso.6? Las acciones que el
atacante puede realizar en el equipo remoto dependen de los privilegios que tenga
el usuario atacado en ese equipo y de las caracter�sticas del troyano.[cita
requerida]

Algunas de las operaciones m�s comunes son:

Utilizaci�n la m�quina como parte de una botnet (por ejemplo, para realizar ataques
de denegaci�n de servicio o env�o de spam).
Instalaci�n de otros programas (incluyendo aplicaciones maliciosas).
Robo de informaci�n personal: informaci�n bancaria, contrase�as, c�digos de
seguridad, etc�tera.
Borrado, modificaci�n o transferencia de archivos (descarga o subida).
Borrado completo del disco.
Ejecuci�n o finalizaci�n de procesos.
Apagado o reiniciado del equipo.
Captura de las pulsaciones del teclado.
Capturas de pantalla.
Llenado del disco duro con archivos in�tiles.
Monitorizaci�n del sistema y seguimiento de las acciones del usuario.
Captura de im�genes o videos a trav�s de la webcam, si tiene.
Acciones inocuas desde el punto de vista de la seguridad, destinadas a sorprender
al usuario, tales como expulsar la unidad de CD, cambiar la apariencia del sistema,
etc.
Actualmente, y dada la popularidad de los dispositivos m�viles y tabletas, son
estas plataformas (especialmente aquellas con menor control en su mercado de
aplicaciones) las que suscitan un creciente inter�s entre los desarrolladores de
este tipo de malware. Dado el uso personal de estos dispositivos, las acciones que
un atacante puede realizar en estos dispositivos comprende las ya descritas, m�s
otras espec�ficas derivadas de la naturaleza privada de la informaci�n que se
almacena en estas plataformas. Algunos ejemplos son:

Captura de los mensajes entrantes y salientes de aplicaciones de mensajer�a.

Captura del registro de llamadas.
Acceso y modificaci�n de contactos en la agenda.
Habilidad para efectuar llamadas y enviar mensajes de texto.
Conocimiento de la posici�n geogr�fica del dispositivo mediante GPS.
Caracter�sticas de los troyanos
Generalmente, los caballos de troya son utilizados para robar informaci�n, en casos
extremos, obtener el control remoto de la computadora, de forma que el atacante
consiga acceso de lectura y escritura a los archivos y datos privados almacenados,
visualizaciones de las pantallas abiertas, activaci�n y desactivaci�n de procesos,
control de los dispositivos y la conexi�n a determinados sitios de Internet desde
la computadora afectada como las p�ginas pornogr�ficas. Los troyanos est�n
compuestos principalmente por dos programas: un programa de administraci�n, que
env�a las �rdenes que se deben ejecutar en la computadora infectada y el programa
residente situado en la computadora infectada, que recibe las �rdenes del
administrador, las ejecuta y le devuelve un resultado. Generalmente tambi�n se
cuenta con un editor del programa residente, el cual sirve para modificarlo,
protegerlo mediante contrase�as, unirlo a otros programas para disfrazarlo,
configurar en que puerto deseamos instalar el servidor, etc. Atendiendo a la forma
en la que se realiza la conexi�n entre el programa de administraci�n y el residente
se pueden clasificar en:

Conexi�n directa
El atacante se conecta directamente al PC infectado mediante su direcci�n IP. En
este caso, el equipo atacante es el cliente y la v�ctima es el servidor.
Conexi�n indirecta (o inversa)
El equipo host o v�ctima se conecta al atacante mediante un proceso autom�tico en
el malware instalado en su equipo, por lo que no es necesario para el atacante
disponer de la direcci�n IP de la v�ctima. Para que la conexi�n este asegurada, el
atacante puede utilizar una IP fija o un nombre de dominio. La mayor�a de los
troyanos modernos utilizan este sistema de conexi�n, donde el atacante es el
servidor a la espera de la conexi�n y el equipo host es el cliente que env�a
peticiones de conexi�n para recibir �rdenes de ejecuci�n remotas bajo su propia
demanda.
Los troyanos y otros tipos de malware, as� como muchas utilidades software han
evolucionado hacia el modelo de conexi�n inversa debido a la extensi�n de routers
que aplican en su mayor�a por defecto una capa de seguridad en la red inicial (como
el propio NAT) actuando como firewall que impide bajo condiciones conexiones
entrantes hacia los clientes de la red salvo que este mecanismo se deshabilite o
configure expresamente. De esta manera, es m�s sencillo crear herramientas que se
salten esta protecci�n ocasionando que sean los clientes los que soliciten sus
�rdenes remotas en lugar de permitir recibirlas.

A pesar de que los troyanos de conexi�n directa han ca�do en desuso casi totalmente
frente a los de conexi�n inversa, dentro de los c�rculos de piratas inform�ticos se
sigue utilizando la denominaci�n de cliente para el equipo atacante y servidor para
el equipo v�ctima, lo cual es incorrecto desde un punto de vista estricto.

La conexi�n inversa tiene claras ventajas sobre la conexi�n directa. �sta traspasa
algunos firewalls (la mayor�a de los firewall no analizan los paquetes que salen de
la computadora, pero que s� analizan los que entran), pueden ser usados en redes
situadas detr�s de un router sin problemas (no es necesario redirigir los puertos)
y no es necesario conocer la direcci�n IP del servidor.[cita requerida]

Cabe destacar que existen otro tipo de conexiones, que no son de equipo v�ctima a
equipo atacante, sino que utilizan un servidor intermedio, normalmente ajeno a
ambos, para realizar el proceso de control. Se suelen utilizar para este prop�sito
los protocolos IRC y el FTP, HTTP, aunque tambi�n pueden usarse otros.[cita
requerida]

Formas de infectarse con troyanos

La mayor�a de infecciones con troyanos ocurren cuando se ejecuta un programa
infectado con un troyano. Estos programas pueden ser de cualquier tipo, desde
instaladores hasta presentaciones de fotos. Al ejecutar el programa, este se
muestra y realiza las tareas de forma normal, pero en un segundo plano y al mismo
tiempo se instala el troyano. El proceso de infecci�n no es visible para el usuario
ya que no se muestran ventanas ni alertas de ning�n tipo, por lo que evitar la
infecci�n de un troyano es dif�cil. Algunas de las formas m�s comunes de infecci�n
son:

Descarga de programas de redes P2P.

P�ginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o
aplicaciones Java).
Exploits para aplicaciones no actualizadas (navegadores, reproductores multimedia,
clientes de mensajer�a instant�nea).
Ingenier�a social (por ejemplo un cracker manda directamente el troyano a la
v�ctima a trav�s de la mensajer�a instant�nea).
Archivos adjuntos en correos electr�nicos y archivos enviados por mensajer�a
instant�nea.
Conectar a su equipo un dispositivo externo infectado.
Actualizar software de su equipo.
No tener ning�n tipo de software de protecci�n
Debido a que cualquier programa puede realizar acciones maliciosas en un ordenador,
hay que ser cuidadoso a la hora de ejecutarlos. Estos pueden ser algunos buenos
consejos para evitar infecciones:

Disponer de un programa antivirus actualizado regularmente para estar protegido

contra las �ltimas amenazas.
Disponer de un firewall correctamente configurado. Algunos antivirus lo traen
integrado.
Tener instalados los �ltimos parches y actualizaciones de seguridad del sistema
operativo.
Descargar los programas siempre de las p�ginas web oficiales o de p�ginas web de
confianza.
No abrir los datos adjuntos de un correo electr�nico si no conoces al remitente.
Evitar la descarga de software de redes p2p.
Algunas se�ales de que nuestra computadora est� infectada por un troyano
Pantalla o ventanas con mensajes poco usuales.
Sin justificaci�n aparecen, desaparecen y se modifican archivos.
Comportamientos poco habituales en el funcionamiento de la computadora, como:
modificaciones en el escritorio, refrescadores de pantalla, la unidad de CD-DVD,
intercambio de las funciones de los botones del rat�n, alteraci�n del volumen del
reproductor de sonido.
Se activan o desactivan ventanas en la pantalla.
Presencia de ficheros .TXT o sin extensi�n en el disco duro, preferiblemente en
C:\.
Lentitud en el Sistema Operativo, bloqueos continuos o se reinicia el sistema sin
que se conozcan las causas, programas que inesperadamente comienzan su ejecuci�n o
la concluyen.
El navegador de Internet accede por s� solo a determinados sitios.
El navegador de Internet o el cliente de correo no reconoce nombre y contrase�a o
indica que ya est� siendo utilizado.
En la carpeta de enviados del cliente de correo electr�nico se muestran mensajes no
conocidos.
Eliminaci�n de troyanos
Una de las principales caracter�sticas de los troyanos es que no son visibles para
el usuario. Un troyano puede estar ejecut�ndose en un ordenador durante meses sin
que el usuario lo perciba. Esto hace muy dif�cil su detecci�n y eliminaci�n de
forma manual. Algunos patrones para identificarlos son: un programa desconocido se
ejecuta al iniciar el ordenador, se crean o borran archivos de forma autom�tica, el
ordenador funciona m�s lento de lo normal, errores en el sistema operativo.

Por otro lado los programas antivirus est�n dise�ados para eliminar todo tipo de
software malicioso, adem�s de eliminarlos tambi�n previenen de nuevas infecciones
actuando antes de que el sistema resulte infectado. Es muy recomendable tener
siempre un antivirus instalado en el equipo y a ser posible tambi�n un firewall.

Tipos de troyanos
Backdoors
Un troyano de estas caracter�sticas, le permite al atacante conectarse remotamente
al equipo infectado. Las conexiones remotas son com�nmente utilizadas en
inform�tica y la �nica diferencia entre estas y un backdoor es que en el segundo
caso, la herramienta es instalada sin el consentimiento del usuario. La tecnolog�a
aplicada para acceder remotamente al equipo no posee ninguna innovaci�n en
particular ni diferente a los usos inofensivos con que son utilizadas estas mismas
aplicaciones. Una vez que el atacante accede al ordenador del usuario, los usos que
puede hacer del mismo son variados, seg�n las herramientas que utilice: enviar
correos masivos, eliminar o modificar archivos, ejecuci�n de archivos, reiniciar el
equipo o usos m�s complejos como instalar aplicaciones para uso malicioso (por
ejemplo: alojamiento de sitios web de violencia o pedofilia).
Keyloggers
Los keyloggers (del ingl�s Key = Tecla y Log = Registro) son uno de los tipos m�s
utilizados para obtener informaci�n sensible de los usuarios. Los troyanos de este
tipo, instalan una herramienta para detectar y registrar las pulsasiones del
teclado en un sistema. Pueden capturar informaci�n como contrase�as de correos,
cuentas bancarias o sitios web, entre otras, y por lo tanto atentar contra
informaci�n sensible del usuario. La informaci�n capturada es enviada al atacante
generalmente, en archivos de texto con la informaci�n. Estos troyanos, no son una
amenaza para el sistema sino para el usuario y su privacidad. Los datos
recolectados, pueden ser utilizados para realizar todo tipo de ataques, con fines
econ�micos o simplemente malignos como modificar las contrase�as de las cuentas de
acceso a alg�n servicio.
Banker
Los troyanos bancarios tienen como principal objetivo robar datos privados de las
cuentas bancarias de los usuarios. Utilizan diferentes t�cnicas para obtener los
datos de acceso a todo tipo de entidades financieras, algunas de ellas son:
reemplazar parcial o totalmente el sitio web de la entidad, enviar capturas de
pantalla de la p�gina bancaria (�tiles cuando el usuarios utiliza teclados
virtuales) o incluso la grabaci�n en formato de video de las acciones del usuario
mientras accede al sitio web. Los datos son enviados al atacante, por lo general,
por correo electr�nico o aloj�ndolos en sitios FTP.
Downloader
Este tipo de troyanos tiene como principal funci�n la de descargar otros archivos
maliciosos. Esta clase de amenazas no hace alg�n da�o en s�, sino que descarga
otros archivos maliciosos para el ordenador. El troyano se encarga, no solo de
descargar el/los archivos, sino tambi�n de ejecutarlos o preparar la m�quina para
su ejecuci�n autom�tica al inicio.
Botnets
Los troyanos botnets, son utilizados para crear redes de equipos zombis (botnets).
El atacante utiliza el troyano (generalmente combinado con herramientas de
backdoors) para controlar una cantidad importante de ordenadores y as� poder
utilizarlos para cualquier fin maligno. Pueden ser utilizados para enviar spam o
para realizar ataques de denegaci�n de servicio (DoS); estos consisten en saturar
un sitio web generando m�s accesos y requerimientos de los que puede soportar y
provocando la baja del servicio.
Proxy
Este tipo de troyanos instalan herramientas en el ordenador que le permiten al
atacante utilizar la Pc infectada como un servidor proxy. Un proxy es un servidor
que da acceso a otros ordenadores a Internet a trav�s de �l. En este caso, el
atacante utiliza el ordenador infectado para acceder a la web a trav�s de �l,
enmascarando su identidad.
Password Stealer
Los password Stealer se encargan de robar informaci�n introducida en los
formularios en las p�ginas web. Pueden robar informaci�n de todo tipo, como
direcciones de correo electr�nico, logins, passwords, PINs, n�meros de cuentas
bancarias y de tarjetas de cr�dito. Estos datos pueden ser enviados por correo
electr�nico o almacenados en un servidor al que el delincuente accede para recoger
la informaci�n robada. En la mayor�a de sus versiones, utilizan t�cnicas keyloggers
para su ejecuci�n y son similares a estos.
Dialer
Los troyanos �Dialer� crean conexiones telef�nicas en el ordenador del usuario,
utilizando las funcionalidades del m�dem. Estas conexiones son creadas y ejecutadas
de forma transparente a la v�ctima. Generalmente, se trata de llamados de alto
costo a sitios relacionados con contenido adulto en Internet. Este tipo de troyanos
crean un da�o econ�mico al usuario, el ordenador no se ve afectado por hacer una
llamada telef�nica.
Troyanos m�s famosos
Nombre Autor A�o Conexi�n Lenguaje
NetBus Carl-Fredrik Neikte 1997 Directa Delphi
Back Orifice Sir Dystic 1998 Inversa C++
Sub7 MobMan 1999 Directa Delphi
Bifrost KSV 2004 Directa / Inversa Delphi/C++
Bandook Princeali 2005 Directa / Inversa C++
Poison Ivy Shapeless 2009 Inversa Delphi/ASM
NetBus (1998)
Software malicioso para el control de una forma remota de sistemas inform�ticos
Microsoft Windows a trav�s de una red. Fue creado en 1998 y ha sido muy
controvertido por su potencial de ser utilizado como una puerta trasera.
Historia
NetBus se escribi� en Delphi por Carl-Fredrik Neikter, un programador sueco en
marzo de 1998. Entr� en circulaci�n antes que Back Orifice, fue liberado en agosto
de 1998. El autor afirm� que el programa estaba destinado a ser usado para bromas,
no para irrumpir ilegalmente en los sistemas inform�ticos. Traducido del sueco, el
nombre significa "NetPrank". Sin embargo, el uso de NetBus ha tenido graves
consecuencias. En 1999, NetBus se utiliz� para introducir pornograf�a infantil en
el equipo de trabajo de Magnus Eriksson, un erudito en Derecho Universidad de Lund.
Las 3500 im�genes fueron descubiertas por los administradores del sistema, y
Eriksson se supone que lo hab�a descargado a sabiendas.
Caracter�sticas
Existen dos componentes para la arquitectura cliente-servidor. El servidor debe ser
instalado y ejecutado en el equipo que quiere ser controlado a distancia, el tama�o
de archivo es de casi 500 KB. El nombre y el icono han variado mucho de versi�n a
versi�n. Nombres comunes eran "Patch.exe" y "SysEdit.exe". Cuando se inicia por
primera vez, el servidor se instala en el ordenador host, incluyendo la
modificaci�n de Windows del Registro para que se inicie autom�ticamente en cada
inicio del sistema.
Back Orifice
Es un programa de control remoto de ordenadores que funciona bajo un servidor y un
cliente. Si colocamos el servidor a otro ordenador remoto, es posible desde el
cliente, gobernar cualquier funci�n del ordenador remoto, entre los que destaca
abrir y cerrar programas, controlar el CD-ROM, leer y modificar ficheros o borrar
parte del disco duro.
Para ello el servidor se autoejecuta y se borra cada vez que el ordenador ajeno se
enciende, nuestro cliente escanea el puerto elegido y cuando �ste est� abierto
act�a a trav�s de �l, desde un men� repleto de pesta�as y opciones de control
remoto. El sistema es bueno para controlar un ordenador u ordenadores dentro de
nuestra red LAN, aunque dejar este puerta abierta para Windows es toda una amenaza.
Sub7(1999)
Sub7, o SubSeven, es un software de administraci�n remota para sistemas Microsoft
Windows a trav�s del Internet, es tambi�n categorizado como troyano o Puerta
trasera por ciertas caracter�sticas similares a las de un virus inform�tico. Es
usado para acceder y controlar de forma remota una computadora sin el
consentimiento del usuario, en donde es el usuario que mantiene en su poder al
Cliente del software por medio del Servidor que permite que el sistema comprometido
sea controlado de forma remota.
Bifrost(2004)
Es una variante de virus inform�tico, el cual es usado para acceder remotamente a
otra pc, sin consentimiento.