MALWARE

En el mundo actual donde todos estamos interconectados, se vive una lucha intensa entre los creadores

de malware y los creadores de antivirus. Esta es una realidad que nos puede afectar en cualquier

momento e incluso te puede estar pasando sin que aun te has dado cuenta. Ante estas situaciones lo

mejor es estar informado y saber que hacer en estas situaciones.

Esta pequea gui que creare te darn las pautas bsicas de como funcionan los malware, como es que

funcionan los antivirus y las medidas bsicas que hay que tomar para defenderse ante un posible ataque

Lo primero que tienes que saber es que el malware es un software (programa) el cual puede llevar a

cabo acciones maliciosas como por ejemplo espiar tus actividades en linea, robar tus contraseas o

archivos, utilizarte para atacar otros computadores e incluso puede negar el acceso a tus propios

archivos y pedir un rescate monetario por ellos.

El malware aunque no lo creas no es algo nuevo sino que ha estado con nosotros desde hace unos 30

aos, solo que en sus inicios el objetivo de los creadores de malware era ganar reconocimiento o como

un reto personal. Actualmente por el contrario la creacin de malware se ha vuelto una actividad

comercial donde se buscan como objetivo principal obtener la mayor cantidad de dinero en el menor

tiempo posible y ahora los creadores de malware ya no son aficionados sino son grandes grupos de

personas dedicadas de manera profesional a dicha actividad.

Incluso la actividad de creacin de malware muchas veces es patrocinada por organizaciones

gubernamentales como la agencia nacional de seguridad o el cuartel general de comunicaciones del

gobierno, EEUU y el Reino Unido respectivamente, quienes lo hacen bajo la consigna de proteger a la

nacin de una posible amenaza aunque al fin y al cabo estn vigilando y espiando las actividades que

realizan sus propios ciudadanos. Otras veces incluso pases crean malware para atacar a sus enemigos,

un caso altamente sonado fue el caso del malware Stuxnet el cual fue descubierto en el 2010 y tenia
como objetivo sabotear la mas grande compaa petrolera de Arabia Saudita, la creacin de dicho

malware fue se le atribuyo a Irn.

A la par del nacimiento de los malware salieron soluciones como son los antivirus o antimalware las

cuales son programas que tratan detectar y detener a los malware. Al comienzo debido a los pocos

malware que existan y al poco avance al respecto, los antivirus solo tenan un escner que trataba de

identificar patrones maliciosos en programas ejecutables pero con el paso del tiempo y la evolucin del

malware las empresas antivirus tuvieron que esforzarse en la creacin de la deteccin automtica y la

heuristica que es una tcnica utilizada para detectar malware desconocido.

Pero como hacen los antivirus para detectar automticamente malware, pues utilizan una tcnica basada

en las firma de un virus. Una firma se puede definir como cdigo o una cadena que identifica a un

malware en particular,por tal razn los antivirus poseen una cantidad de firmas gigantesca para poder

identificar la mayor cantidad de malware posible.

Los antivirus utilizan 2 tcnicas principales para la deteccin de virus por medio de la firma. La

primera conocida como patrn de bytes el cual consiste en que estas contienen una o ms secuencias

constantes de bytes, posiblemente separados por espacios de diferente tamao, que necesitan coincidir

con el contenido de un archivo para activar una deteccin.

Antes de explicar la segunda tcnica, es necesario definir la funcin hash como un algoritmo

matemtico que transforma cualquier bloque de datos(texto,imgenes,videos,programas etc..) en una

serie de caracteres de longitud fija y en lo posible dicha cadena es unica. Los tipos mas comunes de

funcion hash utilizados actualmente son MD5, SHA-1 y SHA-2.

La segunda tcnica conocida como hash sum consiste en la creacin de una funcin hash para cada

pieza de malware o alguna parte pequea y reconocible de estos y guardarla en base de datos o lista

negra para que a futuro se pueda detectar el malware al comparar las cadenas hash de la lista negra con

la de la aplicacin sospechosa.
Algunas referencias de inters:

https://securingthehuman.sans.org/newsletters/ouch/issues/OUCH-201603_sp.pdf
From Malware Signatures to Anti-Virus Assisted Attacks (Libro)
The Antivirus Hackers Handbook (Libro)
Malware Diffusion Models for Modern Complex Networks Theory and Applications (Libro)
https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/