Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TROYANO
TROYANO
TROYANO
Prof. Nerio Garcia Gollarza
SECCIÓN: IC0931
INTEGRANTES
pág. 1
INTRODUCCIÓN
Hace algún tiempo, el único mecanismo capaz de comprometer la seguridad de
nuestros datos era insertar un disco contaminado en nuestro PC. En esa época,
para mantener a salvo, prácticamente bastaba con evitar "prácticas de riesgo" y
disponer de un buen antivirus.
Más tarde, el desarrollo de las redes internas y externas, así como la llegada de
Internet, abrieron nuevas posibilidades de ataques, y nos llevaron a la era de la
seguridad de red. En la actualidad, el uso masivo de las aplicaciones y servicios
web entraña nuevos riesgos, con lo que la seguridad informática ha alcanzado su
tercera etapa: la era de la seguridad de las aplicaciones.
Como resultado de esta evolución, los virus actuales suponen una terrible
amenaza que no puede ser ignorada por ningún tipo de usuario y que crece
exponencialmente.
TROYANO
pág. 2
En informática, se denomina caballo de Troya, o troyano, a un malware que se
presenta al usuario como un programa aparentemente legítimo e inofensivo, pero
que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado. El
término troyano proviene de la historia del caballo de Troya mencionado en la
Odisea de Homero.
Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos,
crean una puerta trasera (en inglés backdoor) que permite la administración
remota a un usuario no autorizado.3
Un troyano es un tipo de malware. Para que un malware sea un troyano solo tiene
que acceder y controlar la máquina anfitriona sin ser advertido, bajo una
apariencia inocua.
Hay ciertas fuentes que lo descatalogan como malware debido a que
aparentemente no causa daños en los sistemas, pero causan también otra clase
de perjuicios, como el robo de datos personales.
EVOLUCIÓN HISTÓRICA
Los troyanos se concibieron como una herramienta para causar el mayor daño
posible en el equipo infectado. En los últimos años y gracias al mayor uso de
Internet, esta tendencia ha cambiado hacia el robo de datos bancarios o
información personal.
Desde sus orígenes, los troyanos han sido utilizados como arma de sabotaje por
los servicios de inteligencia como la CIA, cuyo caso más emblemático fue el
Sabotaje al Gasoducto Siberiano en 1982. La CIA instaló un troyano en el software
que se ocuparía de manejar el funcionamiento del gasoducto, antes de que la
URSS comprara ese software en Canadá.
De acuerdo con un estudio de la empresa responsable del software de seguridad
BitDefender desde enero hasta junio de 2009, «El número de troyanos está
creciendo, representan el 83 % del malware detectado».
pág. 3
Ejecución o finalización de procesos.
Apagado o reiniciado del equipo.
Captura de las pulsaciones del teclado.
Capturas de pantalla.
Llenado del disco duro con archivos inútiles.
Monitorización del sistema y seguimiento de las acciones del usuario.
Captura de imágenes o videos a través de la webcam, si tiene.
Acciones inocuas desde el punto de vista de la seguridad, destinadas a
sorprender al usuario, tales como expulsar la unidad de CD, cambiar la
apariencia del sistema, etc.
Actualmente, y dada la popularidad de los dispositivos móviles y tabletas, son
estas plataformas (especialmente aquellas con menor control en su mercado de
aplicaciones) las que suscitan un creciente interés entre los desarrolladores de
este tipo de malware. Dado el uso personal de estos dispositivos, las acciones que
un atacante puede realizar en estos dispositivos comprenden las ya descritas, más
otras específicas derivadas de la naturaleza privada de la información que se
almacena en estas plataformas. Algunos ejemplos son:
pág. 4
Conexión directa
El atacante se conecta directamente al PC infectado mediante su dirección IP. En
este caso, el equipo atacante es el cliente y la víctima es el servidor.
Conexión indirecta (o inversa)
El equipo host o víctima se conecta al atacante mediante un proceso automático
en el malware instalado en su equipo, por lo que no es necesario para el atacante
disponer de la dirección IP de la víctima. Para que la conexión este asegurada, el
atacante puede utilizar una IP fija o un nombre de dominio. La mayoría de los
troyanos modernos utilizan este sistema de conexión, donde el atacante es el
servidor a la espera de la conexión y el equipo host es el cliente que envía
peticiones de conexión para recibir órdenes de ejecución remotas bajo su propia
demanda.
Los troyanos y otros tipos de malware, así como muchas utilidades software han
evolucionado hacia el modelo de conexión inversa debido a la extensión de
routers que aplican en su mayoría por defecto una capa de seguridad en la red
inicial (como el propio NAT) actuando como firewall que impide bajo condiciones,
conexiones entrantes hacia los clientes de la red salvo que este mecanismo se
deshabilite o configure expresamente. De esta manera, es más sencillo crear
herramientas que se salten esta protección ocasionando que sean los clientes los
que soliciten sus órdenes remotas en lugar de permitir recibirlas.
A pesar de que los troyanos de conexión directa han caído en desuso casi
totalmente frente a los de conexión inversa, dentro de los círculos de piratas
informáticos se sigue utilizando la denominación de cliente para el equipo atacante
y servidor para el equipo víctima, lo cual es incorrecto desde un punto de vista
estricto.
La conexión inversa tiene claras ventajas sobre la conexión directa. Ésta traspasa
algunos firewalls (la mayoría de los firewall no analizan los paquetes que salen de
la computadora, pero que sí analizan los que entran), pueden ser usados en redes
situadas detrás de un router sin problemas (no es necesario redirigir los puertos) y
no es necesario conocer la dirección IP del servidor.
Cabe destacar que existen otro tipo de conexiones, que no son de equipo víctima
a equipo atacante, sino que utilizan un servidor intermedio, normalmente ajeno a
ambos, para realizar el proceso de control. Se suelen utilizar para este propósito
los protocolos IRC y el FTP, HTTP, aunque también pueden usarse otros.
pág. 5
la infección de un troyano es difícil. Algunas de las formas más comunes de
infección son:
pág. 6
Eliminación repentina de los archivos de la papelera.
Cambios en las propiedades de archivos que se encuentran o estuvieron en
la papelera (Alteración en "fecha de creación", "fecha de eliminación" y "tipo de
archivo".
Lentitud en el Sistema Operativo, bloqueos continuos o se reinicia el
sistema sin que se conozcan las causas, programas que inesperadamente
comienzan su ejecución o la concluyen.
El navegador de Internet accede por sí solo a determinados sitios.
El navegador de Internet o el cliente de correo no reconoce nombre y
contraseña o indica que ya está siendo utilizado.
En la carpeta de enviados del cliente de correo electrónico se muestran
mensajes no conocidos.
ELIMINACIÓN DE TROYANOS
Una de las principales características de los troyanos es que no son visibles para el usuario.
Un troyano puede estar ejecutándose en un ordenador durante meses sin que el usuario lo
perciba. Esto hace muy difícil su detección y eliminación de forma manual. Algunos patrones
para identificarlos son: un programa desconocido se ejecuta al iniciar el ordenador, se crean o
borran archivos de forma automática, el ordenador funciona más lento de lo normal, errores en
el sistema operativo.
Por otro lado, los programas antivirus están diseñados para eliminar todo tipo de software
malicioso, además de eliminarlos también previenen de nuevas infecciones actuando antes de
que el sistema resulte infectado. Es muy recomendable tener siempre un antivirus instalado en
el equipo y a ser posible también un firewall.
TIPOS DE TROYANOS
Backdoors
Un troyano de estas características, le permite al atacante conectarse
remotamente al equipo infectado. Las conexiones remotas son comúnmente
utilizadas en informática y la única diferencia entre estas y un backdoor es que en
el segundo caso, la herramienta es instalada sin el consentimiento del usuario. La
tecnología aplicada para acceder remotamente al equipo no posee ninguna
innovación en particular ni diferente a los usos inofensivos con que son utilizadas
estas mismas aplicaciones. Una vez que el atacante accede al ordenador del
usuario, los usos que puede hacer del mismo son variados, según las
herramientas que utilice: enviar correos masivos, eliminar o modificar archivos,
ejecución de archivos, reiniciar el equipo o usos más complejos como instalar
aplicaciones para uso malicioso (por ejemplo: alojamiento de sitios web de
violencia o pedofilia).
Keyloggers
Los keyloggers (del inglés Key = Tecla y Log = Registro) son uno de los tipos más
utilizados para obtener información sensible de los usuarios. Los troyanos de este
tipo, instalan una herramienta para detectar y registrar las pulsaciones del teclado
en un sistema. Pueden capturar información como contraseñas de correos,
cuentas bancarias o sitios web, entre otras, y por lo tanto atentar contra
pág. 7
información sensible del usuario. La información capturada es enviada al atacante
generalmente, en archivos de texto con la información. Estos troyanos, no son una
amenaza para el sistema sino para el usuario y su privacidad. Los datos
recolectados, pueden ser utilizados para realizar todo tipo de ataques, con fines
económicos o simplemente malignos como modificar las contraseñas de las
cuentas de acceso a algún servicio.
Banker
Los troyanos bancarios tienen como principal objetivo robar datos privados de las
cuentas bancarias de los usuarios. Utilizan diferentes técnicas para obtener los
datos de acceso a todo tipo de entidades financieras, algunas de ellas son:
reemplazar parcial o totalmente el sitio web de la entidad, enviar capturas de
pantalla de la página bancaria (útiles cuando el usuario utiliza teclados virtuales) o
incluso la grabación en formato de video de las acciones del usuario mientras
accede al sitio web. Los datos son enviados al atacante, por lo general, por correo
electrónico o alojándolos en sitios FTP.
Downloader
Este tipo de troyanos tiene como principal función la de descargar otros archivos
maliciosos. Esta clase de amenazas no hace algún daño en sí, sino que descarga
otros archivos maliciosos para el ordenador. El troyano se encarga, no solo de
descargar el/los archivos, sino también de ejecutarlos o preparar la máquina para
su ejecución automática al inicio.
Botnets
Los troyanos botnets, son utilizados para crear redes de equipos zombis (botnets).
El atacante utiliza el troyano (generalmente combinado con herramientas de
backdoors) para controlar una cantidad importante de ordenadores y así poder
utilizarlos para cualquier fin maligno. Pueden ser utilizados para enviar spam o
para realizar ataques de denegación de servicio (DoS); estos consisten en saturar
un sitio web generando más accesos y requerimientos de los que puede soportar y
provocando la baja del servicio.
Proxy
Este tipo de troyanos instalan herramientas en el ordenador que le permiten al
atacante utilizar la Pc infectada como un servidor proxy. Un proxy es un servidor
que da acceso a otros ordenadores a Internet a través de él. En este caso, el
atacante utiliza el ordenador infectado para acceder a la web a través de él,
enmascarando su identidad.
Password Stealer
Los password Stealer se encargan de robar información introducida en los
formularios en las páginas web. Pueden robar información de todo tipo, como
direcciones de correo electrónico, logins, passwords, PINs, números de cuentas
bancarias y de tarjetas de crédito. Estos datos pueden ser enviados por correo
electrónico o almacenados en un servidor al que el delincuente accede para
recoger la información robada. En la mayoría de sus versiones, utilizan técnicas
keyloggers para su ejecución y son similares a estos.
Dialer
pág. 8
Los troyanos “Dialer” crean conexiones telefónicas en el ordenador del usuario,
utilizando las funcionalidades del módem. Estas conexiones son creadas y
ejecutadas de forma transparente a la víctima. Generalmente, se trata de llamados
de alto costo a sitios relacionados con contenido adulto en Internet. Este tipo de
troyanos crean un daño económico al usuario, el ordenador no se ve afectado por
hacer una llamada telefónica.
Cementery
El troyano “Cementery” es una novedad en este tipo de malware, apareciendo por
primera vez en 2018. Su principal propósito es el robo de información multimedia y
documentos. Trabaja exclusivamente en la papelera de reciclaje, ya que es el área
más vulnerable de cualquier ordenador. Su modus operandi es el siguiente:
cambia las propiedades de los archivos infectados, alterando su fecha de
creación, tipo de archivo o fecha de eliminación del mismo, comúnmente con
fechas recientes o incluso semanas próximas, provocando que un antivirus no
pueda detectarlo ya que el archivo todavía "no fue creado".
pág. 9