Malware

Un programa malicioso (del inglés malware), también conocido como

programa maligno, programa malévolo, programa malintencionado o
código maligno, es cualquier tipo de software que realiza acciones dañinas en
un sistema informático de forma intencionada (al contrario que el «software
defectuoso») y sin el conocimiento del usuario (al contrario que el ''software''
potencialmente no deseado1 ​).2 ​ Ejemplos típicos de estas actividades
maliciosas son el3 ​ robo de información (p. ej. a través de troyanos), dañar o
causar un mal funcionamiento del sistema informático (p. ej. mediante Stuxnet,
Shamoon o Chernobyl), provocar perjuicios económicos, chantajear a los
Los programas
propietarios de los datos de sistemas informáticos (p. ej. con un ransomware o
maliciosos suelen ser
programas de chantajeo), permitir el acceso de usuarios no autorizados,
representados con
provocar molestias o una combinación de varias de estas actividades.4 5​ 6​ 7​ ​ símbolos de peligro o
advertencias de archivo
Antes de que el término malware fuera acuñado por Yisrael Radai en
malicioso.
1990,8 9​ ​ el software maligno se agrupaba bajo el término «virus informático»
(un virus es en realidad un tipo de programa malicioso).10 ​

Para el 2020, un programa malicioso conocido con el nombre de Joker —debido a que el icono que utiliza
al momento de aparecer en tiendas de aplicaciones es el de un payaso— infectó a más de 1700 aplicaciones
que tuvieron que ser retiradas de once tiendas de aplicaciones. Sin embargo, este programa malicioso se
adapta muy rápidamente a la tienda y se puede ocultar fácilmente.11 ​

El malware suele darse por crackers que entran a un dispositivo por diferentes movimientos mediante
enlaces o correos electrónicos para obtener información del usuario.12 ​

Índice
Motivaciones
Estructura
Tipos
Técnicas de evasión
Técnicas de resiliencia
Malware como servicio
Conceptos relacionados
Protección contra programas maliciosos
Prevención
Software antimalware
Convenciones de nombres
Antimalware Day
Véase también
Compañías antimalware
Referencias
Enlaces externos

Motivaciones
Durante los años 1980 y 1990, el malware se creó como una forma de vandalismo o travesura. Sin
embargo, actualmente la principal motivación es la obtención de un beneficio económico. En los últimos
años, está apareciendo malware asociado a amenazas persistentes avanzadas, que son campañas
fuertemente orquestadas realizadas por grupos asociados a estados o a importantes instancias con poder,
cuyo objetivo más habitual es el robo de información estratégica o producir daños en sistemas de
organizaciones objetivo.

Las motivaciones más habituales para la creación de programas maliciosos son:

Experimentar al aprender (p. ej. el Gusano Morris)

Realizar bromas, provocar molestias y satisfacer el ego del creador. (p. ej. Melissa y los
Virus joke)
Producir daños en el sistema informático, ya sea en el hardware (p. ej. con Stuxnet y
Chernobyl), en el software (p. ej. Ramen que cambia la página inicial del servidor web), en
los datos (p. ej. Shamoon o Narilam que buscan destruir los datos)13 ​o provocando la caída
de servidor (p. ej. Code Red)
Provocar una degradación en el funcionamiento del sistema. Por ejemplo, consumiendo
ancho de banda de la red o tiempo de CPU.
Sacar beneficio económico. Por ejemplo:
Robando información (personal, empresarial, de defensa...) para luego usarla
directamente en fraudes o revenderla a terceros. Al tipo de programa malicioso que roba
información se le llama programa espía.
Chantajeando al propietario del sistema informático (p. ej. el ransomware)
Presentar publicidad. A este tipo de programa malicioso se le llama adware.
Mediante la suplantación de identidad. Es el objetivo final de muchos ataques de
phishing.
Tomando control de computadoras para su explotación en el mercado negro. Estas
computadoras zombis son usadas luego para, por ejemplo, el envío masivo de correo
basura, para alojar datos ilegales como pornografía infantil,14 ​ distribuir malware (pago
por instalación15 ​) o para unirse en ataques de denegación de servicio distribuido
(DDoS).

Cuando el malware produce pérdidas económicas para el usuario o propietario de un equipo, también se
clasifica como crimeware o software criminal. Estos programas suelen estar encaminados al aspecto
financiero, la suplantación de personalidad y el espionaje.16 ​

Algunos autores distinguen el malware del grayware (también llamados greyware, graynet o greynet),
definiendo estos como programas que se instalan sin la autorización del usuario y se comportan de modo tal
que resultan molestos o indeseables para el usuario, pero son menos peligrosos que el malware. En esta
categoría, por ejemplo, se incluyen los programas publicitarios, marcadores, programas espía, herramientas
de acceso remoto y virus de broma. El término grayware comenzó a utilizarse en septiembre del
2004.17 18
​ 19
​ 20
​ ​
Estructura
Dentro del código del malware podemos tener un código destinado a aportantes distintos tipos de
funcionalidades:

La carga útil. Es la parte del código relacionada con la actividad maliciosa que realiza el
malware y, por tanto, esta parte es obligatoria.21 ​
Opcionalmente, el malware puede tener un código para su distribución automática, se le
llama reproducción, que propaga el malware a otras ubicaciones. Por tanto, la infección por
el malware puede ser directa, por ejemplo, a través de la ejecución de programas
descargados de la red, o a través de esta reproducción automática.
Usualmente, el malware puede tener un código útil para el usuario destinado a ocultar la
funcionalidad verdadera del software. Es típico ocultar el malware en plugins o programas
de utilidad básica como salvapantallas. Al malware que tiene este componente se les llama
troyanos.
El malware puede tener código destinado a ocultar la actividad maliciosa realizada.

El malware, para realizar alguna de sus funciones, puede hacer uso de programas legítimos aprovechando
sus funcionalidades para, por ejemplo, eliminar, bloquear, modificar, copiar datos o alterar el rendimiento de
computadoras o redes. A este tipo de programas legítimos se les llama Riskware.22 ​ Algunos tipos de
programas que son riskware son: utilidades de administración remota, clientes IRC, descargadores de
archivos, monitorizadores de la actividad de la computadora, utilidades de administración de contraseñas,
servidores de Internet (FTP, Web, proxy, telnet, ...). Es habitual que los antivirus permitan detectar el
riskware instalado.

Tipos
Hay distintos tipos de programas maliciosos aunque estos pueden pertenecer a varios tipos a la vez:

Virus: secuencia de código malicioso que se aloja en fichero ejecutable (huésped) de

manera que al ejecutar el programa también se ejecuta el virus. Tienen las propiedades de
propagarse por reproducción dentro de la misma computadora.
Gusano: programa malicioso capaz de ejecutarse por sí mismo. Se propaga por la red
explotando vulnerabilidades para infectar otros equipos.
Troyano: programa que bajo apariencia inofensiva y útil tiene otra funcionalidad oculta
maliciosa. Típicamente, esta funcionalidad suele permitir el control de forma remota del
equipo (administración remota) o la instalación de puertas traseras que permitan
conexiones no autorizadas al equipo. Además, no se reproducen. Los troyanos conocidos
como droppers son usados para empezar la propagación de un gusano inyectándolo dentro
de la red local de un usuario.23 24
​ ​
Bomba lógica: programas que se activan cuando se da una condición determinada
causando daños en el sistema. Las condiciones de ejecución típicas suelen ser que un
contador llegue a un valor concreto o que el sistema esté en una hora o fecha concreta.
Adware: muestran publicidad no solicitada de forma intrusiva provocando molestias.
Algunos programas shareware permiten usar el programa de manera gratuita a cambio de
mostrar publicidad, en este caso, el usuario acepta la publicidad al instalar el programa.
Este tipo de adware no debería ser considerado malware, pero muchas veces los términos
de uso no son completamente transparentes y ocultan lo que el programa realmente hace.
Programa espía (spyware): envía información del equipo a terceros sin que el usuario tenga
conocimiento. La información puede ser de cualquier tipo como, por ejemplo, información
industrial, datos personales, contraseñas, tarjetas de crédito, direcciones de correo
electrónico (utilizable para enviarles correos basura) o información sobre páginas que se
visitan (usable para seleccionar el tipo de publicidad que se le envía al usuario). Los
autores de estos programas que intentan actuar de manera legal pueden incluir unos
términos de uso, en los que se explica de manera imprecisa el comportamiento del
programa espía, que los usuarios aceptan sin leer o sin entender. La mayoría de los
programas espías son instalados como troyanos junto a programas deseables descargados
de internet. Sin embargo, otras veces los programas espías provienen de programas
famosos de pago (ej. Red Shell fue distribuido a través de la plataforma Steam por los
propios desarrolladores de juegos).25 ​ Los programas espías suelen estar centrado en
obtener tipos específicos de información. Según como operan o la clase de información al
que están orientados, tenemos distintos tipos de programas espías. Hay que tener en
cuenta que un programa espía concreto puede ser de varios tipos a la vez. Algunos de los
tipos más frecuentes son:
Keylogger: software que almacena las teclas pulsadas por el usuario con el fin de
capturar información confidencial. Este tipo de software permite obtener credenciales,
números de tarjeta de crédito, conversaciones de chat, contenido de correos,
direcciones de los sitios web a los que se accede, etc...26 ​
Banking Trojan: software que aprovecha vulnerabilidades para adquirir credenciales de
financieras (de bancos, portales financieros por Internet, cartera de criptomonedas,
brókeres por Internet, ...).26 ​ Además, este tipo de software suele modificar el contenido
de transacciones o de la página web, así como insertar transacciones adicionales.26 ​
Ladrón de contraseñas (del inglés: Password Stealer): software que se encarga de
recopilar cualquier contraseña introducida dentro del dispositivo infectado.26 ​
Infostealer: software que roba información sensible guardada en el equipo
(navegadores, clientes de correo, clientes de mensajería instantánea, ...), como por
ejemplo contraseñas, usuarios, direcciones de correo electrónico, ficheros de log,
historial del navegador, información del sistema, hojas de cálculo, documentos, ficheros
multimedia...
Cookies de seguimiento (del inglés: Tracking Cookie) o Cookies de terceros (del inglés:
third-party cookies). Es una cookie que se usa para compartir detalles de las actividades
de navegación realizadas por el usuario entre dos o más sitios o servicios no
relacionados.27 ​ Suelen estar relacionadas con empresas de publicidad que tienen
algún acuerdo con sitios web y utilizan esa información para realizar marketing dirigido,
orientar y mostrar anuncios de forma tan precisa como sea posible a segmentos
relevantes de usuarios (Adware Tracking Cookie).28 29 ​ ​ También pueden utilizarse para
crear un perfil y realizar un seguimiento detallado de la actividad del usuario.30 ​ Por
ejemplo, en 2000 se anunció que la Oficina de la Casa Blanca de la Política Nacional
para el Control de Drogas, en colaboración con DoubleClick, había usado cookies de
terceros para medir la eficacia de una campaña por Internet antidrogas haciendo
seguimiento de quien había clicado en el anuncio y que páginas fueron vistas a
continuación (Cookiegate).31 32 ​ ​Google tiene previsto eliminar el soporte de cookies de
terceros en 2023 e imponer el uso de la API FLoC como sustituto.33 ​
Stalkerware. Es un programa espía especialmente diseñado para dispositivos móviles
que tiene como objetivo obtener todo tipo de datos e información de la víctima, su
actividad por Internet y controlar todos sus movimientos.34 ​
Malvertising: se aprovecha de recursos disponibles por ser un anunciante publicitario, para
buscar puertas traseras y poder ejecutar o instalar otro programa malicioso. Por ejemplo, un
anunciante publicitario en una página web aprovecha cualquier brecha de seguridad de
navegador para instalar programas maliciosos.
Ransomware o criptovirus: software que afecta gravemente al funcionamiento del
ordenador infectado (p. ej.: cifra el disco duro o lo bloquea) y le ofrece al usuario la
posibilidad de comprar la clave que permita recuperarse de la información. En algunas
versiones del malware (p. ej. Virus ucash) se enmascara el ataque como realizado por la
policía y el pago como el abono de una multa por haber realizado una actividad ilegal
como, por ejemplo, descargar un software ilegal.
Rogueware: es un falso programa de seguridad que no es lo que dice ser, sino que es un
malware. Por ejemplo, falsos antivirus, antiespía, cortafuegos o similar. Estos programas
suelen promocionar su instalación usando técnicas de scareware, es decir, recurriendo a
amenazas inexistentes como, por ejemplo, alertando de que un virus ha infectado el
dispositivo. En ocasiones también son promocionados como antivirus reales sin recurrir a
las amenazas en la computadora. Una vez instalados en la computadora, es frecuente que
simulen ser la solución de seguridad indicada, mostrando que han encontrado amenazas y
que, si el usuario quiere eliminarlas, es necesario la versión de completa, la cual es de
pago.35 ​
Decoy o señuelo: software que imita la interfaz de otro programa para solicitar la contraseña
del usuario y así poder obtener esa información.
Dialer: toman el control del módem dial-up, realizan una llamada a un número de teléfono
de tarificación especial, muchas veces internacional y dejan la línea abierta cargando el
coste de dicha llamada al usuario infectado. La forma más habitual de infección suele ser
en páginas web que ofrecen contenidos gratuitos, pero que solo permiten el acceso
mediante conexión telefónica. Actualmente la mayoría de las conexiones a Internet son
mediante ADSL y no mediante módem, lo cual hace que los dialers ya no sean tan
populares como en el pasado.
Secuestrador de navegador: son programas que realizan cambios en la configuración del
navegador web. Por ejemplo, algunos cambian la página de inicio del navegador por
páginas web de publicidad o páginas pornográficas, otros redireccionan los resultados de
los buscadores hacia anuncios de pago o páginas de phishing bancario.
Wiper: es un malware orientado al borrado masivo de datos. Por ejemplo, discos duros o
bases de datos.36 ​
Clipper ''malware''. Es un malware que se aprovecha de que los usuarios tienden a, en
lugar de insertar manualmente, copiar cierto tipo de informaciones en el portapapeles (en
inglés clipboard) y luego la utilizan pegándola en donde necesitan. Lo que hace este tipo
de malware es monitorizar el portapapeles y cuando su contenido se ajusta a ciertos
patrones lo reemplaza de manera oculta con lo que el atacante quiera.37 38 ​ ​ El uso más
habitual de este tipo de aplicaciones es el secuestro de transacciones de pago al cambiar
el destino de estas.37 39
​ ​Lo que hacen es sustituir dirección de una cartera digital o cartera
de criptomonedas, posible destino de la transacción, copiada en el portapapeles, por una
perteneciente al atacante.37 38
​ 39
​ ​ Este tipo de ataque explota la complejidad inherente a
cierto tipo de datos, los cuales son largas cadenas de números y/o letras que parecen
aleatorios.38 ​Esto favorece que el usuario se apoye en el Copiar y Pegar del portapapeles
y además, dificulta que al pegar pueda ser advertido que el dato ha sido reemplazado.38 ​
Criptominado malicioso (del inglés cryptojacking): es un tipo de programa malicioso que se
oculta en un ordenador y se ejecuta sin consentimiento utilizando los recursos de la
máquina (CPU, memoria, ancho de banda, ...) para la minería de criptomonedas y así
obtener beneficios económicos. Este tipo de programa se puede ejecutar directamente
sobre el sistema operativo de la máquina o desde plataforma de ejecución como el
navegador.40 41 ​ ​
Malware para el robo de criptomonedas. Es un programa malicioso especialmente
diseñado para el robo de criptomonedas. Para este cometido es habitual el uso de Clipper
''malware'', tipo de malware ya visto, diseñado para controlar el portapapeles y cuando
detecta una dirección de criptomonedas, automáticamente la reemplaza por la del
atacante.37 42
​ ​ De esta forma, si queremos realizar una transferencia a la dirección que
creemos que tenemos en el portapapeles, en este caso, iría a la dirección del atacante.42 ​
 Otros malware, como HackBoss, se centran en robar claves de carteras de
criptomonedas.43 ​
Web skimming: software que los atacantes instalan en aplicaciones webs de comercio
electrónico con el fin de recopilar información de pago (datos personales y de tarjetas de
crédito, fundamentalmente) de los usuarios que visitan dicho sitio web comprometido.44 ​
Apropiador de formulario: software que permite robar información que es introducida en
formularios web.45 ​

Técnicas de evasión
Para que un programa maligno pueda completar sus objetivos, es esencial que permanezca oculto, ya que si
es detectado sería eliminado tanto el proceso como el propio malware, pudiéndose no haber completado sus
objetivos. Las principales técnicas de evasión, algunas de ellas calificadas como técnicas de evasión
avanzadas (AET),46 ​son:47 ​

Estrategias orientadas a evadir la detección haciendo que el código del malware en las
distintas infecciones sea lo menos identificable posible por patrones de código o basado en
hash. Para implementar este tipo de estrategias se usan técnicas de cifrado y ofuscación.
Las estrategias más importantes son las siguientes:48 ​

El Cifrado base, o simplemente malware cifrado,49 ​ consiste en cifrar una parte

significativa del programa malicioso y tener un descifrador/cargador. El descifrador
carga en memoria el texto cifrado, los descifra en memoria y lo ejecuta. La clave para
descifrar está explícita o implícitamente en el descifrador/cargador. Es habitual que cada
instancia use una clave distinta. Incluso la clave puede cambiar cada cierto tiempo,
teniendo que recifrar el texto cifrado y actualizar el cargador en consecuencia. El
descifrador/cargador queda invariante, excepto quizá la clave50 ​ Hacer detecciones
confiables basadas en los componentes no cifrados es difícil, dado que los elementos
que residen en el disco no exponen comportamientos maliciosos.51 ​A las herramientas
que a partir de un programa automáticamente generan otro que realizan el cifrado base
se les llama crypters.52 ​
Oligomórfico. Es una forma avanzada de uso del cifrado en el malware que consiste en
tener una colección de diferentes descifrador/cargador y se elige para cada nueva
víctima uno al azar. De esta forma el código del descifrador/cargador no es el mismo en
todos los casos. Esto dificulta un poco la detección del descifrador/cargador ya que en
lugar de comprobar un solo descifrador/cargador, se tiene que comprobar todas las
posibles formas que puede tener. El número de posibilidades suele ser como mucho
varios centenares.53 54​ ​
Polimórfico. Es una forma avanzada de uso del cifrado en el malware que consiste en
generar diferentes descifrador/cargador a partir de un motor polimórfico incorporado.
El motor polimórfico es un software que permite automáticamente generar un gran
número de descifrador/cargador, del orden de millones. Para ello usa distintas técnicas
de ofuscación55 ​ En 1990 se creó el primer virus polimórfico V2PX, también llamado
1260. En 1992 se creó el primer toolkit polimórfico, Mutation Engine (MtE), el cual
permitía crear malware polimórfico.55 ​
Metamórfico. Esta técnica se creó debido a que las herramientas antimalware
aprovechaban que era fácil detectar código malicioso una vez que la parte cifrada había
sido descifrada.55 ​ Este tipo de software se basa en el uso de un motor metamórfico
integrado dentro del mismo que muta su código. El cuerpo completo del malware
cambia, incluido el propio motor de mutación. El malware metamórfico no tiene parte
cifrada y, por lo tanto, no necesita descifrador. Se trata de malware polimórfico que
 emplea un motor de mutación para mutar todo su cuerpo en lugar de modificar solo el
descifrador.56 ​De esta forma, el malware nunca revela su contenido común en memoria,
lo que hace que sea más difícil de detectar por sistemas antimalware.57 ​

De esta manera, cada vez que se propaga un malware metamórfico bien construido,
se genera una nueva versión que mantendrá el mismo efecto y comportamiento
general. Se supone que un buen motor metamórfico crea un número infinito de
versiones sin patrones de cadena identificables comunes, lo que hace que su
detección mediante firmas sea prácticamente imposible.55 ​ Para detectar este tipo
de malware se han de emplear técnicas basadas en el análisis de comportamiento y
heurísticas.56 ​

El cifrado de los datos transferidos.46 ​Lo habitual es usar cifrado simétrico debido a que el
cifrado asimétrico tiene un coste computacional alto.58 ​
Uso de protectores de software para dificultar la detección del malware. Pueden usar
técnicas de empaquetamiento de ejecutables, cifrado y ofuscación.59 ​
Infección sin afectar a ficheros (en inglés fileless infections). Infecciones que no tocan el
disco y solo residen en memoria para evitar la detección. Por ejemplo, el kit de exploit
Angler hacía este tipo de infecciones.60 ​
Uso de protocolo de Diffie-Hellman de intercambio de claves para ocultar el tráfico a
herramientas de detección de tráfico de red malicioso. Este sistema es usando por los kits
de exploit web Angler y Nuclear.61 ​
Uso de técnicas de DNS Fluxing destinadas a ocultar la ubicación real de determinados
recursos (servidores) dentro de una red.62 ​
Uso de Algoritmos de generación de dominio. Estos algoritmos generan automáticamente
dominios nuevos que son usados para alojar servidores usados en el ciberataque.
Típicamente se usan para alojar servidores de mando y control.63 ​
Uso de técnicas de Blind proxy redirection. Consiste en usar equipos intermedios como
proxy inverso con el propósito de dificultar los intentos de descubrir los servidores desde
donde se controla el ataque. Estos nodos actúan como intermediarios entre nodos esclavos
y servidores de C&C, así como entre sí. Agentes bot actúan como redireccionadores que
canalizan las solicitudes y los datos hacia y desde otros servidores bajo el control del
operador del ataque.64 ​
Ocultar el tráfico en el tráfico habitual. Es habitual aprovechar comunicaciones IRC,
programas de mensajería (p. ej. Skype), Blogs, webs de compartición de video, redes
sociales o, en general, cualquier servicio como Google Groups, Google Calendar o Reddit.
Por ejemplo, estos servidores se pueden utilizar para dejar la localización de los servidores
C&C (ej. Casbaneiro y Stantinko usan descripciones de vídeos YouTube para dejar
direcciones de máquinas involucradas en el ataque65 66 ​ ​) o para dejar los comandos que
son leídos por el malware. A veces (p. ej. Stego) se usan técnicas esteganográficas,
pasando del todo inadvertidas para cualquier que acceda64 58 ​ ​
Establecer comunicaciones y tráficos aleatorios entre servidores comprometidos y
servidores de C&C.64 ​
Domain shadowing. Consiste en tomar el control de un dominio registrado consiguiendo las
credenciales de administración de modo que sea posible crear registros DNS para nuevos
subdominios. Creando multitud de subdominios, el atacante configura una lista lo más
amplia posible. Este comportamiento ha demostrado ser altamente efectivo para evitar
técnicas de bloqueo típicas como el blacklisting o sinkholing de sitios o direcciones IP. A
diferencia de fast-flux, donde se cambia rápidamente la IP asignada a un único dominio,
domain shadowing rota subdominios asociados a un dominio. Esos subdominios pueden
apuntar bien a una única IP, o a un conjunto de ellas según las necesidades y
circunstancias.64 ​
Abuso de servicios de DNS gratuitos y dinámicos para generar dominios y subdominios
maliciosos. Eso les permite a los atacantes entregar cargas maliciosas que cambian
constantemente las IP de alojamiento, ya sea las computadoras de usuarios infectados o
los sitios web públicos comprometidos.67 ​
Fragmentar los payloads maliciosos y enviarlos a través de diferentes protocolos,
normalmente poco habituales, con el fin de que una vez que hayan sorteado las
protecciones del sistema atacado se vuelvan a unir para poder así continuar con el proceso
de comprometer el sistema.46 ​ Cambiar de una inspección basada en paquetes a una
inspección basada en el flujo completo no es fácil. Hacerlo requiere grandes cambios en el
manejo de paquetes de bajo nivel y diferencias fundamentales en la arquitectura de los
dispositivos de seguridad de red. La inspección basada en el flujo completo usa más
memoria y afecta al rendimiento del dispositivo.68 ​
Canales encubiertos.46 ​Por ejemplo, a veces se envía información empleando para ello las
cabeceras de los protocolos de comunicación. Al llegar los paquetes a su correspondiente
destino, se procesan los valores de las cabeceras, de modo que se obtiene la
información.58 ​
Utilización de campos poco habituales de algunos protocolos.46 ​
Realizar ataques de denegación de servicio. Por ejemplo, para provocar la ralentización del
procesamiento de datos por parte de un dispositivo de red, de modo que se imposibilite la
capacidad de gestionar correctamente todo el tráfico. Este hecho puede provocar que el
dispositivo funcione en modo de error y que bloquee o permita todo el tráfico.46 ​
Técnicas para evitar la identificación de todos los nodos pertenecientes a una botnet. Para
ello los nodos de las botnets se envían únicamente listas parciales del resto de nodos de la
botnet, es decir, envían únicamente el listado de nodos que conocen (peerlist), e incluso lo
hacen de manera fragmentada. Además, algunas, como es el caso de Zeus, implementan
mecanismos mediante los cuales bloquean los nodos que solicitan frecuentemente
peerlist.58 ​
Técnicas para evitar infiltraciones en la botnet que puedan tomar el control de esta. Para
ello incorporan esquemas de reputación para determinar qué nodos dentro de la botnet son
confiables y cuáles no, y bloquean los nodos que identifican que consideran
sospechosos.58 ​
Comprobación del entorno en el que se ejecutan, con el fin de determinar si lo están
haciendo en sandboxes o entornos de análisis de malware. En el caso de identificar estos
entornos, su comportamiento es distinto con el fin de parecer software confiable. Incluso, en
ocasiones, generan blacklists con las IPs de las sandboxes y entornos de análisis de
malware con el fin de que otros malware utilicen ese conocimiento para evitar ser
detectados.58 ​
Dividir la funcionalidad en distintos malware con diferentes funcionalidades. Por ejemplo,
los droppers encargados de introducir el payload en el sistema, que es el que contiene
realmente la funcionalidad. De este modo, puede ocurrir que se detecten los droppers y
downloaders, y no el payload, o al revés.58 ​
Descentralización de la estructura de una botnet. La utilización de botnets con estructura
descentralizada, como es el caso de las P2P, dificulta significativamente su
desmantelamiento. En algunos casos, utilizan múltiples servidores C&C con distintas
versiones del malware. Así mismo, la utilización de servicios alojados en la red Tor, permite
enmascarar la localización real de los servidores C&C.58 ​
En sistemas Windows, esconder el código malicioso en el registro de Windows. De esta
forma, el programa no parece malware si es que no tenemos acceso al contenido de la
 clave de registro.69 ​

Técnicas de resiliencia
Hay programas maliciosos que tienen técnicas de resiliencia que permiten que sea difícil su eliminación.
Por ejemplo:

Instalar varios servicios que se ejecutan al inicio del sistema, donde cada uno tiene la
habilidad de reinstalar al otro en caso de que sea borrado del sistema. Esto provoca que
para eliminar completamente la amenaza ambos deban borrarse al mismo tiempo. Por
ejemplo, Stantinko tiene esta estrategia.51 ​
Actualización del malware. El malware, como cualquier otro software, puede tener
mantenimiento. Esto permite mejorar sus características. Por ejemplo, podemos mejorar sus
métodos de ocultación para evitar ser detectado. Tener algún mecanismo que permita la
actualización permite mejorar dinámicamente su comportamiento para así evitar su
detección y eliminación.

Malware como servicio

En el marco del Cibercrimen como servicio70 ​ o CaaS71 ​ (del inglés cybercrime-as-a-service) hay
organizaciones de ciberdelincuentes que ofrecen servicios de programas maliciosos ilegales en la nube (por
ejemplo, para interrumpir operación, robar datos, ...) dando lugar al llamado malware como servicio o
MaaS (del inglés: malware as a service). Estos servicios son accesibles desde cualquier lugar y son
extremadamente fáciles de usar. Cualquiera los puede usar y por tanto se les pueda vender a cualquiera.
Estos servicios son contratados por operadores externos. Por ejemplo, empresas que quieren eliminar
competidor o personas que quieren cometer fraude con tarjetas de crédito.72 ​

Como con cualquier otro servicio, el proveedor es importante realizar la atención al cliente, para garantizar
la satisfacción del cliente e intentar ventas adicionales.72 ​Dada la facilidad de manejo de estos servicios y el
pago a través de criptomonedas, los ciberdelincuentes solo deben preocuparse de propagar esta amenaza
entre la mayor cantidad de víctimas posible.73 ​

El MaaS amenaza a las organizaciones de dos maneras:72 ​

Crea una demanda de programas maliciosos cada vez mejores y más fáciles de usar, ya
que los desarrolladores de malware luchan por distinguirse de su competencia. Esto
conduce a avances significativos en la accesibilidad y sofisticación de las amenazas de
malware.
Aumenta enormemente el número de amenazas individuales, ya que permite a los usuarios
que de otro modo no tendrían la habilidad técnica para crear sus propios programas
maliciosos. Esto efectivamente permite que casi cualquier persona inicie ataques
cibernéticos.

Según el tipo de actividad maliciosa que realiza podemos tener malware de distintos tipos: Ransomware
como servicio o RaaS (del inglés Ransomware as a Service),74 ​ Phishing como servicio o PHaaS (del
inglés Phishing-as-a-Service),75 ​ DDoS como servicio76 ​ o DDoSaaS (del inglés DDoS as a service)77 ​
,...

Es habitual que este tipo de servicios se alojen en la red de anonimato TOR, para dificultar a las autoridades
identificarlos.78 ​
Conceptos relacionados
Relacionados con los programas maliciosos hay una serie de conceptos informáticos:

Puerta trasera. Vía alternativa de acceso que elude los procedimientos habituales de
autenticación al conectarse a una computadora. En relación con el malware es frecuente
que:
Un malware instale una puerta trasera para permitir un acceso remoto más fácil en el
futuro
Se use una puerta trasera como vía para instalar un malware.
Drive-by-Download. Consiste en la descarga involuntaria de software de ordenador
proveniente de Internet. Es una vía típica para descargar malware, especialmente las
descargas ocultas que se producen cuando navegamos por ciertas webs.79 80 ​ ​ Por esta
razón, a los navegadores se les están agregando bloqueadores antimalware que muestran
alertas cuando se accede a una página maliciosa, aunque no siempre dan una total
protección.
Rootkits. Son juegos de herramientas disponibles que permiten a usuarios externos
acceder sin autorización a un sistema informático y modifican el sistema operativo para
encubrir acciones maliciosas. Por ejemplo, para encubrir pueden proporcionar herramientas
que oculten los puertos abiertos que evidencian comunicación, ocultar archivos u ocultar
procesos involucrados. Al instalar malware es frecuente hacer uso de estos juegos de
utilidades. Hoy día también es frecuente que el propio malware incluya las rutinas de
ocultación del rootkit. Algunos programas malignos también contienen rutinas para evitar
ser borrados, como por ejemplo tener dos procesos-fantasmas corriendo al mismo tiempo y
cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una
nueva instancia de este en cuestión de milisegundos. Con este sistema la única manera de
eliminar ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de
realizar, o provocar un error al sistema deliberadamente.81 ​
Botnets. Son redes de computadoras infectadas por malware, a las que se llama zombis,
que pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este tipo de
redes son usadas para el envío masivo de spam o para lanzar ataques DDoSDDoS contra
organizaciones como forma de extorsión o para impedir su correcto funcionamiento. La
ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que
les protege de la persecución policial. Típicamente, la computadora infectada inicia una
sesión en una canal de IRC u otro sistema de chat desde donde el atacante puede dar
instrucciones a todos los sistemas infectados simultáneamente. Las botnets pueden ser
usadas para actualizar el malware en los sistemas infectados, manteniéndolos así
resistentes ante antivirus u otras medidas de seguridad.
Vulnerabilidades. Las vulnerabilidades son puntos débiles de un sistema informático que
permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad de
este. Estas vulnerabilidades son aprovechadas por el malware para ejecutar su código
maligno. Las vulnerabilidades suelen ser producidos por Errores de software, privilegios de
usuarios (usuarios a los que se les ha concedido más privilegios de los que se debería
haber otorgado), privilegios de código (programas a los que se le ha concedido más
privilegios del que se debería haber otorgado), ejecución por parte del usuario de software
no confiable. Otro factor que afecta a la vulnerabilidad de un sistema complejo formado por
varios ordenadores es que todos los ordenadores del sistema funcionen con el mismo
software (homogeneidad). Por ejemplo, cuando todos los ordenadores de una red
funcionan con el mismo sistema operativo, si se puede comprometer ese sistema, se podría
afectar a cualquier ordenador que lo use.82 ​
Exploits. Es un software que aprovecha un defecto del programa (vulnerabilidad). Es la
forma de aprovechar una vulnerabilidad. Están incorporados en el malware, ya sea para su
 instalación en el sistema objetivo, para reproducirse o para realizar su funcionalidad
objetivo.
Honeypots y Honeynets. Los Honeypots son un recurso de red destinado a ser atacado o
comprometido. Por ejemplo, por un malware. Su objetivo es que sea examinado, atacado y
probablemente comprometido por cualquier atacante. Son los encargados de
proporcionarnos información valiosa sobre los posibles atacantes en potencia a nuestra red
antes de que comprometan sistemas reales. Una vez realizadas las primeras pruebas con
éxito, se propuso la extensión de este concepto, dando lugar a las Honeynet. Una Honeynet
es un Honeypot que es una red real, con todos sus elementos funcionando, diseñada para
ser comprometida y poder obtener información sobre los atacantes.83 ​
Kits de exploits. Son herramientas que ayudan en la creación de malware proveyendo
distintos exploits a modo de biblioteca. Con este software es fácil crear malware que puede
ser aprovechado para realizar tests de intrusión y validar la seguridad del sistema.
Ejemplos de este tipo de software son Metasploit Framework, Immunity CANVAS, Core
Impact, unicorn, Malicious Macro Generator o Lucky Strike. Otros sitios, como Packet Storm
y Miw0rm, poseen igualmente importantes cantidades de código de explotación disponible
para ayudar en esta tarea.84 85 ​ 86
​ ​
Herramientas de simulación de ataque. Permiten emular cualquier amenaza real en una
red para comprobar la eficacia de los sistemas de seguridad frente a ella. Un ejemplo de
este tipo de software es Cobalt Strike.87 ​
Escáner de puertos. Herramientas que realizan la comprobación de qué puertos de un
sistema están abiertos. Es habitual este tipo de herramientas cuando se diseña un malware
para usar con un sistema objetivo concreto. El ejemplo típico de este tipo de herramientas
es nmap.88 ​
Escáner de vulnerabilidades. Son herramientas utilizadas para buscar vulnerabilidades
en un sistema. Es habitual este tipo de herramientas cuando se diseña un malware para
usar con un sistema objetivo concreto. Ejemplos de este tipo de herramientas son Shadow
Security Scanner, Retina, OpenVAS y Nessus.88 ​
Servicios de resolución de CAPTCHA. Es frecuente que el malware haga uso de
servicios de resolución de CAPTCHA con el fin de poder acceder a recursos gratuitos que
ofrece la red. Por ejemplo, malware que crea cuentas falsas en redes sociales.69 ​
Acortador de URL. Es habitual que el malware haga de servicios de URL acortadas. Estos
servicios permiten ocultar la URLs final de servicios maliciosos.89 ​ Además, en ocasiones,
permiten introducir publicidad y registrar datos sobre los usuarios (navegador, sistema
operativo, ...).90 ​ Por todas estas razones, es frecuento que algunos servicios que acortan
URL, especialmente los que no controlan los destinos de los enlaces, se han dominios
prohibidos en las listas negras.
Sumidero de DNS. Para luchar contra el malware a veces es efectivo tener un sumidero de
DNS que proporcione IPs falsas o nulas como resolución de cierto dominio que solicita el
malware. De esta forma se evita que el malware use un cierto nombre de dominio en el
ataque (p. ej. servidor de mando y control, servidor objetivo de un ataque de DoS).

Protección contra programas maliciosos

Prevención

Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una

computadora, algunos son:

Tener el sistema operativo y el navegador web actualizados.91 ​

 Tener instalado un antivirus y un firewall y configurarlos para que se actualicen
automáticamente de forma regular ya que cada día aparecen nuevas amenazas.92 ​
Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo
debe utilizarse cuando sea necesario cambiar la configuración o instalar un nuevo software.
Tener precaución al ejecutar software procedente de Internet o de medio extraíble como CD
o memorias USB. Es importante asegurarse de que proceden de algún sitio de confianza.
Una recomendación en tableta, teléfono celular y otros dispositivos móviles es instalar
aplicaciones de tiendas muy reconocidas como App Store, Google Play o Tienda Windows,
pues esto garantiza un muy mínimo riesgo de contener malware alguno.93 ​Existe, además,
la posibilidad de instalar un antivirus para este tipo de dispositivos.
Evitar descargar archivos (programas, contenido multimedia, documentos) de origen no
confiable (ej. redes P2P, páginas web de descarga de contenidos).
No conectar dispositivos externos no confiables. Los dispositivos pueden contener archivos
infectados, que pueden ejecutarse automáticamente, o incluso el dispositivo en sí puede
tener como objetivo dañar eléctricamente los equipos (Ej. USB Killer).
Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies
solo en páginas web de confianza.
Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.94 ​
Uso de tecnologías que analicen la fiabilidad de sitios web. Son tecnologías que antes de
acceder a una página web avisan si el sitio web ha sido notificado como malicioso o que un
análisis de su código ha dado como conclusión que tiene contenido malintencionado. Por
ejemplo, en Windows la opción SmartScreen del Internet Explorer hace este tipo de
funcionalidades. Hay extensiones/complementos de navegador como WOT muestras
reputaciones de páginas web basadas en opiniones de usuarios. Algunos buscadores (ej.
Google) alertan en los resultados de búsquedas de sitios web que pudieran ser de sitios
maliciosos. Hay páginas web como [1] (http://www.urlvoid.com) que dada una página web
muestran su reputación desde diferentes sistemas de reputación (WOT, Avira,...).

Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios
extraíbles como CD, DVD o Disco duro externo, para poderlos recuperar en caso de infección por parte de
algún malware, pero solamente si se está 100% seguro que esas copias están limpias.

Software antimalware

Es un tipo de programa diseñado para prevenir, detectar y remediar software malicioso en los dispositivos y
sistemas informáticos. Los términos antivirus y antimalware se utilizan a menudo como sinónimos ya que
los virus informáticos son un tipo específico de malware.

Tipos de software antimalware:

Antivirus. Son programas que detectan y eliminan o bloquean la actividad de programas

maliciosos. Puede proteger de varias formas:95 ​
Escaneando el tráfico procedente de la red en busca de malware que bloquea.
Interceptando intentos de ejecución automática no permitida
Interceptando intentos de modificaciones no permitidas sobre aplicaciones importantes
como el navegador web.
Detectando y eliminando o bloqueando malware que ya ha sido instalado en una
computadora. Para ello analiza los programas instalados, el contenido del registro de
Windows (para sistemas Windows), los archivos del sistema operativo y la memoria. Al
 terminar el escaneo muestra al usuario una lista con todas las amenazas encontradas y
permiten escoger cuales eliminar o bloquear.
Antispyware. software que sirve para detectar, prevenir y eliminar programas espías. Está
centrado en este tipo de específico de programas maliciosos.96 ​
Virtualización, permite dar acceso ilimitado, pero solo a recursos virtuales.
Aislamiento de procesos también conocido como sandbox.
Cortafuegos. software diseñado para controlar el tráfico de red. Ejemplos de funciones:
Filtrar paquetes de red sospechosos a partir de la información que contiene (por ejemplo,
dirección origen, dirección destino, tipo de mensaje, ...), autenticación y autorización de
accesos. Proporcionan cierto grado de protección frente a ataques de malware.
Sistemas de detección de intrusos o IDS. Sistema que recolecta y analiza información
con el objetivo de identificar posibles fallos de seguridad debido.97 ​ Por ejemplo, esta
actividad puede ser debida a malware. El sistema cuando detecta acción sospechosa
genera alarmas. La detección suele basarse en ver si el comportamiento se ajusta a
algunos de los comportamientos típicos de malware que tiene en su base de datos, la
detección de ciertas secuencias en el código y en los análisis estadísticos de parámetros
(ancho de banda, protocolos y puertos usados, dispositivos conectados,...). Los tipos más
habituales son:
HIDS o IDS de host. Reside en un equipo monitorizado y se encarga de analizar todos
los logs para detectar actividades sospechas.
NIDS o Sistemas de detección de intrusos en red. Están conectados a un segmento
de red y se encargan de detectar actividades sospechosas en el tráfico, como por
ejemplo ataques de denegación de servicio, escáneres de puertos o intentos de acceso.
IPS o Sistemas de prevención de intrusos. Hardware o software que tiene la habilidad de
detectar ataques tanto conocidos como desconocidos y reaccionar a ellos para impedir su
éxito.97 ​ suelen usar un software de cortafuegos asociado o trabajar de forma coordinada
con un cortafuegos.

Convenciones de nombres
El número de programas maliciosos identificados es enorme. Por ejemplo, en 2013 se localizaron 170
millones de programas maliciosos distintos, y de ellos 70 millones habían aparecido nuevos ese mismo
año.98 ​ Cada organización que trabaja con programas maliciosos usa sus propios nombres internos para
identificarlos. Sin embargo, para que las distintas organizaciones se puedan intercambiar información, es
necesario un sistema estándar de identificación precisa. Esto es complicado debido al gran volumen de
programas maliciosos y a que varios pueden ser muy similares. Ha habido distintas iniciativas:99 100
​ ​

La primera convención de nombres para programas maliciosos fue propuesta en 1991 por
la Computer Antivirus Researcher Organization. Esta convención se basaba en dar un
nombre con base en las características reseñables, agruparlos en familias y desglosarlos
en variantes. Debido a su propia naturaleza era frecuente que las distintas organizaciones
que lo adoptaban daban distinto nombre al mismo programa lo que causaba confusión.
En 2004, el Mitre desarrolla la iniciativa Common malware Enumeration (CME) con el
objetivo de dar un identificador único a cada programa maliciosos. Su propósito era intentar
que la industria colaborara en este proyecto y con consenso conseguir identificadores
únicos. El sistema pareció funcionar en 2005 pero en 2006 el gran incremento en la
cantidad de estos programas redujo la necesidad de tener un identificador para cada uno.
Lo importante era el desarrollo de heurísticas, que, al analizar de forma genérica, permitiera
la detección de gran número de instancias de malware. De este modo el último CME-ID fue
generado a principios de 2017.
 Malware Attribute Enumeration and Characterization (MAEC). Lenguaje basado en XML
estandarizado por Mitre para la descripción y comunicación de información sobre malware.
Está basado en atributos como comportamiento, artefactos, patrones de ataque,
capacidades, relaciones con otros malware, .... Es un lenguaje de caracterización de
malware basada en atributos que permite eliminar la ambigüedad y la inexactitud en su
descripción. Ha habido distintas versiones.101 ​Debido a que el malware concreto a partir de
su comportamiento se puede considerar como un indicador de compromiso.102 ​A causa del
nivel de detalle propuesto en MAEC, es prohibitivo caracterizar un con conjunto amplio de
malware. Además, el conjunto de muestras que es posible caracterizar con este método
está muy sesgado hacia aquellos que se pueden ejecutar en un entorno controlado de
sandbox.103 ​

Antimalware Day
El Antimalware Day se celebra el 3 de noviembre de cada año.104 ​ Se trata de una fecha que fue
establecida en 2017 por la compañía de seguridad ESET con el objetivo de destacar la labor que realizan
los investigadores que se desempeñan en el campo de la seguridad de la información y la industria en
general. Asimismo, también para recordar la importancia de estar protegidos en un mundo cada vez más
influenciado por la tecnología. La fecha elegida es el 3 de noviembre en homenaje a Frederick Cohen y
Leonard Adleman, ya que esa misma fecha, pero del año 1983, el estudiante de Ingeniería de la
Universidad del Sur de California, Fred Cohen, presentó un prototipo de programa maligno en un
seminario de informática que luego su profesor, Len Adleman, bautizaría como virus informático.

Véase también
Amenaza persistente avanzada
Antivirus
Cortafuegos
Crimeware
Heurística
Malware en Linux

Compañías antimalware
Ad-Aware McAfee
Avast Microsoft Security Essentials
AVG Norm (''software'')
Avira Norton AntiVirus
BitDefender Panda Cloud Antivirus
ClamAV Panda Security
ClamWin Sophos
Dr. Web Sokx Pro
ESET Spybot - Search & Destroy
Fireeye SpywareBlaster
HijackThis Symantec
Iobit ''malware'' Fighter TrustPort
Kaspersky Windows Defender
''malware''bytes' Anti-''malware'' Windows Live OneCare
 Winpooch
Referencias
1. ¿Qué es un programa potencialmente no
deseado o PUP? (https://www.cybernautas.
es/que-es-un-programa-potencialmente-no-
deseado-o-pup/). Manuel Cantero.
cybernautas.es. 22 de agosto de 2018
2. Rodríguez Campos, David (18 de febrero
de 2020). malware/ «Tipos de malware que
existen y cómo proteger sus datos y
dispositivos» (https://web.archive.org/web/2
0200219015000/https://empresas.blogthink
big.com/tipos-de-) (html). Think Big
Telefónica. Archivado desde malware/ el
original (https://empresas.blogthinkbig.com/
tipos-de-) el 19 de febrero de 2020.
Consultado el 18 de febrero de 2020. «El
malware es cualquier tipo de código
malicioso que busca infectar un sistema
operativo, un computador o un artefacto
que utiliza software. El objetivo del
malware es incorporar un virus informático
para acceder a información valiosa, los
servicios del dispositivo o sus capacidades
de procesamiento.»
3. malware «La guía esencial del malware:
detección, prevención y eliminación» (http
s://www.avast.com/es-es/c-). La guía
esencial del malware: detección,
prevención y eliminación. Consultado el 12
de noviembre de 2020.
4. Fruhlinger, Josh (23 de enero de 2019).
malware-viruses-worms-trojans-and-
beyond.html «What is malware? How to
prevent, detect and recover from it» (https://
web.archive.org/web/20190330072037/http
s://www.csoonline.com/article/3295877/wh
at-is-) (html). Revista CSO (IDG Ventures)
(en inglés). Archivado desde malware-
viruses-worms-trojans-and-beyond.html el
original (https://www.csoonline.com/article/
3295877/what-is-) el 30 de marzo de 2019.
Consultado el 12 de abril de 2019.
«malware, short for malicious software, is a
blanket term for viruses, worms, trojans and
other harmful computer programs hackers
use to wreak destruction and gain access
to sensitive information.»
5. malware/ «programa maligno, mejor que
malware» (https://web.archive.org/web/201
31223220420/http://www.fundeu.es/recome
ndacion/programa-maligno-mejor-) (html).
Fundación del Español Urgente. 8 de
noviembre de 2013. Archivado desde
malware/ el original (http://www.fundeu.es/r
ecomendacion/programa-maligno-mejor-)
el 23 de diciembre de 2013. Consultado el
12 de abril de 2019. «La expresión
programa maligno es una alternativa en
español al anglicismo malware.»
6. Moir, Robert (31 de marzo de 2009).
«Defining malware: FAQ» (https://web.archi
ve.org/web/20180920112045/https://docs.
microsoft.com/en-us/previous-versions/tn-ar
chive/dd632948(v=technet.10)) (html).
Microsoft Docs (en inglés). Archivado
desde el original (https://docs.microsoft.co
m/en-us/previous-versions/tn-archive/dd63
2948(v=technet.10)) el 20 de septiembre de
2018. Consultado el 12 de abril de 2019.
«"malware" is short for malicious software
and is typically used as a catch-all term to
refer to any software designed to cause
damage to a single computer, server, or
computer network, whether it's a virus,
spyware, et al.»
7. Microsoft TechNet. «Defining malware:
FAQ» (http://technet.microsoft.com/en-us/lib
rary/dd632948.aspx) (en inglés).
8. Messmer, Ellen (29 de junio de 2008).
«Tech Talk: Where'd it Come From,
Anyway?» (https://web.archive.org/web/201
21016035507/https://www.pcworld.com/arti
cle/147698/tech.html) (html). PC World (en
inglés). Archivado desde el original (https://
www.pcworld.com/article/147698/tech.html)
el 16 de octubre de 2012. Consultado el 12
de abril de 2019. «malware: A term to
describe the wide range of malicious code,
it was first used by Yisrael Radai on July 4,
1990, in a public posting in which he wrote:
"Trojans constitute only a very small
percentage of malware (a word I just coined
for trojans, viruses, worms, etc)." Chris
Klaus gets credit for being the first to widely
use the word malware in presentations.»
9. Christopher Elisan (5 de septiembre de
2012). malware, Rootkits & Botnets A
Beginner's Guide (https://books.google.co
m/books?id=jOsFlLPg1KkC&pg=PA10).
 McGraw Hill Professional. pp. 10-. ISBN 978-
0-07-179205-9.
10. Fruhlinger, Josh (23 de enero de 2019).
malware-viruses-worms-trojans-and-
beyond.html «What is malware? How to
prevent, detect and recover from it» (https://
web.archive.org/web/20190330072037/http
s://www.csoonline.com/article/3295877/wh
at-is-) (html). Revista CSO (IDG Ventures)
(en inglés). Archivado desde malware-
viruses-worms-trojans-and-beyond.html el
original (https://www.csoonline.com/article/
3295877/what-is-) el 30 de marzo de 2019.
Consultado el 12 de abril de 2019. «This
means that the question of, say, what the
difference is between malware and a virus
misses the point a bit: a virus is a type of
malware, so all viruses are malware (but
not every piece of malware is a virus).»
11. malware-can-protect-threat/ «What its Joker
malware? How to protect yourself from this
thread.» (https://www.makeuseof.com/tag/jo
ker-).
12. malware «La guía esencial del malware:
detección, prevención y eliminación» (http
s://www.avast.com/es-es/c-). La guía
esencial del malware: detección,
prevención y eliminación. Consultado el 12
de noviembre de 2020.
13. Donohue, Brian (27 de enero de 2014).
malware-destructivos/2297/ «Wiper y otros
malware destructivos» (https://web.archive.
org/web/20200224123113/https://www.kas
persky.es/blog/wiper-y-otros-) (html).
Kaspersky. Archivado desde malware-
destructivos/2297/ el original (https://www.k
aspersky.es/blog/wiper-y-otros-) el 24 de
febrero de 2020. Consultado el 24 de
febrero de 2020. «El primer Wiper fue tan
efectivo que él mismo se eliminó de los
miles de equipos iraníes que había
infectado. De esta manera, no fue posible
encontrar ni una muestra del malware.»
14. PC World. «Zombie PCs: Silent, Growing
Threat» (https://web.archive.org/web/20080
727001520/http://www.pcworld.com/article/i
d,116841-page,1/article.html) (en inglés).
Archivado desde el original (http://www.pc
world.com/article/id,116841-page,1/article.
html) el 27 de julio de 2008.
15. malware-se-distribuye-mediante-pay-per-
install.html El 60% del malware se
distribuye mediante pay-per-install (https://
www.ccn-cert.cni.es/seguridad-al-dia/notici
as-seguridad/1516-el-60-del-). ccn-
cert.cni.es. 13 de Septiembre 2011
16. ALEGSA. «Definición de Crimeware» (htt
p://www.alegsa.com.ar/Dic/crimeware.php).
17. Definición de greyware en la Webopedia
(en inglés) (http://www.webopedia.com/ind
ex.php/TERM/G/greyware.html)
18. Sobre los riesgos del grayware (en inglés)
(http://www.computerweekly.com/news/224
0057924/The-network-clampdown)
19. Definición de graynet o greynet (en inglés)
(http://searchsecurity.techtarget.com/definiti
on/greynet)
20. Definición de greyware (en inglés) (http://w
ww.webopedia.com/TERM/G/greyware.htm
l)
21. ESET. «Tipos de malware y otras
amenazas informáticas» (https://web.archiv
e.org/web/20091214211926/http://www.ese
t.com.mx/centro-amenazas/amenazas/2148
-PayLoad). Archivado desde el original (htt
p://www.eset.com.mx/centro-amenazas/am
enazas/2148-PayLoad) el 14 de diciembre
de 2009.
22. ¿Qué es el riskware? (https://latam.kaspers
ky.com/resource-center/threats/riskware).
kaspersky.com
23. Viruslist.com. «Droppers troyanos» (https://
web.archive.org/web/20100924190200/htt
p://www.viruslist.com/sp/virusesdescribed?
chapter=153318112). Archivado desde el
original (http://www.viruslist.com/sp/viruses
described?chapter=153318112) el 24 de
septiembre de 2010.
24. Symantec Corporation. «Trojan.Dropper»
(http://www.symantec.com/security_respon
se/writeup.jsp?docid=2002-082718-3007-9
9) (en inglés).
25. Red Shell, el spyware de juegos de Steam
que espía a los usuarios (https://computerh
oy.com/noticias/gaming/red-shell-spyware-j
uegos-steam-que-espia-usuarios-267221).
Alejandro Alcolea Huertos.
computerhoy.com. 22 de junio de 2018
26. 4 Common Types of Spyware and How To
Detect Them (https://www.managedsolutio
n.com/4-common-types-of-spyware-and-ho
w-to-detect-them/)]. managedsolution.com.
11 de agosto de 2020
27. Tracking Cookie (https://www.f-secure.com/
sw-desc/tracking_cookie.shtml). f-
secure.com
28. Adware Tracking Cookie: qué es y en qué
se diferencia del adware normal (https://ww
w.redeszone.net/tutoriales/seguridad/adwar
e-tracking-cookie-que-es-diferencias-adwar
e/). José Antonio Lorenzo. redeszone.net.
20 de junio de 2021
29. Cookies de seguimiento y el RGPD (https://
www.cookiebot.com/es/cookies-de-seguimi
ento/). cookiebot.com. 21 de julio de 2021
30. Tracking Cookies (http://blogs.acatlan.una
m.mx/lasc/2017/10/13/tracking-cookies/).
Vanessa Orozco. 13 de octubre de 2017
31. Federal Government Policy on the Use of
Persistent Internet Cookies: Time for
Change or More of the Same? (https://itif.or
g/files/2009-FederalCookies.pdf). Daniel
Castro. The information Technology &
Innovation foundation. Mayo de 2009
32. U.S. antidrug site dealing cookies (https://e
dition.cnn.com/2000/TECH/computing/06/2
3/antidrug.dealing.cookies.idg/index.html).
Keith Perine. cnn.com. 23 de junio de 2000
33. ¡Google recula! No matará las cookies
hasta 2023 (https://www.adslzone.net/notici
as/internet/google-retrasa-cookies-floc-priv
acy-sandbox-2023/). Alberto García.
adslzone.net. 24 de junio de 2021
34. Stalkerware, el spyware que controla todos
tus movimientos (https://www.redeszone.ne
t/noticias/seguridad/stalkerware-nueva-am
enaza-sypware/). javier Jimenez.
redeszone.net. 29 de noviembre de 2019
35. malware.pdf software malintencionado o
infeccionso (https://www.unpa.edu.mx/~blo
pez/Computacion/complementario/VirusYot
ros). Bertha Lopez Azamar
36. malware-destructivos/2297/ Wiper y otros
malware destructivos (https://www.kaspersk
y.es/blog/wiper-y-otros-). Brian Donohue.
kaspersky.es
37. malware-clipper-malware-en-google-play/
Descubren el primer malware tipo clipper
en Google Play (https://www.welivesecurity.
com/la-es/2019/02/08/descubren-primer-).
Lukas Stefanko. welivesecurity.com. 8 de
febrero de 2019
38. malware/ What Is Clipper malware and
How Does It Affect Android Users? (https://
www.makeuseof.com/tag/what-is-clipper-).
Simon Batt. makeuseof.com. 15 de febrero
de 2019
39. malware How to remove E-Clipper
malware from the operating system (https://
www.pcrisk.com/removal-guides/18600-e-c
lipper-). Tomas Meskauskas. pcrisk.com 23
de agosto de 2021.
40. Criptominería (Criptojacking) (https://www.e
set.com/es/caracteristicas/cryptojacking/#).
eset.com
41. malwarebytes.com/cryptojacking/ Todo
acerca del cryptojacking (https://es.).
malwarebytes.com
42. malware-que-roba-bitcoins/ Evrial, el
malware que roba criptomonedas a través
del portapapeles, y el estafador estafado (h
ttps://empresas.blogthinkbig.com/evrial-el-).
ElevenPaths. blogthinkbig.com. 26 febrero
de 2018
43. malware-de-robo-de-criptomonedas-que-
opera-a-traves-de-telegram/ HackBoss, el
nuevo malware de robo de criptomonedas
que opera a través de Telegram (https://ww
w.20minutos.es/noticia/4659891/0/hackbos
s-el-nuevo-), Raquel Holgado.
20minutos.es. 16 de abril de 2021
44. Análisis de actualidad:Ciberataquesjulio
2019 (http://thiber.org/wp-content/uploads/2
019/08/Numero_12_Agosto_Secciones_Ci
berataques.pdf). Adolfo Hernández
Lorente. thiber.org. Julio 2019
45. The art of stealing banking information –
form grabbing on fire (https://www.virusbull
etin.com/virusbulletin/2011/11/art-stealing-
banking-information-form-grabbing-fire).
Aditya K. Sood et ali. virusbulletin.com. 1
de noviembre de 2011
46. Técnicas de evasión avanzadas (https://ww
w.incibe-cert.es/blog/tecnicas-de-evasion-a
vanzadas). Asier Martínez. incibe-cert.es.
28 de mayo de 2015
47. What is an Evasion Technique? (https://ww
w.libraesva.com/what-is-an-evasion-techni
que/). libraesva.com Diciembre de 2019
48. malware-parte-1/ BREVE NOTA SOBRE
LA OFUSCACIÓN: LA CLAVE DEL
malware - PARTE 1 (https://www.sombrero-
blanco.com/seguridad-informatica/breve-no
ta-sobre-la-ofuscacion-la-clave-del-).
Sombrero Blanco. sombrero-blanco.com.
17 de noviembre de 2018
49. Transcriptase–Light: A Polymorphic Virus
Construction Kit (https://scholarworks.sjsu.e
du/cgi/viewcontent.cgi?article=1513&conte
xt=etd_projects). Saurabh Borwankar. San
José State University. 22 de abril de 2017.
50. malware Intrusion Detection. Morton G. (https://blog.). Pieter Arntz.
Swimmer. página 24. Lulu.com. 5 de julio malwarebytes.com. 27 de marzo de 2017
de 2005 60. malwarebytes.com/threats/angler/ Angler (h
51. Stantinko: campaña masiva de adware ttps://blog.). malwarebytes.com. 24 de
operando en secreto desde 2012 (https://w Junio de 2016
ww.welivesecurity.com/la-es/2017/07/20/st 61. How Exploit Kit Operators are Misusing
antinko-adware-secreto/). Frédéric Vachon Diffie-Hellman Key Exchange (https://blog.t
y Matthieu Faou. .welivesecurity.com. 20 de rendmicro.com/trendlabs-security-intelligen
julio de 2017 ce/how-exploit-kit-operators-are-misusing-d
52. Que son los Crypters? (https://lapaginadez iffie-hellman-key-exchange/). Brooks Li,
ero.wordpress.com/2015/05/01/que-son-los Stanley Liu and Allen Wu. trendmicro.com.
-crypters/). lapaginadezero.wordpress.com. 21 de septiembre de 2015
ZERO. 1 de mayo de 2015 62. Detecting Algorithmically Generated
53. malware Obfuscation Techniques: A Brief Domains Using Data Visualization and N-
Survey (https://profsandhu.com/cs5323_s1 Grams Methods (http://csis.pace.edu/~ctap
8/yk_2010.pdf). Ilsun You y Kangbin Yim . pert/srd2017/2017PDF/d4.pdf). Tianyu
2010 International Conference on Wang y Li-Chiou Chen. Seidenberg School
Broadband, Wireless Computing, of CSIS, Pace University, Pleasantville,
Communication and Applications New York. Proceedings of Student-Faculty
Research Day, CSIS, Pace University, May
54. Sistema_de_ofuscacion_de_malware_para_el_evasion_de_NIDS.pdf
Sistema de ofuscacion de malware para la 5th, 2017
evasion de NIDS (https://eprints.ucm.es/22 63. Algoritmo de Generación de Dominios (htt
473/1). Roberto Carrasco de la Fuente et p://www.davidromerotrejo.com/2015/03/alg
ali. Universidad Complutense de Madrid. oritmo-de-generacion-de-dominios.html).
Junio de 2013 David Romero Trejo.
55. malware-vs-antivirus-the-never-ending- davidromerotrejo.com. 2 de marzo de 2015
story-part-i/ malware vs. Antivirus: the 64. Botnets: La amenaza fantasma (https://pdfs.
never-ending story (Part I) (https://www.blue semanticscholar.org/80e4/0811e200a7bec
liv.com/cyber-security-and-cyber-threat-intel c608b4640b775908b7642e9.pdf).
ligence-blog-blueliv/). Eva Chen. Guillermo Calvo Ortega. Enero 2018
blueliv.com/. 25 de diciembre de 2019 65. ESET descubre Casbaneiro, un nuevo
56. malware_para_el_evasion_de_NIDS.pdf troyano bancario que roba criptomonedas
Sistema de ofuscacion de malware para la (https://neuronamagazine.com/eset-descub
evasion de NIDS (https://eprints.ucm.es/22 re-casbaneiro-un-nuevo-troyano-bancario-
473/1/Sistema_de_ofuscacion_de_). que-roba-criptomonedas/). Adán
Roberto Carrasco de la Fuente et ali. Moctezuma. neuronamagazine.com. 4 de
Universidad Complutense de Madrid. Junio octubre, 2019
de 2013 66. Nueva funcionalidad de la botnet
57. malware Obfuscation Techniques: A Brief Stantinko: minado de criptomonedas (http
Survey (https://profsandhu.com/cs5323_s1 s://unaaldia.hispasec.com/2019/11/nueva-f
8/yk_2010.pdf). Ilsun You y Kangbin Yim . uncionalidad-de-la-botnet-stantinko-minad
2010 International Conference on o-de-criptomonedas.html). Raquel Gálvez.
Broadband, Wireless Computing, hispasec.com. 25 de noviembre de 2019
Communication and Applications 67. Reporte Anual de Ciberseguridad de Cisco
58. La resiliencia de las botnets: "redes duras 2018 (https://www.cisco.com/c/dam/global/
de pelar" (https://www.incibe-cert.es/blog/la es_mx/solutions/pdf/reporte-anual-cisco-20
-resiliencia-de-las-botnets-redes-duras-de- 18-espan.pdf). Cisco 2018
pelar). Asier Martínez. incibe-cert.es. 21 de 68. Advanced Evasion Techniques for
octubre de 2014 dummies (http://www.webtorials.com/main/r
esource/papers/McAfee/paper29/protect-ag
59. malwarebytes.com/cybercrime/malware/2017/03/explained-
packer-crypter-and-protector/ Explained: ainst-adv-evasion-techniques.pdf). Klaus
Packer, Crypter, and Protector Majewski. Willey 2015
69. Stantinko. Teddy Bear Surfing Out of Sight
(https://www.welivesecurity.com/wp-conten
t/uploads/2017/07/Stantinko.pdf). Frédéric
Vachon. ESET. Julio de 2017.
70. El modelo de negocio del cibercrimen y su
cadena de valor (https://www.welivesecurit
y.com/la-es/2016/11/03/modelo-de-negocio
-del-cibercrimen/). Miguel Ángel Mendoza.
.welivesecurity.com. 3 de noviembre de
2016
71. Evolution of the Cybercrime-as-a-Service
Epidemic (https://www.infosecurity-magazin
e.com/magazine-features/evolution-cybercr
ime-service/). Phil Muncaster. infosecurity-
magazine.com. 17 de septiembre de 2018
72. malware-as-a-service-the-9-to-5-of-
organized-cybercrime/ malware-as-a-
Service: The 9-to-5 of Organized
Cybercrime
(https://www.lastline.com/blog/). Brian
Laing. lastline.com 8 de marzo de 2018
73. Martínez, Raúl (20 de abril de 2017).
malware-virus/el-ransomware-como-
servicio-una-tendencia-en-auge/ «EL
RANSOMWARE COMO SERVICIO, UNA
TENDENCIA EN AUGE» (https://noticiasse
guridad.com/). Noticias de seguridad
informática, ciberseguridad y hacking.
Consultado el 3 de septiembre de 2020.
74. ¿Qué es un ransomware-as-a-service
(RaaS)? (https://losvirus.es/que-es-un-rans
omware-as-a-service-raas/). Julie Splinters.
losvirus.es. 24 de julio de 2018
75. 679.000 logins gestolen met Phishing as a
Service (PHaas) (https://informatiebeveiligi
ng.nl/679-000-logins-gestolen-met-phishin
g-as-a-service-phaas/).
informatiebeveiliging.nl. 2 de septiembre
de 2016
76. Dos plataformas de cibercrimen como
servicio (https://consejerodigital.com/dos-pl
ataformas-de-cibercrimen-como-servicio/).
17 de julio de 2017
77. DDoS Attack Tools. A Survey of the
Toolkits, Apps and Services Used Today to
Launch DDoS Attacks (http://cdn.net-load.c
om/w_anet20.pdf). A10 Networks. Junio de
2015
78. The Shark Ransomware Project allows you
to create your own Customized
Ransomware (https://www.bleepingcomput
er.com/news/security/the-shark-ransomwar
e-project-allows-to-create-your-own-custom
ized-ransomware/). Lawrence Abrams.
bleepingcomputer.com. 15 de agosto de
2016
79. Google. searches web's dark side/ «BBC
News» (http://news.bbc.co.uk/2/hi/technolo
gy/6645895.stm/Google) (en inglés).
80. Niels Provos. «The Ghost In The Browser,
Analysis of Web-based malware» (http://w
ww.usenix.org/event/hotbots07/tech/full_pa
pers/provos/provos.pdf) (en inglés).
81. Catb.org. «The Meaning of ‘Hack’» (http://c
atb.org/jargon/html/meaning-of-hack.html)
(en inglés).
82. Microsoft (14 de abril de 2009).
«Documento informativo sobre seguridad
de Microsoft (951306), Una vulnerabilidad
en Windows podría permitir la elevación de
privilegios» (http://www.microsoft.com/spai
n/technet/security/advisory/951306.mspx).
Microsoft Tech Net.
83. CAPÍTULO 4: Honeypots y Honeynets (http
s://www.cs.upc.edu/~gabriel/files/DEA-es-4
HoneypotsyHoneynets.pdf). SEGURIDAD
EN REDES IP. Gabriel Verdejo Álvarez.
Unitat de Combinatòria i Comunicació
Digital. Departament d’Informàtica.
Universitat Autònoma de Barcelona. 2003
84. Técnicas y herramientas de análisis de
vulnerabilidades de una red (http://oa.upm.
es/32786/1/TFG_javier_rios_yaguez.pdf).
Javier Ríos Yáguez. Proyecto fin de grado.
Escuela Técnica superior de ingeniería y
sistemas de telecomunicaciones.
Universidad Politécnica de Madrid.
85. Introducción al METASPLOIT (https://blog.s
atinfo.es/2011/introduccion-al-metasploit/).
msc. 3 enero 2011
86. [Phishing (https://www.ihacklabs.com/es/ph
ishing-creando-el-gancho-parte-2/) –
Creando el gancho – Parte 2] Archivado (ht
tps://web.archive.org/web/2020022112205
0/https://www.ihacklabs.com/es/phishing-cr
eando-el-gancho-parte-2/) el 21 de febrero
de 2020 en Wayback Machine.. Luis
Franciso Monge Martínez. ihacklabs.com.
22 de diciembre de 2018
87. Las dos herramientas gratuitas que no
deben faltar a cualquier hacker (https://ww
w.redeszone.net/2016/07/31/las-dos-herra
mientas-gratuitas-que-no-deben-faltar-a-cu
alquier-hacker/). Rubén Velasco.
redeszone.net. 31 de julio, 2016
88. Técnicas y herramientas de análisis de m.mx/redsocial/pg/blog/fabian.romo/read/2
vulnerabilidades de una red (http://oa.upm. 7/10-sencillas-formas-de-detectar-el-).
es/32786/1/TFG_javier_rios_yaguez.pdf).Javier 96. AntiSpyware: qué son y los 11 mejores (htt
Ríos Yáguez. Proyecto fin de grado. ps://www.xataka.com/basics/antispyware-q
Escuela Técnica superior de ingeniería y ue-mejores). Yúbal FM. Xataka Octubre
sistemas de telecomunicaciones. 2019.
Universidad Politécnica de Madrid. 97. CAPÍTULO 3: IDS (https://www.cs.upc.edu/
89. malware-urls-acortadas/ Cómo utilizan los ~gabriel/files/DEA-es-3IDS.pdf)
ciberdelincuentes las URLs acortadas para .SEGURIDAD EN REDES IP. Gabriel
estafar y distribuir malware (https://www.red Verdejo Álvarez. Unitat de Combinatòria i
eszone.net/2018/04/04/estafas-). Adrián Comunicació Digital. Departament
Crespo. redeszone.net. 4 de abril de 2018 d’Informàtica. Universitat Autònoma de
90. Qué es un acortador de URL y cuáles son Barcelona. 2003
los mejores (https://www.nobbot.com/pantal 98. La «otra manera» de identificar malware (ht
las/mejores-acortadores-url/). Israel tps://www.incibe-cert.es/blog/indicadores-d
Fernández. nobbot.com. 13 de marzo de e-compromiso). Asier Martínez. INCIBE. 19
2019 de marzo de 2014
91. ESET Global LLC. «Mantenga su sistema 99. The Concepts of the malware Attribute
operativo actualizado» (http://eset.es/centro Enumeration and Characterization(MAEC)
-de-alertas/consejos-seguridad/SO-actualiz Effort (https://pdfs.semanticscholar.org/fc25/
ado/280). 4bb10ce0b1e1a35b7a7d667c1cb229a4ee
92. ESET Global LLC. «Consejos de a6.pdf). Ivan A. Kirillov et ali.
Seguridad» (http://eset.es/centro-de-alerta 100. Automatic malware Description via
s/consejos-seguridad). AttributeTagging and Similarity Embedding
93. DiarioTi.com,Año 14,Edición 3683. «Diez (https://arxiv.org/pdf/1905.06262.pdf).
consejos para un uso ciberseguro de los Felipe N. Ducau et ali.
dispositivos móviles» (http://diarioti.com/die 101. THE MAEC LANGUAGE (https://maecproje
z-consejos-para-un-uso-ciberseguro-de-los ct.github.io/documentation/overview/MAEC
-dispositivos-moviles/60381). _Overview.pdf). THE MITRE
94. Departamento de Seguridad en CORPORATION. 12 de junio de 104
Computo/UNAM-CERT. «¿Cómo crear 102. Inteligencia de amenazas I (https://www.sot
contraseñas seguras?» (https://web.archiv his.tech/inteligencia-de-amenazas-i/).
e.org/web/20130314140330/http://www.seg Sothis.tech. 20 noviembre de 2018
uridad.unam.mx/descarga.dsc?arch=1366). 103. Automatic malware Description via
Archivado desde el original (http://www.seg AttributeTagging and Similarity Embedding
uridad.unam.mx/descarga.dsc?arch=1366) (https://arxiv.org/pdf/1905.06262.pdf).
el 14 de marzo de 2013. Consultado el 25 Felipe N. Ducau et ali. 23 de enero de
de marzo de 2014. 2020
95. Fabián Romo:UNAM redes sociales. 104. malware-day/ «Antimalware Day: cómo
malware-en-la-computadora «10 sencillas nació la lucha contra las amenazas
formas de detectar el malware en la informáticas» (https://www.welivesecurity.c
computadora» (http://tecnologia.dgsca.una om/la-es/anti).

Enlaces externos
Blog (https://www.elladodelmal.com/) de Chema Alonso (Maligno Alonso) dedicado a la
investigación y prevención de los programas malignos.
malware-rogueads-unwanted-ads-de-wordpress/ Blog (https://playmaax.club/eliminar-) de
Playmaax Cómo eliminar malware rogueads.unwanted_ads WordPress.
Obtenido de «https://es.wikipedia.org/w/index.php?title=Malware&oldid=143785441»

Esta página se editó por última vez el 26 may 2022 a las 03:58.

El texto está disponible bajo la Licencia Creative Commons Atribución Compartir Igual 3.0;
pueden aplicarse
cláusulas adicionales. Al usar este sitio, usted acepta nuestros términos de uso y nuestra política de privacidad.
Wikipedia® es una marca registrada de la Fundación Wikimedia, Inc., una organización sin ánimo de lucro.