Malware

Se llama programa malicioso, programa maligno, programa malintencionado, en inglés malware (acortamiento de malicious
software), badware o código maligno, a cualquier tipo de software que realiza acciones dañinas en un sistema informático de
forma intencionada (al contrario que el «software defectuoso») y sin el conocimiento del usuario (al contrario que el software
potencialmente no deseado1 ).2 Ejemplos típicos de estas actividades maliciosas son el3 robo de información (p. ej. troyanos),
dañar o causar un mal funcionamiento el sistema informático (p. ej. Stuxnet, Shamoon o Chernobyl), provocar un perjuicio
económico, chantajear al propietario de los datos del sistema informático (p. ej. ransomware o programas de chantajeo), permitir el
acceso de usuarios no autorizados, provocar molestias o una combinación de varias de estas actividades.4 5 6 7

Antes de que el término malware fuera acuñado por Yisrael Radai en 1990,8 9 el software maligno se agrupaba bajo el término
El malware suele ser
«virus informático» (un virus es en realidad un tipo de programa maligno).10
representado con
Para el 2020 un programa malicioso conocido con el nombre de Joker —debido a que el icono que utiliza al momento de aparecer símbolos de peligro o
advertencia de archivo
en tiendas de aplicaciones es el de un payaso— infectó a más de 1700 aplicaciones que tuvieron que ser retirada de once tiendas de
maligno.
aplicaciones, pero este se adapta muy rápidamente a la tienda y se puede ocultar fácilmente.11

El malware tiene darse por hackers que entran a un dispositivo por diferentes movimientos, uno de ellos son por enlace y por el
correo electrónico, y sacan información del usuario.12

Índice
Motivaciones
Estructura
Tipos
Técnicas de evasión
Técnicas de resiliencia
Malware como servicio
Conceptos relacionados
Protección contra malware
Prevención
Software anti-malware
Convenciones de nombres
Antimalware Day
Véase también
Compañías antimalware
Referencias
Enlaces externos

Motivaciones
Durante los años 1980 y 1990, el malware era creado como una forma de vandalismo o travesura. Sin embargo hoy día la motivación principal es la obtención
de un beneficio económico. En los últimos años está apareciendo malware asociado a amenazas persistentes avanzadas, que son campañas fuertemente
orquestadas realizadas por grupos asociados a estados o a importantes instancias con poder, cuyo objetivo más habitual es el robo de información estratégica o
producir daños en sistemas de organizaciones objetivo.

Las motivaciones más habituales para la creación de malware son:

Experimentar al aprender. Por el ejemplo el Gusano Morris tuvo este origen

Realizar bromas, provocar molestias y satisfacer el ego del creador. Ejemplos de este tipo de virus son Melissa y los llamados Virus joke.
Producir daños en el sistema informático ya sea en el hardware (por ejemplo Stuxnet y Chernobyl), en el software (por ejemplo Ramen
cambia la página inicial del servidor web), en los datos (por ejemplo Shamoon o Narilam buscan la destrucción de los datos)13 o
provocando la caída de servidor (por ejemplo Code Red)
Provocar una degradación en el funcionamiento del sistema. Por ejemplo consumiendo ancho de banda de la red o tiempo de CPU.
Sacar beneficio económico. Por ejemplo:
Robando información (personal, empresarial, de defensa...) para luego usarla directamente en fraudes o revenderla a terceros. Al tipo
de malware que roba información se le llama Spyware.
Chantajeando al propietario del sistema informático. Por ejemplo el Ransomware
Presentar publicidad. A este tipo de malware se le llama adware.
Mediante la suplantación de identidad. Es el objetivo final de muchos ataques de phishing.
Tomando control de computadoras para su explotación en el mercado negro. Estas computadoras infectadas zombis) son usadas luego
para por ejemplo el envío masivo de correo basura, para alojar datos ilegales como pornografía infantil,14 distribuir malware (pago por
instalación15 ), o para unirse en ataques de denegación de servicio distribuido (DDoS).
Cuando el malware produce pérdidas económicas para el usuario o propietario de un equipo, también se clasifica como 'crimeware o software criminal. Estos
programas suelen estar encaminados al aspecto financiero, la suplantación de personalidad y el espionaje.16

Algunos autores distinguen el malware del grayware (también llamados greyware, graynet o greynet), definiendo estos como programas que se instalan sin la
autorización usuario y se comportan de modo tal que resultan molestos o indeseables para el usuario, pero son menos peligrosos que los malware. En esta
categoría, por ejemplo, se incluyen los programas publicitarios, marcadores, programas espía, herramientas de acceso remoto y virus de broma. El término
grayware comenzó a utilizarse en septiembre del 2004.17 18 19 20

Estructura
Dentro del código del malware podemos tener código destinado a aportantes distintos tipos de funcionalidades:

La carga útil. Es la parte del código relacionada con la actividad maliciosa que realiza el malware. Por tanto esta parte es obligatoria.21
Opcionalmente el malware puede tener código para su distribución automática, se le llama reproducción, que propaga el malware a otras
ubicaciones. Por tanto la infección por el malware puede ser directa, por ejemplo a través de la ejecución de programas descargados de la
red, o a través de esta reproducción automática.
Opcionalmente el malware puede tener un código útil para el usuario destinado a ocultar la funcionalidad verdadera del software. Es típico
ocultar el malware en plugins o programas de utilidad básica como salvapantallas. A los malware que tienen este componente se les llama
troyanos.
Opcionalmente el malware puede tener código destinado a ocultar la actividad maliciosa realizada.

El malware, para realizar alguna de sus funciones, puede hacer uso de programas legítimos aprovechando sus funcionalidades para por ejemplo eliminar,
bloquear, modificar, copiar datos o alterar el rendimiento de computadoras o redes. A este tipo de programas legítimos se les llama Riskware.22 Algunos tipos
de programas que son riskware son: Utilidades de administración remota, Clientes IRC, Descargadores de archivos, monitorizadores la actividad de la
computadora, utilidades de administración de contraseñas, servidores de Internet (FTP, Web, proxy, telnet,...). Es habitual que los antivirus permitan detectar el
riskware instalado.

Tipos
Hay distintos tipos de malware donde un caso concreto de malware puede pertenece a varios tipos a la vez:

Virus: secuencia de código malicioso que se aloja en fichero ejecutable (huésped) de manera que al ejecutar el programa también se
ejecuta el virus. Tienen la propiedades de propagarse por reproducción dentro de la misma computadora.
Gusano: malware capaz de ejecutarse por sí mismo. Se propaga por la red explotando vulnerabilidades para infectar otros equipos.
Troyano: programa que bajo apariencia inofensiva y útil tiene otra funcionalidad oculta maliciosa. Típicamente esta funcionalidad suele
permitir el control de forma remota del equipo (administración remota) o la instalación de puertas traseras que permitan conexiones no
autorizadas al equipo. No se reproducen. Los troyanos conocidos como droppers son usados para empezar la propagación de un gusano
inyectándolo dentro de la red local de un usuario.23 24
Bomba lógica: programas que se activan cuando se da una condición determinada causando daños en el sistema. Las condiciones de
ejecución típicas suelen ser que un contador llegue a un valor concreto o que el sistema esté en una hora o fecha concreta.
Adware: muestran publicidad no solicitada de forma intrusiva provocando molestias. Algunos programas shareware permiten usar el
programa de forma gratuita a cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al instalar el programa. Este
tipo de adware no debería ser considerado malware, pero muchas veces los términos de uso no son completamente transparentes y
ocultan lo que el programa realmente hace.
Spyware: envía información del equipo a terceros sin que el usuario tenga conocimiento. La información puede ser de cualquier tipo como
por ejemplo información industrial a datos personales, contraseñas, tarjetas de crédito, direcciones de correo electrónico (utilizable para
enviarles correos basura) o información sobre páginas que se visitan (usable para seleccionar el tipo de publicidad que se le envía al
usuario). Los autores de spyware que intentan actuar de manera legal pueden incluir unos términos de uso, en los que se explica de
manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender. La mayoría de los programas spyware
son instalados como troyanos junto a software deseable bajado de Internet. Otros programas spyware recogen la información mediante
cookies de terceros o barra de herramientas instaladas en navegadores web.
Malvertising: se aprovecha de recursos disponibles por ser un anunciante publicitario, para buscar puertas traseras y poder ejecutar o
instalar otro malware. Por ejemplo anunciante publicitario en una página web aprovecha brecha de seguridad de navegador para instalar
malware.
Ransomware o criptovirus: software que afecta gravemente al funcionamiento del ordenador infectado (ejemplo cifra el disco duro o lo
bloquea) infectado y le ofrece al usuario la posibilidad de comprar la clave que permita recuperarse de la información. An algunas
versiones del malware (p. ej. Virus ucash) se enmascara el ataque como realizado por la policía y el pago como el abono de una multa por
haber realizado una actividad ilegal como por ejemplo descarga de software ilegal.
Keylogger: software que almacena las teclas pulsadas por el usuario con el fin de capturar información confidencial como contraseñas o
número de tarjeta de crédito o conversaciones de chat.
Stealer: roban información privada guardada en el equipo. Típicamente al ejecutarse comprueban los programas instalados en el equipo y
si tienen contraseñas recordadas, por ejemplo en los navegadores web o en clientes de mensajería instantánea.
Rogueware: es un falso programa de seguridad que no es lo que dice ser, sino que es un malware. Por ejemplo falsos antivirus, antiespía,
cortafuegos o similar. Estos programas suelen promocionar su instalación usando técnicas de scareware, es decir, recurriendo a amenazas
inexistentes como por ejemplo alertando de que un virus ha infectado el dispositivo. En ocasiones también son promocionados como
antivirus reales sin recurrir a las amenazas en la computadora. Una vez instalados en la computadora es frecuente que simulen ser la
solución de seguridad indicada, mostrando que han encontrado amenazas y que, si el usuario quiere eliminarlas, es necesario la versión
de completa, la cual es de pago.25
Decoy o señuelo: software que imita la interfaz de otro programa para solicitar el usuario y contraseña y así poder obtener esa información.
Dialer: toman el control del módem dial-up, realizan una llamada a un número de teléfono de tarificación especial, muchas veces
internacional, y dejan la línea abierta cargando el coste de dicha llamada al usuario infectado. La forma más habitual de infección suele ser
en páginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexión telefónica. Actualmente la mayoría
de las conexiones a Internet son mediante ADSL y no mediante módem, lo cual hace que los dialers ya no sean tan populares como en el
pasado.
 Secuestrador de navegador: son programas que realizan cambios en la configuración del navegador web. Por ejemplo, algunos cambian
la página de inicio del navegador por páginas web de publicidad o páginas pornográficas, otros redireccionan los resultados de los
buscadores hacia anuncios de pago o páginas de phishing bancario.
Wiper: es un malware orientado al borrado masivo de datos. Por ejemplo discos duros o bases de datos.26
Criptominado malicioso, en inglés Cryptojacking: es un malware que se oculta en un ordenador y se ejecuta sin consentimiento utilizando
los recursos de la máquina (CPU, memoria, ancho de banda,...) para la minería de criptomonedas y así obtener beneficios económicos.
Este tipo de software se puede ejecutar directamente sobre el sistema operativo de la máquina o desde plataforma de ejecución como el
navegador.27 28
Web skimming: software que los atacantes instalan en aplicaciones webs de comercio electrónico con el fin de recopilar información de
pago (datos personales y de tarjetas de crédito fundamentalmente) de los usuario que visiten dicho sitio web comprometido.29
Apropiador de formulario: software que permite robar información que es introducida en formularios web.30

Técnicas de evasión
Para que un software maligno pueda completar sus objetivos, es esencial que permanezca oculto ya que si es detectado sería eliminado tanto el proceso como el
propio malware, pudiéndose no haber completado sus objetivos. Las principales técnicas de evasión, algunas de ellas calificadas como técnicas de evasión
avanzadas (AET),31 son:32

Estrategias orientadas a evadir la detección haciendo que el código del malware en las distintas infecciones sea lo menos identificable
posible por patrones de código o basado en hash. Para implementar este tipo de estrategias se usan técnicas de cifrado y ofuscación. Las
estrategias más importantes son las siguientes:33

El Cifrado base, o simplemente malware cifrado,34 consiste en cifrar una parte significativa del malware y tener un
descifrador/cargador. El descifrador carga en memoria el texto cifrado, los descifra en memoria y lo ejecuta. La clave para descifrar está
explícita o implícitamente en el descifrador/cargador. Es habitual que cada instancia use una clave distinta. Incluso la clave puede
cambiar cada cierto tiempo teniendo que recifrar el texto cifrado y actualizar el cargador en consecuencia. El descifrador/cargador
queda invariante excepto quizá la clave35 Hacer detecciones confiables basadas en los componentes no cifrados es difícil, dado que
los elementos que residen en el disco no exponen comportamientos maliciosos.36 A las herramientas que a partir de un programa
automáticamente generan otro que realizan el cifrado base se les llama crypters.37
Oligomórfico. Es una forma avanzada de uso del cifrado en el malware que consiste en tener una colección de diferentes
descifrador/cargador y se elige para cada nueva víctima uno al azar. De esta forma el código del descifrador/cargador no es el mismo
en todos los casos. Esto dificulta un poco la detección del descifrador/cargador ya que en lugar de comprobar un solo
descifrador/cargador, se tiene que comprobar todas las posibles formas que puede tener. El número de posibilidades suele ser como
mucho varios centenares38 ).39
Polimórfico. Es una forma avanzada de uso del cifrado en el malware que consiste en generar diferentes descifrador/cargador a partir
de un motor polimórfico embebido. El motor polimórfico es un software que permite automáticamente generar un gran número de
descifrador/cargador, del orden de millones. Para ello usa distintas técnicas de ofuscación40 En 1990 se creó el primer virus
polimórfico V2PX, también llamado 1260. En 1992 se creó el primer toolkit polimórfico, Mutation Engine (MtE), el cual permitía crear
malware polimórfico.40
Metamórfico. Esta técnica se creó debido a que las herramientas antimalware aprovechaban que era fácil detectar código malicioso
una vez que la parte cifrada había sido descifrada.40 Este tipo de software se basa en el uso de un motor metamórfico embebido
dentro del mismo que muta su código. El cuerpo completo del malware cambia, incluido el propio motor de mutación. El malware
metamórfico no tiene parte cifrada y, por lo tanto, no necesita descifrador. Se trata de malware polimórfico que emplea un motor de
mutación para mutar todo su cuerpo en lugar de modificar solo el descifrador.41 De esta forma el malware nunca revela su contenido
común en memoria, lo que hace que sea más difícil de detectar por sistemas antimalware.42

De esta forma cada vez que se propaga un malware metamórfico bien construido, se crea una nueva versión que mantendrá el
mismo efecto y comportamiento general. Se supone que un buen motor metamórfico crea un número infinito de versiones sin
patrones de cadena identificables comunes, lo que hace que su detección mediante firmas sea prácticamente imposible.40 Para
detectar este tipo de malware se han de emplear técnicas basadas en el análisis de comportamiento y herurísticas.41

El cifrado de los datos transferidos.31 Lo habitual es usar cifrado simétrico debido a que el cifrado asimétrico tiene un coste computacional
alto.43
Uso de protectores de software para dificultar la detección del malware. Pueden usar técnicas de empaquetamiento de ejecutables, cifrado
y ofuscación.44
Infección sin afectar a ficheros (en inglés fileless infections). Infecciones que no tocan el disco y solo residen en memoria para evitar la
detección. Por ejemplo el kit de exploit Angler hacía este tipo de infecciones.45
Uso de protocolo de Diffie-Hellman de intercambio de claves para ocultar el tráfico a herramientas de detección de tráfico de red malicioso.
Este sistema es usando por los kits de exploit web Angler y Nuclear.46
Uso de técnicas de DNS Fluxing destinadas a ocultar la ubicación real de determinados recursos (servidores) dentro de una red.47
Uso de Algoritmos de generación de dominio. Estos algoritmos generan automáticamente dominios nuevos que son usados para alojar
servidores usados en el ciberataque. Típicamente se usan para alojar servidores de mando y control.48
Uso de técnicas de Blind proxy redirection. Consiste en usar equipos intermedios como proxy inverso con el propósito de dificultar los
intentos de descubrir los servidores desde donde se controla el ataque. Estos nodos actúan como intermediarios entre nodos esclavos y
servidores de C&C, así como entre sí. Agentes bot actúan como redireccionadores que canalizan las solicitudes y los datos hacia y desde
otros servidores bajo el control del operador del ataque.49
Ocultar el tráfico en el tráfico habitual. Es habitual aprovechar comunicaciones IRC, programas de mensajería (p. ej. Skype), Blogs, webs
de compartición de video, redes sociales o, en general cualquier servicio como Google Groups, Google Calendar o Reddit. Por ejemplo
estos servidores se pueden utilizar para dejar la localización de los servidores C&C (ej. Casbaneiro y Stantinko usan descripciones de
vídeos YouTube para dejar direcciones de máquinas involucradas en el ataque50 51 ) o para dejar los comandos que son leídos por el
malware. A veces (p. ej. Stego) se usan técnicas esteganográficas pasando del todo inadvertidas para cualquier que acceda49 43
Establecer comunicaciones y tráficos aleatorios entre servidores comprometidos y servidores de C&C.49
 Domain shadowing. Consiste en tomar el control de un dominio registrado consiguiendo las credenciales de administración de modo que
sea posible crear registros DNS para nuevos subdominios. Creando multitud de subdominios, el atacante configura una lista lo más amplia
posible. Este comportamiento ha demostrado ser alta-mente efectivo para evitar técnicas de bloqueo típicas como el blacklisting y/o
sinkholingde sitios o direcciones IP. A diferencia de fast-flux donde se cambia rápidamente la IP asignada a un único dominio, domain
shadowing rota subdominos asociados a un dominio. Esos subdominios pueden apuntar bien a una única IP, o a un conjunto de ellas
según las necesidades y circunstancias.49
Abuso de servicios de DNS gratuitos y dinámicos para generar dominios y subdominios maliciosos. Eso les permite a los atacantes
entregar cargas maliciosas que cambian constantemente las IP de alojamiento, ya sea las computadoras de usuarios infectados o los sitios
web públicos comprometidos.52
Fragmentar los payloads maliciosos y enviarlos a través de diferentes protocolos, normalmente poco habituales, con el fin de que una vez
que hayan sorteado las protecciones del sistema atacado se vuelvan a unir para poder así continuar con el proceso de comprometer el
sistema.31 Cambiar de una inspección basada en paquetes a una inspección basada en el flujo completo no es fácil. Hacerlo requiere
grandes cambios en el manejo de paquetes de bajo nivel y diferencias fundamentales en la arquitectura de los disposivos de seguridad de
red. La inspección basada en el flujo completo usa más memoria y afecta al rendimiento del dispositivo.53
Canales encubiertos.31 Por ejemplo, a veces se envía información empleando para ello las cabeceras de los protocolos de comunicación.
Al llegar los paquetes a su correspondiente destino, se procesan los valores de las cabeceras de modo que se obtiene la información.43
Utilización de campos poco habituales de algunos protocolos.31
Realizar ataques de denegación de servicio. Por ejemplo para provocar la ralentización del procesamiento de datos por parte de un
dispositivo de red de modo que se imposibilite la capacidad de gestionar correctamente todo el tráfico. Este hecho puede provocar que el
dispositivo funcione en modo de error y que bloquee o permita todo el tráfico.31
Técnicas para evitar la identificación de todos los nodos pertenecientes a una botnet. Para ello los nodos de las botnets se envían
únicamente listas parciales del resto de nodos de la botnet, es decir, envían únicamente el listado de nodos que conocen (peerlist), e
incluso lo hacen de manera fragmentada. Además, algunas, como es el caso de Zeus, implementan mecanismos mediante los cuales
bloquean los nodos que solicitan frecuentemente peerlist.43
Técnicas para evitar infiltraciones en la botnet que puedan tomar el control de la misma. Para ello incorporan esquemas de reputación para
determinar qué nodos dentro de la botnet son confiables y cuáles no, y bloquean los nodos que identifican que consideran sospechosos.43
Comprobación del entorno en el que se ejecutan, con el fin de determinar si lo están haciendo en sandboxes o entornos de análisis de
malware. En el caso de identificar estos entornos, su comportamiento es distinto con el fin de parecer software confiable. Incluso, en
ocasiones, generan blacklists con las IPs de las sandboxes y entornos de análisis de malware con el fin de que otros malware utilicen ese
conocimiento para evitar ser detectados.43
Dividir la funcionalidad en distintos malware con diferentes funcionalidades. Por ejemplo los droppers encargados de introducir el payload
en el sistema, que es el que contiene realmente la funcionalidad. De este modo, puede ocurrir que se detecten los droppers y downloaders,
y no el payload, o al revés.43
Descentralización de la estructura de una botnet. La utilización de botnets con estructura descentralizada, como es el caso de las P2P,
dificulta significativamente su desmantelamiento. En algunos casos, utilizan múltiples servidores C&C con distintas versiones del malware.
Así mismo, la utilización de servicios alojados en la red Tor, permite enmascarar la localización real de los servidores C&C.43
En sistemas Windows, esconder el código malicioso en el registro de Windows. De esta forma el programa no parece malware si es que no
tenemos acceso al contenido de la clave de registro.54

Técnicas de resiliencia
Hay malware que tiene técnicas de resiliencia que permiten que sea difícil su eliminación. Por ejemplo:

Instalar varios servicios que se ejecutan al inicio del sistema, donde cada uno tiene la habilidad de reinstalar al otro en caso de que sea
borrado del sistema. Esto provoca que para eliminar completamente la amenaza ambos deban borrarse al mismo tiempo. Por ejemplo
Stantinko tiene esta estrategia.36
Actualización del malware. El malware, como cualquier otro software, puede tener mantenimiento. Esto permite mejorar sus características.
Por ejemplo podemos mejorar sus métodos de ocultación para evitar ser detectado.. Tener algún mecanismo que permita la actualización
permite mejorar dinámicamente su comportamiento para así evitar su detección y eliminación.

Malware como servicio

En el marco del Cibercrimen como servicio55 o CaaS56 (del inglés cybercrime-as-a-service) hay organizaciones de ciberdelincuentes que ofrecen servicios de
programas maliciosos ilegales en la nube (por ejemplo para interrumpir operación, robar datos,...) dando lugar al llamado Malware como servicio o MaaS (del
inglés Malware as a Service). Estos servicios son accesibles desde cualquier lugar y son extremadamente fáciles de usar. Cualquiera los puede usar y por tanto se
les pueda vender a cualquiera. Estos servicios son contratados por operadores externos. Por ejemplo, empresas que quieren eliminar competidor o personas que
quieren cometer fraude con tarjetas de crédito.57

Como con cualquier otro servicio, el proveedor es importante realizar la atención al cliente, para garantizar la satisfacción del cliente e intentar ventas
adicionales.57 Dada la facilidad de manejo de estos servicios y el pago a través de criptomonedas, los ciberdelincuentes solo deben preocuparse de propagar esta
amenaza entre la mayor cantidad de víctimas posible.58

El MaaS amenaza a las organizaciones de dos maneras:57

Crea una demanda de programas maliciosos cada vez mejores y más fáciles de usar, ya que los desarrolladores de malware luchan por
distinguirse de su competencia. Esto conduce a avances significativos en la accesibilidad y sofisticación de las amenazas de malware.
Aumenta enormemente el número de amenazas individuales, ya que permite a los usuarios que de otro modo no tendrían la habilidad
técnica para crear sus propios programas maliciosos. Esto efectivamente permite que casi cualquier persona inicie ataques cibernéticos.

Según el tipo de actividad maliciosa que realiza podemos tener malware de distintos tipos: Ransomware como servicio o RaaS (del inglés Ransomware as a
Service),59 Phishing como servicio o PHaaS (del inglés Phishing-as-a-Service),60 DDoS como servicio61 o DDoSaaS (del inglés DDoS as a service)62 ,...

Es habitual que este tipo de servicios se alojen en la red de anonimato TOR, para dificultar a las autoridades identificarlos.63
Conceptos relacionados
Relacionados con el malware hay una serie de conceptos informáticos:

Puerta trasera. Vía alternativa de acceso que elude los procedimientos habituales de autenticación al conectarse a una computadora. En
relación con el malware es frecuente que:
Un malware instale una puerta trasera para permitir un acceso remoto más fácil en el futuro
Se use una puerta trasera como vía para instalar un malware.
Drive-by-Download. Consiste en la descarga involuntaria de software de ordenador proveniente de Internet. Es una vía típica para
descargar malware especialmente las descargas ocultas que se producen cuando navegamos por ciertas webs.64 65 Por esta razón a los
navegadores se les están agregando bloqueadores antimalware que muestran alertas cuando se accede a una página maliciosa, aunque
no siempre dan una total protección.
Rootkits. Son juegos de herramientas disponibles que permiten a usuarios externos acceder sin autorización a un sistema informático y
modifican el sistema operativo para encubrir acciones maliciosas. Por ejemplo para encubrir pueden proporcionar herramientas que
oculten los puertos abiertos que evidencias comunicación, ocultar archivos u ocultar procesos involucrados. Al instalar malware es
frecuente hacer uso de estos juegos de utilidades. Hoy día también es frecuente que el propio malware incluya las rutinas de ocultación del
rootkit. Algunos programas malignos también contienen rutinas para evitar ser borrados como porjemplo tener dos procesos-fantasmas
corriendo al mismo tiempo y cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este
en cuestión de milisegundos. Con este sistema la única manera de eliminar ambos procesos-fantasma es eliminarlos simultáneamente,
cosa muy difícil de realizar, o provocar un error al sistema deliberadamente.66
botnets. Son redes de computadoras infectadas por malware, a las que se llama zombis, que pueden ser controladas a la vez por un
individuo y realizan distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDoS contra
organizaciones como forma de extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso de
ordenadores infectados es el anonimato, que les protege de la persecución policial. Típicamente la computadora infecta se logueq en una
canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultáneamente.
Las botnets pueden ser usadas para actualizar el malware en los sistemas infectados manteniéndolos así resistentes ante antivirus u otras
medidas de seguridad.
Vulnerabilidades. Las vulnerabilidades son puntos débiles de un sistema informático que permiten que un atacante comprometa la
integridad, disponibilidad o confidencialidad del mismo. Estas vulnerabilidades son aprovechadas por el malware para ejecutar su código
malignos. Las vulnerabilidades suelen ser producidos por Errores de software, sobre-privilegios de usuarios (usuarios a los que se les ha
concedido más privilegios de los que se debería haber otorgado), sobre-privilegios de código (programas a los que se le ha concedido más
privilegios del que se debería haber otorgado), ejecución por parte del usuario de software no confiable. Otro factor que afecta a la
vulnerabilidad de un sistema complejo formado por varios ordenadores es que todos los ordenadores del sistema funcionen con el mismo
software (homogeneidad). Por ejemplo, cuando todos los ordenadores de una red funcionan con el mismo sistema operativo, si se puede
comprometer ese sistema, se podría afectar a cualquier ordenador que lo use.67
Exploits. Es un software que aprovecha un defecto del programa (vulnerabilidad). Es la forma de aprovechar una vulnerabilidad. Están
incorporados en el malware ya sea para su instalación en el sistema objetivo, para reproducirse o para realizar su funcionalidad objetivo.
Honeypots y Honeynets. Los Honeypots son un recurso de red destinado a ser atacado o comprometido. Por ejemplo por un malware. Su
objetivo es que sea examinado, atacado y probablemente comprometido por cualquier atacante. Son los encargados de proporcionarnos
información valiosa sobre los posibles atacantes en potencia a nuestra red antes de que comprometan sistemas reales. Una vez realizadas
las primeras pruebas con éxito, se propuso la extensión de este concepto dando lugar a las Honeynet. Una Honeynet es un Honeypot que
es una red real, con todos sus elementos funcionando, diseñada para ser comprometida y poder obtener información sobre los
atacantes.68
Kits de exploits. Son herramientas que ayudan en la creación de malware proveyendo distintos exploits a modo de biblioteca. Con este
software es fácil crear malware que puede ser aprovechado para realizar tests de intrusión y validar la seguridad del sistema. Ejemplos de
este tipo de software son Metasploit Framework, Immunity CANVAS, Core Impact, unicorn, Malicious Macro Generator o Lucky Strike. Otros
sitios, como Packet Storm y Miw0rm, poseen igualmente importantes cantidades de código de explotación disponible para ayudar en esta
tarea.69 70 71
Herramientas de simulación de ataque. Permiten emular cualquier amenaza real en una red para comprobar la eficacia de los sistemas
de seguridad frente a ella. Un ejemplo de este tipo de software es Cobalt Strike.72
Escáner de puertos. Herramientas que realizan la comprobación de qué puertos de un sistema están abiertos. Es habitual este tipo de
herramientas cuando se diseña un malware para usar con un sistema objetivo concreto. El ejemplo típico de este tipo de herramientas es
nmap.73
Escáner de vulnerabilidades. Son herramientas utilizadas para buscar vulnerabilidades en un sistema. Es habitual este tipo de
herramientas cuando se diseña un malware para usar con un sistema objetivo concreto. Ejemplos de este tipo de herramientas son
Shadow Security Scanner, Retina, OpenVAS y Nessus.73
Servicios de resolución de CAPTCHA. Es frecuente que el malware haga uso de servicios de resolución de CAPTCHA con el fin de
poder acceder a recursos gratuitos que ofrece la red. Por ejemplo, malware que crea cuentas falsas en redes sociales.54
Acortador de URL. Es habitual que el malware hagan de servicios de URL acortadas. Estos servicios permite ocultar la URLs final de
servicios maliciosos.74 Además, en ocasiones, permiten introducir publicidad y registrar datos sobre los usuarios (navegador, sistema
operativo,...).75 Por todas estas razones, es frecuento que algunos servicios que acortan URL, especialmente los que no controlan los
destinos de los enlaces, se han dominios prohibidos en las listas negras.
Sumidero de DNS. Para luchar contra el malware a veces es efectivo tener un sumidero de DNS que proporcione IPs falsas o nulas como
resolución de cierto dominio que solicita el malware. De esta forma se evita que el malware use un cierto nombre de dominio en el ataque
(p. ej. servidor de mando y control, servidor objetivo de un ataque de DoS).

Protección contra malware

Prevención

Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son:

Tener el sistema operativo y el navegador web actualizados.76

 Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automáticamente de forma regular ya que cada día
aparecen nuevas amenazas.77
Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cuándo sea necesario cambiar la
configuración o instalar un nuevo software.
Tener precaución al ejecutar software procedente de Internet o de medio extraíble como CD o memorias USB. Es importante asegurarse de
que proceden de algún sitio de confianza.
Una recomendación en tableta, teléfono celular y otros dispositivos móviles es instalar aplicaciones de tiendas muy reconocidas como App
Store, Google Play o Tienda Windows, pues esto garantiza un muy mínimo riesgo de contener malware alguno.78 Existe además, la
posibilidad de instalar un antivirus para este tipo de dispositivos.
Evitar descargar archivos (programas, contenido multimedia, documentos) de origen no confiable (ej. redes P2P, páginas web de descarga
de contenidos).
No conectar dispositivos externos no confiables. Los dispositivos pueden contener archivos infectados, que pueden ejecutarse
automáticamente, o incluso el dispositivo en sí puede tener como objetivo dañar eléctricamente los equipos (Ej. USB Killer).
Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies solo en páginas web de confianza.
Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.79
Uso de tecnologías que analicen la fiabilidad de sitios web. Son tecnologías que antes de acceder a una página web avisan si el sitio web
ha sido notificado como malicioso y/o que un análisis de su código ha dado como conclusión que tiene contenido malintencionado. Por
ejemplo, en Windows la opción SmartScreen del Internet Explorer hace este tipo de funcionalidades. Hay extensiones/complementos de
navegador como WOT muestras reputaciones de páginas web basadas en opiniones de usuarios. Algunos buscadores (ej. Google) alertan
en los resultados de búsquedas de sitios web que pudieran ser de sitios maliciosos. Hay páginas web como [1] (http://www.urlvoid.com)
que dada una página web muestran su reputación desde diferentes sistemas de reputación (WOT, Avira,...).

Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extraíbles como CD, DVD o Disco duro externo, para
poderlos recuperar en caso de infección por parte de algún malware, pero solamente si se está 100% seguro que esas copias están limpias.

Software anti-malware

Es un tipo de programa diseñado para prevenir, detectar y remediar software malicioso en los dispositivos y sistemas informáticos. Los términos antivirus y anti-
malware se utilizan a menudo como sinónimos ya que los virus informáticos son un tipo específico de malware.

Tipos de software anti-malware:

Antivirus. Son programas que detectan y eliminan o bloquean la actividad de malware. Puede proteger de varias formas:80
Escaneando el tráfico procedente de la red en busca de malware que bloquea.
Interceptando intentos de ejecución automática no permitida
Interceptando intentos de modificaciones no permitidas sobre aplicaciones importantes como el navegador web.
Detectando y eliminando o bloqueando malware que ya ha sido instalado en una computadora. Para ello analiza los programas
instalados, el contenido del registro de Windows (para sistemas Windows), los archivos del sistema operativo y la memoria. Al terminar
el escaneo muestra al usuario una lista con todas las amenazas encontradas y permiten escoger cuales eliminar o bloquear.
Antispyware. Software que sirve para detectar, prevenir y eliminar Spywares. Está centrado en este tipo de malware.81
Virtualización, permite dar acceso ilimitado pero solo a recursos virtuales.
aislamiento de procesos también conocido como sandbox.
Cortafuegos. Software diseñado para controlar el tráfico de red. Ejemplos de funciones: Filtrar paquetes de red sospechosos a partir de la
información que contiene (por ejemplo dirección origen, dirección destino, tipo de mensaje,...), autenticación y autorización de accesos.
Proporcionan cierto grado de protección frente a ataques de malware.
IDS o Sistemas de detección de intrusos. Sistema que recolecta y analiza información con el objetivo de identificar posibles fallos de
seguridad debido.82 Por ejemplo esta actividad puede ser debida a malware. El sistema cuando detecta acción sospechosa genera
alarmas. La detección suele basarse en ver si el comportamiento se ajusta a algunos de los comportamientos típicos de malware que tiene
en su báse de datos, la detección de ciertas secuencias en el código y/o en el análisis estadísticos de parámetros (ancho de banda,
protocolos y puertos usados, dispositivos conectados,...). Los tipos más habituales son:
HIDS o IDS de host. Reside en un equipo monitorizado y se encarga de analizar todos los logs para detectar actividades sospechas.
NIDS o Sistemas de detección de intrusos en red. Están conectados a un segmento de red y se encargan de detectar actividades
sospechosas en el tráfico, como por ejemplo ataques de denegación de servicio, escáneres de puertos o intentos de acceso.
IPS o Sistemas de prevención de intrusos. Hardware o software que tiene la habilidad de detectar ataques tanto conocidos como
desconocidos y reaccionar a ellos para impedir su éxito.82 suelen usar un software de cortafuegos asociado o trabajar de forma
coordinada con un cortafuegos.

Convenciones de nombres
El número de malware identificado es enorme. Por ejemplo, en 2013 se localizazon 170 millones distintos malware, y de ellos 70 millones habían aparecido
nuevos ese mismo año.83 Cada organización que trabaja con malware usa sus propios nombres internos para identificarlos. Sin embargo, para que las distintas
organizaciones se puedan intercambiar información, es necesario un sistema estándar de identificación precisa. Esto es complicado debido al gran volumen del
malware y a que varios malware pueden ser muy similares. Ha habido distintas iniciativas:84 85

La primera convención de nombres para malware fue propuesta en 1991 por la Computer Antivirus Researcher Organization. Esta
convención se basaba en dar al malware un nombre base en función a característica/s reseñable/s, agruparlo en familias y desglosarlo en
variantes. Debido a su propia naturaleza era frecuente que las distintas organizaciones que lo adoptaban daban distinto nombre al mismo
malware lo que causaba confusión.
En 2004 el Mitre desarrolla la iniciativa Common Malware Enumeration (CME) con el objetivo de dar un identificador único a cada
malware. Su propósito era intentar que la industria colaborara en este proyecto y con consenso conseguir identificadores únicos. El
sistema pareció funcionar en 2005 pero en 2006 el gran incremento en la cantidad de malware redujo la necesidad de tener un
 identificador por cada malware. Lo importante era el desarrollo de heurísticas, que al analizar de forma genérica, permitiera la detección de
gran número de instancias de malware. De este modo el último CME-ID fue generado a principios de 2017.
Malware Attribute Enumeration and Characterization (MAEC). Lenguaje basado en XML estandarizado por Mitre para la descripción y
comunicación de información sobre malware. Está basado en atributos como comportamiento, artefactos, patrones de ataque,
capacidades, relaciones con otros malware,.... Es un lenguaje de caracterización de malware basada en atributos que permite eliminar la
ambigüedad y la inexactitud en su descripción. Ha habido distintas versiones.86 Debido a que el malware concreto a partir de su
comportamiento, se puede considerar como un indicador de compromiso.87 A causa del nivele de detalle propuesto en MAEC, es
prohibitivo caracterizar un con conjunto amplio de malware. Además, el conjunto de muestras que es posible caracterizar con este método
está muy sesgado hacia aquellos que se pueden ejecutar en un entorno controlado de sandbox.88

Antimalware Day
El Antimalware Day se celebra el 3 de noviembre de cada año.89 Se trata de una fecha que fue establecida en 2017 por la compañía de seguridad ESET con el
objetivo de destacar la labor que realizan los investigadores que se desempeñan en el campo de la seguridad de la información y la industria en general.
Asimismo, también para recordar la importancia de estar protegidos en un mundo cada vez más influenciado por la tecnología. La fecha elegida es el 3 de
noviembre en homenaje a Frederick Cohen y Leonard Adleman, ya que esa misma fecha, pero del año 1983, el estudiante de Ingeniería de la Universidad del
Sur de California, Fred Cohen, presentó un prototipo de programa maligno en un seminario de informática que luego su profesor, Len Adleman, bautizaría como
virus informático.

Véase también
Amenaza persistente avanzada
Antivirus
Cortafuegos
Crimeware
Heurística
Malware en Linux

Compañías antimalware
Ad-Aware Microsoft Security Essentials
Avast Norm (software)
AVG Norton AntiVirus
Avira Panda Cloud Antivirus
BitDefender Panda Security
ClamAV Sophos
ClamWin Sokx Pro
Dr. Web Spybot - Search & Destroy
ESET SpywareBlaster
Fireeye Symantec
HijackThis TrustPort
Iobit Malware Fighter Windows Defender
Kaspersky Windows Live OneCare
Malwarebytes' Anti-Malware Winpooch
McAfee

Referencias
1. ¿Qué es un programa potencialmente no deseado o PUP? (https://
www.cybernautas.es/que-es-un-programa-potencialmente-no-dese
ado-o-pup/). Manuel Cantero. cybernautas.es. 22 de agosto de
2018
2. Rodríguez Campos, David (18 de febrero de 2020). «Tipos de
malware que existen y cómo proteger sus datos y dispositivos» (htt
ps://web.archive.org/web/20200219015000/https://empresas.blogth
inkbig.com/tipos-de-malware/) (html). Think Big Telefónica.
Archivado desde el original (https://empresas.blogthinkbig.com/tipo
s-de-malware/) el 19 de febrero de 2020. Consultado el 18 de
febrero de 2020. «El malware es cualquier tipo de código
malicioso que busca infectar un sistema operativo, un computador
o un artefacto que utiliza software. El objetivo del malware es
incorporar un virus informático para acceder a información valiosa,
los servicios del dispositivo o sus capacidades de procesamiento.»
3. «La guía esencial del malware: detección, prevención y
eliminación» (https://www.avast.com/es-es/c-malware). La guía
esencial del malware: detección, prevención y eliminación.
Consultado el 12 de noviembre de 2020.
4. Fruhlinger, Josh (23 de enero de 2019). «What is malware? How to
prevent, detect and recover from it» (https://web.archive.org/web/20
190330072037/https://www.csoonline.com/article/3295877/what-is-
malware-viruses-worms-trojans-and-beyond.html) (html). Revista
CSO (IDG Ventures) (en inglés). Archivado desde el original (http
s://www.csoonline.com/article/3295877/what-is-malware-viruses-w
orms-trojans-and-beyond.html) el 30 de marzo de 2019.
Consultado el 12 de abril de 2019. «Malware, short for malicious
software, is a blanket term for viruses, worms, trojans and other
harmful computer programs hackers use to wreak destruction and
gain access to sensitive information.»
5. «programa maligno, mejor que malware» (https://web.archive.org/w
eb/20131223220420/http://www.fundeu.es/recomendacion/progra
ma-maligno-mejor-malware/) (html). Fundación del Español
Urgente. 8 de noviembre de 2013. Archivado desde el original (htt
p://www.fundeu.es/recomendacion/programa-maligno-mejor-malwa
re/) el 23 de diciembre de 2013. Consultado el 12 de abril de 2019.
«La expresión programa maligno es una alternativa en español al
anglicismo malware.»
6. Moir, Robert (31 de marzo de 2009). «Defining Malware: FAQ» (htt
ps://web.archive.org/web/20180920112045/https://docs.microsoft.c
om/en-us/previous-versions/tn-archive/dd632948(v=technet.10))
(html). Microsoft Docs (en inglés). Archivado desde el original (http
s://docs.microsoft.com/en-us/previous-versions/tn-archive/dd63294
8(v=technet.10)) el 20 de septiembre de 2018. Consultado el 12 de
abril de 2019. «"Malware" is short for malicious software and is
typically used as a catch-all term to refer to any software designed
to cause damage to a single computer, server, or computer network,
whether it's a virus, spyware, et al.»
7. Microsoft TechNet. «Defining Malware: FAQ» (http://technet.micros
oft.com/en-us/library/dd632948.aspx) (en inglés).
 8. Messmer, Ellen (29 de junio de 2008). «Tech Talk: Where'd it Come
From, Anyway?» (https://web.archive.org/web/20121016035507/htt
ps://www.pcworld.com/article/147698/tech.html) (html). PC World
(en inglés). Archivado desde el original (https://www.pcworld.com/a
rticle/147698/tech.html) el 16 de octubre de 2012. Consultado el 12
de abril de 2019. «MALWARE: A term to describe the wide range of
malicious code, it was first used by Yisrael Radai on July 4, 1990,
in a public posting in which he wrote: "Trojans constitute only a
very small percentage of malware (a word I just coined for trojans,
viruses, worms, etc)." Chris Klaus gets credit for being the first to
widely use the word malware in presentations.»
9. Christopher Elisan (5 de septiembre de 2012). Malware, Rootkits &
Botnets A Beginner's Guide (https://books.google.com/books?id=jO
sFlLPg1KkC&pg=PA10). McGraw Hill Professional. pp. 10-.
ISBN 978-0-07-179205-9.
10. Fruhlinger, Josh (23 de enero de 2019). «What is malware? How to
prevent, detect and recover from it» (https://web.archive.org/web/20
190330072037/https://www.csoonline.com/article/3295877/what-is-
malware-viruses-worms-trojans-and-beyond.html) (html). Revista
CSO (IDG Ventures) (en inglés). Archivado desde el original (http
s://www.csoonline.com/article/3295877/what-is-malware-viruses-w
orms-trojans-and-beyond.html) el 30 de marzo de 2019.
Consultado el 12 de abril de 2019. «This means that the question
of, say, what the difference is between malware and a virus misses
the point a bit: a virus is a type of malware, so all viruses are
malware (but not every piece of malware is a virus).»
11. «What its Joker Malware? How to protect yourself from this thread.»
(https://www.makeuseof.com/tag/joker-malware-can-protect-threat/).
12. «La guía esencial del malware: detección, prevención y
eliminación» (https://www.avast.com/es-es/c-malware). La guía
esencial del malware: detección, prevención y eliminación.
Consultado el 12 de noviembre de 2020.
13. Donohue, Brian (27 de enero de 2014). «Wiper y otros malware
destructivos» (https://web.archive.org/web/20200224123113/http
s://www.kaspersky.es/blog/wiper-y-otros-malware-destructivos/229
7/) (html). Kaspersky. Archivado desde el original (https://www.kasp
ersky.es/blog/wiper-y-otros-malware-destructivos/2297/) el 24 de
febrero de 2020. Consultado el 24 de febrero de 2020. «El primer
Wiper fue tan efectivo que él mismo se eliminó de los miles de
equipos iraníes que había infectado. De esta manera, no fue
posible encontrar ni una muestra del malware.»
14. PC World. «Zombie PCs: Silent, Growing Threat» (https://web.archi
ve.org/web/20080727001520/http://www.pcworld.com/article/id,116
841-page,1/article.html) (en inglés). Archivado desde el original (htt
p://www.pcworld.com/article/id,116841-page,1/article.html) el 27 de
julio de 2008.
15. El 60% del malware se distribuye mediante pay-per-install (https://
www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/1516-el-6
0-del-malware-se-distribuye-mediante-pay-per-install.html). ccn-
cert.cni.es. 13 de Septiembre 2011
16. ALEGSA. «Definición de Crimeware» (http://www.alegsa.com.ar/Di
c/crimeware.php).
17. Definición de greyware en la Webopedia (en inglés) (http://www.we
bopedia.com/index.php/TERM/G/greyware.html)
18. Sobre los riesgos del grayware (en inglés) (http://www.computerwe
ekly.com/news/2240057924/The-network-clampdown)
19. Definición de graynet o greynet (en inglés) (http://searchsecurity.tec
htarget.com/definition/greynet)
20. Definición de greyware (en inglés) (http://www.webopedia.com/TE
RM/G/greyware.html)
21. ESET. «Tipos de malware y otras amenazas informáticas» (https://
web.archive.org/web/20091214211926/http://www.eset.com.mx/ce
ntro-amenazas/amenazas/2148-PayLoad). Archivado desde el
original (http://www.eset.com.mx/centro-amenazas/amenazas/2148
-PayLoad) el 14 de diciembre de 2009.
22. ¿Qué es el riskware? (https://latam.kaspersky.com/resource-center/
threats/riskware). kaspersky.com
23. Viruslist.com. «Droppers troyanos» (https://web.archive.org/web/20
100924190200/http://www.viruslist.com/sp/virusesdescribed?chapt
er=153318112). Archivado desde el original (http://www.viruslist.co
m/sp/virusesdescribed?chapter=153318112) el 24 de septiembre
de 2010.
24. Symantec Corporation. «Trojan.Dropper» (http://www.symantec.co
m/security_response/writeup.jsp?docid=2002-082718-3007-99)
(en inglés).
25. Software malintencionado o infeccionso (https://www.unpa.edu.mx/
~blopez/Computacion/complementario/VirusYotrosMalware.pdf).
Bertha Lopez Azamar
26. Wiper y otros malware destructivos (https://www.kaspersky.es/blog/
wiper-y-otros-malware-destructivos/2297/). Brian Donohue.
kaspersky.es
27. Criptominería (Criptojacking) (https://www.eset.com/es/caracteristic
as/cryptojacking/#). eset.com
28. Todo acerca del cryptojacking (https://es.malwarebytes.com/cryptoj
acking/). malwarebytes.com
29. Análisis de actualidad:Ciberataquesjulio 2019 (http://thiber.org/wp-
content/uploads/2019/08/Numero_12_Agosto_Secciones_Ciberat
aques.pdf). Adolfo Hernández Lorente. thiber.org. Julio 2019
30. The art of stealing banking information – form grabbing on fire (http
s://www.virusbulletin.com/virusbulletin/2011/11/art-stealing-bankin
g-information-form-grabbing-fire). Aditya K. Sood et ali.
virusbulletin.com. 1 de noviembre de 2011
31. Técnicas de evasión avanzadas (https://www.incibe-cert.es/blog/te
cnicas-de-evasion-avanzadas). Asier Martínez. incibe-cert.es. 28
de mayo de 2015
32. What is an Evasion Technique? (https://www.libraesva.com/what-is
-an-evasion-technique/). libraesva.com Diciembre de 2019
33. BREVE NOTA SOBRE LA OFUSCACIÓN: LA CLAVE DEL
MALWARE - PARTE 1 (https://www.sombrero-blanco.com/segurida
d-informatica/breve-nota-sobre-la-ofuscacion-la-clave-del-malware
-parte-1/). Sombrero Blanco. sombrero-blanco.com. 17 de
noviembre de 2018
34. Transcriptase–Light: A Polymorphic Virus Construction Kit (https://s
cholarworks.sjsu.edu/cgi/viewcontent.cgi?article=1513&context=et
d_projects). Saurabh Borwankar. San José State University. 22 de
abril de 2017.
35. Malware Intrusion Detection. Morton G. Swimmer. página 24.
Lulu.com. 5 de julio de 2005
36. Stantinko: campaña masiva de adware operando en secreto desde
2012 (https://www.welivesecurity.com/la-es/2017/07/20/stantinko-a
dware-secreto/). Frédéric Vachon y Matthieu Faou.
.welivesecurity.com. 20 de julio de 2017
37. Que son los Crypters? (https://lapaginadezero.wordpress.com/201
5/05/01/que-son-los-crypters/). lapaginadezero.wordpress.com.
ZERO. 1 de mayo de 2015
38. Malware Obfuscation Techniques: A Brief Survey (https://profsandh
u.com/cs5323_s18/yk_2010.pdf). Ilsun You y Kangbin Yim . 2010
International Conference on Broadband, Wireless Computing,
Communication and Applications
39. Sistema_de_ofuscacion_de_malware_para_el_evasion_de_NIDS.pd
Sistema de ofuscacion de malware para la evasion de NIDS (http
s://eprints.ucm.es/22473/1). Roberto Carrasco de la Fuente et ali.
Universidad Complutense de Madrid. Junio de 2013
40. Malware vs. Antivirus: the never-ending story (Part I) (https://www.bl
ueliv.com/cyber-security-and-cyber-threat-intelligence-blog-blueliv/
malware-vs-antivirus-the-never-ending-story-part-i/). Eva Chen.
blueliv.com/. 25 de diciembre de 2019
41. Sistema de ofuscacion de malware para la evasion de NIDS (http
s://eprints.ucm.es/22473/1/Sistema_de_ofuscacion_de_malware_p
ara_el_evasion_de_NIDS.pdf). Roberto Carrasco de la Fuente et
ali. Universidad Complutense de Madrid. Junio de 2013
42. Malware Obfuscation Techniques: A Brief Survey (https://profsandh
u.com/cs5323_s18/yk_2010.pdf). Ilsun You y Kangbin Yim . 2010
International Conference on Broadband, Wireless Computing,
Communication and Applications
43. La resiliencia de las botnets: "redes duras de pelar" (https://www.in
cibe-cert.es/blog/la-resiliencia-de-las-botnets-redes-duras-de-pela
r). Asier Martínez. incibe-cert.es. 21 de octubre de 2014
44. Explained: Packer, Crypter, and Protector (https://blog.malwarebyte
s.com/cybercrime/malware/2017/03/explained-packer-crypter-and-
protector/). Pieter Arntz. malwarebytes.com. 27 de marzo de 2017
45. Angler (https://blog.malwarebytes.com/threats/angler/).
malwarebytes.com. 24 de Junio de 2016
46. How Exploit Kit Operators are Misusing Diffie-Hellman Key
Exchange (https://blog.trendmicro.com/trendlabs-security-intelligen
ce/how-exploit-kit-operators-are-misusing-diffie-hellman-key-excha
nge/). Brooks Li, Stanley Liu and Allen Wu. trendmicro.com. 21 de
septiembre de 2015
47. Detecting Algorithmically Generated Domains Using Data
Visualization and N-Grams Methods (http://csis.pace.edu/~ctappert/
srd2017/2017PDF/d4.pdf). Tianyu Wang y Li-Chiou Chen.
Seidenberg School of CSIS, Pace University, Pleasantville, New
York. Proceedings of Student-Faculty Research Day, CSIS, Pace
University, May 5th, 2017
48. Algoritmo de Generación de Dominios (http://www.davidromerotrej
o.com/2015/03/algoritmo-de-generacion-de-dominios.html). David
Romero Trejo. davidromerotrejo.com. 2 de marzo de 2015
49. Botnets: La amenaza fantasma (https://pdfs.semanticscholar.org/80
e4/0811e200a7becc608b4640b775908b7642e9.pdf). Guillermo
Calvo Ortega. Enero 2018
50. ESET descubre Casbaneiro, un nuevo troyano bancario que roba
criptomonedas (https://neuronamagazine.com/eset-descubre-casb
aneiro-un-nuevo-troyano-bancario-que-roba-criptomonedas/).
Adán Moctezuma. neuronamagazine.com. 4 de octubre, 2019
51. Nueva funcionalidad de la botnet Stantinko: minado de
criptomonedas (https://unaaldia.hispasec.com/2019/11/nueva-funci
onalidad-de-la-botnet-stantinko-minado-de-criptomonedas.html).
Raquel Gálvez. hispasec.com. 25 de noviembre de 2019
52. Reporte Anual de Ciberseguridad de Cisco 2018 (https://www.cisc
o.com/c/dam/global/es_mx/solutions/pdf/reporte-anual-cisco-2018-
espan.pdf). Cisco 2018
53. Advanced Evasion Techniques for dummies (http://www.webtorials.
com/main/resource/papers/McAfee/paper29/protect-against-adv-ev
asion-techniques.pdf). Klaus Majewski. Willey 2015
54. Stantinko. Teddy Bear Surfing Out of Sight (https://www.welivesecu
rity.com/wp-content/uploads/2017/07/Stantinko.pdf). Frédéric
Vachon. ESET. Julio de 2017.
55. El modelo de negocio del cibercrimen y su cadena de valor (https://
www.welivesecurity.com/la-es/2016/11/03/modelo-de-negocio-del-
cibercrimen/). Miguel Ángel Mendoza. .welivesecurity.com. 3 de
noviembre de 2016
56. Evolution of the Cybercrime-as-a-Service Epidemic (https://www.inf
osecurity-magazine.com/magazine-features/evolution-cybercrime-s
ervice/). Phil Muncaster. infosecurity-magazine.com. 17 de
septiembre de 2018
57. Malware-as-a-Service: The 9-to-5 of Organized Cybercrime (https://
www.lastline.com/blog/malware-as-a-service-the-9-to-5-of-organize
d-cybercrime/). Brian Laing. lastline.com 8 de marzo de 2018
58. Martínez, Raúl (20 de abril de 2017). «EL RANSOMWARE COMO
SERVICIO, UNA TENDENCIA EN AUGE» (https://noticiassegurid
ad.com/malware-virus/el-ransomware-como-servicio-una-tendenci
a-en-auge/). Noticias de seguridad informática, ciberseguridad y
hacking. Consultado el 3 de septiembre de 2020.
59. ¿Qué es un ransomware-as-a-service (RaaS)? (https://losvirus.es/q
ue-es-un-ransomware-as-a-service-raas/). Julie Splinters.
losvirus.es. 24 de julio de 2018
60. 679.000 logins gestolen met Phishing as a Service (PHaas) (http
s://informatiebeveiliging.nl/679-000-logins-gestolen-met-phishing-a
s-a-service-phaas/). informatiebeveiliging.nl. 2 de septiembre de
2016
61. Dos plataformas de cibercrimen como servicio (https://consejerodig
ital.com/dos-plataformas-de-cibercrimen-como-servicio/). 17 de
julio de 2017
62. DDoS Attack Tools. A Survey of the Toolkits, Apps and Services
Used Today to Launch DDoS Attacks (http://cdn.net-load.com/w_an
et20.pdf). A10 Networks. Junio de 2015
63. The Shark Ransomware Project allows you to create your own
Customized Ransomware (https://www.bleepingcomputer.com/new
s/security/the-shark-ransomware-project-allows-to-create-your-own
-customized-ransomware/). Lawrence Abrams.
bleepingcomputer.com. 15 de agosto de 2016
64. Google. searches web's dark side/ «BBC News» (http://news.bbc.c
o.uk/2/hi/technology/6645895.stm/Google) (en inglés).
65. Niels Provos. «The Ghost In The Browser, Analysis of Web-based
Malware» (http://www.usenix.org/event/hotbots07/tech/full_papers/
provos/provos.pdf) (en inglés).
66. Catb.org. «The Meaning of ‘Hack’» (http://catb.org/jargon/html/mea
ning-of-hack.html) (en inglés).
67. Microsoft (14 de abril de 2009). «Documento informativo sobre
seguridad de Microsoft (951306), Una vulnerabilidad en Windows
podría permitir la elevación de privilegios» (http://www.microsoft.co
m/spain/technet/security/advisory/951306.mspx). Microsoft Tech
Net.
68. CAPÍTULO 4: Honeypots y Honeynets (https://www.cs.upc.edu/~ga
briel/files/DEA-es-4HoneypotsyHoneynets.pdf). SEGURIDAD EN
REDES IP. Gabriel Verdejo Álvarez. Unitat de Combinatòria i
Comunicació Digital. Departament d’Informàtica. Universitat
Autònoma de Barcelona. 2003
69. Técnicas y herramientas de análisis de vulnerabilidades de una
red (http://oa.upm.es/32786/1/TFG_javier_rios_yaguez.pdf). Javier
Ríos Yáguez. Proyecto fin de grado. Escuela Técnica superior de
ingeniería y sistemas de telecomunicaciones. Universidad
Politécnica de Madrid.
70. Introducción al METASPLOIT (https://blog.satinfo.es/2011/introduc
cion-al-metasploit/). msc. 3 enero 2011
71. [Phishing (https://www.ihacklabs.com/es/phishing-creando-el-ganc
ho-parte-2/) – Creando el gancho – Parte 2] Archivado (https://web.
archive.org/web/20200221122050/https://www.ihacklabs.com/es/p
hishing-creando-el-gancho-parte-2/) el 21 de febrero de 2020 en
Wayback Machine.. Luis Franciso Monge Martínez. ihacklabs.com.
22 de diciembre de 2018
72. Las dos herramientas gratuitas que no deben faltar a cualquier
hacker (https://www.redeszone.net/2016/07/31/las-dos-herramienta
s-gratuitas-que-no-deben-faltar-a-cualquier-hacker/). Rubén
Velasco. redeszone.net. 31 de julio, 2016
73. Técnicas y herramientas de análisis de vulnerabilidades de una
red (http://oa.upm.es/32786/1/TFG_javier_rios_yaguez.pdf).Javier
Ríos Yáguez. Proyecto fin de grado. Escuela Técnica superior de
ingeniería y sistemas de telecomunicaciones. Universidad
Politécnica de Madrid.
74. Cómo utilizan los ciberdelincuentes las URLs acortadas para
estafar y distribuir malware (https://www.redeszone.net/2018/04/04/
estafas-malware-urls-acortadas/). Adrián Crespo. redeszone.net. 4
de abril de 2018
75. Qué es un acortador de URL y cuáles son los mejores (https://ww
w.nobbot.com/pantallas/mejores-acortadores-url/). Israel
Fernández. nobbot.com. 13 de marzo de 2019
76. ESET Global LLC. «Mantenga su sistema operativo actualizado»
(http://eset.es/centro-de-alertas/consejos-seguridad/SO-actualizad
o/280).
77. ESET Global LLC. «Consejos de Seguridad» (http://eset.es/centro-
de-alertas/consejos-seguridad).
78. DiarioTi.com,Año 14,Edición 3683. «Diez consejos para un uso
ciberseguro de los dispositivos móviles» (http://diarioti.com/diez-co
nsejos-para-un-uso-ciberseguro-de-los-dispositivos-moviles/6038
1).
79. Departamento de Seguridad en Computo/UNAM-CERT. «¿Cómo
crear contraseñas seguras?» (https://web.archive.org/web/2013031
4140330/http://www.seguridad.unam.mx/descarga.dsc?
arch=1366). Archivado desde el original (http://www.seguridad.una
m.mx/descarga.dsc?arch=1366) el 14 de marzo de 2013.
Consultado el 25 de marzo de 2014.
80. Fabián Romo:UNAM redes sociales. «10 sencillas formas de
detectar el malware en la computadora» (http://tecnologia.dgsca.un
am.mx/redsocial/pg/blog/fabian.romo/read/27/10-sencillas-formas-
de-detectar-el-malware-en-la-computadora).
81. AntiSpyware: qué son y los 11 mejores (https://www.xataka.com/ba
sics/antispyware-que-mejores). Yúbal FM. Xataka Octubre 2019.
82. CAPÍTULO 3: IDS (https://www.cs.upc.edu/~gabriel/files/DEA-es-3I
DS.pdf) .SEGURIDAD EN REDES IP. Gabriel Verdejo Álvarez.
Unitat de Combinatòria i Comunicació Digital. Departament
d’Informàtica. Universitat Autònoma de Barcelona. 2003
83. La «otra manera» de identificar malware (https://www.incibe-cert.e
s/blog/indicadores-de-compromiso). Asier Martínez. INCIBE. 19 de
marzo de 2014
84. The Concepts of the Malware Attribute Enumeration and
Characterization(MAEC) Effort (https://pdfs.semanticscholar.org/fc2
5/4bb10ce0b1e1a35b7a7d667c1cb229a4eea6.pdf). Ivan A. Kirillov
et ali.
85. Automatic Malware Description via AttributeTagging and Similarity
Embedding (https://arxiv.org/pdf/1905.06262.pdf). Felipe N. Ducau
et ali.
86. THE MAEC LANGUAGE (https://maecproject.github.io/documentat
ion/overview/MAEC_Overview.pdf). THE MITRE CORPORATION.
12 de junio de 104
87. Inteligencia de amenazas I (https://www.sothis.tech/inteligencia-de-
amenazas-i/). Sothis.tech. 20 noviembre de 2018
88. Automatic Malware Description via AttributeTagging and Similarity
Embedding (https://arxiv.org/pdf/1905.06262.pdf). Felipe N. Ducau
et ali. 23 de enero de 2020
89. «Antimalware Day: cómo nació la lucha contra las amenazas
informáticas» (https://www.welivesecurity.com/la-es/antimalware-d
ay/).
Enlaces externos
Blog (https://www.elladodelmal.com/) de Chema Alonso (Maligno Alonso) dedicado a la investigación y prevención de los programas
malignos.
Blog (https://playmaax.club/eliminar-malware-rogueads-unwanted-ads-de-wordpress/) de Playmaax Cómo eliminar malware
rogueads.unwanted_ads WordPress.

Obtenido de «https://es.wikipedia.org/w/index.php?title=Malware&oldid=139938020»

Esta página se editó por última vez el 24 nov 2021 a las 20:08.

El texto está disponible bajo la Licencia Creative Commons Atribución Compartir Igual 3.0; pueden aplicarse cláusulas adicionales. Al usar este sitio, usted acepta nuestros
términos de uso y nuestra política de privacidad.
Wikipedia® es una marca registrada de la Fundación Wikimedia, Inc., una organización sin ánimo de lucro.