MALWARE Y

CÓDIGO
MALICIOSO
Ing. Pedro Herbert Peñuela Arce

Magister en telecomunicaciones y Regulaciones TIC

AGENDA

TIPOS DE MALWARE

ATAQUES A CORREOS ELECTRÓNICOS

NAVEGADORES
 ¿Qué es el malware?
El software malicioso, o malware, es un término
que se utiliza para describir el software
diseñado para interrumpir las operaciones de la
computadora u obtener acceso a los sistemas
informáticos, sin el conocimiento o el permiso
del usuario.
El malware se ha convertido en un término
general que se utiliza para describir todo el
software hostil o intruso.
El término malware incluye virus, gusanos,
troyanos, ransomware, spyware, adware,
scareware y otros programas maliciosos.
El malware puede ser obvio y simple de
identificar o puede ser muy sigiloso y casi
imposible de detectar.
Virus, gusanos y troyanos
Los delincuentes cibernéticos apuntan a los terminales del usuario mediante la instalación
de malware.
 Virus, gusanos y troyanos
Virus
Un virus es un código malicioso ejecutable
asociado a otro archivo ejecutable, como un
programa legítimo.
La mayoría de los virus requieren la inicialización
del usuario final y pueden activarse en un momento
o fecha específica.
Los virus informáticos generalmente se propagan en
una de tres maneras: desde medios extraíbles;
desde descargas de Internet y desde archivos
adjuntos de correo electrónico.
Los virus pueden ser inofensivos y simplemente
mostrar una imagen o pueden ser destructivos,
como los que modifican o borran datos. Para evitar
la detección, un virus se transforma
 Virus, gusanos y troyanos
Virus
El simple acto de abrir un archivo puede activar un
virus. Un sector de arranque o un virus del
sistema de archivos, infecta las unidades de
memoria flash USB y puede propagarse al disco
duro del sistema.
La ejecución de un programa específico puede
activar un virus del programa. Una vez que el virus
del programa está activo, infectará generalmente
otros programas en la computadora u otras
computadoras de la red.
El virus Melissa es un ejemplo de virus que se
propaga por correo electrónico. 
Virus, gusanos y troyanos
Virus Melissa
Melissa afectó a decenas de miles de usuarios y
causó daños por una cifra estimada en USD 1,2
mil millones. Haga clic aquí para leer más sobre
los virus.
https://www.whoishostingthis.com/blog/2015/0
6/01/8-worst-viruses/
 Conozca un poco mas!!
Ingrese a pagina https://www.whoishostingthis.com/blog/2015/06/01/8-worst-viruses/,
encontrara mas detalles de diferentes ataques
 Virus, gusanos y troyanos
Gusano
Los gusanos son códigos maliciosos que se
replican al explotar de manera independiente
las vulnerabilidades en las redes.
Los gusanos, por lo general, ralentizan las
redes. Mientras que un virus requiere la
ejecución de un programa del host, los
gusanos pueden ejecutarse por sí mismos.
A excepción de la infección inicial, los
gusanos ya no requieren la participación del
usuario. Después de que un gusano afecta a
un host, se puede propagar muy rápido en la
red.
 Virus, gusanos y troyanos
Gusano Code RED
Los gusanos comparten patrones
similares. Todos tienen una vulnerabilidad
de activación, una manera de propagarse
y contienen una carga útil.
Los gusanos son responsables de algunos
de los ataques más devastadores en
Internet.
Por ejemplo, en 2001, el gusano Code Red
infectó a 658 servidores. En 19 horas, el
gusano infectó a más de 300 000
servidores.
 Virus, gusanos y troyanos
Troyano
Un troyano es un malware que ejecuta
operaciones maliciosas bajo la apariencia
de una operación deseada.
Este código malicioso ataca los privilegios
de usuario que lo ejecutan.
Un troyano se diferencia de un virus
debido a que el troyano está relacionado
con los archivos no ejecutables, como
archivos de imagen, de audio o juegos
 Bomba lógica
Una bomba lógica es un programa
malicioso que utiliza un activador para
reactivar el código malicioso.
Por ejemplo, los activadores pueden ser
fechas, horas, otros programas en
ejecución o la eliminación de una cuenta
de usuario.
La bomba lógica permanece inactiva
hasta que se produce el evento
activador.
Una vez activada, una bomba lógica
implementa un código malicioso que
provoca daños en una computadora.
 Bomba lógica
Una bomba lógica puede sabotear los
registros de bases de datos, borrar los
archivos y atacar los sistemas operativos
o aplicaciones.
Los paladines cibernéticos descubrieron
recientemente las bombas lógicas que
atacan y destruyen a los componentes
de hardware de una estación de trabajo
o un servidor, como ventiladores de
refrigeración, CPU, memorias, unidades
de disco duro y fuentes de alimentación.
La bomba lógica abruma estos
dispositivos hasta que se sobrecalientan
o fallan.
 Ransomware
El ransomware mantiene cautivo a un sistema informático o los datos que contiene hasta que el
objetivo haga un pago.
El ransomware trabaja generalmente encriptando los datos de la computadora con una clave
desconocida para el usuario.

El usuario debe pagar un rescate

a los delincuentes para eliminar la
restricción.
Algunas otras versiones de
ransomware pueden aprovechar
vulnerabilidades específicas del
sistema para bloquearlo.
El ransomware se propaga como
un troyano y es el resultado de un
archivo descargado o de alguna
debilidad del software.
 Ransomware
El pago a través de un sistema
de pago ilocalizable siempre es
el objetivo del delincuente.
Una vez que la víctima paga, los
delincuentes proporcionan un
programa que descifra los
archivos o envían un código de
desbloqueo.
Haga clic aquí para leer más
sobre el ransomware
Conozca un poco mas..!!!
 Ingrese a la pagina de
https://www.exterminate-it.com/malpedia/ransomware-category y conozca mas
tipos de ataques
 Puertas traseras y rootkits
Una puerta trasera o un rootkit se refiere
al programa o al código que genera un
delincuente que ha comprometido un
sistema.
La puerta trasera omite la autenticación
normal que se utiliza para tener acceso
a un sistema.
Algunos programas comunes de puerta
trasera son Netbus y Back Orifice, que
permiten el acceso remoto a los
usuarios no autorizados del sistema. 
 Puertas traseras y rootkits
El propósito de la puerta trasera es
otorgar a los delincuentes
cibernéticos el acceso futuro al
sistema, incluso si la organización
arregla la vulnerabilidad original
utilizada para atacar al sistema.
Por lo general, los delincuentes logran
que los usuarios autorizados ejecuten
sin saberlo un programa de troyanos
en su máquina para instalar la puerta
trasera.
 Puertas traseras y rootkits
Un rootkit modifica el sistema operativo
para crear una puerta trasera. Los
atacantes luego utilizan la puerta
trasera para acceder a la computadora
de forma remota.
TheFatRat, una utilidad para generar
fácilmente backdoors indetectables con
Msfvenom
La mayoría de los rootkits aprovecha
las vulnerabilidades de software para
realizar el escalamiento de privilegios y
modificar los archivos del sistema.
 Puertas traseras y rootkits
El escalamiento de privilegios
aprovecha los errores de
programación o las fallas de
diseño para otorgar al delincuente
el acceso elevado a los recursos y
datos de la red.
También es común que los rootkits
modifiquen la informática forense
del sistema y las herramientas de
supervisión, por lo que es muy
difícil detectarlos.
Si quiere saber mas sobre Cómo
funciona LoJax, el rootkit UEFI de
APT28 ingrese aqui
Conozca un poco mas..!!
Ingrese a la pagina de https://www.redeszone.net/2018/09/28/lojax-rootkit-resiste-formateo/ ,
aquí puede investigar un poco mas, porque el virus resiste a los formateos de la máquina cual
es la causa.
Usted puede investigar que hace el nuevo virus rootkit PHP, porque es capaz de camuflarse en
módulos del servidor
https://www.redeszone.net/2017/06/17/desarrollan-rootkit-php-capaz-camuflarse-modulos-d
el-servidor/
. Explique con sus palabras que hace.
 Defensa contra malware
Algunos pasos simples pueden ayudar a brindar protección contra todas las formas
de malware.

Programa antivirus:

La mayoría de los conjuntos de antivirus

adquieren las formas más generalizadas de
malware.
Sin embargo, los delincuentes cibernéticos
desarrollan e implementan nuevas amenazas
a diario.
Por lo tanto, la clave para una solución
antivirus eficaz es mantener actualizadas las
firmas. Una firma es como una huella.
Identifica las características de un código
malicioso.
 Defensa contra malware
Algunos pasos simples pueden ayudar a brindar protección contra todas las formas
de malware.

Software de actualización

Muchas formas de malware alcanzan sus objetivos

mediante la explotación de las vulnerabilidades del
software, en el sistema operativo y las aplicaciones.
Aunque las vulnerabilidades del sistema operativo
eran la fuente principal de los problemas, las
vulnerabilidades actuales a nivel de las aplicaciones
representan el riesgo más grande.
Desafortunadamente, aunque los fabricantes de
sistemas operativos son cada vez más receptivos a
los parches, la mayoría de los proveedores de
aplicaciones no lo son.
ATAQUES A CORREOS
ELECTRÓNICOS Y
NAVEGADORES
 Correo electrónico no deseado
El correo electrónico es un servicio universal
utilizado por miles de millones de personas
en todo el mundo.
Como uno de los servicios más populares, el
correo electrónico se ha convertido en una
vulnerabilidad importante para usuarios y
organizaciones.
El correo no deseado, también conocido
como “correo basura”, es correo electrónico
no solicitado.
En la mayoría de los casos, el correo no
deseado es un método publicitario. Sin
embargo, el correo no deseado se puede
utilizar para enviar enlaces nocivos, malware
o contenido engañoso. 
 Correo electrónico no deseado

El objetivo final es obtener información

confidencial, como información de un número
de seguro social o de una cuenta bancaria.
La mayor parte del correo no deseado
proviene de varias computadoras en redes
infectadas por un virus o gusano.
Estas computadoras comprometidas envían la
mayor cantidad posible de correo electrónico
masivo.
Incluso con la implementación de estas
características de seguridad, algunos correos
no deseados aún pueden llegar a la bandeja
de entrada. 
Correo electrónico no deseado
Algunos de los indicadores más comunes de correo no deseado son
los siguientes:

El correo electrónico no tiene asunto.

El correo electrónico solicita la actualización de una cuenta.
El texto del correo electrónico tiene palabras mal escritas o puntuación
extraña.
Los enlaces del correo electrónico son largos o crípticos.
Un correo electrónico se parece a una correspondencia de una empresa
legítima.
El correo electrónico solicita que el usuario abra un archivo adjunto.
COMISIÓN FEDERAL DE COMERCIO FTC

https://www.consumer.ftc.gov/articles/0038-spam
Conozca un poco mas..!!

El correo electrónico comercial no deseado, también conocido como

"spam", puede ser molesto. Peor aún, puede incluir ofertas falsas que
podrían costarle tiempo y dinero.
Usted puede conocer un poco mas y prevenir los spam según la FTC.
Ingrese al siguiente enlace, en donde podrá profundizar un poco mas.

https://www.consumer.ftc.gov/articles/0038-spam
 Correo electrónico no deseado
Si un usuario recibe un correo electrónico que
contiene uno o más de estos indicadores
sospechosos, este no debe abrir el correo
electrónico ni los archivos adjuntos.
Es muy común que la política de correo
electrónico de una organización requiera que
un usuario que recibe este tipo de correo
electrónico lo informe al personal de
seguridad cibernética.
Casi todos los proveedores de correo
electrónico filtran el correo electrónico no
deseado.
Desafortunadamente, el correo electrónico no
deseado aún consume ancho de banda y el
servidor del destinatario debe procesar el
mensaje de igual manera.
 Spyware, adware y scareware
El spyware es un software que permite a un
delincuente obtener información sobre las
actividades informáticas de un usuario.
El spyware incluye a menudo rastreadores
de actividades, recopilación de pulsaciones
de teclas y captura de datos.
En el intento por superar las medidas de
seguridad, el spyware a menudo modifica las
configuraciones de seguridad.
El spyware con frecuencia se agrupa con el
software legítimo o con troyanos, muchos
sitios web de shareware están llenos de
spyware.
 Spyware, adware y scareware
El adware muestra generalmente los
elementos emergentes molestos para
generar ingresos para sus autores.
El malware puede analizar los intereses
del usuario al realizar el seguimiento de
los sitios web visitados.
Luego puede enviar la publicidad
emergente en relación con esos sitios.
Algunas versiones de software instalan
automáticamente el adware.
Algunos adwares solo envían anuncios,
pero también es común que el adware
incluya spyware.
 Spyware, adware y scareware
El scareware convence al usuario a realizar
acciones específicas según el temor.
El scareware falsifica ventanas emergentes
que se asemejan a las ventanas de diálogo
del sistema operativo.
Estas ventanas transportan los mensajes
falsificados que exponen que el sistema
está en riesgo o necesita la ejecución de
un programa específico para volver al
funcionamiento normal.
En realidad, no existen problemas y si el
usuario acepta y permite que el programa
mencionado se ejecute, el malware
infectará su sistema.
 Falsificación de identidad
La suplantación de identidad es una
forma de fraude.
Los delincuentes cibernéticos utilizan el
correo electrónico, la mensajería
instantánea u otros medios sociales para
intentar recopilar información como
credenciales de inicio de sesión o
información de la cuenta disfrazándose
como una entidad o persona de
confianza.
La suplantación de identidad ocurre
cuando una parte maliciosa envía un
correo electrónico fraudulento disfrazado
como fuente legítima y confiable.
 Falsificación de identidad
El objetivo de este mensaje es engañar
al destinatario para que instale malware
en su dispositivo o comparta
información personal o financiera.
Un ejemplo de suplantación de
identidad es un correo electrónico
falsificado similar al que provino de un
negocio minorista, que solicita al
usuario que haga clic en un enlace para
reclamar un premio.
El enlace puede ir a un sitio falso que
solicita información personal o puede
instalar un virus.
 Falsificación de identidad
La suplantación de identidad focalizada es un
ataque de falsificación de identidad altamente
dirigido.
Si bien la suplantación de identidad y la
suplantación de identidad focalizada usan
correos electrónicos para llegar a las víctimas,
mediante la suplantación de identidad
focalizada se envía correos electrónicos
personalizados a una persona específica.
El delincuente investiga los intereses del
objetivo antes de enviarle el correo electrónico.
Por ejemplo, el delincuente descubre que al
objetivo le interesan los automóviles y que está
interesado en la compra de un modelo
específico de automóvil.
 Falsificación de identidad
El delincuente se une al mismo foro de
debate sobre automóviles donde el objetivo
es miembro, fragua una oferta de venta del
automóvil y envía un correo electrónico al
objetivo.
El correo electrónico contiene un enlace a
imágenes del automóvil. Cuando el objetivo
hace clic en el enlace, instala sin saberlo el
malware en la computadora.
La FTC Comisión Federal de Comercio pone
en evidencia las diferentes estafas sobre los
fraudes de correo electrónico.
https://www.consumer.ftc.gov/features/sca
m-alerts
 
 Conozca un poco mas
Ingrese a la pagina de la
FTC Comisión Federal de Comercio
usted puede ver los tipos de
modalidades de suplantación de
información.
Ubíquese en la parte que dice Buscar
ofertas por tema. Automóviles,
Caridad, Ofertas de préstamos y
préstamos, Alivio de la deuda,
Educación, puerta a puerta, Ahorro de
energía, Cheque falso, Ejecución
hipotecaria, Juicios gratuitos....y mas
 «Vishing», «Smishing», «Pharming» y «Whaling»

El «Vishing» es una práctica de suplantación

de identidad mediante el uso de la tecnología
de comunicación de voz.
Los delincuentes pueden realizar llamadas de
suplantación de fuentes legítimas mediante la
tecnología de voz sobre IP (VoIP).
Las víctimas también pueden recibir un mensaje
grabado que parezca legítimo.
Los delincuentes desean obtener los números
de tarjetas de crédito u otra información para
robar la identidad de la víctima.
El «Vishing» aprovecha el hecho de que las
personas dependen de la red telefónica
 «Vishing», «Smishing», «Pharming» y «Whaling»

El «Smishing» (suplantación del servicio de

mensajes cortos) es una suplantación de
identidad mediante la mensajería de texto
en los teléfonos móviles.
Los delincuentes se hacen pasar por una
fuente legítima en un intento por ganar la
confianza de la víctima.
Por ejemplo, un ataque de «smishing»
puede enviar a la víctima un enlace de sitio
web. Cuando la víctima visita el sitio web, el
malware se instala en el teléfono móvil.
 «Vishing», «Smishing», «Pharming» y «Whaling»

El «Pharming» es la suplantación de
un sitio web legítimo en un esfuerzo
por engañar a los usuarios al
ingresar sus credenciales.
El «Pharming» dirige erróneamente
a los usuarios a un sitio web falsas
que parece ser oficial.
Las víctimas luego ingresan su
información personal pensando que
se conectaron a un sitio legítimo.
 «Vishing», «Smishing», «Pharming» y «Whaling»

El «Whaling» o ataque de ballena, es un ataque de

suplantación de identidad que apunta a objetivos de alto
nivel dentro de una organización, como ejecutivos sénior.
Los objetivos adicionales incluyen políticos o
celebridades.
 «Vishing», «Smishing», «Pharming» y «Whaling»

La RSA ofrece un enfoque unificado e

impulsado por el negocio para gestionar el
riesgo digital: unir a las partes interesadas,
integrar tecnologías y transformar el
riesgo en recompensa.
Un enfoque como empresa es el adoptar
seguridad digital, por los que uno de sus
artículos, la RSA hace referencia a la
suplantación de identidad y las
actividades de «smishing», «vishing» y
«whaling». aquí 
https://www.rsa.com/content/dam/en/w
hite-paper/phishing-vishing-smishing.pdf
 Complementos y envenenamiento del navegador

Las infracciones a la seguridad

pueden afectar a los navegadores
web al mostrar anuncios
emergentes, recopilar información de
identificación personal o instalar
adware, virus o spyware.
Un delincuente puede hackear el
archivo ejecutable de un navegador,
los componentes de un navegador o
sus complementos.
 Complementos y envenenamiento del navegador

Complementos

Los complementos de memoria flash y shockwave de

Adobe permiten el desarrollo de animaciones
interesantes de gráfico y caricaturas que mejoran
considerablemente la apariencia de una página web.
Los complementos muestran el contenido
desarrollado mediante el software adecuado.
Hasta hace poco, los complementos tenían un
registro notable de seguridad. Si bien el contenido
basado en flash creció y se hizo más popular, los
delincuentes examinaron los complementos y el
software de Flash, determinaron las vulnerabilidades
y atacaron a Flash Player
 Complementos y envenenamiento del navegador

Envenenamiento SEO

Los motores de búsqueda, como Google, funcionan

clasificando páginas y presentando resultados
relevantes conforme a las consultas de búsqueda de
los usuarios.
Según la importancia del contenido del sitio web,
puede aparecer más arriba o más abajo en la lista de
resultados de la búsqueda.
La SEO (optimización de motores de búsqueda) es un
conjunto de técnicas utilizadas para mejorar la
clasificación de un sitio web por un motor de
búsqueda.
 Complementos y envenenamiento del navegador

Envenenamiento SEO

Aunque muchas empresas legítimas se especializan

en la optimización de sitios web para mejorar su
posición, el envenenamiento SEO utiliza la SEO para
hacer que un sitio web malicioso aparezca más arriba
en los resultados de la búsqueda.
El objetivo más común del envenenamiento SEO es
aumentar el tráfico a sitios maliciosos que puedan
alojar malware o perpetrar la ingeniería social.
Para forzar un sitio malicioso para que califique más
alto en los resultados de la búsqueda, los atacantes
se aprovechan de los términos de búsqueda
populares.
 Complementos y envenenamiento del navegador

Secuestrador de navegadores

Un secuestrador de navegadores es
el malware que altera la
configuración del navegador de una
computadora para redirigir al
usuario a sitios web que pagan los
clientes de los delincuentes
cibernéticos.
Los secuestradores de navegadores
instalan sin permiso del usuario y
generalmente son parte de una
descarga desapercibida.
 Complementos y envenenamiento del navegador

Secuestrador de navegadores

Una descarga desde una unidad es

un programa que se descarga
automáticamente a la computadora
cuando un usuario visita un sitio
web o ve un mensaje de correo
electrónico HTML.
Siempre lea los acuerdos de usuario
detalladamente al descargar
programas de evitar este tipo de
malware.
 Cómo defenderse de los ataques a
correos electrónicos y navegadores

Los métodos para tratar con correo no

deseado incluyen el filtrado de correo
electrónico, la formación del usuario
sobre las precauciones frente a correos
electrónicos desconocidos y el uso de
filtros de host y del servidor.
Es difícil detener el correo electrónico no
deseado, pero existen maneras de reducir
sus efectos.
Por ejemplo, la mayoría de los ISP filtran
el correo no deseado antes de que llegue
a la bandeja de entrada del usuario.
 Cómo defenderse de los ataques a
correos electrónicos y navegadores

Muchos antivirus y
programas de software de
correo electrónico
realizan automáticamente
el filtrado de correo
electrónico.
Esto significa que
detectan y eliminan el
correo no deseado de la
bandeja de entrada del
correo electrónico.
 Cómo defenderse de los ataques a
correos electrónicos y navegadores

Las organizaciones también advierten a

los empleados sobre los peligros de
abrir archivos adjuntos de correo
electrónico que pueden contener un
virus o un gusano.
No suponga que los archivos adjuntos
de correo electrónico son seguros, aun
cuando provengan de un contacto de
confianza.
Un virus puede intentar propagarse al
usar la computadora del emisor.
Siempre examine los archivos adjuntos
de correo electrónico antes de abrirlos
 Cómo defenderse de los ataques a
correos electrónicos y navegadores

El Grupo de trabajo contra la

suplantación de identidad (APWG) es una
asociación del sector que se dedica a
eliminar el robo de identidad y el fraude
ocasionado por la suplantación de
identidad y la suplantación de correo
electrónico.
Si mantiene todo el software actualizado,
esto garantiza que el sistema tenga
todos los últimos parches de seguridad
aplicados para remover las
vulnerabilidades conocidas.
 Cómo defenderse de los ataques a
correos electrónicos y navegadores

Haga clic aquí para obtener más información sobre cómo evitar ataques al navegador
https://apwg.org/