Quizás haya oído hablar de los siguientes malwares:
- Revetonó este virus de la familia de ransomware que intentó extraer dinero de sus víctimas asumiendo la apariencia del FBI o la Gendarmería Nacional.
- El virus Dorkot entró a través del software Skype y también exigió un rescate después de bloquear sus archivos personales.
- El caballo de Troya Flashback también había infectado 600,000 Mac.
- El verso Ramnit había ingresado a la red social de Facebook para hackear unos 45,000 datos de conexión.
- El TrojanGauss, mientras tanto, había hecho una especialidad de robo de datos financieros.
Cada año aparecen más de 5 millones de nuevos códigos de malware en todo el mundo. Ante amenazas cada vez mayores, se recomienda precaución y es esencial comprenderlas bien al elegir el mejor antivirus .
Índice de contenido
Tipología de malware
Los códigos maliciosos se mencionan de acuerdo con sus actividades nocivas. Se destacan cuatro categorías: troyanos (también llamados troyanos), virus, gusanos y spyware.
El troyano es hoy el programa más dañino utilizado por los ciberdelincuentes para infectar a los usuarios de Internet. Está diseñado para servir como puerta de entrada a los sistemas a infectar.
Dividido en un programa aparentemente inofensivo, a menudo es el usuario quien lo instala sin su conocimiento. Una vez en el sistema operativo, el troyano inicia una conexión a Internet y descarga el código de malware necesario para el ataque deseado.
Este código puede ser una puerta trasera (o puerta trasera), una herramienta de control remoto (o RAT para herramienta de acceso remoto), software espía (o Spyware ) o software publicitario (o adware).
Las PC infectadas generalmente están integradas en una botnet, una red de computadoras infectadas controladas por el atacante.
La familia de troyanos más problemática hoy en día son las del troyano bancario. Estos códigos se especializan en manejar el acceso a cuentas bancarias en línea.
En la práctica, si un usuario de Internet se conecta a su cuenta bancaria para realizar una transferencia en línea desde una computadora infectada, el código de malware puede manejar los montos y el destinatario de la transferencia en tiempo real.
Entonces, si bien el usuario de Internet planea hacer una transferencia de 100 euros al Sr. Dupont, en realidad hará una transferencia de 1000 euros al Sr. Durand.
Utilizar como término genérico para designar todos los riesgos informáticos, el virus es una categoría muy distinta.
Desde un punto de vista técnico, la función de un virus informático se basa en su capacidad de infectar archivos sanos con el propósito de su autorreplicación: un usuario infectado envía un archivo infectado a otro usuario sin su conocimiento (un documento de la oficina para ejemplo), y así sucesivamente.
Durante varios años, los ciberdelincuentes han descuidado los virus. Como el proceso de autorreplicación se basa en la apertura de un archivo infectado, no es automático.
Además, el uso de archivos infectados implica la exposición al software antivirus y, por lo tanto, al bloqueo rápido del malware. Es por eso que los gusanos son preferidos actualmente a los virus.
Los gusanos también tienen funciones de replicación, pero a diferencia de los virus, los gusanos no se unen a los archivos. Aseguran su difusión transmitiendo el código entre computadoras a través de conexiones de red. De hecho, existen gusanos de correo electrónico, red y mensajería instantánea.
El ataque «Te amo», que paralizó a millones de empresas en todo el mundo en el año 2000, se basó en un gusano. Del mismo modo, Stuxnet, que apuntó a las centrifugadoras de enriquecimiento de uranio iraní en 2010, fue un gusano.
Instalados en el sistema por los troyanos, el spyware (o spyware) son códigos de malware dedicados al robo de datos. Contraseñas, documentos y datos, licencias de software, direcciones de correo electrónico, etc. son objetivos.
Para encontrar esta información, el spyware puede analizar discos duros, pero también filtrar el tráfico de Internet del usuario infectado. La información ingresada en los formularios en línea también se recopila.
Una vez en posesión de esta información personal, los ciberdelincuentes la revenden en mercados paralelos. El spyware que ha estado en las noticias durante unos meses es el llamado «estado».
Uroburos, Regin o incluso Babar , son códigos dañinos modulares (modificables remotamente según el ataque deseado) cuya complejidad induce grandes equipos de desarrollo y grandes presupuestos.
Protegiéndose del phishing
Phishing (o phishing) es una práctica de usurpar la identidad de una persona o organización para tener acceso o dinero. Los estafadores desean recuperar sus datos de su correo electrónico, su acceso a sitios comerciales en línea o su espacio bancario.
En Francia, las principales campañas de phishing están dirigidas a bancos y proveedores de servicios de Internet. Los estafadores usan mensajes de correo electrónico en francés en los colores de las organizaciones seleccionadas para alentar al usuario a abrir la página de Internet propuesta.
Esta página de Internet es a menudo idéntica a la página de inicio de la organización, pero está controlada por el atacante. Con el pretexto de una verificación de identificador, o cualquier problema, se invita al usuario de Internet a ingresar su información de conexión en la página de Internet.
Pero toda la información ingresada allí se envía directamente al atacante. Este último puede usarlos para su propia cuenta (medio de control de correo electrónico o acceso a la cuenta bancaria en línea), pero también puede revenderlos en mercados paralelos.
Debido a que no hay un código malicioso involucrado en este tipo de ataque, la solución de seguridad debe poder detectar correos electrónicos fraudulentos y / o el sitio web usurpado.
En el primer caso, es el antispam el que desempeña su papel, pero esto solo es posible en el contexto del uso de un cliente de correo electrónico (tipo outlook o thunderbird).
Cuando los correos electrónicos se ven desde correos web (gmail, yahoo !, etc.), el antivirus debe analizar la página de Internet abierta en el navegador y detectar si es legítima o no. Si se trata de una página de inicio, la solución de seguridad bloquea esta página y muestra un mensaje de advertencia al usuario.
¿Qué es un firewall? ?
Un firewall o firewall es un software o máquina que se utiliza para controlar todas las conexiones de su computadora a las redes. Por lo tanto, gracias al firewall puede filtrar y, por lo tanto, autorizar o no la ejecución de software que se conecta a una red.
Esta protección es complementaria al antivirus. En el caso de que el antivirus no detecte inmediatamente un código de malware, su comunicación al exterior sería bloqueada por el firewall. Esta funcionalidad es particularmente útil cuando se infecta con un troyano o spyware, por ejemplo.
En el primer caso, el troyano se comunicará con su servidor de comando para descargar el programa espía. En el segundo caso, el spyware no podrá enviar la información robada al sistema hacia afuera.
Todas las computadoras conectadas a Internet necesitan un firewall .
Qué protección para qué peligro ?
Riesgos Módulos protectores adaptados Base de señalización de virus – BehavioralVers Base de firma – BehavioralSpyware Base de firma – Behavioral – Firewall * – Anti-keylogger * Limpiador de barra Addware Navigator * – Signature TrojanBase – Behaviorage – Phare – Anti-Phazard
* Generalmente disponible solo en suites de seguridad pagas
Detección por firma : esta protección es la base del antivirus. Al recopilar y analizar constantemente los peligros que aparecen en Internet, el editor de la solución de seguridad identifica miles de malware por minuto.
Se produce y almacena una firma (una especie de huella digital) de cada archivo peligroso en una base de datos. En la computadora del usuario, el antivirus recopila regularmente esta base de datos y compara las firmas con las generadas en el sistema del usuario.
Si son idénticos, significa que es un peligro. Esta operación explica por qué un antivirus debe actualizarse regularmente.
Detección conductual : este módulo protector detecta código malicioso en función de su comportamiento en el sistema.
Sus comunicaciones externas, sus acciones necesarias para su camuflaje o su funcionamiento son signos identificables por el módulo de comportamiento. Si se detecta este tipo de acción, el antivirus bloquea el programa que lo está causando.
Anti-keylogger : para recuperar la información del usuario, el spyware utiliza sistemas capaces de capturar las pulsaciones de teclas del teclado del usuario en vivo.
Por lo tanto, cuando se conecta al sitio de su banco, sus identificadores y contraseñas se envían directamente al delito cibernético. Las soluciones de seguridad pagas ofrecen módulos que bloquean esta captura.
Para bloquear con éxito este bloqueo, existen varias técnicas (firma de archivos de teclado, virtualización ambiental, etc.).
Antroyano bancario : este tipo de ataque se basa en el principio de «hombre en el navegador»: el código malicioso intercepta y modifica el flujo en el navegador de Internet antes del cifrado.
Para contrarrestar este ataque, la solución debe poder identificar inmediatamente el ataque sin recurrir a una base de firma. Solo ciertos antivirus pagados integran módulos dedicados contra los caballos de tres bancos.
Antiphishing : para detectar un ataque de phishing, una solución de seguridad generalmente se basa en el análisis de las direcciones de Internet visitadas por el usuario.
El módulo antiphishing instalado en la estación del usuario compara en tiempo real cada dirección de Internet visitada con una lista negra disponible en línea. Si la dirección está en esta lista negra, la página se bloquea automáticamente.
Protección contra la explotación : para ingresar a los sistemas operativos de Internet, los atacantes explotan regularmente las fallas presentes en el sistema (navegador de Internet) y en los programas de terceros instalados.
Para tener éxito, los ciberdelincuentes insertan kits explotados dedicados a la vulnerabilidad específica del software en páginas de Internet o pancartas.
Si un usuario de Internet con software vulnerable abre esta página o banner, se infecta de inmediato. Es por eso que es necesaria una actualización periódica de su sistema y de todos los programas instalados.
Para evitar la explotación de fallas no corregidas, ciertas soluciones de seguridad pagas tienen un módulo capaz de bloquear proactivamente el funcionamiento de estas fallas mediante malware ubicado en páginas de Internet.
