1

Resumen— Ante la alta conectividad de las empresas y las

personas a la red, las amenazas a la seguridad de la información

va en constante aumento. La información confidencial que

manejan las empresas y las personas son el primordial objetivo de

los creadores de malware, ya que por medio de virus, troyanos,

gusanos entre otros, pueden cometer fraudes, robos, extorsiones,

etc.

Ninguno de los antivirus de la actualidad cuenta con mecanismos

efectivos para contrarrestarlo, porque no es posible para las

compañías antivirus abarcar las miles de muestras que reciben a

diario.

Los malware pueden ser clasificados según sus efectos: como los

Malware infecciosos que dentro de éstos, los más comunes que

podemos localizar son Virus y Gusanos; también existen los

malware ocultos que tienen como finalidad infiltrarse en los

computadores y permanecer siempre oculto para cumplir con sus

objetivos. Algunos malware de este tipo que podemos encontrar

son los Rootkits y Troyanos; Hay otros que se utilizan para

obtener beneficios mostrando publicidades a través de Spyware,

los cuales se encarga de solicitar información acerca de las

actividades que realiza el usuario sobre su ordenador para luego

distribuirlas a empresas de publicidad u otras organizaciones,

también podemos mencionar a los Adware, los cuales vienen

incluidos en programas Shareware y su función principal es

mostrar o descargar publicidades al ejecutarse.

Palabras clave— Código malicioso (Malware), Crimen

cibernético (Crimeware),

Ing. Luis Fran Cardozo González y Bladimiro García Severiche

pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la

siguiente investigación como parte del desarrollo de Seguridad en Redes

(Email: lucag2004@gmail.com, bgarcias18@hotmail.com).

La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago

Chinchilla.

Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su

dedicación y muestra de apoyos en nuestra formación.

I. INTRODUCCIÓN

La tecnología se vuelve cada día más esencial en nuestras

vidas, por lo que la mayoría de los dispositivos electrónicos

que utilizamos requieren de una computadora para funcionar.

Dependemos de dispositivos como portátil, celulares, Tablet,

entre otros, para comunicarnos, trabajar y almacenar

información que no podemos perder. Sin embargo, el aumento

en el uso de estos dispositivos también significa que la

cantidad de datos sensibles en la red, tanto de usuarios como

de empresas, va creciendo significativamente.

Los Malware [1] siguen siendo un grave problema a pesar de

los muchos intentos para detectarlos y evitarlos. Los

creadores de malware Siguen desarrollando continuamente

nuevos métodos para evadir las detecciones por medio de

firmas, como el uso de la encriptación, empaquetamiento y la

ofuscación.

Se informan de un gran número de nuevos casos de malware

cada día, por ejemplo, alrededor de medio millón de muestras

de malware se registraron en julio del 2012[2]. El problema

más difícil es la forma de detectar de manera eficiente y eficaz

los nuevos malware. La Clasificación de malware es el primer

paso en la análisis y detección de nuevos casos de malware.

De esta manera nos basamos en explicar detalladamente cómo

funcionan, según su clasificación cada uno de estos programas

maliciosos. De acuerdo con la compañía de antivirus, la mayor

amenaza a la seguridad de esos datos confidenciales son los

malware, debido a que son desarrollados con el objetivo de

obtener dinero de forma ilegal, tales como fraudes,

extorsiones, robo de identidad.

II. DESARROLLO

A. ¿Qué es el Malware?

Podemos definir que es todo software que tiene propósitos

dañinos. Los propósitos que tiene el Malware van desde la

simple recolección de información personal del usuario (para

poder venderla a otras compañías), pasando por el uso de

recursos de forma remota o simplemente el dañar la estructura

del sistema operativo afectado incluso obtener dinero de forma

ilegal. Dichos propósitos están estrictamente relacionados con la

persona que los diseña; algunos lo hacen por simple ocio,

mientras que la gran mayoría lo hace en pos de un beneficio

económico.

Luis Fran Cardozo González, Bladimiro García Severiche

Malware: Historia y Clasificación

2

B. Evolución

El desarrollo de programas dañinos se originó a través de la

creación de virus informáticos y, aunque inicialmente sus fines

se destinaban estrictamente a la investigación, con el tiempo su

objetivo derivó en la obtención de reconocimiento por parte de

sus autores y en la actualidad con fines lucrativos. PnadaSecurity [ 3], nos ilustra un poco acerca de la evolución

de los malware, la cual comenzó en 1949 cuando Von Neumann

estableció la idea de programa almacenado y expuso La Teoría y

Organización de Autómatas Complejos, donde presentaba por

primera vez la posibilidad de desarrollar pequeños programas

replicantes y capaces de tomar el control de otros programas de

similar estructura. Si bien el concepto tiene miles de

aplicaciones en la ciencia, es fácil apreciar una aplicación

negativa de la teoría expuesta por Neumann: los virus

informáticos.

Pero Fue en 1972 cuando Robert Thomas Morris creó el que

es considerado cómo el primer virus propiamente dicho:

el Creeper era capaz de infectar máquinas IBM 360 de la red

ARPANET (la precedente de Internet) y emitía un mensaje en

pantalla que decía “Soy una enredadera (creeper), atrápame si

puedes”. Para eliminarlo, se creó otro virus

llamado Reaper (segadora) que estaba programado para buscarlo

y eliminarlo. Este es el origen de los actuales antivirus.

A principio de este siglo se considera la época de las grandes

epidemias masivas que tuvieron su punto álgido en el 2004,

donde utilizando técnicas de ingeniería social, se infectaba a los

usuarios por medio del correo electrónico siendo el gusano I

LOVE YOU el de mayor repercusión mediática. A partir de este

punto, más exactamente en el año 2005 tras 5 años de tendencia

sostenida en la que los virus tal y como los conocíamos fueron

dejando su lugar a gusanos y troyanos encargados de formar

redes de bots para obtener dinero, cuando vieron que el

entretenimiento que podía suponer la creación de malware se

podía convertir en un negocio muy rentable.

Quizá la mejor prueba de ello sean los denominados Troyanos

Bancarios de los que existen miles de variantes dado que los

creadores, para dificultar su detección modificaban permanente

el código de los mismos.

En cuanto a las amenazas para móviles, no cabe duda de que

la llegada de las tecnologías, móviles e inalámbricas, y su

constante evolución han revolucionado en los últimos años la

forma en la que nos comunicamos y trabajamos. Sin embargo, la

expansión del uso de esta tecnología ha hecho que también se

convierta en un vector de ataque importante para la industria del

malware.

C. Clasificación

Teniendo en cuenta la clasificación realizada por muchas

empresas dedicadas a combatir los diferentes tipos de malware

y realizando una agrupación según sus características, podríamos

clasificarlos de la siguiente manera:

Virus: En su libro "Virus Informáticos: teoría y

experimentos", el doctor Fred Cohen [4], quien es reconocido

como el primero en definir los virus informáticos, señaló: "Se

denomina virus informático a todo programa capaz de infectar a

otros programas, a partir de su modificación para introducirse en

ellos". Además poseen dos características particulares: Pretender

actuar de forma transparente al usuario y tener la capacidad de

reproducirse a sí mismo.

Todas las cualidades mencionadas pueden compararse con los

virus biológicos, que producen enfermedades (y un daño) en las

personas, actúan por sí solos y se reproducen (contagian).

Como cualquier virus, los virus informáticos necesitan de un

anfitrión o huésped donde alojarse, y este puede ser muy

variable: un archivo ejecutable, el sector de arranque o incluso la

memoria del ordenador.

El daño que un virus puede causar también es

extremadamente variable: desde un simple mensaje en pantalla

para molestar al usuario o la eliminación de archivos del sistema,

hasta inhabilitar completamente el acceso al sistema operativo,

son algunas de las alternativas conocidas.

Los virus pueden infectar de dos maneras diferentes. La

tradicional consiste en “inyectar” una porción de código en un

archivo normal. Es decir, el virus reside dentro del archivo ya

existente. De esta forma, cuando el usuario ejecute el archivo,

además de las acciones normales del archivo en cuestión, se

ejecutan las instrucciones del virus. La segunda forma de

infectar consiste en “ocupar el lugar” del archivo original y

renombrar este por un nombre conocido solo por el virus. En

este caso, al ejecutar el archivo primero se ejecuta el malicioso

y, al finalizar las instrucciones, este llama al archivo original,

ahora renombrado.

Cuando un virus es ejecutado se producen dos acciones en

paralelo: el daño en cuestión y la propagación para seguir

infectando. Esta es la característica primordial de los virus, su

capacidad de reproducirse por sí mismos: el mismo virus es el

que causa el daño y continúa infectando nuevos ordenadores o

archivos.

A pesar de que hoy en día la principal vía de contagio es a

través de Internet, los canales de entrada de un virus informático

pueden ser variables y se incluyen también los medios de

almacenamiento (un disco rígido, cd/dvd, un pen drive, etc.) o

una red local (por ejemplo, a través de las carpetas compartidas).

Gusanos: Los "Gusanos Informáticos" son programas que

realizan copias de sí mismos, alojándolas en diferentes

ubicaciones del ordenador. El objetivo de este malware suele ser

colapsar los ordenadores y las redes informáticas, impidiendo así

el trabajo a los usuarios. A diferencia de los virus, los gusanos

no infectan archivos.

El principal objetivo de los gusanos es propagarse y afectar al

mayor número de ordenadores posible. Para ello, crean copias

de sí mismos en el ordenador afectado, que distribuyen

posteriormente a través de diferentes medios, como el correo

electrónico, programas P2P o de mensajería instantánea, entre

otros.

Los gusanos suelen utilizar técnicas de ingeniería social para

conseguir mayor efectividad. Para ello, los creadores de malware

seleccionan un tema o un nombre atractivo con el que camuflar

el archivo malicioso. Los temas más recurrentes son los

relacionados con el sexo, famosos, temas morbosos, temas de

actualidad o software pirata.

El comportamiento típico de los gusanos informáticos [5]

incluyen los siguientes elementos del sistema operativo donde

3

pueden incrustar código malicioso.

•El sistema de arranque (sectores HD, archivos de inicio y

principalmente el registro de configuraciones que se ha

convertido en el sitio preferido para cargar todo tipo de

malware).

•El pool de procesos en memoria (que representa la lista de

procesos en ejecución).

•El sistema de archivos (obviamente una aplicación debe

ejecutarse desde un archivo que contenga sus instrucciones

ejecutables y hace del spam y el phishing un caso especial de

malware).

•El tráfico de red (donde se intercambian paquetes de

información con otras máquinas).

Rootkits: Se trata de programas diseñados para ocultar

objetos como procesos, archivos o entradas del Registro de

sistemas. Este tipo de software no es malicioso en sí mismo,

pero es utilizado por los creadores de malware para esconder

evidencias y utilidades en los sistemas infectados. Existen

ejemplares de malware que emplean rootkits con la finalidad de

ocultar su presencia en el sistema en el que se instalan.

Rootkits[6], trabajan como parte del sistema operativo y no

dejar que los usuarios puedan ver las tareas o servicios reales.

El Sistema operativo estará bajo el control total del atacante y

se puede esconder todo lo que quiera en el sistema. Rootkits

tienen dos grupos principales con diferentes arquitecturas,

Rootkits clásica y rootkits de kernel.

Inicialmente los rootkit aparecieron en el sistema operativo

UNIX y eran una colección de una o más herramientas que le

permitían al atacante conseguir y mantener el acceso al usuario

de la computadora más privilegiado (en los sistemas UNIX, este

usuario se llama *root* y de ahí su nombre). En los sistemas

basados en Windows, los rootkits se han asociado en general con

herramientas usadas para ocultar programas o procesos al

usuario. Una vez que se instala, el rootkit utiliza funciones del

sistema operativo para ocultarse, de manera tal de no ser

detectado y es usado en general para ocultar otros programas

dañinos.

Un rootkit ataca directamente el funcionamiento de base de un

sistema operativo. En Linux, modificando y trabajando

directamente en el kernel del sistema. En Windows,

interceptando los APIs (Interfaz de Aplicaciones de

Programación) del sistema operativo. Estas, interactúan entre el

usuario y el kernel; de esta forma, el rootkit manipula el kernel

sin trabajar directamente en él como en el caso del software

libre.

La utilización de estos programas se alinea a la perfección con

la dinámica actual del malware: El Cibercrimen. Si el objetivo es

la realización de delitos informáticos para conseguir beneficios

económicos, será de vital importancia pasar lo más inadvertido

posible. De esta forma, se maximizará la cantidad de tiempo que

el malware consiga estar activo dentro del ordenador, sin ser

detectado.

Troyanos: El término troyano proviene de la leyenda del

caballo de Troya, ya que su objetivo inicial es el de engañar a los

usuarios para que los ejecuten simulando ser archivos normales e

indefensos, como juegos, programas, animaciones etc. De esta

forma logran instalarse en nuestros sistemas y una vez

ejecutados, parecen realizar tareas inofensivas pero en paralelo

realizan otras tareas ocultas en el ordenador.

Los Troyanos a diferencia de los Gusanos y Virus, no tienen

la capacidad de reproducirse por sí mismo.

Según las estadísticas en su informe trimestral PandaLabs [7],

hasta el tercer trimestre del año, los troyanos ocupaban el

72,58% en producción de nuevos malware creados (Casi 3 de

cada 4 muestras de malware son troyanos). Los resultados de la

investigación se muestran en la Figura 1.

Figura 1. Nuevo malware creados en el tercer trimestre de 2012,

por tipo.

Los propósitos para los cuales pueden ser utilizados los

Troyanos son muchos, por ejemplo: Robo de información del

sistema, registro de tipeo y robo de contraseñas o accesos

remotos (puertas traseras), donde permiten al atacante conectarse

remotamente al equipo infectado.

Los troyanos los podemos clasificar en los siguientes tipos:

Backdoors: Troyanos de acceso remotos o puertas trasera,

tienen la características de permitirle al atacante conectarse

remotamente al equipo infectado. Luego de que el atacante

accede al ordenador del usuario, los usos que puede hacer del

mismo son variados, según las herramientas que utilice: enviar

correos masivos, eliminar o modificar archivos, ejecución de

archivos, reiniciar el equipo o usos más complejos como

instalar aplicaciones para uso malicioso (por ejemplo:

alojamiento de sitios web de violencia o pedofilia).

En los últimos meses [8], esta rápida proliferación mundial

de código malicioso cada vez más inteligentes ha llegado

acompañado de un método de ataque dañino: troyanos que se

instalan puertas traseras en los sistemas de redes

comprometidas para que puedan participar en la actividad

malintencionada desde un sistema infectado y enviar los datos

a ubicaciones remotas .

El código del troyano se disfraza como un programa

inofensivo, correo electrónico, o una imagen, etc, y con el

éxito de obtener acceso al sistema, el troyano puede dar rienda

suelta a código dañino como la instalación de puertas traseras.

Una vez establecida la puerta trasera, ningún cracker puede

perpetrar, pirata informático, o otra persona con conocimiento

de la apertura puede utilizarla para la entrada del sistema.

Keyloggers: Son uno de los troyanos más utilizados para

obtener información sensible de los usuarios. Son programas

creados para robar información, para lo cual monitorean todas

las pulsaciones del teclado y las almacenan para un posterior

envío al creador, quien puede obtener beneficios económicos o

de otro tipo a través de su uso o distribución. Por ejemplo, al

4

introducir un número de tarjeta de crédito el keylogger guarda

el número, posteriormente lo envía al autor y éste puede hacer

pagos fraudulentos con esa tarjeta. Los keyloggers

normalmente son usados para recopilar contraseñas y otros

datos, pero también se pueden usar para espiar conversaciones

de chat u otros fines.

Banker: Se denomina troyanos bancarios a la familia de

códigos maliciosos cuya finalidad es la obtención de

información bancaria de los usuarios infectados. Utilizan

diferentes estrategias para obtener las claves de acceso a todo

tipo de entidad financiera. Algunas de estas estrategias son:

Remplazar el sitio web de la entidad de manera total o parcial,

capturar pantallas de la página bancaria cuando se utiliza teclado

virtual entre otros, enviándose esta información al atacante por

correo electrónico normalmente.

Botnets: Son utilizados para crear redes de equipos zombis.

El atacante utiliza el troyano para controlar una cantidad de

computadores y así, utilizarlos para cualquier fin maligno. Se

utilizan para enviar Spam o para realizar ataques de negación

de servicios, de los cuales pueden sacar beneficios

económicos.

Las botnets [9] se han identificado recientemente como una

de las amenazas más importantes para la seguridad del Internet.

Tradicionalmente, las botnets se organizan de forma jerárquica

con un comando central y lugar de control. Esta ubicación puede

ser estáticamente definido en el bot, o puede ser definido de

forma dinámica basada en un servidor de directorio. En la

actualidad, la característica central de botnets es útil para

profesionales de la seguridad, ya que ofrece un punto central de

la insuficiencia de la red de bots. En un futuro próximo, creemos

que los atacantes se moverán a las arquitecturas más flexibles.

Una de las amenazas más importantes a la Internet hoy en día

es la amenaza de botnets, que son redes de ordenadores

infectados bajo el control de un atacante. Es difícil medir la

magnitud del daño causado en Internet por botnets, pero es

ampliamente aceptado que el daño es significativo. Además, es

el mas potencial en magnitud de daño que existe en el futuro.

Password Stealer: Los Stealer roban la información privada

que se encuentra guardada en el equipo. Al ejecutarse,

comprueban los programas instalados en el equipo y si tienen

contraseñas recordadas (por ejemplo en navegadores web)

descifran esa información y la envían al creador.

Dialer: Toman el control del módem, realizan una llamada a

un número de teléfono de tarifa especial (muchas veces

internacional) y dejan la línea abierta, cargando el costo de la

llamada al usuario. La forma más habitual de infección suele ser

en páginas web que ofrecen contenidos gratuitos pero que sólo

permiten el acceso mediante conexión telefónica, y los señuelos

suelen ser videojuegos, salvapantallas o pornografía.

Actualmente la mayoría de las conexiones a internet son

mediante ADSL y no mediante módem, por lo que los dialers ya

no son tan populares.

Además de los diferentes tipos de troyanos descritos, cabe

resaltar la incursión y evolución de Troyanos para dispositivos

móviles y para Mac. En el caso de los primeros, el creciente

mercado de los equipos con Android, ha llevado a que el mayor

número de ataques de malware sea a equipos con este sistema, y

que el 99% porcentaje de software malicioso que detectan

empresas como Karpesky es para la plataforma ya mencionada.

En la Figura 2. Karpesky [10] en su boletín de seguridad

2012, nos muestra el Top ten de los malware para Android,

donde el mayor porcentaje de estos son Troyanos.

Figura 2. Top 10 de Malware para Android.

Spyware: Estos recopilan la información de los usuarios

respecto a los accesos a internet sin el consentimiento de ellos, y

posteriormente envían estos datos a personas externas.

Aunque este tipos de malware no dañan el ordenador, si

afectan el rendimiento de este, además de atentar contra la

privacidad de los usuarios y modificar algunas configuraciones

de los navegadores web.

La mayoría de los programas Spyware, son instalados como

troyanos junto a software bajados por internet.

Ciertos spyware poseen características adicionales para

conseguir información e intentan interactuar con el usuario

simulando ser buscadores o barras de herramientas. Con estas

técnicas, los datos obtenidos son más legítimos y confiables que

con otros métodos espías utilizados.

Adware: Son programas que muestran publicidad al

usuario de manera intrusiva en forma de ventanas pop-up o de

cualquier otra forma. Esta publicidad aparece inesperadamente

en el equipo y resulta muy molesta.

Al igual que los Spyware, los Adware no atentan contra la

integridad de los sistemas operativos, si no que sus

consecuencias se ven reflejadas primero en el rendimiento de

este, ya que consumen procesador, memoria y ancho de banda

y segundo en la molestia que causan a los usuarios mostrando

ventanas con publicidad la cual aparece sin ningún tipo de

orden dada al computador.

Ransomware: Son programas que cifran los archivos

importantes para el usuario, haciéndolos inaccesibles. Luego de

esto se exige pagar un "rescate" para poder recibir la contraseña

que permite recuperar dichos archivos.

El Ransomware es una de las amenazas informáticas más

similares a un ataque sin medios tecnológicos: el secuestro.

Este tipo de ataques por lo general es perpetrado por un solo

atacante quien casi siempre utiliza los archivos de ofimática

como víctimas del ataque. También imágenes y correos

electrónicos, son prioritarios para el común de los ataques.

5

III. CONCLUSIONES

Hasta este punto de la investigación, vemos como cada día

aumentan el número de ataques de malware a los diferentes

sistemas (Windows, Mac, Linux, Android), creciendo a la vez

el riesgo de que seamos victimas de uno de estos tipos de

software maliciosos.

El basto crecimiento de dispositivos móviles, en especial el

progresivo aumento de equipos con Android, ha disparado por

parte de los desarrolladores la alta creación de nuevos malware

y la constante evolución de los ya existentes, convirtiéndose

cada vez más difícil la tarea de detectar y eliminar cada uno de

estos programas mal intencionado.

Al pasar de simples intenciones de reconocimientos a

intereses económicos, los creadores de estos tipos de software,

buscan constantemente diferentes estrategias que los lleven a

cumplir con su cometido, sin interesarles incurrir en delito.

Con la aclaración de conceptos y la correspondiente

clasificación de los malware, tendremos un conocimiento

mayor de la forma como cada uno de ellos operan con el

objetivo de poder protegernos.

REFERENCIAS

[1] Fast Malware Classification. Cyber Defense Laboratory.

Department of Computer Science Department NC State

University, Raleigh, NC, USA. | Younghee Park, Douglas

Reeves, Vikram Mulukutla, Balaji Sundaravel. (2010).

[2] Symantec Intelligence Report: July 2012. Disponible en

Internet:

http://www.symanteccloud.com/verify.nocache?filename=SY

MCINT_2012_07_July.pdf

[3] Panda Security Antivirus. Security Info Classic -

Malware: su historia, su evolución | PandaLabs, el laboratorio

antimalware de Panda Security. Disponible en Internet:

http://www.pandasecurity.com/spain/homeusers/security-

info/classic-malware/

[4] Elementos teórico-prácticos útiles para conocer los virus

informáticos. | Lic. Ramón Orlando Bello Hernández y Ms C.

Ileana R. Alfonso Sánchez. (2003).

[5] HUNTER. Modelo de Antivirus Inteligente para La

Protección contra Gusanos. | Siler Amador, Hilda Quinayás,

Guillermo Jurado, Beatriz Garzón y Leidy Yurany Aley.

(2008).

[6] Trojans and Backdoors. | Shahram Monshi Pouri, Nikunj

Modi.

[7] Panda Security Antivirus. Informes - Trimestrales |

Informe Trimestrales PandaLabs [citado Octubre 2012].

Disponible en internet:

http://prensa.pandasecurity.com/wp-

content/uploads/2012/12/Informe-Trimestral-PandaLabs-Julio-

Septiembre-2012.pdf

[8] The Digital Insider: Backdoor Trojans. The World Bank

Integrator Unit | Tom Kellermann, CISM and Yumi

Nishiyama. (2003).

[9] Peer-to-Peer Botnets: Overview and Case Study | Julian B.

Grizzard, Vikram Sharma, Chris Nunnery, and Brent

ByungHoon Kang (2007).

[10 ] Kaspersky Antivirus. Centro de Prensa | Boletín de

seguridad 2012. Estadística general de 2012 [citado Diciembre

10, 2012]. Disponible en Internet:

http://www.viruslist.com/sp/analysis?pubid=207271195#1