Los malware y las amenazas de seguridad a menudo se implementan a través de phishing, vishing o smishing, que son todos tipos de ataques de ingeniería social. Aunque para nuestro rubro parece un tema superado, las estadísticas demuestran que tanto las amenazas, como la seguridad van en aumento, lo que nos hace preguntarnos: ¿cómo prevenir amenazas, vulnerabilidades y ataques a la ciberseguridad de las empresas?

De hecho, el 92% del malware se envía por correo electrónico. Así, los actores de amenazas informáticas intentan recuperar información confidencial manipulando a las personas para que hagan clic en enlaces, descarguen archivos adjuntos o proporcionen acceso por teléfono.

Por suerte, todas estas acciones perjudiciales para las empresas y sus trabajadores pueden ser prevenidas y evitadas. Pero para ello es necesario conocerlas a profundidad. Aquí te contamos más sobre ello. 

Tipos de amenazas y ataques más comunes 

Una de las formas más fáciles en que los actores de amenazas ingresan a un sistema o red es implementando una serie de exploits o malwares con alto nivel de funcionamiento y efectividad, como Kerberoasting.

Esto en español se conoce como el enfoque de «ensayo y error». Sin embargo, hay un alto grado de habilidad técnica involucrada en este proceso.

Puedes desarrollar las mejores políticas, escanear la red cada semana y parchear los sistemas diariamente, pero nunca estarás 100% libre de vulnerabilidades.

A menos que tu sistema esté realmente probado, no hay forma de que tú o tu equipo de TI determinen si las medidas de seguridad implementadas son adecuadas.

Aunque una buena práctica son las pruebas de penetración se realizan para validar no solo las vulnerabilidades identificadas, sino también para evaluar la implementación de controles y herramientas de seguridad.

Tipos comunes de malware

El malware es en la actualidad el software más hostil e intrusivo que le ha hecho perder billones de dólares a organizaciones a nivel global, y se presenta en muchas formas; pero algunos de los tipos más comunes son:

• Virus
• Registradores de teclas
• Gusanos
• Troyanos
• Ransomware / Crypto-Malware
• Bots/redes de bots
• Programas publicitarios y programas espía
• Rootkits 

1. Virus

Un virus es el tipo más común de ataque de malware. Para que un virus infecte un sistema, es necesario que el usuario haga clic en él o lo copie en un medio o en un host.

Algunos tipos de archivos son más susceptibles a las infecciones por virus, como .doc/docx, .exe, .html, .xls/.xlsx, .zip. Por lo general, los virus permanecen inactivos hasta que se propagan a una red o varios dispositivos.

2. Ransomware / Crypto-Malware

El ransomware es un tipo de malware diseñado para bloquear a los usuarios fuera de su sistema o denegar el acceso a los datos hasta que se pague un rescate.

Por otro lado, Crypto-Malware es un tipo de ransomware que cifra los archivos del usuario y requiere el pago dentro de un marco de tiempo y, a menudo, a través de una moneda digital como Bitcoin.

3. Registradores de teclas

El registro de teclas, o captura de teclado, registra las pulsaciones de teclas de un usuario y envía datos al delincuente.

Estudios confirman que los usuarios normalmente no saben que sus acciones están siendo monitoreadas hasta semanas después.

Si bien existen casos de uso para los empleadores que utilizan registradores de pulsaciones de teclas para rastrear la actividad de los empleados, ilícitamente se utilizan principalmente para robar contraseñas o datos confidenciales.

Incluso los keyloggers o rastreadores pueden ser un cable físico conectado discretamente a un periférico como un teclado, o instalados digitalmente por un troyano.

4. Gusanos: vulnerabilidades de la red

Al igual que un virus, un gusano también puede autorreplicarse y propagar copias completas y segmentos de sí mismo a través de conexiones de red, archivos adjuntos de correo electrónico y mensajes instantáneos.

Sin embargo, a diferencia de los virus, un gusano no requiere un programa host para ejecutarse, auto replicarse y propagarse.

Los gusanos se usan comúnmente contra servidores de correo electrónico, servidores web y servidores de bases de datos. Una vez infectados, los gusanos se propagan rápidamente por Internet y las redes informáticas.

5. Troyanos

Los troyanos son un malware disfrazado de software legítimo. Un programa de caballo de Troya se esconderá en las computadoras de la organización hasta que sea ejecutado por el atacante.

Cuando se activan, los troyanos pueden permitir que los espíen, roben sus datos confidenciales y obtengan acceso al backdoor del sistema.

Las tácticas de ingeniería social generalmente se implementan para engañar a los usuarios para que carguen y ejecuten troyanos en los sistemas “protegidos”. Pero a diferencia de los virus y gusanos informáticos, los troyanos no pueden autorreplicarse.

6. Bombas lógicas

Las bombas lógicas son un tipo de malware que solo se activará al momento en que esté programado, como en una fecha/hora específica o al inicio de sesión en una cuenta.

Los virus y gusanos a menudo contienen bombas lógicas para entregar su carga útil (código malicioso) en un momento predefinido o cuando se cumple otra condición.

El daño causado por las bombas lógicas varía desde cambiar bytes de datos hasta hacer que los discos duros sean ilegibles.

Los antivirus promedio solo pueden detectar los tipos más comunes de bombas lógicas cuando se ejecutan. Sin embargo, hasta que lo hagan, las bombas lógicas pueden permanecer inactivas en un sistema durante semanas, meses o hasta años.

7. Bots y botnets: vulnerabilidades de red

Botnet, abreviatura de roBOT NETwork, es un grupo de bots, que son cualquier tipo de sistema informático conectado a una red cuya seguridad se ha visto comprometida. Por lo general, se controlan de forma remota.

Una red de bots puede obtener el control de los dispositivos conectados a Internet de las cosas (IoT) como tu impresora doméstica y electrodomésticos inteligentes ingresando el nombre de usuario y la contraseña predeterminados con los que se enviaron los dispositivos.

Otro ejemplo de este tipo de amenazas es cuando en 2021 los actores de amenazas de Botnet implementaron un ataque DDoS mediante el envío de grandes cantidades de datos a una empresa de alojamiento de sitios web, lo que provocó que muchos sites populares quedaran fuera de línea.

8. Adware y Spyware: Programas publicitarios y programas espía

Tanto los adware como los spyware son software no deseado. El adware está diseñado para publicar anuncios en pantallas dentro de un navegador web.

Por lo general, se instala silenciosamente en segundo plano cuando se descarga un programa sin el conocimiento o permiso del usuario. Si bien es inofensivo, el adware puede resultar molesto para el usuario, y afectar el rendimiento de las máquinas de tu empresa.

El spyware, por otro lado, sí es un tipo de malware diseñado para obtener acceso y dañar el computador. Además, recopila información del usuario, como hábitos, historial de navegación e información personal de la organización

Luego, los atacantes venden los datos a anunciantes o empresas de datos, capturan la información de tu cuenta bancaria o roban la identidad de la empresa o de los colaboradores.

9. Rootkits

Los rootkits son un programa backdoor que permite a un actor de amenazas mantener el mando y el control de un computador sin que el usuario lo sepa.

Este acceso puede resultar potencialmente en un control total sobre el sistema de destino.

Luego, el controlador puede copiar archivos, espiar el uso del propietario, ejecutar archivos y cambiar las configuraciones del sistema de forma remota.

Si bien se implementó tradicionalmente mediante ataques de troyanos, en 2022 se está volviendo más común en aplicaciones confiables. Algunos programas antivirus pueden detectar rootkits; sin embargo, son difíciles de eliminar de un sistema sin una revisión exhaustiva.

En la mayoría de los casos, es mejor eliminar el rootkit y reconstruir el sistema comprometido.

Cómo prevenir ataques de malware y amenazas y vulnerabilidades a la ciberseguridad

Si bien no es posible estar completamente protegido de los ciberdelincuentes, hay una serie de medidas que las empresas pueden tomar para mitigar o prevenir las amenazas y los ataques de malware, que incluyen:

• Desarrollo de políticas de seguridad.
• Implementación de capacitación en concientización sobre seguridad.
• Uso de la autenticación multifactor basada en aplicaciones.
• Instalación de filtros antimalware y spam.
• Cambiar las políticas del sistema operativo predeterminado.
• Realización de evaluaciones de vulnerabilidad de rutina.

Desarrollo de políticas de seguridad

Las políticas de seguridad proporcionan una hoja de ruta a los empleados sobre qué hacer y cuándo hacerlo, y quién tiene acceso a los sistemas o la información. Las políticas también son necesarias para el cumplimiento, los reglamentos o las leyes.

Algunas políticas de seguridad que pueden ayudar a prevenir ataques de malware pueden ser:

• Política de concientización sobre ingeniería social: define pautas para generar conciencia sobre la amenaza de la ingeniería social y define procedimientos de prevención y acción.
• Política de protección contra malware del servidor: el propósito de la Política de protección contra malware del servidor es describir qué sistemas de servidor deben tener aplicaciones antivirus y/o antispyware.
• Política de instalación de software: el objetivo de la Política de instalación de software es describir los requisitos relacionados con la instalación de software en los dispositivos informáticos de la empresa. 
• Política de medios extraíbles: el propósito sería minimizar el riesgo de pérdida o exposición de información confidencial mantenida por la empresa y reducir el riesgo de adquirir infecciones de malware en las computadoras operadas por la empresa, limitando el uso de dispositivos de almacenamiento externo.

Conclusión

La capacitación en concientización sobre seguridad es una inversión que ayuda a prevenir amenazas y ataques que afectan la ciberseguridad de las empresas.

Además de las tendencias de malware a las que tu equipo de TI debe estar alerta, y las políticas que los CTO deben implementar, muchos marcos de trabajo y auditorías de cumplimiento (ISO 27001, SOC 2, CMMC, HIPAA, HITRUST, etc.) requieren una capacitación periódica sobre seguridad para los empleados.

Y, adicional a la capacitación, también es importante que las empresas cuenten con herramientas que las ayuden a evitar estas posibles amenazas, garantizando el resguardo de su información. 

Para esto, lo mejor es tener un buen proveedor de servicios en la nube, como Google Cloud Platform,que gracias a sus sistemas totalmente actualizados en protocolos de seguridad, te protegen de las vulnerabilidades propias del trabajo online. 

En Nuva nos preocupamos por la seguridad de todos los ecosistemas de trabajo, especialmente los basados en la nube, por lo que esperamos este contenido te haya sido de máxima utilidad.