Robar información personal: Keyloggers y Stealers[editar]
Un ejemplo de cómo un hardware PS/2 keylogger está conectado.
Artículo principal: Keylogger
Artículo principal: Stealer (informática)
Cuando un software produce pérdidas económicas para el usuario de un equipo, también se clasifica como crimeware21 o software criminal, término dado por Peter Cassidy para diferenciarlo de los otros tipos de software malicioso. Estos programas están encaminados al aspecto financiero, la suplantación de personalidad y el espionaje.
Los keyloggers y los stealers son programas maliciosos creados para robar información sensible. El creador puede obtener beneficios económicos o de otro tipo a través de su uso o distribución en comunidades underground. La principal diferencia entre ellos es la forma en la que recogen la información.
Los keyloggers monitorizan todas las pulsaciones del teclado y las almacenan para un posterior envío al creador. Por ejemplo al introducir un número de tarjeta de crédito el keylogger guarda el número, posteriormente lo envía al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta. Si las contraseñas se encuentran recordadas en el equipo, de forma que el usuario no tiene que escribirlas, el keylogger no las recoge, eso lo hacen los stealers. La mayoría los keyloggers son usados para recopilar contraseñas de acceso pero también pueden ser usados para espiar conversaciones de chat u otros fines.
Los stealers también roban información privada pero solo la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si tienen contraseñas recordadas, por ejemplo en los navegadores web o en clientes de mensajería instantánea, descifran esa información y la envían al creador.
Realizar llamadas telefónicas: Dialers[editar]
Artículo principal: Dialer
Los dialers son programas maliciosos que toman el control del módem dial-up, realizan una llamada a un número de teléfono de tarificación especial, muchas veces internacional, y dejan la línea abierta cargando el coste de dicha llamada al usuario infectado. La forma más habitual de infección suele ser en páginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexión telefónica. Suelen utilizar como señuelos videojuegos, salva pantallas, pornografía u otro tipo de material.
Actualmente la mayoría de las conexiones a Internet son mediante ADSL y no mediante módem, lo cual hace que los dialers ya no sean tan populares como en el pasado.
Ataques distribuidos: Botnets[editar]
Ciclo de spam
Artículo principal: Botnet
Las botnets son redes de computadoras infectadas, también llamadas "zombis", que pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecución policial.
En una botnet cada computadora infectada por el malware se loguea en un canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultáneamente. Las botnets también pueden ser usadas para actualizar el malware en los sistemas infectados manteniéndolos así resistentes ante antivirus u otras medidas de seguridad.
Otros tipos: Rogue software y Ransomware[editar]
Artículo principal: Rogue software
Los rogue software hacen creer al usuario que la computadora está infectada por algún tipo de virus u otro tipo de software malicioso, esto induce al usuario a pagar por un software inútil o a instalar un software malicioso que supuestamente elimina las infecciones, pero el usuario no necesita ese software puesto que no está infectado.22
Los Ransomware[editar]
También llamados criptovirus o secuestradores, son programas que cifran los archivos importantes para el usuario, haciéndolos inaccesibles, y piden que se pague un "rescate" para poder recibir la contraseña que permite recuperar los archivos.
InfoSpyware reporta en su blog que a partir de mayo del 2012, han existido 2 nuevas variantes del llamado "virus de la policía" ó "Virus Ukash", que es producido por el troyano Ransom.ab, que con el pretexto de que se entró a páginas de pornografía infantil, se les hace pagar una supuesta multa para poder desbloquear sus equipos,23 actualmente también utilizando la propia cámara Web del equipo hacen unas supuestas tomas de vídeo que anexan en su banner de advertencia, para asustarlos más al hacerlos pensar que están siendo observado y filmado por la policía, siendo Rusia, Alemania, España y Brasil los países más afectados ó la versión falsa del antivirus gratuito "Microsoft Security Essentials" que dice bloquear el equipo por seguridad y que para poder funcionar adecuadamente se ofrece un módulo especial que se tiene que pagar.24
La Brigada de Investigación Tecnológica de la Policía Nacional de España, junto con Europol e Interpol, desmantelaron en febrero del 2013, a la banda de piratas informáticos creadores del "Virus de la Policía", responsables de estafar alrededor de 1 millón de euros al año.25
A pesar de ello, han ido surgiendo nuevas versiones y variantes con características propias de unidades policiales de países de Latinoamérica, siendo los países afectados Argentina, Bolivia, Ecuador, Uruguay y México, en este último saca la imagen de la desaparecida Policía Federal Preventiva.26
Grayware o greynet[editar]
Los términos grayware (o greyware) y graynet (o greynet) (del inglés gray o grey, "gris") suelen usarse para clasificar aplicaciones o programas de cómputo que se instalan sin la autorización del departamento de sistemas de una compañía; se comportan de modo tal que resultan molestos o indeseables para el usuario, pero son menos peligrosos que los malware. En este rubro se incluyen: adware, dialers, herramientas de acceso remoto, programas de bromas (Virus joke), programas para conferencias, programa de mensajería instantánea, spyware y cualesquiera otros archivos y programas no bienvenidos que no sean virus y que puedan llegar a dañar el funcionamiento de una computadora o de una red. El término grayware comenzó a utilizarse en septiembre del 2004.27 28 29 30
Vulnerabilidades usadas por el malware[editar]
Existen varios factores que hacen a un sistema más vulnerable al malware: homogeneidad, errores de software, código sin confirmar, sobre-privilegios de usuario y sobre-privilegios de código.
Una causa de la vulnerabilidad de redes, es la homogeneidad del software multiusuario. Por ejemplo, cuando todos los ordenadores de una red funcionan con el mismo sistema operativo, si se puede comprometer ese sistema, se podría afectar a cualquier ordenador que lo use. En particular, Microsoft Windows31 tiene la mayoría del mercado de los sistemas operativos, esto permite a los creadores de malware infectar una gran cantidad de computadoras sin tener que adaptar el software malicioso a diferentes sistemas operativos.
La mayoría del software y de los sistemas operativos contienen bugs que pueden ser aprovechados por el malware. Los ejemplos típicos son los desbordamiento de búfer (buffer overflow), en los cuales la estructura diseñada para almacenar datos en un área determinada de la memoria permite que sea ocupada por más datos de los que le caben, sobre escribiendo otras partes de la memoria. Esto puede ser utilizado por el malware para forzar al sistema a ejecutar su código malicioso.
Las memorias USB infectadas pueden dañar la computadora durante el arranque.
Originalmente las computadoras tenían que ser booteadas con un disquete, y hasta hace poco tiempo era común que fuera el dispositivo de arranque por defecto. Esto significaba que un disquete contaminado podía dañar la computadora durante el arranque, e igual se aplica a CD y memorias USB con la función AutoRun de Windows la que ya ha sido modificada. Aunque eso es menos común ahora, sigue siendo posible olvidarse de que el equipo se inicia por defecto en un medio removible, y por seguridad normalmente no debería haber ningún disquete, CD, etc., al encender la computadora. Para solucionar este problema de seguridad basta con entrar en la BIOS del ordenador y cambiar el modo de arranque del ordenador.
En algunos sistemas, los usuarios no administradores tienen sobre-privilegios por diseño, en el sentido que se les permite modificar las estructuras internas del sistema, porque se les han concedido privilegios inadecuados de administrador o equivalente. Esta es una decisión de la configuración por defecto, en los sistemas de Microsoft Windows la configuración por defecto es sobre-privilegiar al usuario. Esta situación es debida a decisiones tomadas por Microsoft para priorizar la compatibilidad con viejos sistemas sobre la seguridad y porque las aplicaciones típicas fueron desarrollados sin tener en cuenta a los usuarios no privilegiados. Como los exploits para escalar privilegios han aumentado, esta prioridad está cambiando para el lanzamiento de Windows Vista. Como resultado, muchas aplicaciones existentes que requieren excesos de privilegios pueden tener problemas de compatibilidad con Windows Vista. Sin embargo, el control de cuentas de usuario (UAC en inglés) de Windows Vista intenta solucionar los problemas que tienen las aplicaciones no diseñadas para usuarios no privilegiados a través de la virtualización, actuando como apoyo para resolver el problema del acceso privilegiado inherente en las aplicaciones heredadas.
El malware, funcionando como código sobre-privilegiado, puede utilizar estos privilegios para modificar el funcionamiento del sistema. Casi todos los sistemas operativos populares y también muchas aplicaciones scripting permiten códigos con muchos privilegios, generalmente en el sentido que cuando un usuario ejecuta el código, el sistema no limita ese código a los derechos del usuario. Esto hace a los usuarios vulnerables al malware contenido en archivos adjuntos de correos electrónicos, que pueden o no estar disfrazados. Dada esta situación, se advierte a los usuarios de que abran solamente archivos solicitados, y ser cuidadosos con archivos recibidos de fuentes desconocidas. Es también común que los sistemas operativos sean diseñados de modo que reconozcan dispositivos de diversos fabricantes y cuenten con drivers para estos hardwares, algunos de estos drivers pueden no ser muy confiables.WIKIPEDIA
