Tema 6

Malware: virus, gusanos, troyanos, spyware, rootkits y botnets

El malware es una de las herramientas ofensivas más conocidas y persistentes del entorno digital. Esta unidad explica sus principales categorías, cómo operan, qué buscan y por qué siguen siendo relevantes en ataques modernos.

Objetivo Entender familias de malware
Enfoque Funcionamiento, impacto y defensa
Resultado Distinguir tipos y comportamientos
Clave No todo malware hace lo mismo

6.1 Introducción

El término malware proviene de “malicious software” y se utiliza para describir programas o componentes diseñados para realizar acciones dañinas, abusivas o no autorizadas en sistemas, redes o dispositivos. Aunque suele asociarse a archivos ejecutables visibles, el concepto es más amplio: incluye scripts, cargas maliciosas, módulos ocultos y herramientas que alteran el comportamiento legítimo del entorno.

El malware no es un fin en sí mismo. Es un medio para lograr objetivos como robar información, espiar, abrir puertas traseras, obtener persistencia, sabotear procesos, cifrar sistemas o integrar equipos a infraestructuras criminales.

6.2 Qué caracteriza al malware

Para que una pieza de software se considere malware no hace falta que destruya datos. Basta con que ejecute acciones contrarias a la voluntad del propietario o administrador del sistema, afecte la seguridad o sirva a un propósito ofensivo.

  • Se instala sin autorización o bajo engaño.
  • Realiza acciones ocultas o no deseadas.
  • Facilita robo, espionaje, control remoto o sabotaje.
  • Puede intentar persistir, ocultarse o propagarse.
No todo malware busca destruir. Gran parte del malware moderno está orientado al sigilo, la monetización y el control persistente del entorno comprometido.

6.3 Vectores de entrada más comunes

El malware puede ingresar por múltiples vías. Comprender esos vectores es tan importante como entender su clasificación.

  • Archivos adjuntos o enlaces maliciosos en correos electrónicos.
  • Descargas engañosas o software pirateado.
  • Explotación de vulnerabilidades en servicios expuestos.
  • Dispositivos removibles infectados.
  • Actualizaciones comprometidas o cadena de suministro.
  • Macros, scripts y documentos manipulados.
  • Instalación manual por parte del atacante tras un acceso inicial.

6.4 Virus

Un virus es un tipo de malware que se inserta en archivos o programas legítimos y necesita algún tipo de ejecución o interacción para activarse. Históricamente fue una de las categorías más conocidas porque infectaba archivos y se propagaba al copiar o ejecutar software.

Su rasgo clásico es que depende de un “huésped”, es decir, de otro archivo o programa al que se adhiere.

  • Puede modificar archivos ejecutables.
  • Se activa cuando el archivo infectado es abierto o ejecutado.
  • Puede replicarse a otros archivos o unidades.

Hoy el término se usa a veces de forma genérica, aunque técnicamente no todo malware es un virus.

6.5 Gusanos

Un gusano o worm es malware con capacidad de propagarse de manera autónoma, generalmente a través de redes, sin necesidad de adherirse a otro archivo. Su importancia histórica es enorme porque algunos gusanos lograron expandirse con velocidad masiva aprovechando vulnerabilidades ampliamente presentes.

  • No necesita que un usuario copie un archivo infectado para propagarse.
  • Puede escanear redes en busca de sistemas vulnerables.
  • Su expansión puede generar impacto incluso sin carga maliciosa adicional.

Los gusanos demuestran cómo una vulnerabilidad explotable a gran escala puede transformarse en un incidente generalizado en muy poco tiempo.

6.6 Diferencia entre virus y gusano

Característica Virus Gusano
Necesita archivo huésped No
Propagación autónoma Limitada o indirecta Sí, típicamente por red
Interacción del usuario Frecuente No siempre necesaria
Impacto común Infección de archivos o programas Expansión rápida y compromiso masivo

6.7 Troyanos

Un troyano o trojan es malware que se presenta como algo legítimo o útil para inducir a la víctima a ejecutarlo o permitir su instalación. A diferencia del virus o del gusano, el rasgo distintivo del troyano no es la forma de replicarse, sino el engaño.

  • Puede parecer una aplicación, documento o actualización legítima.
  • Se apoya en ingeniería social o apariencia confiable.
  • Una vez ejecutado, abre la puerta a otras acciones: control remoto, robo de datos, descarga de más malware.

Muchos ataques modernos usan troyanos como primer paso para establecer acceso o preparar etapas posteriores.

6.8 Spyware

El spyware está orientado al espionaje. Su finalidad es recopilar información de la víctima sin que esta lo advierta. Esa información puede incluir hábitos de uso, pulsaciones de teclado, credenciales, capturas de pantalla, archivos, historial de navegación o datos sensibles.

Su valor para el atacante está en la vigilancia silenciosa. A menudo prioriza la discreción por sobre el daño visible.

  • Puede registrar actividad del usuario.
  • Puede capturar formularios o credenciales.
  • Puede enviar datos recolectados a infraestructura externa.

6.9 Keyloggers como subtipo de spyware

Los keyloggers son una forma especializada de spyware enfocada en registrar las teclas pulsadas por la víctima. Aunque parecen sencillos, pueden ser extremadamente peligrosos porque permiten capturar contraseñas, conversaciones, datos bancarios y otra información sensible ingresada manualmente.

Existen variantes puramente software y también dispositivos físicos diseñados con el mismo objetivo.

6.10 Rootkits

Un rootkit es un conjunto de técnicas o componentes diseñados para ocultar la presencia de malware o de un atacante dentro de un sistema. Su función principal no suele ser el daño directo, sino la invisibilidad y la persistencia.

  • Puede ocultar procesos, archivos, conexiones o registros.
  • Puede operar a bajo nivel del sistema operativo.
  • Complica enormemente la detección y el análisis forense.

La peligrosidad de un rootkit reside en que permite que otras acciones maliciosas permanezcan activas sin ser advertidas fácilmente.

6.11 Botnets

Una botnet es una red de dispositivos comprometidos y controlados de forma remota por un actor malicioso. Cada dispositivo infectado, llamado a menudo bot o zombie, puede recibir instrucciones para actuar coordinadamente con los demás.

Las botnets pueden estar formadas por computadoras personales, servidores, dispositivos IoT, routers u otros equipos conectados.

  • Se usan para ataques DDoS.
  • Se usan para envío masivo de spam o phishing.
  • Se usan para minería ilícita, fraude o propagación adicional de malware.
  • Se usan para ocultar origen real del atacante.

6.12 Relación entre botnet y malware

La botnet no es exactamente un tipo de malware único, sino una estructura ofensiva basada en sistemas comprometidos. Para integrarse a una botnet, el dispositivo suele infectarse con alguna pieza de malware que le permite recibir órdenes desde una infraestructura de comando y control.

Un dispositivo puede estar comprometido sin mostrar síntomas visibles para el usuario y aun así ser parte de una botnet que participa en ataques contra terceros.

6.13 Otras categorías relacionadas

Aunque este tema se enfoca en familias clásicas, conviene reconocer otras categorías cercanas:

  • Adware malicioso: despliega publicidad invasiva y puede recolectar datos.
  • Downloader: componente pequeño cuya función principal es descargar malware adicional.
  • Dropper: instala o libera otras cargas maliciosas en el sistema.
  • Backdoor: mecanismo de acceso oculto o no autorizado.
  • Wiper: malware orientado a borrar o destruir información.

En la práctica, una muestra de malware moderna puede combinar varias funciones al mismo tiempo.

6.14 Ciclo típico de una infección

  1. La víctima recibe o encuentra un vector de entrada.
  2. Se ejecuta un archivo, script o exploit.
  3. El malware establece ejecución inicial.
  4. Intenta persistir y, en algunos casos, ocultarse.
  5. Se comunica con infraestructura externa o ejecuta su misión local.
  6. Roba datos, descarga módulos adicionales o participa en nuevas acciones ofensivas.

Esta secuencia se integra con lo visto en la cadena de intrusión: el malware puede ser el vehículo para una o varias de esas etapas.

6.15 Qué buscan los atacantes con malware

  • Obtener acceso persistente a sistemas comprometidos.
  • Capturar credenciales o información sensible.
  • Espiar actividad y comunicaciones.
  • Ampliar la intrusión dentro de una red.
  • Monetizar el compromiso mediante extorsión o fraude.
  • Usar el entorno víctima para atacar a otros objetivos.

Comprender ese propósito ayuda a no quedarse solo en la etiqueta del malware y mirar el objetivo estratégico de la campaña.

6.16 Indicadores de posible infección

No siempre hay señales visibles, pero algunos comportamientos pueden justificar investigación:

  • Lentitud anormal o consumo inusual de recursos.
  • Procesos desconocidos o actividad fuera de horario.
  • Conexiones de red extrañas a destinos no habituales.
  • Cambios inesperados de configuración.
  • Archivos, tareas programadas o servicios desconocidos.
  • Desactivación de controles de seguridad.
  • Alertas de antivirus, EDR o monitoreo de comportamiento.

6.17 Prevención

La prevención del malware requiere una combinación de controles técnicos y hábitos operativos:

  • Actualizar sistemas, navegadores y aplicaciones.
  • Aplicar protección de correo y filtrado web.
  • Limitar privilegios y evitar uso innecesario de cuentas administrativas.
  • Deshabilitar macros y ejecución no controlada de scripts cuando sea posible.
  • Usar soluciones antimalware y detección por comportamiento.
  • Capacitar a usuarios sobre archivos, descargas y enlaces sospechosos.
  • Controlar dispositivos removibles y software no autorizado.

6.18 Detección y respuesta

Ante sospecha de malware, la rapidez importa. La respuesta no debe limitarse a borrar un archivo visible. Conviene considerar si hubo robo de credenciales, persistencia, movimiento lateral o exfiltración.

  • Aislar el sistema afectado para evitar propagación.
  • Preservar evidencia si el incidente lo requiere.
  • Analizar alcance del compromiso.
  • Revocar credenciales potencialmente expuestas.
  • Verificar persistencia y otros equipos comprometidos.
  • Aplicar remediación y revisar el vector de entrada.

6.19 Errores comunes al hablar de malware

  • Llamar virus a cualquier tipo de software malicioso.
  • Creer que solo los archivos ejecutables tradicionales pueden ser malware.
  • Asumir que si no hay síntomas visibles no hay compromiso.
  • Eliminar una muestra sin investigar persistencia o alcance.
  • Subestimar el rol del usuario como vector inicial.

6.20 Comparación rápida de familias

Tipo Rasgo principal Objetivo común
Virus Se adhiere a archivos o programas Infectar y propagarse a través de ejecución
Gusano Se propaga autónomamente por red Expandirse con rapidez
Troyano Se presenta como algo legítimo Engañar para abrir paso a otras acciones
Spyware Espía actividad de la víctima Recolectar información
Rootkit Oculta presencia o actividad Persistencia y evasión
Botnet Conjunto de equipos controlados remotamente Operaciones coordinadas a escala

6.21 Ideas clave

  • Malware es un término amplio que incluye múltiples familias con funciones distintas.
  • Virus y gusanos no son equivalentes: se diferencian especialmente por su forma de propagación.
  • Los troyanos se apoyan en el engaño.
  • Spyware y rootkits privilegian espionaje y ocultamiento.
  • Las botnets convierten sistemas comprometidos en infraestructura ofensiva distribuida.
  • La defensa eficaz combina prevención, detección, respuesta y análisis de alcance.

6.22 Conclusión

El malware sigue siendo un componente central del panorama de amenazas porque ofrece a los atacantes un mecanismo flexible para espiar, persistir, expandirse y monetizar accesos. Conocer sus familias principales ayuda a interpretar mejor incidentes y a seleccionar controles acordes al tipo de comportamiento observado.

En el próximo tema se profundizará en un caso particular de enorme impacto actual: el ransomware y el secuestro de información.

Volver al índice