Tema 8

8. Malware, ransomware, spyware y botnets

El software malicioso adopta muchas formas. Conocer sus variantes ayuda a entender cómo se comprometen equipos, cuentas, datos y operaciones.

Objetivo Entender familias de malware
Enfoque Conceptual y práctico
Resultado Reconocer comportamiento malicioso

8.1 Introducción

El término malware proviene de malicious software y se utiliza para describir cualquier programa diseñado para causar daño, robar información, alterar operaciones o permitir accesos no autorizados. No se trata de una única amenaza, sino de una familia amplia de comportamientos maliciosos.

Dentro de esa familia aparecen variantes muy conocidas como ransomware, spyware y botnets, cada una con finalidades y efectos distintos.

8.2 ¿Qué hace peligroso al malware?

El malware es peligroso porque puede ejecutarse sin que la víctima entienda el verdadero impacto inicial. En muchos casos se presenta como un archivo legítimo, una actualización falsa, un adjunto inocente o una descarga aparentemente confiable.

Una vez dentro del sistema, puede:

  • Robar datos o credenciales.
  • Espiar la actividad del usuario.
  • Instalar nuevas cargas maliciosas.
  • Dar control remoto al atacante.
  • Cifrar archivos y paralizar operaciones.

8.3 Formas comunes de infección

  • Archivos adjuntos en correos o mensajería.
  • Enlaces a sitios falsos o comprometidos.
  • Descargas de software no confiable.
  • Explotación de vulnerabilidades sin parchear.
  • Uso de dispositivos externos infectados.
  • Actualizaciones adulteradas o cadenas de suministro comprometidas.
El malware rara vez “aparece solo”. Casi siempre entra aprovechando una acción del usuario, una vulnerabilidad o una mala configuración.

8.4 Principales categorías de malware

Tipo Objetivo principal Ejemplo de impacto
Virus Propagarse infectando archivos o programas Daño o alteración de archivos locales
Gusano Propagarse automáticamente por redes Compromiso masivo de equipos
Troyano Ocultarse como software legítimo Instalación encubierta de código malicioso
Spyware Espiar al usuario y capturar información Robo de credenciales o vigilancia
Ransomware Extorsionar cifrando datos o sistemas Parálisis operativa
Bot Control remoto de equipos comprometidos Uso en ataques coordinados

8.5 Virus y gusanos

Los virus suelen necesitar asociarse a archivos o programas para propagarse, mientras que los gusanos están diseñados para extenderse de manera más autónoma, especialmente por red.

Aunque hoy otros tipos de malware concentran más atención, estos conceptos siguen siendo importantes porque forman parte de la base histórica del software malicioso y explican muchos mecanismos de propagación.

8.6 Troyanos

Un troyano es un programa que aparenta ser legítimo o útil, pero en realidad ejecuta acciones maliciosas. El nombre remite al caballo de Troya: algo que parece inofensivo por fuera, pero introduce una amenaza en el interior.

Un troyano puede abrir puertas traseras, instalar spyware, descargar más malware o permitir al atacante operar remotamente sobre el sistema comprometido.

8.7 Spyware

El spyware está orientado a espiar. Su objetivo principal es recolectar información sin consentimiento del usuario. Puede registrar teclas, capturar credenciales, monitorear navegación, tomar capturas de pantalla o enviar datos a un servidor controlado por el atacante.

Su impacto es particularmente grave cuando compromete cuentas bancarias, correos, información corporativa o datos personales.

8.8 Ransomware

El ransomware es una de las amenazas más visibles y dañinas de los últimos años. Su objetivo es secuestrar la información o la operación de la víctima para exigir un pago.

Los escenarios más comunes incluyen:

  • Cifrado de archivos locales y compartidos.
  • Interrupción de sistemas críticos.
  • Robo previo de datos para extorsión adicional.
  • Exigencia de pago con plazos cortos y presión psicológica.

8.9 Por qué el ransomware es tan grave

Su gravedad no se limita al valor de los archivos cifrados. También impacta en la continuidad de negocio, la confianza de clientes, la capacidad de operar y el costo de recuperación. Incluso cuando existe backup, la restauración puede ser lenta, costosa y compleja.

El verdadero daño del ransomware no es solo técnico. Es operativo, económico, legal y reputacional.

8.10 Bot y botnet

Un bot es un equipo comprometido que puede ser controlado remotamente. Una botnet es un conjunto de bots administrados como una red por el atacante.

Las botnets se utilizan para:

  • Lanzar ataques distribuidos de denegación de servicio.
  • Enviar spam o phishing a gran escala.
  • Distribuir más malware.
  • Ocultar el origen real de ciertas actividades maliciosas.

8.11 Persistencia y evasión

Mucho malware intenta permanecer el mayor tiempo posible sin ser detectado. Para ello usa mecanismos de persistencia y evasión, por ejemplo:

  • Ejecutarse al inicio del sistema.
  • Ocultarse en procesos aparentemente legítimos.
  • Desactivar o evitar herramientas de seguridad.
  • Cambiar su comportamiento para evitar detección.

Esto explica por qué la detección no siempre es inmediata, incluso en entornos con controles instalados.

8.12 Indicadores comunes de infección

Aunque no siempre son evidentes, algunos signos pueden sugerir compromiso:

  • Lentitud anormal del sistema.
  • Procesos desconocidos o consumo elevado de recursos.
  • Archivos inaccesibles o renombrados inesperadamente.
  • Alertas del antivirus o del sistema.
  • Actividad de red extraña.
  • Cambios no autorizados en configuración o cuentas.

8.13 Usuarios y organizaciones: impactos diferentes

En usuarios individuales, el malware suele afectar cuentas, fotos, documentos, banca online y privacidad. En organizaciones, además, puede comprometer operaciones completas, procesos críticos, datos de clientes, reputación y cumplimiento normativo.

La diferencia principal está en la escala y en el efecto sobre la continuidad del negocio.

8.14 Medidas de prevención

  • Mantener sistemas y aplicaciones actualizados.
  • No ejecutar archivos o descargas de origen dudoso.
  • Utilizar herramientas de protección y monitoreo.
  • Aplicar MFA y control de accesos.
  • Capacitar usuarios sobre phishing e ingeniería social.
  • Contar con copias de seguridad aisladas y verificadas.

8.15 Qué hacer ante una sospecha

Ante indicios de malware o ransomware, actuar rápido reduce el impacto. Algunas acciones iniciales suelen ser:

  • Aislar el equipo afectado de la red.
  • No seguir interactuando con archivos o enlaces sospechosos.
  • Reportar el incidente al área responsable.
  • Preservar evidencia útil para análisis.
  • Iniciar procedimientos de contención y recuperación.

8.16 Qué debes recordar de este tema

  • Malware es un término general para múltiples tipos de software malicioso.
  • Ransomware, spyware y botnets tienen objetivos distintos, pero pueden combinarse.
  • El malware suele entrar por engaño, vulnerabilidades o malas prácticas.
  • La detección temprana y los backups son claves frente a incidentes graves.
  • La prevención depende tanto de controles técnicos como de hábitos seguros.

8.17 Conclusión

El malware sigue siendo una amenaza central porque permite a los atacantes robar, vigilar, extorsionar y controlar sistemas comprometidos. Entender sus variantes más comunes ayuda a reconocer riesgos y valorar la importancia de la prevención temprana.

En el próximo tema abordaremos ingeniería social, phishing y fraude digital con más profundidad, ya que muchas infecciones y compromisos comienzan por esa vía.

Volver al índice