Qué es software antimalware y cómo funciona?

Los cibercriminales utilizan las tecnologías más avanzadas para obtener acceso a sus sistemas y robar sus datos sensibles y privados para obtener una ganancia financiera. Para seguir el ritmo, los proveedores de ciberseguridad trabajan duro para incorporar estas mismas tecnologías con el objetivo de detener los ataques de hoy en día. Independiente de que usted sea un consumidor o represente a una empresa, este artículo le ayudará a comprender mejor qué es un malware y qué puede hacer para detener estos ataques sucesivos.

La abreviatura de “malicious software”, malware, es una aplicación escrita con la intención de causar daños en los sistemas, robar datos, obtener acceso no autorizado a una red o causar estragos en caso contrario. La infección por malware es la ciberamenaza más común que un individuo u organización puede enfrentar. A menudo se emplea para robar datos para fines financieros, pero también se puede aplicar como arma en ataques orquestados a nivel de estado, como forma de protesta por parte de los hacktivistas o para comprobar la postura de seguridad de un sistema. Malware es un término colectivo y se refiere a una serie de variantes de software malicioso, como troyanos, gusanos y ransomware. 

Existe una variedad de tipos de malware, incluidos virus, troyanos, ransomware, registradores de teclas y gusanos.

Un virus de ordenador es un código malicioso que se adhiere a archivos limpios, se replica e intenta infectar otros archivos limpios. Los virus deben activar su funcionamiento cuando un usuario ingenuo realiza una acción como abrir un archivo de correo electrónico infectado, abrir un archivo ejecutable infectado, visitar un sitio web infectado o hacer clic en un anuncio de sitio web infectado. Los virus de computador son escasos hoy en día, con una representación menor al 10% de todos los malware.

Los troyanos reciben su nombre por la historia de la Guerra de Troya, en donde los griegos se escondieron dentro de un caballo normal para infiltrarse en la ciudad de Troya. Los caballos de troya (o troyanos) se disfrazan como una aplicación legítima o solo se esconden dentro de una. Este tipo de malware actúa de forma discreta, abriendo puertas traseras de seguridad para brindar a los agresores u otras variantes de malware fácil acceso al sistema.

El ransomware es uno de los tipos más peligrosos de malware hoy en día y requiere de atención especial. Originalmente, el ransomware se diseñó para tomar el control de un sistema, bloqueando a los usuarios hasta que concreten el pago de un rescate al cibercriminal para restaurar el acceso. Las variantes modernas de ransomware por lo general encriptan los datos del usuario y pueden incluso exfiltrar datos del sistema para aumentar notablemente la ventaja de los agresores sobre sus víctimas. 

Las puertas traseras hacen alusión a un método sigiloso para eludir la autenticación o el cifrado normal en un sistema. Se utilizan para proteger el acceso remoto a un sistema o para obtener acceso a información privilegiada para fines de corrupción o robo. Las puertas traseras pueden adoptar diversas formas: como programa autónomo, como parte oculta de otro programa, como código en el firmware o como parte del sistema operativo. Si bien algunas puertas traseras se instalan de forma secreta para fines maliciosos, existen puertas traseras deliberadas muy conocidas que tienen usos legítimos, como proporcionar una forma para que los proveedores de servicio restauren las contraseñas de usuario.

Los gusanos obtienen su nombre por la forma en que infectan los sistemas. A diferencia de los virus, no necesitan un archivo o aplicación host. Por el contrario, simplemente infectan un sistema y luego se autorreplican en otros sistemas a través de la red, utilizando cada infección consecutiva para seguir esparciéndose. Los gusanos residen en la memoria y pueden replicarse cientos de veces, consumiendo el ancho de banda de la red.

Los keyloggers (registradores de teclas) registran las actividades informáticas de un usuario: pulsaciones de teclas, sitios web visitados, historial de búsqueda, actividad de correo electrónico, chat, comunicaciones de mensajería y las credenciales de sistema tales como nombres de usuario y contraseñas, con el objetivo de robar la información personal o sensible de un usuario.   

Cada día, el Instituto AV-TEST registra alrededor de 350,000 programas maliciosos (malware) y aplicaciones potencialmente no deseadas (PUA).

Varios ataques de ransomware pueden incluir una combinación de funciones entre ransomware y gusanos que pueden presentarse en forma de troyano. Es más, el malware puede conformarse de cientos de miles de muestras modificadas. Por ejemplo, WannaCry es un ejemplo de ransomware que contenía virus y un troyano. Respecto al último conteo, hubo varias muestras de WannaCry, ya que el programa fue modificado. Para 2017, hubo 386 muestras del ransomware WannaCry en estado salvaje y podemos esperar que haya otras miles de muestras desde este comunicado.

A partir de unos 40 años atrás, el software antimalware funcionaba mediante el simple uso de firmas junto a una base de datos que contenía rastros de un malware conocido. Cuando el antimalware escaneaba el ordenador, buscaba estos rastros. Si se detectaba malware, el software procedía a borrarlo o dejarlo en cuarentena. 

Si bien el antimalware basado en firmas aún se utiliza en la actualidad, los cibercriminales pueden evadir este enfoque cambiando algo en el código, de modo que la firma no funcione. Aquí es cuando comenzó a surgir la heurística. La detección heurística se basa en lo que hace un programa y si el programa “tiene un mal comportamiento”, se marca como malware. Este enfoque ha evolucionado a la heurística conductual, en donde las reglas rastrean las conductas de los programas. Por ejemplo, la mayoría de los software legítimos no debiesen insertarse a sí mismos en los procesos de sistemas, pero en caso de hacerlo, se marcan como malware.

En la actualidad, la mayoría de los software antimalware emplean detección de firmas, análisis heurístico de comportamiento y un enfoque basado en inteligencia artificial (IA)/aprendizaje automático (ML). Un enfoque ML es como el análisis heurístico, salvo que el algoritmo ML no solo analiza lo que el programa/archivo hace, sino también cómo luce. Para lograr esto, puede utilizar la heurística conductual incorporada en el modelo y/o puede crear y mejorar constantemente sus propios algoritmos conductuales mediante entrenamiento continuo. Los sistemas basados en ML automatizan gran parte de la detección con una mínima intervención o aporte directo del analista.

El mercado ofrece estos tres tipos de enfoques por separado o combinados, aunque la solución ideal debería involucrar una combinación de los tres. Esto no es para nada una garantía de que un tipo logrará detener todos los malware.

También existen otras tecnologías que pueden detectar malware. Por ejemplo, el sanboxing toma un proceso, lo introduce en una zona de pruebas (máquina virtual (VM)) y hace que el malware crea que se está ejecutando en un entorno real. Con el tiempo, el software puede observar el comportamiento para detectar malware. Por desgracia, esto puede ser un proceso lento ya que algunos malware no se ejecutan de inmediato.  

El beneficio superior del software antimalware es proteger la información de carácter sensible y personal y mantener los sistemas, aplicaciones y datos de los usuarios a salvo. En particular, el software antimalware puede proteger a un usuario de:

• Malware, phishing y ataques de ransomware
• Descargas desde unidades que ocurren cuando un usuario visita una página web maliciosa
• Amenazas persistentes avanzadas (APT) que tienen la finalidad de establecer una presencia ilícita y a largo plazo en una red para reunir datos sensibles o poner en riesgo la operabilidad de una organización
• Exploits que hacen uso de las vulnerabilidades de día cero
• Filtración de datos, sea deliberada o causada por la negligencia o errores en la gestión de los datos

Acronis ofrece más que una solución antimalware debido a que incorpora funciones de protección de datos, copia de seguridad y antimalware en una única solución.

Acronis True Image es una solución segura eficiente y fácil de instalar y gestionar que ofrece a las personas lo mejor en ciberprotección personal que está disponible actualmente en el mercado. Con Acronis True Image usted puede

• Crear copias de seguridad de imagen completa con dos clics.
• Replicar copias de seguridad locales en Acronis Cloud.
• Resguardar la integridad de sus datos, aplicaciones y dispositivos, incluidos sus dispositivos móviles, contra los malware más recientes, tales como: ransomware de día cero y ataques de cryptojacking.

Lo que diferencia a Acronis True Image es que se trata de una sola solución de ciberprotección personal que ofrece una única combinación integrada de tecnología de respaldo probada y protección antimalware que detiene hasta la más reciente amenaza. Esto significa que ya no tendrá que comprar una solución de respaldo a un proveedor y una solución antivirus a otro. Al contrario, considere Acronis True Image y obtenga la protección total de sus datos y sistemas que necesita con una única solución integrada.

Acronis desarrolló  Acronis Cyber Protect para adaptarse a las necesidades de las empresas que operan en la realidad postpandemia. Al proporcionar una integración única de protección de datos y capacidades avanzadas de ciberseguridad, Acronis Cyber Protect ofrece una seguridad mejorada, menores costos y mejoría de eficiencias. La automatización y gestión simplificada facultan a cualquier empresa (grande o pequeña) para reducir su riesgo, evitar tiempo de inactividad e incrementar la productividad de sus equipos de TI.

Acronis Cyber Protect protege los puntos finales, sistemas y datos e incluye, entre otras funciones, detección de comportamiento basado en IA que detiene ataques de día cero, filtrado de URL, evaluaciones de vulnerabilidad, protección de videoconferencia y gestión automatizada de parches para garantizar que su empresa pueda recuperar sus datos y sistemas en el menor tiempo posible.