Glosario
¿Qué es el malware? Tipos, vías de infección y las defensas básicas
Qué es el malware, los tipos principales (virus, gusano, troyano, ransomware, spyware, bot), cómo se propaga y la defensa común: actualizaciones, EDR, mínimo privilegio y copias de seguridad. Solo defensa, sin pasos de ataque.
«Software malicioso que daña tus dispositivos o datos»: ese término genérico es el malware. Aquí tienes los tipos principales y la defensa que se mantiene igual sin importar de qué tipo se trate (sin pasos de ataque).
Los tipos de malware (un mapa)
Hay muchos nombres, pero todo lo que de verdad necesitas es un mapa aproximado de «existen estas familias», porque, como se ve abajo, la defensa es compartida.
Virus
Se adhiere a un archivo legítimo y, al ejecutarse, se replica y se propaga. No puede actuar por sí solo.
Gusano
Se autorreplica por su cuenta y se propaga de forma automática por la red. Explota a través de redes sin reforzar.
Troyano
Se hace pasar por software útil y legítimo para entrar, y luego actúa de forma maliciosa en segundo plano. Lo instalas tú mismo.
Ransomware
Cifra los archivos y exige un rescate. Hoy suele ir unido al robo de datos: la doble extorsión (→ artículo dedicado).
Spyware
Se oculta sin ser notado y roba pulsaciones de teclas, credenciales e historial de navegación.
Bot / botnet
Controla de forma remota las máquinas infectadas y agrupa muchas para atacar. Las órdenes llegan desde un C2 (→C2).
En la práctica, una sola pieza de malware a menudo lleva varios de estos sombreros a la vez (p. ej., entra como troyano, actúa como spyware para robar datos y finalmente suelta ransomware). Precisamente por eso es más útil reforzar tus defensas de entrada / detección / recuperación que dedicar tiempo a «¿de qué tipo es este?».
Principales vías de infección (conoce la entrada)
El malware no aparece por arte de magia; entra por un conjunto predecible de puertas. Aquí solo las vías de alto nivel (sin técnicas concretas).
En todos los casos, la entrada es un hueco en las personas y las operaciones: abrir algo sin cuidado, dejar el software desactualizado, no comprobar de dónde viene. La cara opuesta: las defensas de abajo cierran la mayoría de ellos.
Defensa (el tipo cambia, el trabajo no)
No necesitas una contramedida distinta por tipo. Apila las tres capas que funcionan contra el malware en general.
Cierra la entrada: actualizaciones, archivos sospechosos, MFA
Actualiza tu sistema operativo y tu software con regularidad para que los agujeros conocidos no persistan. No abras adjuntos, macros ni enlaces inesperados. Protege las cuentas clave con autenticación multifactor (MFA) para que unas credenciales robadas no signifiquen un compromiso instantáneo (→ cómo elegir MFA).
Añade una capa de detección: antivirus / EDR
Bloquea las amenazas conocidas con antivirus (incluido el integrado de tu sistema operativo) y, donde necesites más, usa EDR para vigilar el comportamiento y atrapar también el malware desconocido (→ qué es el EDR). Aun así, la detección no es perfecta: nunca te apoyes solo en ella.
Limita el radio de impacto: mínimo privilegio
No hagas el trabajo diario como administrador. Mantener los privilegios al mínimo significa que, aunque algo llegue a ejecutarse, no puede propagarse lejos: un dispositivo o una cuenta no arrastra a todo lo demás.
Poder recuperarse: copias de seguridad
La última línea es una copia de seguridad. Contra el ransomware sobre todo, una copia sin conexión / inmutable más pruebas de restauración regulares es lo decisivo (→ fundamentos de copias de seguridad y recuperación).
Antivirus tradicional (cotejar lo conocido)
- detecta cotejando la «huella» conocida de un malware (firma)
- ligero y eficaz contra amenazas de amplia circulación
- tiende a perderse variantes desconocidas / recién creadas
- a menudo se confunde con «instálalo y estás a salvo»
EDR (vigilar el comportamiento)
- detecta por comportamiento sospechoso (cifrado extraño, llamadas salientes), no por nombre de archivo
- nota ataques desconocidos y el «abuso de herramientas legítimas»
- deja un registro que puedes usar para investigar y contener tras una infección
- aun así no sustituye a la entrada (actualizaciones) ni a la recuperación (copias de seguridad)
La visión de este sitio: memorizar tipos no es una estrategia de defensa
Los atacantes cambian sin parar los nombres y las apariencias. Perseguir «el nombre de malware de este mes» no hará más fuerte tu defensa. Lo que funciona de forma universal es la estructura de tres capas: entrada, detección, recuperación. Este sitio se aplica el mismo principio a sí mismo: mantenemos las dependencias actualizadas para cerrar la entrada, monitorizamos CVE de forma automática para detectar, y mantenemos nuestra configuración reproducible para poder recuperarnos. Defenderse del malware no es nada especial: es una extensión de estas bases.
El punto ciego: «tengo antivirus, así que estoy bien» no es verdad
El error más común es tratar una sola herramienta de detección como un amuleto de la suerte. La detección siempre se pierde una cierta fracción, y en el momento en que eso se rompe tu defensa cae a cero. Lo que es fuerte es apilar: reduce el volumen en la entrada (no abrir, sí actualizar), atrapa lo que quede con la detección (antivirus / EDR) y neutraliza lo que aún se cuele con la recuperación (copias de seguridad). No apoyarse en ninguna capa única es donde empieza la defensa contra el malware.
Sigue leyendo
- Glosario: qué es el ransomware (el tipo más dañino: doble extorsión) · qué es el C2 (mando y control) (cómo se operan los bots)
- Glosario: qué es el EDR (detectar lo desconocido por el comportamiento) · qué es un IOC (rastros de una infección)
- Aprende: fundamentos de copias de seguridad y recuperación (poder recuperarse: la última línea) · la lista de comprobación de la base de seguridad (el fundamento para entrada, detección y recuperación)
FAQ
Q¿Cuál es la diferencia entre malware y virus?
Un virus es un tipo de malware. Malware es el término genérico para todo el 'software malicioso', e incluye virus, gusanos, troyanos, ransomware, spyware y bots. En el habla cotidiana la gente llama 'virus' a todo, pero en sentido estricto un virus es el tipo concreto que se copia adhiriéndose a otros archivos, mientras que malware es la gran palabra paraguas que los cubre a todos.
Q¿Basta con un antivirus gratuito?
Para lo básico a nivel personal, la protección integrada que trae tu sistema operativo (como Microsoft Defender en Windows) más actualizaciones regulares, copias de seguridad y mínimo privilegio ya cubre bastante. Pero el antivirus coteja sobre todo cosas 'malas conocidas', así que malware novedoso o astuto puede colarse. Donde necesites una defensa más fuerte, el EDR lo complementa vigilando el comportamiento y atrapando ataques desconocidos. En cualquier caso, no te apoyes solo en la detección: combínala con el lado de la entrada (actualizaciones, no abrir archivos sospechosos) y la recuperación (copias de seguridad).
QCreo que estoy infectado. ¿Qué debo hacer?
Primero, no pagues nada de forma precipitada. El orden es: (1) desconecta ese dispositivo de la red para frenar su propagación y sus llamadas al exterior; (2) desde un dispositivo distinto y seguro, cambia las contraseñas del correo, la banca y las cuentas clave, y activa la autenticación multifactor; (3) restaura desde una copia de seguridad limpia o restablece el dispositivo para volver a un estado bueno conocido; y (4) corta la entrada que sospechas (el adjunto que abriste, la app que instalaste, el USB que conectaste). Para un dispositivo con datos importantes, considera recurrir a un profesional.