PDF de programación - Guía de respuesta a una infección por malware

Guía de respuesta
a una infección por
malware



Guía de respuesta a una infección por malware


Contenido



1.

Introducción.......................................................................................................................................................... 3

1.1. Conceptos generales y tipos de malware .......................................................................................................... 4

1.2. Aplicaciones potencialmente indeseables (PUAS) ............................................................................................ 5

1.3. Aplicaciones Potencialmente Peligrosas ........................................................................................................... 6

1.4. Tendencias del software malicioso en Latinoamérica ....................................................................................... 7

2. Riesgos de seguridad asociados a los códigos maliciosos .................................................................................... 9

2.1. Síntomas comunes de una infección por malware ........................................................................................... 9

2.2. Riesgos de seguridad asociados al malware ...................................................................................................... 9

2.3. Riesgos de seguridad relacionados con las PUAS ............................................................................................ 10

3.

¿Qué hacer en caso de una infección por malware? ......................................................................................... 11

3.1. Identificar la infección ..................................................................................................................................... 12

3.2. Determinar el alcance de la infección ............................................................................................................. 12

3.3. Mantener la continuidad del negocio ............................................................................................................. 12

3.4. Contener las acciones maliciosas .................................................................................................................... 13

3.5. Erradicar la infección y eliminar el vector de ataque ...................................................................................... 14

3.6. Recuperar la normalidad en las operaciones .................................................................................................. 15

3.7. Registrar las lecciones aprendidas ................................................................................................................... 15

4. Medidas de seguridad ante incidentes por malware ......................................................................................... 17

5.

¿Qué hacer con muestras capturadas luego de una infección? ......................................................................... 19

5.1. Manejo y envío de muestras al Laboratorio de ESET ...................................................................................... 19

5.2. Envío de muestras al Laboratorio de ESET ...................................................................................................... 20

6. Conclusiones ....................................................................................................................................................... 23

7. Referencias ......................................................................................................................................................... 24

7.1. Publicaciones en WeLiveSecurity en español .................................................................................................. 24

7.2. Artículos en la base de conocimientos (ESET KnowledgeBase) ....................................................................... 24

7.3. Informes de seguridad ESET Latinoamérica .................................................................................................... 24



Página 2 de 24

Guía de respuesta a una infección por malware



1. Introducción



En la actualidad, una de las principales causas de incidentes de seguridad son los códigos maliciosos o malware
(por la contracción de las palabras en inglés malicious software), un término que incluye a todo aquel software
que tiene como propósito afectar la información o bien los sistemas que la procesan, almacenan y transmiten.

Las razones de la incidencia del malware están relacionadas con su incremento, que considera principalmente
tres variables: cantidad, complejidad y diversidad. En cuanto a la cantidad, los laboratorios de ESET a nivel
mundial reciben alrededor de 200 mil nuevas variantes de códigos maliciosos por día, lo que permite tener una
idea de la afectación que podrían padecer los usuarios y las empresas.

De la misma manera, cada vez se desarrollan programas dañinos de mayor complejidad en comparación con los
primeros tipos de malware. Por ejemplo, los mecanismos utilizados actualmente por distintas versiones de
programas maliciosos hacen muy difícil la recuperación de la información una vez que ha sido afectada. Un
ejemplo de esto son ciertas variantes de ransomware que cifran archivos o bloquean sistemas, utilizando
complejos protocolos, que una vez infectados son prácticamente irrecuperables, a menos que se tenga un backup
o se pague el rescate monetario que exigen los ciberdelincuentes, una acción que no es recomendable en ningún
caso.

En lo que a la diversidad se refiere, las distintas familias de códigos maliciosos y sus variantes han evolucionado
para afectar un conjunto amplio de artefactos utilizados actualmente, desde computadoras, dispositivos móviles
(smartphones o tabletas), terminales de punto de venta (PoS) o aparatos inteligentes como televisores, hasta los
denominados wearables o dispositivos ‘usables’, como los smartwatches.

Sin duda, se trata de una amenaza latente que seguramente continuará creciendo, con métodos de infección cada
vez más sofisticados, lo que se traduce en retos para la protección de la información en las empresas, y en una
perspectiva a largo plazo, se trata de nuevos desafíos para la protección de los negocios.

Por lo anterior, resulta necesario conocer la manera de atender estas incidencias, como una de las funciones
relevantes de los equipos de seguridad dentro de las organizaciones, razón por la cual el presente documento
pretende ser una guía general sobre las acciones a seguir antes, durante y después de un incidente relacionado
con algún tipo de programa malicioso.

Esta guía también incluye una sección sobre los tipos de malware detectados con mayor frecuencia, mostrando
sus principales características y diferencias. Además, considera las principales tendencias en materia de
propagación e infección de estas amenazas, así como recomendaciones para enfrentar de manera proactiva y
reactiva ataques por códigos maliciosos, junto con procedimientos para el envío de muestras al Laboratorio de
análisis e investigación de ESET Latinoamérica.



Página 3 de 24

Guía de respuesta a una infección por malware



1.1. Conceptos generales y tipos de malware


Generalmente, cuando un programa malicioso infecta un sistema, se suele hacer referencia a un “virus”, sin
embargo, puede tratarse de cualquier otro tipo de malware. De hecho, actualmente solo un bajo porcentaje de
los códigos maliciosos que se desarrollan y propagan por Internet corresponde a los denominados virus.

En su lugar, otros tipos de malware han proliferado para afectar a los usuarios con nuevas y variadas técnicas de
propagación e infección, mismos que pueden ser clasificados en función de sus características, propósitos o
funcionalidades. Con el objetivo de tener más información al respecto, en los siguientes párrafos se describen los
tipos de malware más comunes.

Quizá la categoría de malware más conocida efectivamente corresponda a los virus, que obtuvieron su nombre
luego de una analogía con los virus biológicos que solo pueden reproducirse dentro de las células de otros
organismos, tal como lo hacen los virus informáticos, que requieren un archivo huésped para infectar a un
equipo.

Sin embargo, existen amenazas como los gusanos que, a diferencia del virus, no requieren un archivo anfitrión y
tienen la capacidad de replicarse y propagarse por sí mismos; o los troyanos, que simulan ser una aplicación
inofensiva o benévola, pero que en realidad realizan tareas maliciosas sin el consentimiento y muchas veces sin el
conocimiento del usuario.

Los rootkits son otro tipo de programa malicioso que garantiza a los atacantes el acceso a un sistema, a la vez que
ocultan su presencia. Luego de acceder, generalmente debido a una vulnerabilidad, utilizan funciones del sistema
operativo para evitar ser detectados: ocultan procesos, archivos o registros, por lo que es difícil detectarlos por
medio de técnicas convencionales de seguridad.

También es posible encontrar otros tipos de malware, como el spyware, que recopila información de las
actividades de los usuarios y la envía a un atacante, o las botnets, redes de equipos infectados (conocidos como
zombis o bots) que permiten a un cibercriminal utilizarlos, de forma remota, con diversos fines, como propagar
más códigos maliciosos, emplearlos para ataques de Denegación de Servicio (DoS por sus siglas en inglés, Denial
of Service) o utilizarlos para enviar correos no deseados de forma masiva (spam), por citar algunos ejemplos.

Con la evolución de los códigos maliciosos se han desarrollado amenazas de mayor complejidad; en este sentido,
se han registrado subcategorías de troyanos como es el caso de downloaders (que permiten descargar otras
amenazas desde Internet para instalarlas posteri