¿Qué es un troyano?

¿Qué es un troyano? (malware troyano)

Un troyano es un tipo de malware que se camufla en forma de código o software legítimo. Una vez dentro de la red, los ciberdelincuentes pueden realizar cualquier acción permitida para un usuario legítimo, como exportar archivos, modificar datos, eliminar archivos o alterar de cualquier modo el contenido del dispositivo. Los troyanos pueden incluirse en descargas de juegos, herramientas, aplicaciones o hasta parches de software. Muchos ataques troyanos también se valen de tácticas de ingeniería social, así como de suplantación de identidad y phishing, para que el usuario interactúe de la forma deseada.

Troyano: ¿virus o malware?

A veces, a los troyanos se les llama virus troyano, pero este términos es técnicamente incorrecto. A diferencia de un virus o gusano, el malware troyano no puede autorreplicarse ni autoejecutarse. Necesita una acción determinada y deliberada por parte del usuario.

Los troyanos son malware que, como ocurre en la mayoría de casos, están diseñados para dañar archivos, redirigir el tráfico de Internet, monitorizar la actividad del usuario, robar datos confidenciales o establecer puertas traseras para acceder al sistema. Los troyanos pueden eliminar, bloquear, modificar, filtrar o copiar datos, que pueden después devolverse al usuario previo pago de un rescate o venderse en la dark web.

10 tipos de malware troyano

Los troyanos son un modo de ataque muy habitual y versátil para los ciberdelincuentes. A continuación veremos 10 ejemplos de troyanos y su funcionamiento:

1. Troyano exploit: como su nombre indica, estos troyanos identifican y explotan vulnerabilidades dentro de las aplicaciones de software para obtener acceso al sistema.
2. Troyano de descarga: este tipo de malware por lo general ataca a dispositivos infectados e instala una nueva versión de un programa malicioso en el dispositivo.
3. Troyano ransom: como el ransomware general, este malware troyano chantajea a los usuarios para restaurar un dispositivo infectado y su contenido.
4. Troyano de puerta trasera: el atacante utiliza el malware para establecer puntos de acceso a la red.
5. Troyano de ataque de denegación de servicio distribuido (DDoS): los troyanos de puerta trasera se pueden desplegar en varios dispositivos para crear una red de bots, o red zombie, que se pueda usar para realizar ataques DDoS. En este tipo de ataque, los dispositivos infectados pueden acceder a los routers inalámbricos a fin de usarlos después para redirigir el tráfico o inundar una red.
6. Troyano de falso antivirus: camuflado como software antivirus, este troyano en realidad es un ransomware que solicita el pago de unas tarifas a los usuarios para detectar o eliminar amenazas. A menudo, los problemas que dice haber encontrado el programa suelen ser falsos, al igual que el propio software.
7. Troyano de rootkit: este programa intenta ocultarse o esconder un objeto en el ordenador o dispositivo infectado para ampliar la cantidad de tiempo que puede estar en ejecución el programa sin detectarse en un sistema infectado.
8. Troyano SMS: un ataque a dispositivos móviles, este malware troyano puede enviar e interceptar mensajes de texto. También se puede usar para generar ingresos enviando mensajes SMS a números con tarifas especiales.
9. Troyano bancario o banquero troyano: este tipo de troyano ataca específicamente a cuentas financieras. Está diseñado para robar datos relacionados con cuentas bancarias, tarjetas de crédito o débito u otras plataformas de pago electrónico.
10. Troyano GameThief: este programa intenta acceder específicamente a las credenciales de cuentas de jugadores online.

Ejemplos de malware troyanos

Debido a que los programas de malware como los troyanos están en constante evolución, un modo de prevenir las brechas o minimizar los daños es indagar a fondo en los ataques de troyanos anteriores. Aquí tienes algunos ejemplos:

• Zloader de NIGHT SPIDER: este se camuflaba en forma de programas legítimos como instaladores de NetSupport, Brave Browser, JavaPlugin y TeamViewer, pero los programas también incluían scripts y payloads maliciosos que realizaban reconocimientos automatizados y descargaban el troyano. Los intentos del ciberdelincuente de evitar la detección llamó la atención de los Threat Hunters de CrowdStrike, que pudieron recopilar rápidamente las pruebas de que había una campaña en proceso.
• QakBot: se trata de un troyano bancario de ciberdelincuencia que se puede propagar lateralmente por una red con una capacidad similar a la de un gusano que lanza un ataque de fuerza bruta del uso compartido en la red y en las cuentas de grupos de usuarios de Active Directory o mediante la explotación del protocolo Server Message Block (SMB). A pesar de la capacidad evasiva y antianálisis de QakBot, la plataforma CrowdStrike Falcon® impide que este malware complete su cadena de ejecución al detectar que se está ejecutando VBScript.
• Andromeda: es un troyano modular que se utilizaba principalmente como descargador para entregar payloads de malware adicionales, incluidos los troyanos bancarios. A menudo se agrupa y se vende con complementos que amplían su funcionalidad, incluido un rootkit, un malware que se apropia de formularios HTML, un registrador de pulsaciones y un proxy SOCKS. CrowdStrike utilizó PowerShell a través de la plataforma de respuesta en tiempo real para eliminar el malware sin tener que escalar ni que formatear la unidad: todo sin afectar a las operaciones del usuario en ningún momento.

¿Cómo infectan dispositivos los troyanos?

Los troyanos son una de las amenazas más habituales de Internet, afectando tanto a empresas como a particulares. Mientras que muchos ataques se centraron en los usuarios de Windows o PC, un aumento de los usuarios de Mac ha hecho que aumenten los ataques a macOS, haciendo que los fieles de Apple también sean susceptibles a este riesgo de seguridad. Además, los dispositivos móviles, como los teléfonos y las tablets, también son vulnerables a los troyanos.

Algunos de los modos más habituales por los que un dispositivo termina infectado con un troyano se pueden relacionar con el comportamiento del usuario, como vemos a continuación:

• Descargar contenido multimedia pirata, lo que incluye música, videojuegos, películas, libros, software o contenido de pago.
• Descargar cualquier tipo de material no solicitado, como archivos adjuntos, fotos, documentos y hasta formularios de fuentes conocidas.
• Aceptar o permitir una notificación emergente sin leer el mensaje o entender el contenido.
• No leer correctamente el acuerdo del usuario al descargar aplicaciones o software legítimos.
• No estar al día con las actualizaciones y parches para los navegadores, el sistema operativo, las aplicaciones y el software.

Troyanos móviles

Aunque la mayoría de las personas asocian los ataques de troyanos con ordenadores de sobremesa o portátiles, se pueden usar para atacar dispositivos móviles, como los teléfonos inteligentes, las tablets o cualquier otro dispositivo que se conecte a Internet.

Como un ataque de malware tradicional, los ataques de troyanos móviles se camuflan en forma de programas legítimos, normalmente como una aplicación u otro elemento que se descargue con normalidad. Muchos de estos archivos se originan en marketplaces de aplicaciones piratas no oficiales y están diseñados para robar datos y archivos del dispositivo.

Cómo prevenir los ataques de troyanos

Para los usuarios habituales, el mejor modo de protegerse contra los ataques de troyanos es mediante una conducta responsable online y la aplicación de algunas medidas de prevención básicas.

Estas son algunas de las prácticas recomendadas para una conducta responsable online:

• Nunca hagas clic en enlaces no solicitados ni descargues archivos adjuntos inesperados.
• Utiliza contraseñas sólidas y únicas para todas tus cuentas online y dispositivos.
• Acede solo a URL que comiencen con HTTPS.
• Inicia sesión en tu cuenta a través de una pestaña de navegador nueva o de la aplicación oficial, no desde un enlace de un correo electrónico o mensaje.
• Usa un gestor de contraseñas, que introducirá de manera segura una contraseña guardada en un sitio reconocido (pero no en uno suplantado).
• Utiliza un filtro para spam para no recibir en tu bandeja de entrada la mayoría de correos electrónicos falsificados.
• Habilita la autenticación en 2 pasos si es posible para ponérselo más difícil aún a los ciberdelincuentes.
• Asegúrate de completar las actualizaciones de programas de software y del sistema operativo de inmediato.
• Realiza copias de seguridad habitualmente para poder restaurar el equipo en caso de ataque.

Además, los consumidores deberían tomar medidas para proteger sus dispositivos y prevenir así todo tipo de ataques de malware. Esto significaría invertir en software de ciberseguridad, que puede detectar muchas amenazas o bloquearlas para que no infecten el dispositivo.

Cómo responder ante un ataque de malware troyano

El hecho de que los adversarios digitales sean cada vez más sofisticados eleva el grado de dificultad a la hora de resolver los ataques de troyanos por parte de los usuarios. Si se sospecha que el sistema está infectado con un troyano u otro tipo de ataque de malware, lo ideal sería contactar de inmediato con un profesional de renombre en ciberseguridad para que le ayude a corregir la situación y establecer las medidas adecuadas para prevenir ataques similares en el futuro. Como mínimo, los consumidores deberían descargarse un programa antivirus y un servicio de eliminación de malware de un proveedor de confianza.

Para los clientes empresariales, es importante trabajar con un socio de ciberseguridad de confianza para abordar la naturaleza del ataque y su alcance. Tal y como se ha comentado anteriormente, muchos antivirus y programas de eliminación de malware tradicionales ya no corrigen las amenazas existentes ni previenen eventos futuros.

La solución de CrowdStrike para el malware troyano

Para organizaciones empresariales, la protección contra troyanos es especialmente importante, dado que una brecha en un ordenador puede llevar a que se vea comprometida toda la red. Las organizaciones deben adoptar una combinación integrada de métodos para prevenir y detectar todo tipo de malware, incluido el spyware. Estos métodos incluyen el aprendizaje automático y el bloqueo de exploits. Aquí revisamos estas capacidades dentro del contexto de CrowdStrike Falcon®, la plataforma de seguridad nativa de la nube líder del sector.

• Aprendizaje automático: Falcon utiliza el aprendizaje automático para bloquear el malware sin el uso de firmas. En su lugar, se basa en algoritmos matemáticos que analizan archivos y pueden proteger al host incluso cuando no está conectado a Internet.
• Bloqueo de exploit: el malware no viene siempre en forma de archivo que se pueda analizar con el aprendizaje electrónico. Algunos tipos de malware pueden implementarse directamente en la memoria mediante el uso de kits de exploits. Para defenderse de estos, Falcon proporciona una función de bloqueo de exploits que añade otra capa de protección.

CrowdStrike Falcon® combina estos métodos con tecnologías innovadoras que se ejecutan más rápido en la nube para una defensa más inmediata. Para obtener más información, ponte en contacto con nuestra organización para programar una demo o inscribirte en una prueba.