Malware

Malware se refiere a software malicioso que facilita una toma de control no autorizada de nuestro dispositivo por parte de otro usuario, gobierno o tercero para ejercer funciones de monitoreo como almacenar pulsaciones de teclado, robar contraseñas, tomar capturas de pantalla, grabar audio, video y más. A pesar de que la mayoría del malware está diseñado y utilizado por criminales, actores financiados por el estado han adoptado de forma creciente el uso de malware como un mecanismo de monitoreo, espionaje y sabotaje. El malware es utilizado para ganar el control de los dispositivos. Aprovecha este acceso para enviar spam, obtener información bancaria, credenciales de correos electrónicos o redes sociales, deshabilitar sitios web y recopilar información crítica de periodistas, defensores de Derechos Humanos, ONGs, activistas y blogueros. Si sospechas de una infección de malware en tu dispositivo hay algunas cosas que puedes hacer:

Comienza respondiendo algunas preguntas simples:

  • ¿Estás seguro de que no se trata de una cuenta hackeada o una contraseña comprometida? ver Hackeo de Cuentas
  • ¿Cuáles son tus indicadores de compromiso?

De cualquier forma ¿Qué es un indicador de compromiso?

Existen muchas razones por las cuales puedes sospechar que tu dispositivo fue infectado con malware; estas son llamadas indicadores de compromiso. Pueden incuir cosas como:

  • Abriste un archivo adjunto o un enlace que piensas que pudo ser malicioso
  • La luz indicadora de uso de tu cámara web se enciende cuando no la estás usando
  • Tus cuentas han sido comprometidas en múltiples ocasiones, incluso después de cambiar contraseñas.

También puedes tener razones para sospechar de una infección de malware si:

  • Tu dispositivo fue incautado y posteriormente devuelto
  • Alguien entró a tu casa y pudo haber modificado tu dispositivo
  • Parte de tu información personal se ha publicado y solo pudo haber venido de tu computadora personal
  • Tu o tu organización son objetivo de un gobierno, cuerpos de seguridad o un tercero con capacidades similares

Primeros pasos para mitigar el problema:

Después de confirmar que no se trata de un hackeo de cuentas y existen indicadores de compromiso claros hay dos posibles aproximaciones al problema: limpiar tus dispositivos o entender el ataque y despues limpiar tus dispositivos. Tu primera prioridad debería ser tener tu computadora limpia y utilizable de nuevo. Encontrar qué fue lo que pasó y quien te hizo blanco del ataque puede ser menos importante para ti. Sin embargo, puede ser valioso entender mejor a tu adversario, sus capacidades técnicas y si el atacante potencial (una entidad de gobierno o algún otro tercero involucrado) es conocido o no por usar tecnologías de vigilancia digital. Si entender al atacante y el ataque es relevante para ti, es esencial recolectar y analizar la información de la infección de malware antes de dedicarte a ‘limpiar’ tu computadora. Para ver más sobre recolección de información y análisis de malware continua a la sección de pasos recomendados para el análisis a primer nivel, de otra manera continua a la siguiente sección.

Limpiando tu dispositivo*

En el caso de que hayas decidido limpiar el dispositivo sin entender el malware y el ataque por favor ten en cuenta lo siguiente:

  1. No existe un arreglo rápido para limpiar malware de tu computadora. Incluso después de seguir los pasos a continuación una infección sofisticada de malware puede seguir operativa en el dispositivo. Estos pasos son suficientes para remover la mayoría del malware que probablemente puedas encontrar a menos de que seas blanco de un atacante muy avanzado.
  2. Si crees que estás siendo blanco de ataque por un actor del estado y los indicadores de compromiso persisten después de limpiar los virus detectados al seguir los siguientes pasos, deconecta el dispositivo de Internet, apágalo, desconéctalo, si es posible quítale la batería y busca la ayuda de un profesional de seguridad.

Antivirus

Algún programa antivirus puede dar una primera respuesta efectiva para proteger un dispositivo de un porcentaje significativo de malware. Sin embargo, los programas antivirus son considerados inefectivos contra ataques dirigidos a blancos específicos, especialmente por actores financiados por el estado. A pesar de esto, el antivirus sigue siendo una herramienta defensiva importante en contra de malware no dirigido, pero igualmente peligroso. Abajo está una lista no exhaustiva de opciones: - Microsoft Safety Scanner (Windows) - F-Secure - Kaspersky - ClamXav (Mac OS X) - TrendMicro - ClamAV (Windows y Linux) - ESET (Windows)

Cuando ejecutes software antivirus, asegúrate de que esté actualizado. Si un virus es detectado se recomienda seguir los siguientes pasos.

  • Paso 1: Asegúrate de que tu antivirus esté actualizado
  • Paso 2: Toma una captura de pantalla del mensaje
  • Paso 3: Continua con los pasos recomendados para manejar el virus
  • Paso 4: Sigue la guía de la sección de Comunicaciones Seguras y envíale la captura de pantalla con el mensaje a alguien con experticia en el tema de seguridad.

¡No te detengas aquí! Siguientes pasos importantes:

Si sospechas de un ataque llevado a cabo por el estado o quieres conocer más acerca del ataque y los atacantes, es importante recopilar tanta información forense como puedas; por favor dirígete a la sección de pasos recomendados para un análisis de primer nivel. En algunas computadoras puedes cambiar e disco duro, quedándote con el disco duro infectado en un sitio seguro para un análisis forense y habilitando la computadora para su uso con un disco nuevo.

  • Has una copia de seguridad de tus archivos y reinstala tu sistema operativo; no es posible determinar si en este caso el virus ha sido completamente eliminado. Después de instalar un malware, el atacante usualmente instala otros, por eso siempre es recomendable reinstalar el sistema operativo después de ejecutar un borrado completo del disco duro. Si es posible, investiga si cambiar el disco duro puede ser una opción.
  • Después de reinstalar el sistema operativo querrás tener acceso a tus archivos nuevamente. Toma en cuenta que el malware pudo haber infectado tus documentos. Después de reinstalar tu sistema operativo, deberías seguir los siguientes pasos:
    • Si es posible, extrae tus documentos de una copia de seguridad hecha previa a la infección de malware en tu equipo.
    • Si no sabes cuando tu equipo se infectó con malware, o si sospechas que algún archivo específico o adjunto recibido puede estar infectado, hay varias cosas que puedes hacer:
      • Descarga todos tus programas ejecutables de nuevo desde fuentes confiables
      • Si el vector de ataque ha sido identificado por un técnico experto y se sabe que el malware esta infectando otros documentos, una opción puede ser cargarlos y abrirlos en Google Docs/Drive y re-descargarlos de allí. En la mayoría de los casos abrir un documento sospechoso en Google Docs/Drive es una buena recomendación. El documento no infectará tu equipo y seguirá siendo editable.
      • Otra opción es copiar los documentos a una memoria USB y abrirlos en CIRCLean. El malware no será copiado, pero los documentos serán convertidos a imágenes o pdf, un formato de sólo lectura y no editable.

Primeros pasos recomendados para un análisis de primer nivel

Las siguientes recomendaciones deben ser implementadas por una persona con cierta experticia en seguridad. Si no tienes las habilidades necesarias para seguir las instrucciones a continuación, píedele ayuda a un especialista. Si es posible, comunícate con esta persona mediante canales seguros usando las prácticas recomendadas en la sección de Comunicaciones Seguras.

Los primeros pasos a tomar:

  • Si alguno de los indicadores en un correo electrónico, obtén los headers o cabeceras, y analízalos. Google también provee una herramienta simple que hace esto automáticamente.
  • Si es posible, obtén de forma segura el malware en cuestión y revísalo en Virus Total para ver si con las huellas correspondientes ese archivo ha sido cargado.
  • Si el archivo no es confidencial, puedes cargarlo también en Malwr y analiza el resultado.
  • Si el archivo sospechoso viene de un enlace, obtén el URL completo e ingrésalo en:

¿Que sigue?

  • Paso 1: Recolección de información para análisis posterior La siguiente información es crítica para cualquier análisis posterior, ya sea por ti o por un tercero. Es recomendado recolectar toda la información que aparece a continuación en la medida de lo posible para ser analizada posteriormente:
    • Información del sistema (hardware, detalles del sistema operativo, incluyendo versión y estado de las actualizaciones)
    • Ubicación de la víctima y localización del sistema (IP, país, idioma del usuario)
    • Lista de usuarios compartiendo el mismo dispositivo
    • En caso de correos sospechosos las cabeceras correspondientes completas
    • En caso de un enlace la dirección completa, captura de pantalla y momento exacto de uso
    • Puede ser muy útil tener un vaciado información o dump del sitio web, además de una captura de paquetes de la conexión a este
    • Vaciado de memoria
    • Imagen de disco
      • Considera que puede ser más sencillo recomendar el reemplazo del disco duro en vez de enseñar a hacer una imagen de disco para hacerle llegar el disco a personas de interés.
    • Evaluar la posibilidad de hacer un análisis forense remoto, y en este caso establecer canales adecuados de comunicación
  • Paso 2: Análisis de Malware Si no tienes las habilidades para procesar esta información, pásasela a un experto en malware de confianza o a alguna de las siguientes organizaciones:

Toma medidas extra contra los atacantes:

El Malware es potencialmente el ataque más peligroso contra activistas, ya que provee fácil acceso a tu información de cuentas así como a la documentación completa relativa ti y a tus proyectos. No existe un método particular para protegerte del malware, sin embargo te puedes volver un adversario más difícil.

Ten en cuenta, sin embargo, que el malware especializado y dirigido no va a ser detectado incluso por el mejor software antivirus. Los pasos 1 y 2 te hacen más seguro contra malware antiguo, pero sólo cambiando tus hábitos es que mejorarás tu capacidad de adaptación

  • Paso 1: Chequea regularmente las actualizaciones disponibles de todo tu software, especialmente de tu sistema operativo y tu explorador web.
  • Paso 2: Instala y configura un programa antivirus (ver arriba) y asegúrate de que se actualice automáticamente. Algunos programas antivirus van a dejar de funcionar después de que expire su período de prueba sin notificarte.
  • Paso 3: Cambia tus propios hábitos. El correo electrónico y los adjuntos en chats son ‘vectores de ataque’ comunes en donde una computadora comprometida de un amigo intenta mandar automáticamente adjuntos maliciosos a su lista de contactos completa. Pídele a las personas que te envíen documentos en texto plano en la medida de lo posible y nunca abras documentos que no esperes sin antes ¡verificar cuidadosamente que la persona que te lo envió quería hacerlo! Usar un servicio de terceros como Google Docs/Drive para abrir documentos y hojas de cálculo te permitirá ver y editar el contenido, mientras que a su vez disminuye tus riesgos de infección de malware de forma significativa.
  • Paso 4: Una protección más exhaustiva puede ser lograda instalando en tu explorador web plugins como HTTPS Everywhere o NoScript (para Firefox).

Investiga

Si tus dispositivos han sido comprometidos en un ataque dirigido, puede ser valioso entender por qué fuiste atacado y por quién.

Por qué fuiste atacado: ¿Quién crees que puede estar interesado en ti o tu organización como un objetivo? ¿Esta amenaza está relacionada con tu trabajo? En la sección de referencias útiles hay links de guías que te pueden dar tips y trucos de cómo prevenir emergencias digitales y ser proactivo en tu seguridad digital.

Por quien: ¿Cuáles son las capacidades técnicas de tu adversario? ¿Es el atacante potencial (una entidad gubernamental u otro tercero) conocido por usar tecnologías de vigilancia en internet? En la sección de Reportes sobre ataques de malware financiados por estados hay más información sobre las diferentes formas en la cual gobiernos han usado malware para ataques dirigidos.

Documentación: Puede ser difícil recordar cosas tan específicas como en qué momento exacto le diste clic a un link sospechoso. Por eso recomendamos tener un cuaderno de notas cerca de la computadora para anotar la hora, fecha y cosas extrañas que puedan pasar y están pasando con tu dispositivo. En algunos casos los expertos han sido capaces de identificar un tipo específico de malware al relacionar el momento del ataque con características únicas o indicadores particulares de compromiso.

Reportes sobre ataques de malware financiados por estados (En Inglés):

Referencias Útiles

  • Más sobre Malware y Spyware
  • El explorador web Google Chrome y su versión de código abierto Chromium, tienen información muy completa acerca de sitios web sospechosos