VirusYotrosMalware

Vista previa del material en texto

Computación / enfermería /UNPA 
Compilador: Bertha López Azamar 1 
Software malintencionado e infeccioso 
Introducción 
Los virus informáticos son un tipo de programa malicioso (malware). El término virus informático 
suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus 
verdaderos
1
. Por lo que en la actualidad sería más correcto mejor usar el término MALWARE en el 
momento de referirse a cualquier código malicioso (parásito/infección). 
Malware - malicious software - software malicioso - también llamado badware, código maligno, o 
software malintencionado. Es un tipo de software que tiene como objetivo infiltrarse o 
dañar una computadora o sistema de información sin el consentimiento de su propietario. 
El software se considera malware en función de los efectos que provoque en un computador. 
En sí, el término malware es muy utilizado por profesionales de la informática para referirse a una 
variedad de software hostil, intrusivo o molesto. Debe aclararse que Malware no es lo mismo que 
software defectuoso (este último contiene bugs
2
 peligrosos, pero no de forma intencionada). 
 
En el mundo de los Malware encontramos 
nombres como Virus, Troyanos(Trojans), 
Gusanos (Worm), y Spywares, pero también ha 
habido una evolución de como los conocíamos, 
surgiendo nuevos integrantes como Rootkits (la 
mayor parte), ladrones de los Troyanos 
Bancarios, secuestradores de PCs (Botnets), 
"Falsos Antivirus" (Rogues), FakeAVs, 
Keyloggers, Ransomwares, Adware intrusivo, 
Hijackers, Bootkits, Scareware, Crimeware y 
otros software malicioso e indeseable que no 
dejarán de salir. 
 
Si se trata de clasificar, los Malware podría 
tenerse los siguientes grandes grupos: el Malware infeccioso, el Malware oculto y el Malware para 
obtener beneficios. 
El Malware infeccioso incluye a los virus y gusanos. El Malware oculto incluye a los Backdoor 
(puerta trasera), drive by downloads, Rootkis y troyanos. Del Malware para obtener beneficios, se 
tienen diferentes tipos, una subclasificación podría ser: Mostrar publicidad (Spyware, Adware, 
Hijacking); robar información personal (Keyloggers, Stealers), realizar llamadas telefónicas 
(Dialers), Ataques distribuidos (Botnets), otros (Rogue, Ransomware). 
Definiendo algunos Malvare 
Virus3: programa malicioso que infecta a otros archivos del sistema con la intención de 
modificarlo o dañarlo. 
Dicha infección consiste en incrustar su código malicioso en el interior del archivo víctima, 
normalmente un archivo ejecutable, de forma que a partir de ese momento dicho ejecutable 
 
1
 Existen otros programas como los Hoax y los Joke que no son virus, pero que si son molestos, ya que básicamente son 
mensajes indeseados. Los Hoax, mensajes de contenido falso que incita al usuario a hacer copias y enviarla a sus 
contactos. Joke un ejemplo una página pornográfica que se mueve de un lado a otro de la pantalla. 
2
 Un error de software, comúnmente conocido como bug («bicho»), es un error o fallo en un programa de computador o 
sistema de software que desencadena un resultado indeseado. Los programas que ayudan a la detección y eliminación 
de errores de programación de software son denominados depuradores (debuggers). 
3
 Puede encontrar una lista de virus dañinos en http://www.taringa.net/posts/info/14214947/Los-10-Virus-De-
Computadora-Mas-Daninos-De-La-Historia.html 
http://www.infospyware.com/articulos/que-son-los-malwares/
http://es.wikipedia.org/wiki/Error_de_software
http://es.wikipedia.org/wiki/Crimeware
Computación / enfermería /UNPA 
Compilador: Bertha López Azamar 2 
pasa a ser portador del virus y por tanto, una nueva fuente de infección. 
Un virus infecta a una computadora y su función básicamente es propagarse en ella con diversos 
propósitos, no se replican a sí mismos porque no tienen esa facultad (como el Gusano informático), 
son muy nocivos y algunos contienen además una carga dañina (payload) con distintos objetivos, 
desde una simple broma (inofensivos pero molestos), hasta realizar daños importantes en los 
sistemas (destruir los datos almacenados en una computadora, robo de información, o bloquear las 
redes informáticas generando tráfico inútil). 
Por lo general el virus intenta pasar desapercibido por el usuario el mayor tiempo posible. Suele 
quedar residente en memoria. Lo más habitual es que los virus permanezcan ocultos en archivos del 
tipo ejecutable (.exe y .com), pero pueden existir en otros formatos. 
El contagio por un virus suele producirlo el mismo usuario al ejecutar un programa que está 
infectado y toma los servicios básicos del sistema operativo para lograr sus objetivos. 
Los tipos de virus conocidos afectan diferentes partes del sistema, así pueden dañar archivos, sector 
de arranque del sistema operativo, el sector de arranque maestro, archivos de programas, datos del 
usuario. 
De acuerdo a la forma en la que actúan los virus, se pueden presentar: 
Virus residentes
4
: se ocultan en la memoria RAM de forma permanente o residente. De este modo, 
pueden controlar e interceptar todas las operaciones llevadas a cabo por el sistema operativo, 
infectando todos aquellos ficheros y/o programas que sean ejecutados, abiertos, cerrados, 
renombrados, copiados. 
Virus de acción directa: Estos virus no permanecen en memoria, su objetivo prioritario es 
reproducirse y actuar en el mismo momento de ser ejecutados. Al cumplirse una 
determinada condición, se activan y buscan los ficheros ubicados dentro de su mismo 
directorio para contagiarlos. 
En general existen cinco tipos básicos de virus conocidos: 
 Virus que infectan archivos: atacan a los archivos de programa. Normalmente infectan el 
código ejecutable, contenido en archivos .COM y .EXE, *.DRV, *.DLL, *.BIN, *.OVL, *.SYS 
e incluso BAT. También pueden infectar otros archivos cuando se ejecuta un programa 
infectado desde un disquete, una unidad de disco duro o una red. Muchos de estos virus están 
residentes en memoria, así que una vez que la memoria se infecta, cualquier archivo ejecutable 
que no esté infectado pasará a estarlo. Estos se activan cada vez que el archivo infectado es 
ejecutado, ejecutando primero su código vírico y luego devuelve el control al programa 
infectado pudiendo permanecer residente en la memoria durante mucho tiempo después de que 
hayan sido activados. 
 Virus del sector de arranque
5
 -de boot
6
 (bot_kill)-: infectan el área de sistema de un disco, es 
decir, el registro de arranque de los disquetes y los discos duros. Los virus del sector de 
arranque se copian en esta parte del disco y se activan cuando el usuario intenta iniciar el 
sistema desde el disco infectado. Estos virus están residentes en memoria por naturaleza. Para 
que se produzca la infección basta con intentar iniciar el equipo con un disquete infectado. 
Posteriormente, mientras el virus permanezca en memoria, todos los disquetes que no estén 
protegidos contra escritura quedarán infectados al acceder a ellos. Por tanto, el mejor modo de 
defenderse contra ellos es proteger los dispositivos de almacenamiento contra escritura y no 
arrancar nunca el ordenador con uno de estos dispositivos desconocido en el ordenador. 
 Virus del sector de arranque maestro: residen en memoria e infectan los discos de la misma 
forma que los virus del sector de arranque. La diferencia entre ambos tipos de virus es el lugar 
 
4
 Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve, MrKlunky. 
5
 Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE. 
6
 Los términos boot o sector de arranque hacen referencia a una sección muy importante de un disco o unidad de 
almacenamiento CD,DVD, memorias USB etc. En ella se guarda la información esencial sobre las características del 
disco y se encuentra un programa que permite arrancar el ordenador.Computación / enfermería /UNPA 
Compilador: Bertha López Azamar 3 
en que se encuentra el código vírico, los virus del sector de arranque maestro normalmente 
guardan una copia legítima de dicho sector de arranque en otra ubicación. 
 Virus múltiples: infectan tanto los registros de arranque como los archivos de programa. Son 
especialmente difíciles de eliminar. Si se limpia el área de arranque, pero no los archivos, el 
área de arranque volverá a infectarse. Ocurre lo mismo a la inversa. Si el virus no se elimina del 
área de arranque, los archivos que se limpiaron volverán a infectarse. 
 Virus de macro: atacan los archivos de datos. Los virus de macro son aplicaciones específicas 
que viajan entre archivos en las aplicaciones y pueden, eventualmente, infectar miles de 
archivos. Son escritos en Visual Basic y son muy fáciles de crear. Pueden infectar diferentes 
puntos de un archivo en uso, por ejemplo, cuando éste se abre, se graba, se cierra o se borra. Lo 
primero que hacen es modificar la plantilla maestra (normal.dot) para ejecutar varias macros 
insertadas por el virus, así cada documento que abramos o creemos, se incluirán las macros 
"víricas". En si vinculan sus acciones a modelos de documentos y a otros archivos de modo que, 
cuando una aplicación carga el archivo y ejecuta las instrucciones contenidas en el archivo, las 
primeras instrucciones ejecutadas serán las del virus. 
Sin embargo, también se suele clasificar a los virus según alguna característica en particular, así se 
pueden encontrar diferentes listas de tipos de virus. En general obsérvese la siguiente lista que trata 
de englobar distintos tipos de virus aun no señalados en el texto: 
Virus de sobreescritura: se caracterizan por destruir la información contenida en los ficheros 
que infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que 
queden total o parcialmente inservibles. 
Virus de enlace o directorio
7
: Su tarea consiste en alterar las direcciones que indican donde se 
almacenan los ficheros. De este modo, al intentar ejecutar un programa (fichero con extensión 
EXE o COM) infectado por un virus de enlace, lo que se hace en realidad es ejecutar el virus, 
ya que éste habrá modificado la dirección donde se encontraba originalmente el programa, 
colocándose en su lugar. Una vez producida la infección, resulta imposible localizar y trabajar 
con los ficheros originales. 
Virus de FAT
8
: Los virus que atacan a la FAT son especialmente peligrosos, ya que impedirán 
el acceso a ciertas partes del disco, donde se almacenan los ficheros críticos para el normal 
funcionamiento del ordenador. 
Virus cifrados: Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, 
que a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a sí mismos para 
no ser detectados por los programas antivirus. Para realizar sus actividades, el virus se 
descifra a sí mismo y, cuando ha finalizado, se vuelve a cifrar: 
Virus polimórficos (o mutante): Tal vez son los más difíciles de detectar, ya que cambia su 
firma (signature
9
) cada vez que se replica e infecta un nuevo archivo (utilizando diferentes 
algoritmos y claves de cifrado). Esto se debe a que sus cadenas no son las mismas cada vez 
que crea una copia de sí mismo. Una de sus técnicas suele ser la auto-encriptación utilizando 
llaves variantes. De esta forma, generan una elevada cantidad de copias de sí mismos e 
impiden que los antivirus los localicen a través de la búsqueda de cadenas o firmas, por lo que 
suelen ser los virus más costosos de detectar. 
Virus multipartites –virus stealth-: son virus muy avanzados, que pueden realizar múltiples 
infecciones, combinando diferentes técnicas para ello, de forma que intenta ocultarse de los 
antivirus. Su objetivo es cualquier elemento que pueda ser infectado: archivos, programas, 
 
7
 Los ficheros se ubican en determinadas direcciones (compuestas básicamente por unidad de disco y directorio), que el 
sistema operativo conoce para poder localizarlos y trabajar con ellos. 
8
 La tabla de asignación de ficheros o FAT (del inglés File Allocation Table) es la sección de un disco utilizada para 
enlazar la información contenida en éste. Se trata de un elemento fundamental en el sistema. 
9
 signature = firma. La signature de un virus es una única cadena de bits, o un patrón binario, de todo o parte de un virus 
informático. La signature o firma de un virus, es como la huella dactilar que puede ser usada para detectar e identificar 
específicamente a un virus. Los antivirus suelen utilizar, entre otras técnicas, el reconocimiento de las signatures de los 
virus para detectar la presencia de códigos maliciosos. 
Computación / enfermería /UNPA 
Compilador: Bertha López Azamar 4 
macros, discos, etc. Suele ocultar las modificaciones que hace a los archivos, registros de 
inicio o a las claves del registro del sistema, generalmente tomando el control de las funciones 
del sistema relacionadas al almacenamiento. Por ejemplo, si un antivirus quiere leer un 
archivo infectado, les mostrará una versión no infectada del mismo. Esta técnica la utilizaba 
uno de los primeros virus de este tipo llamado Braian, que infectaba el sector de arranque y 
luego monitoreaba la entrada/salida y redireccionaba cualquier intento de leer el sector 
infectado. 
Virus Bomba de tiempo -time bomb- es un determinado programa o rutina que se accionará en 
una determinada fecha u hora en un sistema infectado. Muchas veces a la bomba de tiempo 
también se le llamada bomba lógica pero las activan aspectos distintos
10
. 
Virus Bomba lógica -logic bomb- se refiere a programas o rutina que se activan cuando se dan 
condiciones específicas que, además de una fecha/hora determinadas, pueden ser otras 
acciones o estados (ejemplo enviar un e-mail, ingresar a alguna aplicación). Normalmente su 
activación es oculta a los ojos del usuario y sus consecuencias varían (puede destruir la 
información del sistema, interceptar los servicios del sistema para propagarse a través del 
correo electrónico). 
Virus Parásito: se adhieren a archivos (especialmente ejecutables), como lo haría un parásito. 
Ese archivo ejecutable es denominado portador (o host) y el virus lo utiliza para propagarse. 
Si el programa es ejecutado, lo primero que se ejecuta es el virus y luego, para no levantar 
sospechas, se ejecuta el programa original. Muchas veces es aquí donde los virus parásitos 
fallan, porque hay programas que detectan estas modificaciones y lanzan errores (incluso 
errores de advertencias de presencia de virus). 
Virus de MailBomb: escribes un texto que quieras, una dirección de e-mail (victima) introduces 
el número de copias y ya está. El programa crea tantos mensajes como el número de copias 
indicado antes, seguidamente empezara a enviar mensajes hasta saturar el correo de la 
víctima. 
Virus de VBS: Mensajes de correo electrónico, que contienen archivos Visual Basic Scripts, 
anexados, los cuales tienen la extensión .VBS. Un Visual Basic Script es un conjunto de 
instrucciones lógicas, ordenadas secuencialmente para realizar una determinada acción al 
iniciar un sistema operativo, al hacer un Login en un Servidor de Red, o al ejecutar una 
aplicación, almacenadas bajo un nombre de archivo y extensión adecuada. Los Scripts pueden 
ser interpretados y ejecutados por el Sistema Operativo Windows, Novell, etc. o por una 
aplicación mIRC, pIRC, AutoCad, etc. 
Virus de Web (active x y java): Los applets de JAVA y los controles Active X, son unos 
lenguajes nuevos orientados a Internet, pero las nuevas tecnologías abren un mundo nuevo a 
explotar por los creadores de virus. A partir del 2000, superaran en número a los virus de 
macro 
Criptovirus: Tipo de virus que "secuestra" archivos del usuario y luego pide un "rescate" en 
dinero para liberarlos. Entran en la categoríade los Ransomware. 
 
Troyanos (Trojans): (a veces llamado Caballo de troya) Es un pequeño programa generalmente 
alojado dentro de otra aplicación (un archivo) normal. Su objetivo es pasar inadvertido al usuario e 
instalarse en el sistema cuando este ejecuta el archivo “huésped”, así queda activo en el sistema y 
abre un puerto de entrada a esa computadora. De esta manera la PC queda expuesta y puede ser 
accedida remotamente. Permitiendo a una persona acceder a la computadora infectada o recolectar 
datos y enviarlos por Internet a un desconocido. 
Luego de instalarse, pueden realizar las más diversas tareas, ocultas al usuario. 
En la teoría, un troyano no es virus, ya que no cumple con todas las características de los mismos, 
pero debido a que estas amenazas pueden propagarse de igual manera, suele incluírselos dentro del 
mismo grupo. 
Actualmente se los utiliza para la instalación de otros malware como backdoors y permitir el acceso 
 
10
 Algunos virus se hicieron famosos, como el "Viernes 13" y el "Michelangelo" 
Computación / enfermería /UNPA 
Compilador: Bertha López Azamar 5 
al sistema al creador de la amenaza. Algunos troyanos, los menos, simulan realizar una función útil 
al usuario a la vez que también realizan la acción dañina. 
La similitud con el “caballo de Troya” de los griegos es evidente y debido a esa característica 
recibieron su nombre. 
Troyanos bancarios (Trojan-Bankings): la mayoría de estos especímenes de código 
malicioso están diseñados precisamente con el objetivo de conseguir beneficios económicos 
para sus creadores a través de fraudes bancarios. 
 
Gusanos o lombrices (Worm): Su principal diferencia con los virus radica en que no necesitan de 
un archivo anfitrión para seguir vivos. Se autoréplica, residiendo en memoria. Muchas veces dejan 
de lado el hecho de dañar directamente el sistema de los usuarios infectados, y se preocupan más 
por que se replique. 
Existen dos variantes de gusanos: 
- Los que comienzan a consumir los recursos de la computadora por su incontrolada 
replicación de sí mismos, afectando el rendimiento o produciendo bloqueos del sistema. 
- Los que suelen usar la red conectada a la computadora infectada para autoreplicarse 
enviando copias de sí mismo a otros nodos, de forma que logren colapsar la red. En general, 
los gusanos pueden reproducirse utilizando diferentes medios de comunicación como las 
redes locales, el correo electrónico, los programas de mensajería instantánea, redes P2P, 
dispositivos USBs y las redes sociales. Existen distintos tipos de gusanos: gusanos de 
emails, gusanos de IRC, gusanos de mensajeros instantáneos, gusanos de redes de 
intercambio de archivos, gusanos de internet en general. 
 
Ladilla virtual -virtual crab- Tipo de programa maligno que, como analogía al parásito de 
transmisión sexual, entra en una computadora a través del sexo virtual, sitios pornográficos o 
cualquier aplicación relacionada. Los sitios web pornográficos suelen ser un gran caldo de cultivo 
para estos parásitos virtuales. 
 
Backdoor (puerta trasera): Estos programas son diseñados para abrir una “puerta trasera” en 
nuestro sistema de modo tal de permitir al creador de esta aplicación tener acceso al sistema y hacer 
lo que desee con él. El objetivo es lograr una gran cantidad de computadoras infectadas para 
disponer de ellos libremente hasta el punto de formas redes. 
 
Rootkits: son la cremé de la cremé de malware, funcionando de una manera no muy diferente a 
las unidades de elite de las fuerzas especiales: colarse, establecer comunicaciones con la sede, las 
defensas de reconocimiento, y el ataque de fuerza. 
Es una herramienta muy usada por intrusos informáticos o crackers, y sirve para esconder los 
procesos y archivos que permiten al intruso mantener el acceso al sistema informático. Un Rootkit 
permite un acceso de privilegio continuo a una computadora, ya que necesita llevar a cabo algunas 
tareas que se podrían considerar típicas, como adquirir derechos de root, modificar llamadas básicas 
al sistema operativo, falsear sistemas de reporte de datos del sistema, por mencionar algunas. Todas 
esas tareas parecen poco peligrosas, sin embargo juntas en el mismo momento por el mismo 
programa, significan un peligro mayor. 
Están diseñados para pasar desapercibidos, no pueden ser detectados fácilmente. Su presencia activa 
se mantiene oculta al control de los administradores al corromper el funcionamiento del sistema 
operativo y de otras aplicaciones. 
Si el usuario intenta analizar el sistema para ver qué procesos están ejecutándose, el Rootkit 
mostrará información falsa, mostrando todos los procesos excepto él mismo y los que está 
ocultando. Igualmente si se intenta ver un listado de los ficheros, este software lo que hace 
es ocultar el propio fichero del Rootkits y de los procesos que esconde. 
Computación / enfermería /UNPA 
Compilador: Bertha López Azamar 6 
Si se detectan y se hacen intentos por eliminarlas, todo el infierno se desata. Cada removedor de 
rootkit que se precie advierte que la eliminación del rootkit podría causar problemas para el sistema 
operativo, hasta el punto de donde no podrá arrancar. Esto es porque el rootkit se entierra 
profundamente en el sistema operativo, en sustitución de los archivos críticos con aquellos bajo el 
control del rootkit. Y cuando los archivos reemplazados asociados con el rootkit se retiran, el 
sistema operativo puede ser inutilizado. 
Se puede prevenir la infección, vigilando además de los archivos en el disco, debe vigilarse lo que 
hacen al ejecutarse. Si ya se infecto el sistema, lo mejor es arrancar el sistema operativo, no desde el 
disco duro, sino utilizando un disco diferente al sistema infectado, por ejemplo un CD o un DVD, e 
intentar localizar y eliminar el rootkit, aunque no todos los antivirus son efectivos.
11
 
Hay rootkits para una amplia variedad de sistemas operativos, como Linux, Solaris o Microsoft 
Windows. 
 
Botnets (los secuestradores de PCs): es una red de equipos infectados por códigos maliciosos, 
que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma 
conjunta y distribuida. Cuando una computadora ha sido afectado por un malware de este tipo, se 
dice que es un equipo es un robot o zombi. Este tipo de redes son usadas para el envío masivo de 
spam
12
 o para lanzar ataquesDDoS
13
 contra organizaciones como forma de extorsión o para impedir 
su correcto funcionamiento. La ventaja que ofrece a los spammers (de spam) el uso de ordenadores 
infectados es el anonimato, que les protege de la persecución policial. 
 
Keyloggers: creados para robar información sensible. Al ejecutarse quedan escondidos en el 
sistema operativo, de manera que la víctima no sepa que está siendo monitorizada. Se crean con la 
finalidad de robar contraseñas bancarias, principalmente, así como contraseñas personales de 
correos, redes sociales. Algunos keyloggers logran capturar la pantalla de la víctima, de manera que 
logre verse lo que está haciendo la computadora. El término anglosajón pop-up (en español: ventana 
emergente) denota un elemento emergente que se utiliza generalmente dentro de terminología web. 
 
Stealers - ladrón de información- Al igual que los keyloggers roban información privada pero 
solamente la que se encuentra guardada en el equipo. Al ejecutarse comprueban los programas 
instalados en el equipo y si tienen contraseñas recordadas, por ejemplo en los navegadores web o en 
clientes de mensajería instantánea, descifran esa información y la envían al creador. 
 
Hijackers: son programas o scripts que secuestran navegadores de Internet, principalmente el 
Internet Explorer. Y lo que causan es alterar la página inicial del navegador e impide al usuario 
cambiarla, mostrando publicidad en pop-ups
14
 o ventanas nuevas, instala barras de herramientas en 
el navegador y puedenimpedir el acceso a determinadas páginas webs. 
 
Dialers: son programas maliciosos que toman el control del módem dial-up, realizan una llamada 
a un número de teléfono de tarificación especial, muchas veces internacional, y dejan la línea 
abierta cargando el coste de dicha llamada al usuario infectado. La forma más habitual de infección 
suele ser en páginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso 
 
11
 Algunas herramientas Anti-Rootkits totalmente gratuita busquelas en http://www.infospyware.com/antirootkits/ 
12
 Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido 
(correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) 
que perjudican de alguna o varias maneras al receptor. 
13
 En seguridad informática, un ataque de denegación de servicios, también llamado ataque DoS (de las siglas en inglés 
Denial of Service) o DDoS (de Distributed Denial of Service), es un ataque a un sistema de computadoras o red que 
causa que un servicio o recurso sea inaccesible a los usuarios legítimos. 
14
 El término anglosajón pop-up (en español: ventana emergente) denota un elemento emergente que se utiliza 
generalmente dentro de terminología web. 
Computación / enfermería /UNPA 
Compilador: Bertha López Azamar 7 
mediante conexión telefónica. Suelen utilizar como señuelos videojuegos, salva pantallas, 
pornografía u otro tipo de material. 
 
Adware: No deben asociarse este tipo de programas con aquellos que incluyen spyware, aunque 
es cierto que muchas veces van de la mano. Muchos programas Adware monitorizan la actividad de 
sus usuarios sin su consentimiento (ejemplo el Kazaa). Muchos también son espías como Gator 
Hotbar. Los síntomas de tener un Adware: se dedican a mostrarnos publicidades en los programas 
que estos vienen incluidos por medios de banners en estos, pero ya los más peligrosos nos van a 
abrir ventanitas pop-ups por todas partes, van a agregar direcciones en los favoritos del IE y van a 
instalarnos barras de herramientas con el único objetivo de que naveguemos siempre dentro de sus 
redes de publicidad. 
 
Spyware -programa espía- es un software que recopila información de un ordenador y después 
transmite esta información a una entidad externa sin el conocimiento o el consentimiento del 
propietario del ordenador. El término spyware también se utiliza más ampliamente para referirse a 
otros productos que no son estrictamente spyware. Estos productos, realizan diferentes funciones, 
como mostrar anuncios no solicitados (pop-up), recopilar información privada, redirigir solicitudes 
de páginas e instalar marcadores de teléfono. 
Un spyware típico se autoinstala en el sistema afectado de forma que se ejecuta cada vez que se 
pone en marcha el ordenador (utilizando CPU y memoria RAM, reduciendo la estabilidad del 
ordenador), y funciona todo el tiempo, controlando el uso que se hace de Internet y mostrando 
anuncios relacionados. 
Sin embargo, a diferencia de los virus, no se intenta replicar en otros ordenadores, por lo que 
funciona como un parásito. 
La mayoría de los programas spyware son instalados como troyanos junto a software deseable 
bajado de Internet. Otros programas spyware recogen la información mediante cookies de terceros o 
barra de herramientas instaladas en navegadores web. Los autores de spyware que intentan actuar 
de manera legal se presentan abiertamente como empresas de publicidad e incluyen unos términos 
de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios 
aceptan sin leer o sin entender. 
Las consecuencias de una infección de spyware moderada o severa (aparte de las cuestiones de 
privacidad) generalmente incluyen una pérdida considerable del rendimiento del sistema (hasta un 
50 % en casos extremos), y problemas de estabilidad graves (el ordenador se queda "colgado"). 
También causan dificultad a la hora de conectar a Internet. Algunos ejemplos de programas espía 
conocidos son Gator o Bonzi Buddy. 
 
Ransomware: el término hoy día se utiliza también para hacer referencia a aquellos malware que 
mediante distintas técnicas es capaz de bloquear archivos, carpetas o incluso el acceso al propio 
sistema, es decir, "secuestran" archivos, y piden "rescate" en dinero por ellos, obligando a la víctima 
a tener que abonar determinada suma de dinero para poder recuperar control del PC. 
Por lo general estos programas malignos encriptan la información de algunos archivos considerados 
importantes para el usuario, y no entregan la clave para lograr desencriptarlos si el usuario no paga. 
“Virus de la Policía” también conocido como “Virus Ukash” (Trojan.Ransom). se ha 
convertido una de las plagas más insidiosas de los últimos tiempos. Cientos de usuarios en 
España, Europa y Latinoamérica, han visto cómo su ordenador se bloqueaba nada más 
iniciarlo y muestra un mensaje que parece provenir del Cuerpo Nacional de Policía, que con 
la excusa de haberse producido accesos a páginas que contienen pornografía infantil solicita 
cierta cantidad de dinero para desbloquearlo. El troyano se basa en los sistemas de pago 
online Ukash y Paysafecard. 
Entra dentro de la categoría de Ransomware, ya que utiliza una campaña de marketing 
bastante agresiva que básicamente consiste en bloquear todo el sistema Windows y mostrar 
http://www.alegsa.com.ar/Dic/malware.php
http://www.alegsa.com.ar/Dic/archivo.php
http://www.alegsa.com.ar/Dic/encriptar.php
Computación / enfermería /UNPA 
Compilador: Bertha López Azamar 8 
una pantalla inamovible con un supuesto mensaje de la policía, la cual obliga a la víctima al 
pago una multa para poder restaurarle el acceso a su computador y no borrarle sus archivos. 
En el aspecto técnico, es interesante destacar que no es sencillo eludir la pantalla de bloqueo 
del troyano, puesto que impide arrancar el administrador de tareas.
15
 
 
Crimeware: es un tipo de software que ha sido específicamente diseñado para la ejecución de 
delitos financieros en entornos en línea. 
El crimeware (que debe ser diferenciado del spyware, adware) ha sido diseñado, mediante técnicas 
de ingeniería social u otras técnicas genéricas de fraude en línea, con el fin de conseguir el robo de 
identidades para acceder a los datos de usuario de las cuentas en línea de compañías de servicios 
financieros (típicamente clínicas) o compañías de venta por correo, con el objetivo de obtener los 
fondos de dichas cuentas, o de completar transacciones no autorizadas por su propietario legítimo, 
que enriquecerán al ladrón que controla el crimeware. 
El crimeware puede, de forma subrepticia, instalar un keylogger con el objetivo de obtener los datos 
(logins, passwords, etc.) que permitirán al ladrón, acceder a cuentas bancarias accesibles a través de 
Internet. Un software de tipo crimeware (generalmente un troyano) también podría conseguir 
redirigir el navegador web utilizado por el usuario, a una réplica del sitio web original, estando éste 
controlado por el ladrón. Esta redirección se podría dar incluso cuando el usuario teclee 
correctamente la URL del sitio web al que deseaba acceder, ya que si el troyano ha completado su 
trabajo, podría haber modificado el conjunto de direcciones DNS que asocian el nombre de dominio 
introducido por el usuario, con su dirección IP original. Ahora la información DNS contenida en la 
máquina infectada por el crimeware, indicará al navegador la dirección IP del sitio replicado y 
controlado por el ladrón. 
 
 Grayware (o greyware) y graynet (o greynet) (del inglés gray o grey, "gris"): son términos 
aplicados para clasificar aplicaciones o programas de cómputo que se instalan sin la autorización 
del departamento de sistemas de una compañía; se comportan de modo tal que resultan molestos o 
indeseables para el usuario,pero son menos peligrosos que los malware. En este rubro se incluyen: 
adware, dialers, herramientas de acceso remoto, programas de bromas (Virus joke), programas para 
conferencias, programa de mensajería instantánea, spyware y cualesquiera otros archivos y 
programas no bienvenidos que no sean virus y que puedan llegar a dañar el funcionamiento de una 
computadora o de una red. 
 
Rogueware - suele llamarse Rogue Software, Rogue-AV, Rogue-Antivirus o FakeAV y, en 
español, falso antivirus. 
16
 
Es un falso programa de seguridad que no es lo que dice ser, sino que es un programa maligno de 
computadora que pretende ser un programa no malicioso con el fin de robar dinero, inducir compras 
u obtener información del usuario. 
Este programa malicioso puede camuflarse como antivirus, antiespía, cortafuegos o similar. 
Los Rogues (Falsos Antivirus"): es un software bandido que simula ser una solución de antivirus 
pero que no lo es. Estos falsos antivirus muestran al usuario que la computadora está infectada pero 
que deben adquirir la versión paga del mismo para eliminarlas. Las amenazas son falsas y su 
objetivo es exclusivamente recaudar dinero de los desprevenidos usuarios. 
Estos programas suelen esparcirse en internet empleando técnicas de scareware, es decir, producir 
miedo al usuario para lograr ser instalados. En ocasiones también son promocionados como 
antivirus reales sin recurrir a las amenazas en la computadora. 
Una vez instalados en la computadora simulan ser una solución antivirus, mostrando que han 
encontrado amenazas y que, si el usuario quiere eliminarlas, debe pagar la versión completa del 
 
15
 Para saber cómo eliminarlo checar http://www.forospyware.com/t396703.html 
16
 En http://www.forospyware.com/t5.html vea un listado de falsos antivirus. 
http://es.wikipedia.org/wiki/Crimeware
Computación / enfermería /UNPA 
Compilador: Bertha López Azamar 9 
antivirus. 
Un estudio hecho por Google en 2010 encontró hasta 11 mil dominios de internet que 
promocionaban o alojaban programas antivirus falsos. 
¿Cómo llegan a la computadora? 
- Al descargar algún falsos codecs o falso plugin que se nos ofrece como necesario al intentar 
ver un video en Internet (por lo general videos del tipo erótico/pornográfico). 
- Al visitar algunos sitios directamente fraudulentos o que su código web ha sido 
comprometido para descargarnos uno de estos Rogue Antivirus sin nuestro consentimiento. 
- A través de alguno de los miles de Virus del tipo Troyano que están afiliados a estos y al 
infectarnos con uno de estos nos empezara a generar algunos de los síntomas. 
Síntomas visibles de infección con un Rogue: 
- Secuestro del navegador web. 
- Enlentecimiento general del PC. 
- Ventanas emergentes (pop-ups) 
- Secuestro el fondo de escritorio. 
- Secuestro de las búsquedas de Google. 
- Secuestro de la pantalla de inicio de Windows. 
- Secuestro de la pagina de Google que vemos en nuestro PC. 
- Falsos mensajes de Alertas en barra de tareas al lado del reloj. 
- Imposibilidad de actualizar y/o ejecutar su Antivirus o Antispywares tradicional 
- Imposibilidad de acceder a sitios webs dedicados a la seguridad como 
 
Scareware: Es un tipo de programa maligno que se vende empleando prácticas de publicidad 
engañosa y antiética, usualmente recurriendo a amenazas inexistentes. 
Por ejemplo, se advierte al usuario de computadora que un virus ha infectado su computadora y 
requiere comprar un excepcional programa antivirus para eliminarlo. Usualmente la amenaza es 
inexistente y el antivirus no tiene funcionalidad alguna o es en sí mismo un programa maligno. 
La palabra viene del inglés "scare" que significa miedo y "ware" que significa software (programa). 
Scareware no debe ser confundido con las palabras careware o shareware que tienen significados 
completamente diferentes. 
Funcionamiento y características del scareware 
- Es un subtipo del rogueware. 
- Emplea técnicas de la llamada ingeniería social para causar shock, ansiedad o sensación de 
amenaza a usuarios desprevenidos. 
- Estos programas suelen mostrar catastróficos mensajes de alarma o noticias de amenazas 
con el objetivo de que el usuario compre aplicaciones falsas como antivirus, cortafuegos y 
limpiadores del sistema que, en realidad, son inútiles. 
- Las aplicaciones falsas suelen imitar muy bien a las aplicaciones verdaderas para así poder 
convencer al usuario de la amenaza y de la posterior "limpieza" de la computadora. 
- Usualmente suelen distribuirse a través de anuncios por internet donde advierten al usuario 
de una infección en su computadora, como por ejemplo: "Su computadora está infectada por 
un espía: descargue esta aplicación para eliminar la amenaza". 
- Algunos scareware también engañan al usuario con mensajes para que desinstale su 
antivirus o su cortafuegos legítimo, de esta manera permitirán que ingrese el propio 
programa maligno. 
- En ocasiones hay programas espías (spyware) que también son scareware. Por ejemplo el 
espía llamado SpySheriff, su propósito es eliminar supuestos espías pero en sí mismo es un 
http://es.wikipedia.org/wiki/Scareware
Computación / enfermería /UNPA 
Compilador: Bertha López Azamar 10 
espía, usualmente acompañado de infecciones SmitFraud. 
Algunos programas scareware: Registry Cleaner XP WinFixer, WinAntivirus, DriveCleaner, 
ErrorSafe, y XP Antivirus, sus respectivas empresas y dueños fueron demandados alegando 
conducta ilícita pero no acusados de violar ninguna ley. 
Algunas formas de spyware y de adware también usan las tácticas del scareware. 
En ocasiones se aplica el término "scareware" en aquellos programas o virus que sólo tienen la 
intención de causar angustia o pánico, sin siquiera buscar un rédito económico. Usualmente son 
sólo programas para bromas. Por ejemplo el programa NightMare de 1991 para computadoras 
Amiga, el cual al ejecutarse permanecía unos segundos sin actividad y luego aparecía una calavera 
y un fuerte audio que asustaban al usuario. 
 
Drive-by Downloads: son sitios que instalan spyware o códigos que dan información de los 
equipos sin que el usuario se percate El proceso de ataque Drive-by Downloads se realiza de 
manera automática mediante herramientas que buscan en el sitio web alguna vulnerabilidad. Una 
vez encontrada, insertan un script malicioso dentro del código HTML del sitio violado. Cuando un 
usuario visita el sitio infectado, éste descargará dicho script en el sistema del usuario, y a 
continuación realizará una petición a un servidor Hop Point, donde se solicitarán nuevos scripts con 
exploits encargados de comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada, 
intentando con ellas hasta que tienen éxito, en cuyo caso se descargará un script que descarga el 
archivo ejecutable (malware) desde el servidor. 
 
Referencias: 
 Definición de Malware;http://es.wikipedia.org/wiki/Malware 
 Diversos conceptos en http://es.wikipedia.org 
 ¿Qué son los adware? http://www.infospyware.com/articulos/que-son-los-adware/ 
 ¿Qué son los Malwares?; http://www.infospyware.com/articulos/que-son-los-malwares/ 
 Guía de detección y eliminación de Malwares 2014; http://www.forospyware.com/t8.html 
 Defining Malware; Microsoft TechNet; http://technet.microsoft.com/en-
us/library/dd632948.aspx 
 http://www.alegsa.com.ar/Dic/scareware.php 
 ¿Qué es el Rogue Sfotware o FakeAV?; http://www.infospyware.com/articulos/rogue-
software-fakeav/ 
 ¿Qué son y cómo funcionan los troyanos bancarios?; 
http://www.infospyware.com/articulos/que-son-y-como-funcionan-los-troyanos-bancarios/ 
 Cronología del virus de la policía; http://www.infospyware.com/blog/cronica-virus-de-la-
policia/ 
 ¿qué son los virus informáticos?; http://www.infospyware.com/articulos/%C2%BFque-son-
los-virus-informaticos/#more-750 
 Elementos teórico-prácticos útiles para conocer los virus informáticos; Ramón Orlando 
VelloHernández y Ileana R. Alonso Sanchez; ACIMED v.11 n.5 Ciudad de La Habana 
sep.-oct. 2003; http://scielo.sld.cu/scielo.php?pid=S1024-
94352003000500004&script=sci_arttext