Malware
Malware (un acrónimo de software malicioso) es cualquier software diseñado intencionalmente para causar interrupciones en una computadora, servidor, cliente o computadora. filtrar información privada, obtener acceso no autorizado a información o sistemas, privar de acceso a información o que, sin saberlo, interfiere con la seguridad y privacidad de la computadora del usuario. Los investigadores tienden a clasificar el malware en uno o más subtipos (es decir, virus informáticos, gusanos, caballos de Troya, ransomware, spyware, adware, software no autorizado, limpiadores y registradores de teclas).
El software malicioso plantea serios problemas a las personas y empresas en Internet. Según el Informe de amenazas a la seguridad en Internet (ISTR) de 2018 de Symantec, el número de variantes de malware aumentó a 669 947 865 en 2017, lo que representa el doble de variantes de malware que en 2016. El delito cibernético, que incluye ataques de malware y otros delitos cometidos por computadora, se predijo que le costaría a la economía mundial $ 6 billones de dólares en 2021, y está aumentando a una tasa del 15% por año. Desde 2021, el malware se ha diseñado para atacar sistemas informáticos que ejecutan infraestructura crítica, como la red de distribución de electricidad.
Las estrategias de defensa contra el malware difieren según el tipo de malware, pero la mayoría se puede frustrar instalando software antivirus, cortafuegos, aplicando parches periódicos para reducir los ataques de día cero, protegiendo las redes contra intrusiones, realizando copias de seguridad periódicas y aislando los sistemas infectados. El malware ahora se está diseñando para evadir los algoritmos de detección del software antivirus.
Historia
La noción de un programa de computadora que se reproduce a sí mismo se remonta a las teorías iniciales sobre el funcionamiento de los autómatas complejos. John von Neumann demostró que, en teoría, un programa podría reproducirse a sí mismo. Esto constituyó un resultado de plausibilidad en la teoría de la computabilidad. Fred Cohen experimentó con virus informáticos y confirmó el postulado de Neumann e investigó otras propiedades del malware, como la detectabilidad y la auto ofuscación mediante cifrado rudimentario. Su tesis doctoral de 1987 versó sobre el tema de los virus informáticos. La combinación de tecnología criptográfica como parte de la carga útil del virus, explotándolo con fines de ataque, se inició e investigó a mediados de la década de 1990 e incluye ideas iniciales de ransomware y evasión.
Antes de que el acceso a Internet se generalizara, los virus se propagaban en las computadoras personales al infectar programas ejecutables o sectores de arranque de disquetes. Al insertar una copia de sí mismo en las instrucciones del código de la máquina en estos programas o sectores de inicio, un virus hace que se ejecute cada vez que se ejecuta el programa o se inicia el disco. Los primeros virus informáticos se escribieron para Apple II y Macintosh, pero se generalizaron con el predominio de la PC de IBM y el sistema MS-DOS. El primer virus de PC de IBM en el "salvaje" era un virus del sector de arranque denominado (c)Brain, creado en 1986 por los hermanos Farooq Alvi en Pakistán. Los distribuidores de malware engañarían al usuario para que arranque o ejecute desde un dispositivo o medio infectado. Por ejemplo, un virus podría hacer que una computadora infectada agregue un código autoejecutable a cualquier memoria USB conectada a ella. Cualquiera que luego conectara el dispositivo a otra computadora configurada para ejecutarse automáticamente desde USB, a su vez se infectaría y también transmitiría la infección de la misma manera.
El software de correo electrónico más antiguo abría automáticamente el correo electrónico HTML que contenía código JavaScript potencialmente malicioso. Los usuarios también pueden ejecutar archivos adjuntos de correo electrónico maliciosos disfrazados. El Informe de investigaciones de violación de datos de 2018 de Verizon, citado por CSO Online, afirma que los correos electrónicos son el principal método de entrega de malware, y representan el 92 % de la entrega de malware en todo el mundo.
Los primeros gusanos, programas infecciosos transmitidos por la red, no se originaron en computadoras personales, sino en sistemas Unix multitarea. El primer gusano conocido fue el Internet Worm de 1988, que infectó los sistemas SunOS y VAX BSD. A diferencia de un virus, este gusano no se insertaba en otros programas. En cambio, aprovechó los agujeros de seguridad (vulnerabilidades) en los programas del servidor de red y comenzó a ejecutarse como un proceso separado. Este mismo comportamiento también lo utilizan los gusanos de hoy.
Con el auge de la plataforma Microsoft Windows en la década de 1990 y las macros flexibles de sus aplicaciones, se hizo posible escribir código infeccioso en el lenguaje de macros de Microsoft Word y programas similares. Estos virus de macro infectan documentos y plantillas en lugar de aplicaciones (ejecutables), pero se basan en el hecho de que las macros en un documento de Word son una forma de código ejecutable.
Muchos de los primeros programas infecciosos, incluido Morris Worm, el primer gusano de Internet, se escribieron como experimentos o bromas. Hoy en día, tanto los hackers de sombrero negro como los gobiernos utilizan malware para robar información personal, financiera o comercial. Hoy en día, cualquier dispositivo que se conecte a un puerto USB (incluso luces, ventiladores, parlantes, juguetes o periféricos como un microscopio digital) puede usarse para propagar malware. Los dispositivos pueden infectarse durante la fabricación o el suministro si el control de calidad es inadecuado.
Propósitos
Desde el auge del acceso generalizado a Internet de banda ancha, el software malicioso se ha diseñado con mayor frecuencia con fines de lucro. Desde 2003, la mayoría de los virus y gusanos generalizados han sido diseñados para tomar el control de los usuarios. computadoras con fines ilícitos. "Ordenadores zombis" infectados se puede utilizar para enviar spam por correo electrónico, alojar datos de contrabando, como pornografía infantil, o participar en ataques distribuidos de denegación de servicio como una forma de extorsión. El malware se usa ampliamente contra sitios web gubernamentales o corporativos para recopilar información confidencial o para interrumpir su funcionamiento en general. Además, el malware se puede utilizar contra personas para obtener información como números o detalles de identificación personal, números de tarjetas bancarias o de crédito y contraseñas.
Además de generar dinero de forma delictiva, el software malicioso se puede utilizar para el sabotaje, a menudo por motivos políticos. Stuxnet, por ejemplo, fue diseñado para interrumpir equipos industriales muy específicos. Ha habido ataques por motivos políticos que se extendieron y apagaron grandes redes informáticas, incluida la eliminación masiva de archivos y la corrupción de los registros de arranque maestros, descritos como 'asesinatos informáticos'. Dichos ataques se realizaron contra Sony Pictures Entertainment (25 de noviembre de 2014, utilizando malware conocido como Shamoon o W32.Disttrack) y Saudi Aramco (agosto de 2012).
Tipos
Hay muchas formas posibles de categorizar el malware y algunos software malicioso pueden superponerse en dos o más categorías. En términos generales, el software se puede clasificar en tres tipos: (i) goodware; (ii) software gris y (iii) malware.
| Tipo | Características | Ejemplos | Notas |
|---|---|---|---|
| Goodware | Obtenido de fuentes de confianza |
| |
| Malware | Un amplio consenso entre el software antivirus que el programa es malicioso o obtenido de fuentes insignias. |
| |
| Greyware | Consenso insuficiente y/o métricas |
|
Malware
Virus
Un virus informático es un software generalmente oculto dentro de otro programa aparentemente inocuo que puede producir copias de sí mismo e insertarlas en otros programas o archivos, y que generalmente realiza una acción dañina (como la destrucción de datos). Han sido comparados con virus biológicos. Un ejemplo de esto es una infección de ejecución portátil, una técnica, generalmente utilizada para propagar malware, que inserta datos adicionales o código ejecutable en archivos PE. Un virus informático es un software que se incrusta en otro software ejecutable (incluido el propio sistema operativo) en el sistema de destino sin el conocimiento ni el consentimiento del usuario y, cuando se ejecuta, el virus se propaga a otros archivos ejecutables.
Gusano
Un gusano es un software de malware independiente que activamente se transmite a través de una red para infectar otras computadoras y puede copiarse a sí mismo sin infectar archivos. Estas definiciones llevan a la observación de que un virus requiere que el usuario ejecute un software o sistema operativo infectado para que el virus se propague, mientras que un gusano se propaga solo.
Rootkits
Una vez que se instala software malicioso en un sistema, es esencial que permanezca oculto para evitar la detección. Los paquetes de software conocidos como rootkits permiten esta ocultación, modificando el sistema operativo del host para que el malware quede oculto al usuario. Los rootkits pueden evitar que un proceso dañino sea visible en la lista de procesos del sistema o evitar que se lean sus archivos.
Algunos tipos de software dañino contienen rutinas para evadir la identificación o los intentos de eliminación, no solo para ocultarse. Un ejemplo temprano de este comportamiento se registra en la historia de Jargon File de un par de programas que infestan un sistema de tiempo compartido Xerox CP-V:
Cada trabajo fantasma detectaría el hecho de que el otro había sido asesinado, y comenzaría una nueva copia del programa recientemente detenido dentro de unos pocos milisegundos. La única manera de matar a ambos fantasmas era matarlos simultáneamente (muy difícil) o para chocar deliberadamente el sistema.
Puertas traseras
Una puerta trasera es un programa informático que permite a un atacante obtener acceso remoto no autorizado a la máquina de una víctima, a menudo sin su conocimiento. El atacante generalmente usa otro ataque (como un troyano, un gusano o un virus) para eludir los mecanismos de autenticación, generalmente en una red no segura, como Internet, para instalar la aplicación de puerta trasera. Una puerta trasera también puede ser un efecto secundario de un error de software en un software legítimo que un atacante explota para obtener acceso a la computadora o la red de la víctima.
A menudo se ha sugerido la idea de que los fabricantes de computadoras preinstalen puertas traseras en sus sistemas para brindar soporte técnico a los clientes, pero esto nunca se ha verificado de manera confiable. En 2014 se informó que las agencias del gobierno de EE. UU. habían estado desviando las computadoras compradas por aquellos considerados 'objetivos'. a talleres secretos donde se instalaba un software o hardware que permitía el acceso remoto de la agencia, considerada una de las operaciones más productivas para obtener acceso a redes en todo el mundo. Las puertas traseras pueden instalarse mediante troyanos, gusanos, implantes u otros métodos.
Caballo de Troya
Un caballo de Troya se tergiversa a sí mismo para hacerse pasar por un programa o una utilidad normal y benigna con el fin de persuadir a la víctima para que lo instale. Un caballo de Troya suele tener una función destructiva oculta que se activa cuando se inicia la aplicación. El término se deriva de la historia griega antigua del caballo de Troya utilizado para invadir la ciudad de Troya a escondidas.
Los caballos de Troya generalmente se propagan mediante alguna forma de ingeniería social, por ejemplo, cuando se engaña a un usuario para que ejecute un archivo adjunto de correo electrónico disfrazado para no ser sospechoso (por ejemplo, un formulario de rutina para completar) descargar. Aunque su carga útil puede ser cualquier cosa, muchas formas modernas actúan como una puerta trasera, contactando a un controlador (llamando a casa) que luego puede tener acceso no autorizado a la computadora afectada, potencialmente instalando software adicional como un registrador de teclas para robar información confidencial, software de criptominería o adware. generar ingresos para el operador del troyano. Si bien los caballos de Troya y las puertas traseras no se detectan fácilmente por sí mismos, es posible que las computadoras funcionen más lentamente, emitan más calor o ruido del ventilador debido al uso intensivo del procesador o de la red, como puede ocurrir cuando se instala software de criptominería. Los criptomineros pueden limitar el uso de recursos y/o solo ejecutarse durante los tiempos de inactividad en un intento de evadir la detección.
A diferencia de los virus y gusanos informáticos, los caballos de Troya generalmente no intentan inyectarse en otros archivos ni propagarse de otra manera.
En la primavera de 2017, los usuarios de Mac se vieron afectados por la nueva versión del troyano de acceso remoto (RAT) Proton, capacitado para extraer datos de contraseñas de varias fuentes, como los datos de autocompletado del navegador, el llavero de Mac-OS y las bóvedas de contraseñas.
Cuentagotas
Los droppers son un subtipo de troyanos cuyo único objetivo es enviar malware al sistema que infectan con el deseo de subvertir la detección a través del sigilo y una carga ligera.
Ransomware
El ransomware evita que un usuario acceda a sus archivos hasta que se pague un rescate. Hay dos variaciones de ransomware, siendo crypto ransomware y locker ransomware. Locker ransomware simplemente bloquea un sistema informático sin cifrar su contenido, mientras que crypto ransomware bloquea un sistema y cifra su contenido. Por ejemplo, programas como CryptoLocker cifran los archivos de forma segura y solo los descifran mediante el pago de una suma sustancial de dinero.
Algunos programas maliciosos se utilizan para generar dinero mediante el fraude de clics, lo que hace que parezca que el usuario de la computadora ha hecho clic en un enlace publicitario en un sitio, lo que genera un pago por parte del anunciante. Se estimó en 2012 que entre el 60 y el 70 % de todo el malware activo usaba algún tipo de fraude de clics, y el 22 % de todos los clics en anuncios eran fraudulentos.
Lock-screens o screen lockers es un tipo de ransomware de "ciberpolicía" que bloquea pantallas en dispositivos Windows o Android con una falsa acusación de recolectar contenido ilegal, tratando de asustar a las víctimas para que paguen una tarifa. Jisut y SLocker impactan a los dispositivos Android más que otras pantallas de bloqueo, y Jisut representa casi el 60 por ciento de todas las detecciones de ransomware de Android.
El ransomware basado en el cifrado, como sugiere su nombre, es un tipo de ransomware que cifra todos los archivos en una máquina infectada. Estos tipos de malware luego muestran una ventana emergente que informa al usuario que sus archivos han sido encriptados y que debe pagar (generalmente en Bitcoin) para recuperarlos. Algunos ejemplos de ransomware basado en cifrado son CryptoLocker y WannaCry.
Grayware
Grayware es cualquier aplicación o archivo no deseado que puede empeorar el rendimiento de las computadoras y puede causar riesgos de seguridad, pero sobre el cual no hay suficiente consenso o datos para clasificarlos como malware. Los tipos de greyware suelen incluir spyware, adware, marcadores fraudulentos, programas de broma ("jokeware") y herramientas de acceso remoto. Por ejemplo, en un momento, los discos compactos BMG de Sony instalaron silenciosamente un rootkit en los dispositivos de los compradores. computadoras con la intención de prevenir la copia ilícita.
Programa potencialmente no deseado (PUP)
Los programas potencialmente no deseados (PUP) son aplicaciones que se considerarían no deseadas a pesar de que el usuario las descarga intencionalmente. Los PUP incluyen spyware, adware y marcadores fraudulentos.
Muchos productos de seguridad clasifican a los generadores de claves no autorizados como PUP, aunque con frecuencia transportan malware real además de su propósito aparente. De hecho, Kammerstetter et. Alabama. (2012) estimaron que hasta el 55 % de los generadores de claves podrían contener malware y que alrededor del 36 % de los generadores de claves maliciosos no fueron detectados por el software antivirus.
Adware
Algunos tipos de adware (que utilizan certificados robados) desactivan la protección antivirus y antimalware; los remedios técnicos están disponibles.
Programa espía
Programas diseñados para monitorear a los usuarios' la navegación web, la visualización de anuncios no solicitados o la redirección de los ingresos de marketing de afiliados se denominan spyware. Los programas de software espía no se propagan como los virus; en cambio, generalmente se instalan aprovechando los agujeros de seguridad. También se pueden ocultar y empaquetar junto con software no relacionado instalado por el usuario. El rootkit Sony BMG estaba destinado a evitar la copia ilícita; pero también informó sobre los usuarios' hábitos de escucha y creó involuntariamente vulnerabilidades de seguridad adicionales.
Detección
El software antivirus suele utilizar dos técnicas para detectar malware: (i) análisis estático y (ii) análisis dinámico. El análisis estático implica estudiar el código de software de un programa potencialmente malicioso y producir una firma de ese programa. Esta información luego se usa para comparar archivos escaneados por un programa antivirus. Debido a que este enfoque no es útil para el malware que aún no se ha estudiado, el software antivirus puede usar el análisis dinámico para monitorear cómo se ejecuta el programa en una computadora y bloquearlo si realiza una actividad inesperada.
El objetivo de cualquier malware es ocultarse de la detección por parte de los usuarios o del software antivirus. La detección de malware potencial es difícil por dos razones. La primera es que es difícil determinar si el software es malicioso. La segunda es que el malware utiliza medidas técnicas para dificultar su detección. Se estima que el software antivirus no detecta el 33 % del malware.
El mecanismo anti-detección más común es cifrar la carga del malware para que el software antivirus no reconozca la firma. El malware más avanzado es capaz de cambiar su forma en variantes, por lo que las firmas difieren lo suficiente como para que la detección sea poco probable. Otras técnicas comunes utilizadas para evadir la detección incluyen de común a poco común: (1) evasión de análisis y detección al tomar huellas dactilares del entorno cuando se ejecuta; (2) herramientas automatizadas confusas & # 39; métodos de detección. Esto permite que el malware evite la detección por tecnologías como el software antivirus basado en firmas al cambiar el servidor utilizado por el malware; (3) evasión basada en el tiempo. Esto es cuando el malware se ejecuta en ciertos momentos o después de ciertas acciones realizadas por el usuario, por lo que se ejecuta durante ciertos períodos vulnerables, como durante el proceso de arranque, mientras permanece inactivo el resto del tiempo; (4) ofuscar los datos internos para que las herramientas automatizadas no detecten el malware; (v) técnicas de ocultación de información, a saber, stegomalware; y (5) malware sin archivos que se ejecuta dentro de la memoria en lugar de usar archivos y utiliza las herramientas del sistema existente para llevar a cabo actos maliciosos. Esto reduce la cantidad de artefactos forenses disponibles para analizar. Recientemente, estos tipos de ataques se han vuelto más frecuentes con un aumento del 432 % en 2017 y representan el 35 % de los ataques en 2018. Dichos ataques no son fáciles de realizar, pero se están volviendo más frecuentes con la ayuda de los kits de explotación.
Riesgos
Software vulnerable
Una vulnerabilidad es una debilidad, falla o error de software en una aplicación, una computadora completa, un sistema operativo o una red informática que es explotada por malware para eludir las defensas u obtener los privilegios que requiere para ejecutarse. Por ejemplo, TestDisk 6.4 o anterior contenía una vulnerabilidad que permitía a los atacantes inyectar código en Windows. El malware puede explotar defectos de seguridad (errores de seguridad o vulnerabilidades) en el sistema operativo, aplicaciones (como navegadores, por ejemplo, versiones anteriores de Microsoft Internet Explorer compatibles con Windows XP), o en versiones vulnerables de complementos de navegador como Adobe Flash Player, Adobe Acrobat o Reader, o Java SE. Por ejemplo, un método común es la explotación de una vulnerabilidad de desbordamiento del búfer, donde el software diseñado para almacenar datos en una región específica de la memoria no evita que se suministren más datos de los que el búfer puede acomodar. El malware puede proporcionar datos que desbordan el búfer, con código ejecutable malicioso o datos después del final; cuando se accede a esta carga útil, hace lo que determina el atacante, no el software legítimo.
El malware puede explotar vulnerabilidades descubiertas recientemente antes de que los desarrolladores hayan tenido tiempo de lanzar un parche adecuado. Incluso cuando se han lanzado nuevos parches que abordan la vulnerabilidad, es posible que no se instalen necesariamente de inmediato, lo que permite que el malware se aproveche de los sistemas que carecen de parches. A veces, incluso la aplicación de parches o la instalación de nuevas versiones no desinstalan automáticamente las versiones anteriores. Los avisos de seguridad de los proveedores de complementos anuncian actualizaciones relacionadas con la seguridad. A las vulnerabilidades comunes se les asignan ID de CVE y se enumeran en la base de datos nacional de vulnerabilidades de EE. UU. Secunia PSI es un ejemplo de software, gratuito para uso personal, que verificará una PC en busca de software desactualizado vulnerable e intentará actualizarlo. Otros enfoques involucran el uso de firewalls y sistemas de prevención de intrusiones para monitorear patrones de tráfico inusuales en la red informática local.
Privilegios excesivos
A los usuarios y programas se les pueden asignar más privilegios de los que necesitan, y el malware puede aprovechar esto. Por ejemplo, de 940 aplicaciones de Android muestreadas, un tercio de ellas solicitó más privilegios de los necesarios. Las aplicaciones dirigidas a la plataforma Android pueden ser una fuente importante de infección de malware, pero una solución es usar software de terceros para detectar aplicaciones a las que se les han asignado privilegios excesivos.
Algunos sistemas permiten que todos los usuarios modifiquen sus estructuras internas, y esos usuarios hoy en día se considerarían usuarios con privilegios excesivos. Este era el procedimiento operativo estándar para los primeros microordenadores y sistemas informáticos domésticos, donde no había distinción entre un administrador o raíz y un usuario normal del sistema. En algunos sistemas, los usuarios que no son administradores tienen privilegios excesivos por diseño, en el sentido de que se les permite modificar las estructuras internas del sistema. En algunos entornos, los usuarios tienen privilegios excesivos porque se les ha otorgado un estado de administrador o equivalente inapropiado. Esto puede deberse a que los usuarios tienden a exigir más privilegios de los que necesitan, por lo que a menudo se les asignan privilegios innecesarios.
Algunos sistemas permiten que el código ejecutado por un usuario acceda a todos los derechos de ese usuario, lo que se conoce como código con privilegios excesivos. Este también era un procedimiento operativo estándar para los primeros microordenadores y sistemas informáticos domésticos. El malware, que se ejecuta como código con privilegios excesivos, puede usar este privilegio para subvertir el sistema. Casi todos los sistemas operativos actualmente populares, y también muchas aplicaciones de secuencias de comandos, permiten demasiados privilegios de código, generalmente en el sentido de que cuando un usuario ejecuta código, el sistema le otorga a ese código todos los derechos de ese usuario.
Contraseñas débiles
Un ataque de credenciales ocurre cuando se piratea una cuenta de usuario con privilegios administrativos y esa cuenta se usa para proporcionar malware con los privilegios apropiados. Por lo general, el ataque tiene éxito porque se utiliza la forma más débil de seguridad de la cuenta, que suele ser una contraseña corta que se puede descifrar mediante un diccionario o un ataque de fuerza bruta. Usar contraseñas seguras y habilitar la autenticación de dos factores puede reducir este riesgo. Con este último habilitado, incluso si un atacante puede descifrar la contraseña, no puede usar la cuenta sin tener también el token en posesión del usuario legítimo de esa cuenta.
Uso del mismo sistema operativo
La homogeneidad puede ser una vulnerabilidad. Por ejemplo, cuando todas las computadoras en una red ejecutan el mismo sistema operativo, al explotar una, un gusano puede explotarlas todas: en particular, Microsoft Windows o Mac OS X tienen una participación tan grande en el mercado que una vulnerabilidad explotada que se concentra en cualquiera sistema operativo podría subvertir una gran cantidad de sistemas. Se estima que aproximadamente el 83 % de las infecciones de malware entre enero y marzo de 2020 se propagaron a través de sistemas que ejecutan Windows 10. Este riesgo se mitiga segmentando las redes en diferentes subredes y configurando firewalls para bloquear el tráfico entre ellas.
Mitigación
Software antivirus/antimalware
Los programas antimalware (a veces también llamados antivirus) bloquean y eliminan algunos o todos los tipos de malware. Por ejemplo, Microsoft Security Essentials (para Windows XP, Vista y Windows 7) y Windows Defender (para Windows 8, 10 y 11) brindan protección en tiempo real. La Herramienta de eliminación de software malicioso de Windows elimina el software malintencionado del sistema. Además, varios programas de software antivirus capaces están disponibles para su descarga gratuita desde Internet (generalmente restringidos al uso no comercial). Las pruebas encontraron que algunos programas gratuitos eran competitivos con los comerciales.
Normalmente, el software antivirus puede combatir el malware de las siguientes maneras:
- Protección en tiempo real: Pueden proporcionar protección en tiempo real contra la instalación de software de malware en un ordenador. Este tipo de protección de malware funciona de la misma manera que la protección antivirus en que el software anti-malware escanea todos los datos de red entrantes para malware y bloquea cualquier amenaza que se encuentra.
- Eliminación: Los programas de software antimalware se pueden utilizar únicamente para la detección y eliminación de software de malware que ya se ha instalado en un ordenador. Este tipo de software anti-malware escanea el contenido del registro de Windows, los archivos del sistema operativo, y los programas instalados en un ordenador y proporcionará una lista de las amenazas encontradas, permitiendo al usuario elegir qué archivos eliminar o guardar, o comparar esta lista con una lista de componentes de malware conocidos, eliminando archivos que coincidan.
- Sandboxing: Proporcionar sandboxing de aplicaciones consideradas peligrosas (como navegadores web donde la mayoría de vulnerabilidades se pueden instalar desde).
Protección en tiempo real
Un componente específico del software antimalware, comúnmente conocido como escáner de acceso o en tiempo real, se conecta profundamente al núcleo o kernel del sistema operativo y funciona de manera similar a cómo funciona cierto malware. intentaría operar, aunque con el permiso informado del usuario para proteger el sistema. Cada vez que el sistema operativo accede a un archivo, el escáner de acceso comprueba si el archivo está infectado o no. Por lo general, cuando se encuentra un archivo infectado, se detiene la ejecución y el archivo se pone en cuarentena para evitar daños mayores con la intención de evitar daños irreversibles en el sistema. La mayoría de los AV permiten a los usuarios anular este comportamiento. Esto puede tener un impacto considerable en el rendimiento del sistema operativo, aunque el grado de impacto depende de cuántas páginas cree en la memoria virtual.
Caja de arena
Debido a que muchos componentes de malware se instalan como resultado de vulnerabilidades del navegador o errores del usuario, el uso de software de seguridad (algunos de los cuales son antimalware, aunque muchos no lo son) para "sandbox" Los navegadores (esencialmente aíslan el navegador de la computadora y, por lo tanto, cualquier cambio inducido por malware) también pueden ser efectivos para ayudar a restringir cualquier daño causado.
Análisis de seguridad del sitio web
Los análisis de vulnerabilidades del sitio web verifican el sitio web, detectan software malicioso, pueden notar software obsoleto y pueden informar problemas de seguridad conocidos, para reducir el riesgo de que el sitio se vea comprometido.
Segregación de red
Estructurar una red como un conjunto de redes más pequeñas y limitar el flujo de tráfico entre ellas al que se sabe que es legítimo puede dificultar la capacidad del malware infeccioso para replicarse en la red más amplia. Las redes definidas por software proporcionan técnicas para implementar tales controles.
"Entrehierro" aislamiento o "red paralela"
Como último recurso, las computadoras se pueden proteger contra el malware y el riesgo de que las computadoras infectadas difundan información confiable se puede reducir en gran medida al imponer un "brecha de aire" (es decir, desconectándolos por completo de todas las demás redes) y aplicando controles mejorados sobre la entrada y salida de software y datos del mundo exterior. Sin embargo, el malware aún puede cruzar el espacio de aire en algunas situaciones, sobre todo debido a la necesidad de introducir software en la red de espacio de aire y puede dañar la disponibilidad o la integridad de los activos allí. Stuxnet es un ejemplo de malware que se introduce en el entorno de destino a través de una unidad USB, lo que provoca daños en los procesos admitidos en el entorno sin necesidad de filtrar datos.
AirHopper, BitWhisper, GSMem y Fansmitter son cuatro técnicas introducidas por investigadores que pueden filtrar datos de computadoras con espacios de aire utilizando emisiones electromagnéticas, térmicas y acústicas.