Creemos que un paso fundamental para la Respuesta a Incidentes de Ciberseguridad es la comprensión de los peligros a los que se puede enfrentar tu organización, así como conocer los mecanismos de acción de los programas maliciosos que pueden dañarte. En esta serie de artículos definimos de forma sencilla cuáles son los malware que amenazan la seguridad de tu empresa, para conocer su naturaleza más a fondo y poder prestar atención a las vulnerabilidades que nos rodean. En esta ocasión hablaremos sobre el malware polimórfico y metamórfico, amenazas que en últimos años han cobrado una fuerza inmensa dada su capacidad para no ser detectados.
Definición
Malware es un término en inglés, contracción de malicious software. Por definición, podemos entender entonces que malware es todo aquel programa que tiene la capacidad de generar un daño en un equipo o red de forma intencional, sin el conocimiento del usuario final. En este sentido, tanto malware polimórfico como metamórfico corresponden a instancias que puede cambiarse a sí mismos o ocultarse dentro de sus propios códigos.
Diferencias entre malware polimórfico y metamórfico
El origen de este tipo de programas se puede rastrear a los orígenes mismos de la informática contemporánea, con la encripción de software malicioso que dificultaba su detección. De manera breve, se pueden diferenciar de la siguiente forma:
Malware polimórfico: programa malicioso que consta de un motor de encripción y el núcleo del código, que contiene el payload; el primero se dedica exclusivamente a reescribir o encriptar la forma en que se presenta, permitiendo que las instrucciones en el núcleo se ejecuten de la misma manera, es decir, una parte se mantiene siempre igual.
Malware metamórfico: software que tiene la capacidad de editarse, reescribirse e incluso cambiar su código cada vez que se replica, alterando la forma en que se hace presente.
Considerando esto, el malware polimórfico es ligeramente más fácil de detectar que el metamórfico, pues muchos programas antimalware se basan en firmas —la huella de los códigos conocidos—, para detectar anomalías. Por su lado, el metamórfico se vuelve más complejo con cada réplica, por lo que incluso su detección puede ser complicada para programas antimalaware basados en comportamientos, pues estos programas maliciosos tiene la capacidad, en casos muy sofisticados, de modificar la forma en que se ejecutan.
Los mayores problemas
La ventaja principal que los creadores de este tipo de programas explotan es su capacidad relativa para ser invisibles. Con la implementación de herramientas complejas de recodificación y algoritmos de encripción dentro del código mismo del malware, pueden burlar con facilidad a los principales motores de búsqueda de códigos maliciosos. Por ejemplo, tan solo en 2017 los motores de detección de Microsoft encontraron que un 96% de los detecciones eran únicas, es decir, este tipo de programas sólo se presentaban una vez. Este porcentaje se ha mantenido más o menos igual hasta el momento, sin embargo es una estadística muy grave pues quiere decir que el polimorfismo y el metamorfismo ya son prácticas comunes entre los programadores de software dañino, lo que significa que prácticamente, solo se tiene una oportunidad para atraparlos y aislarlos una vez que se encuentran dentro de un dispositivo.
A nivel comercial muchas de las soluciones antimalware están basadas en el registro de las firmas de los códigos maliciosos detectados, bajo la premisa de que un programa que genera determinado daño o tiene determinada meta posee cierto código específico o proviene de una familia determinada de programas maliciosos, los cuales son bien conocidos y están registrados en las bases de datos de inteligencia de amenazas. Por lo tanto, si se presenta un programa del cual no se tiene registro, es muy probable que pase desapercibido y éste pueda seguir replicándose, mutando y cambiando.
Esta clase de males no se limita a virus: troyanos, spyware, ransomware, bots, keyloggers y gusanos utilizan el polimorfismo o el metamorfismo como mecanismo para entrar a sistemas de forma invisible y poder cumplir con su objetivo. Esto puede hacer más sencillo que un solo programa malicioso, al hacerse presente dentro de una red, se pueda replicar de forma eficiente, generando versiones nuevas y diferentes de sí mismo, hasta llegar a su objetivo, por ejemplo, pescar datos sensibles de una organización o tomar computadoras para generar botnets y lanzar un ataque de denegación de servicio, saturando la red entera y paralizando las operaciones de TI de una empresa.
Una solución proactiva
La mejor forma de evitar esta clase de ataques, sumamente costosos por su capacidad de pasar inadvertidos, es el observar y entender que todos los sistemas son vulnerables y que el malware avanza a pasos agigantados, pues es un negocio ilícito sumamente lucrativo.
Ya no puedes proteger la red de tu organización sólo con programas y acciones básicas, en este momento es necesario implementar acciones robustas, eficientes y proactivas para mantener la seguridad de TI en tu entorno.
El Centro de Respuesta a Incidentes de Nordstern y Kaspersky —primero en el continente americano y tercero en el mundo avalado por la marca rusa—, ofrece una visión completa de tu red, detectando posibles vulnerabilidades y puntos de ataque. El implementar un plan de respuesta a incidentes de Ciberseguridad en tu organización te brinda la posibilidad de detectar de forma proactiva cualquier amenaza, incluso antes de que surja y, en caso de ya haber sido atacado, permite detallar los mejores pasos a seguir para asegurar una recuperación mucho más rápida y con menos pérdidas económicas. Contacta a uno de nuestros expertos, pues tenemos una solución de acuerdo a tus necesidades.
