Cómo protegerse ante el adware, el spyware y otros tipos de malware

Cada cierto tiempo el software malintencionado salta a las primeras páginas de los periódicos y llama la atención pública con ataques a empresas, organizaciones, equipos domésticos o incluso hospitales, tristemente convertidos ya en algo habitual en esta era digital. Estas infecciones toman diversas formas, designadas por los especialistas informáticos con palabras sin sentido como ransomware, spyware, adware o scareware, siempre incluyendo el sufijo “-ware”, como abreviatura de “software”, para describir a los distintos tipos de programas maliciosos o malware, del inglés “malicious software”. Ahora bien, ¿qué definen exactamente estos términos tan curiosos? ¿Qué tan grave es la amenaza? ¿Es posible protegerse contra estos programas o, en caso de infección, eliminarlos del equipo sin más?

Con esta designación, fruto de la combinación de las voces inglesas “ransom” (rescate) y “software”, se conoce a un tipo de ataque que involucra a troyanos basados en metodologías de extorsión y codificación. Este tipo de virus funciona de la siguiente manera: el software codifica los archivos de un ordenador, o incluso la totalidad de una red, y muestra, en lugar de la interfaz de usuario habitual, un mensaje que informa de la eventualidad y solicita un rescate a cambio de la liberación de los directorios. En cuanto a su expansión, el ransomware no se diferencia en gran medida de los virus informáticos más conocidos, ya que, en general, accede a los equipos en archivos adjuntos infectados (facturas, justificantes de entrega, archivos ZIP, etc.) o a través de vulnerabilidades en los navegadores o de servicios de alojamiento de archivos como Dropbox.

La técnica más habitual que este software utiliza para distribuirse es el envío masivo de correos electrónicos con archivos adjuntos infectados a través de redes de robots. Estos spambots permiten a los cibercriminales enviar de forma automatizada grandes cantidades de correos manipulados, que esconden programas de descarga (downloaders) de troyanos en los adjuntos falsificados. Por norma general, este tipo de correos ejercen cierto tipo de presión sobre el usuario para que lo abra, bien simulando ser emisores reales, tales como compañías conocidas, o bien intentando entrar en contacto directo con él, incitándolo a abrir el correo con una locución que inspire confianza.

Aun siendo un viejo conocido, este programa con tan malas intenciones ha gozado en los últimos tiempos de una creciente expansión. A nivel global ya ha generado pérdidas millonarias, sin inhibirse siquiera ante los hospitales. Además de una clínica en Los Ángeles, también han sido víctima de este chantaje un gran número de hospitales, empresas y ordenadores privados. La veterana familia de troyanos TeslaCrypt es la más activa.

En España hubo una oleada de infecciones por ransomware entre 2013 y 2015. El troyano, del tipo Criptolocker, se instalaba en los equipos una vez se abría un mensaje de Correos informando de la llegada de un paquete e inmediatamente los archivos más estimados por el usuario (imágenes, documentos de trabajo, etc.) quedaban cifrados e inaccesibles, a no ser que se pagara un rescate en bitcoins para evitar ser rastreado. Una vez más, cabe recordar que la primera medida de protección ante ransomware sigue siendo la suspicacia a la hora de abrir correos electrónicos inesperados.

Existe una gran diversidad de medidas preventivas contra las infecciones por ransomware. En primer lugar, se sitúan las acciones básicas de protección contra correos fraudulentos, lo que significa, básicamente, mantener siempre una actitud escéptica y prudente y abstenerse de hacer clic sin pensar en enlaces dudosos, así como preguntarse siempre por la veracidad de los archivos adjuntos y solo abrirlos cuando su autenticidad esté fuera de toda duda. Asimismo, se recomienda:

• Mantener actualizados tanto el sistema operativo como un programa antivirus efectivo, pues solo de esta forma se pueden reconocer nuevas amenazas.
• Guardar las copias de seguridad de los archivos más importantes en un medio de almacenamiento externo, ya que, en caso de pérdida, los datos pueden ser restaurados sin grandes daños.
• Mantener encendido el cortafuegos del sistema operativo y evitar trabajar exclusivamente en el modo administrador.
• Los programas con vulnerabilidades conocidas no se han de seguir usando, como es el caso de Adobe Flash Player, que desde el cambio de muchas páginas web a HTML5 está dejando de ser necesario.

Ahora bien, ¿qué se puede hacer si, a pesar de todo, se es víctima de una infección por ransomware? En algunos casos puede ser eliminada, solución que depende en gran medida del método de codificación utilizado. Los programas antivirus más habituales reconocen y eliminan algunos de ellos, pero en otros casos la infección es más resistente, de tal forma que, en ocasiones, hay que desconectar al equipo de la red en pleno proceso de cifrado y apagarlo. Los discos de rescate, de la mano de los fabricantes de antivirus más conocidos como Karpersky, AVG o BitDefender, permiten mantenerse a salvo de algunas amenazas.

Iniciar el equipo en el modo seguro también sirve de ayuda, ya que garantiza que solo se pongan en funcionamiento las funciones más relevantes del sistema. En este entorno protegido, se puede resetear el sistema a un punto anterior (Panel de control > Sistema y seguridad), pero solamente si antes se ha determinado un punto de restablecimiento, aunque el sistema suele generarlos automáticamente con cada actualización o al instalarse programas.

Nuestro último consejo consiste en la ejecución en las líneas de comandos de herramientas de decodificación especiales, desarrolladas contra tipos específicos de troyanos.

Los programas espía, comúnmente conocidos como spyware, son programas que en su versión más inofensiva “rastrean” el comportamiento y los intereses del usuario con finalidades publicitarias y, en la más dañina, “piratean” datos bancarios, contraseñas y todo tipo de información sensible. En aquellos casos especialmente críticos, la instalación del programa viene acompañada de los denominados keyloggers, que captan la información que el usuario introduce con el teclado y la envían al creador del software. En el primer caso, los especialistas hablan de adware, donde a “software” se ha añadido la forma abreviada de “advertisement” (anuncio publicitario). Con frecuencia, tales programas muestran abiertamente su finalidad, ofrecidos como contenido adicional en los asistentes de aplicación de descargas al instalar un programa en el ordenador, desde el cual son fáciles de desinstalar. En muchos casos, se trata de barras de herramientas para el navegador o de barras de búsqueda de buscadores no muy conocidos que, espiando las búsquedas del usuario son capaces de mostrar publicidad a medida relacionada con ellas en forma de banners o ventanas emergentes. También pueden cambiar la página de inicio o el buscador estándar, infiltraciones que, aunque reversibles, no son menos molestas.

Lo mejor que se puede hacer es no instalar adware en absoluto. En la descarga de programas gratuitos (freeware) conviene evitar la versión estándar automatizada, incluso aunque se confíe en la fuente del cliente, pues a menudo esta instalación exprés viene acompañada de programas adicionales cuya instalación pasa desapercibida para el usuario, que solo aprecia los cambios cuando abre el navegador de nuevo. Por ello, conviene seguir cada paso de la instalación con atención para poder detectar qué hay que instalar en cada paso y si habría que hacer cambios en la configuración estándar para no instalar alguna aplicación.

Si se instala adware involuntariamente, no todo está perdido, porque se puede desinstalar fácilmente. Muchas barras de herramientas se pueden eliminar del sistema en el mismo panel de control del sistema operativo. En cualquier caso, hay que controlar todos los navegadores instalados y eventualmente eliminar manualmente la barra añadida si sigue apareciendo en el listado de extensiones o plugins instalados. Asimismo, también hay que realizar las modificaciones necesarias en el buscador predeterminado y en la página de inicio. Y si no fuera posible desinstalarlo, entonces son necesarias otras medidas de protección.

El programa AdwCleaner, por ejemplo, busca y elimina de forma efectiva numerosas formas de adware, entre las que se cuentan las barras de herramientas infiltradas o el secuestro del navegador (browser hijacking). Este programa no requiere su instalación, siendo ejecutable desde un medio externo como un dispositivo USB o un disco. Sí se requiere, como siempre en el caso del software libre, tener cierta precaución a la hora de descargarlo, porque el software falsificado a menudo encuentra la manera de posicionarse en los lugares más relevantes de los resultados de búsqueda. Antes de proceder a su descarga, asegúrate, así, de la fiabilidad del programa acudiendo a fuentes informativas fehacientes si es necesario. Una vez finalizado el proceso de limpieza, no está de más escanear el equipo completo y el navegador con el antivirus habitual.

A menudo, las fronteras que separan al adware del software espía no están del todo claras, aunque generalmente el segundo suele tener un carácter más agresivo y encubierto, porque mientras el adware suele aparecer en la lista de programas o aplicaciones instaladas, desde donde puede desinstalarse, el spyware suele actuar escondido y en un segundo plano. El registro de las acciones del usuario en el teclado con keyloggers también entra en esta categoría, pues con este sistema se roban códigos PIN, contraseñas, direcciones de correo o cualquier tipo de información sensible. En general, el usuario percibe la presencia de este tipo de programas cuando el escáner del antivirus o el cortafuegos dispara la alarma. Si esto no sucediera, porque el escáner antivirus no está actualizado o incluso no instalado, la infección se hace notar cuando el ordenador trabaja de una forma inusualmente lenta.

En caso que se considere necesario, puede ser de ayuda abrir el Administrador de tareas de Windows mediante el clásico atajo del teclado Ctrl+Alt+De y comprobar la carga en la unidad central de procesamiento (CPU) para hacer un seguimiento de los procesos no deseados. Algunos troyanos toman la forma de supuestos procesos conocidos. Si, por ejemplo, el navegador no está abierto pero en esta ventana se muestra como un proceso activo, esto podría significar que hay un troyano haciendo de las suyas. De igual forma, también se puede echar una ojeada a la carga de la red en la pestaña “Red”. Si de nuevo se observan actividades inusuales, se podría estar ante un indicio de espionaje.

También aquí vuelve a aparecer como medida preventiva crucial la instalación de un software antivirus y su actualización, porque estos programas tienen la capacidad de reconocer el malware y desarmarlo. No olvides una cosa, y es que es mejor una protección gratuita que ninguna en absoluto. Además del mencionado AdwCleaner, también se puede recurrir a los siguientes programas para sistemas Windows, que cuentan igualmente con una versión gratuita:

• Antivir: Avira Free Antivirus
• AVG-Antivirus Free
• Kaspersky Free Antivirus
• Malwarebytes Anti-Malware

Como también se mencionó en el caso de la erradicación de ransomware, en casos de especial resistencia, en los cuales ya no es posible desinfectar el equipo con las funciones propias del sistema operativo ni con un software antivirus, la ayuda puede proceder de los discos de rescate, como el Kaspersky Rescue Disk, por ejemplo, descargable desde la página web del fabricante. El archivo de imagen ISO se graba en un CD o en un DVD con un programa habitual (Nero Burning ROM, por ejemplo) y, a continuación, se modifica el dispositivo de arranque en el sistema básico de entrada o salida (BIOS, Basic Input/Output System), indicándole al ordenador que arranque desde el CD / DVD cuando se reinicie.

Esto se lleva a cabo en el apartado Boot del menú una vez se ha accedido a la BIOS, para lo cual se pueden utilizar las teclas de configuración del teclado F1 o F2 una vez ordenado el reinicio del equipo. Introducidos los cambios, se guardan, se reinicia el ordenador y, cuando el sistema lo pida, se presiona una tecla cualquiera. Cuando arranque el programa de rescate, se puede elegir una representación en texto plano o una interfaz gráfica. Finalmente se examina y desinfecta el ordenador de software perjudicial.

El scareware toma la palabra del inglés “scare” (“to escare” = “asustar”) para designar a un tipo especialmente pérfido de software que pretende infundir miedo en el usuario simulando ser, en la mayoría de los casos, un supuesto programa antivirus que avisa de un pretendido ataque por virus o troyanos, siendo en realidad él el ataque mismo. En el ordenador del usuario intimidado comienzan entonces a aparecer ventanas emergentes con avisos que le informan de que la supuesta desinfección del equipo requiere el pago de una cierta cantidad económica o la compra de la nueva versión del programa falsificado. Una vez realizado el pago, lo único que ocurre es que dejan de aparecer los mensajes y, en el peor de los casos, si el pago se ha realizado con tarjeta de crédito, los cibercriminales entran en posesión de los tan sensibles datos bancarios.

Algunas ventanas emergentes del tipo scareware no ocultan su apariencia sospechosa debido a un diseño urgente y llamativo, lo que permite identificarlos fácilmente como fraude, pero otros son algo más refinados y pretenden imitar el aspecto de programas antivirus auténticos, llegando incluso a ofrecer atención telefónica o por correo electrónico. ¿Cómo es posible entonces identificar una práctica engañosa de este tipo y eliminar el scareware del equipo? Fundamentalmente, el primer y más importante paso es observar atentamente cada aviso recibido: ¿procede realmente de un programa que se ha instalado o que ya estaba instalado en el ordenador? Si no lo hace, entonces probablemente se está ante un software dañino de este tipo.

Hay que tener presente siempre que ningún antivirus serio genera miedo en sus abonados con un aviso de virus ni va a intentar extorsionarlos con esta excusa. Y aunque los programas antivirus gratuitos pueden mostrar ofertas para actualizarlo a una versión de pago más completa, el software auténtico, también el gratuito, ofrece ayuda de emergencia sin costes en caso de infección. El scareware, además, intenta hacer parecer al ataque mucho más grave de lo que es en realidad mediante una lista de supuestas infecciones que en realidad son poco frecuentes e improbables. Cualquier antivirus al uso es capaz de eliminar scareware, pero, de nuevo, cabe recomendar acceder a una fuente fehaciente para descargar el programa, es decir, a la página oficial del fabricante o a portales serios sobre informática.