El troyano informático se refiere al software malicioso que se disfraza de inofensivo y que le da a un atacante acceso a una computadora infectada para realizar otras acciones maliciosas.
El concepto de troyano en informática se utiliza para describir la categoría más común de malware en la actualidad. Es un programa malicioso que pretende ser legítimo o inofensivo para intentar acceder a la computadora o dispositivo móvil de la víctima y realizar diversos tipos de acciones maliciosas. Se pueden ocultar de muchas formas, desde un archivo de audio (WAV o MP3), un archivo ZIP o RAR, una extensión del navegador, un instalador de software legítimo, un archivo de actualización o una aplicación de teléfono, entre otros.
Qué puede hacer un caballo de Troya en una computadora infectada
Los caballos de Troya pueden ser utilizados por un atacante para varios propósitos maliciosos, como abrir puertas traseras, tomar el control del dispositivo de la víctima, robar datos de la computadora infectada y enviarlos al atacante, descargarlos y ejecutarlos en la computadora o dispositivo de la víctima. Software malicioso adicional, entre otras acciones. Basando su éxito en la simulación y la necesidad del usuario de ejecutar el archivo, los caballos de Troya se caracterizan por un alto uso de técnicas de ingeniería social.
Por qué un troyano no es un virus
Aunque muchas personas a menudo se refieren a los troyanos como virus, a diferencia de los virus informáticos, los troyanos no tienen la capacidad de infectar otros archivos por sí mismos o de moverse dentro de una computadora o red comprometida. Para obtener más información, puede leer el artículo ¿Cuál es la diferencia entre virus y malware?
Al igual que la leyenda del famoso caballo de Troya utilizado por los griegos para esconder a sus soldados y entrar en la ciudad de Troya, convenciendo a los guardias de que era un regalo de los dioses, los caballos de Troya computarizados se caracterizan por su modus operandi de disfrazar y dar un toque. Vida de apariencia inofensiva, ocultando su verdadera función maliciosa con la intención de hacer que el usuario lo descargue, le permita ingresar al sistema y ejecutarlo. Los caballos de Troya generalmente no infectan otros archivos en el sistema y requieren la intervención del usuario para propagarse.
Como avance, cabe mencionar que existe una gran variedad de troyanos y que cada uno puede ser muy diferente entre sí en cuanto a sus capacidades y las acciones que realizan en el dispositivo de la víctima, como descargadores, banqueros (también conocidos como troyanos bancarios)), puertas traseras, goteros, registradores de pulsaciones de teclas o bots.
Por otro lado, para infiltrarse en el dispositivo de la víctima, los troyanos utilizan otros medios, como descargas, explotación de vulnerabilidades, técnicas de ingeniería social, entre otros.
Reseña histórica
El término troyano se utilizó por primera vez en 1974 en un informe sobre el análisis de vulnerabilidades en sistemas informáticos realizado por la Fuerza Aérea de los Estados Unidos, pero el término se popularizó en la década de 1980 y a fines de esa década pudo identificar los primeros caballos de Troyano, que comenzó a extenderse a principios de la década de 1990 con Internet.
Características principales de los troyanos
Los caballos de Troya son generalmente códigos maliciosos con cierta sofisticación, aunque esto también depende del propósito y habilidad de la persona que los desarrolló. Algunas de las características más comunes de los caballos de Troya son:
- Posibilidad de contactar con sus servidores de Command and Control (C&C)): Aunque gran parte del trabajo de un caballo de Troya se realiza de forma autónoma, una característica esencial de estos códigos maliciosos es su capacidad para informar a los operadores detrás de la amenaza a través de servidores (C&C). A través de estos servidores, la amenaza recibe nuevas instrucciones (o comandos) del atacante; por ejemplo, para descargar otras amenazas o componentes adicionales a la computadora comprometida o para extraer información de la computadora de la víctima.
- Extensibilidad de sus funciones– Actualmente, pocos troyanos no tienen la capacidad de descargar nuevos componentes de su servidor C&C para realizar nuevas tareas. Un troyano básico, por ejemplo, inicialmente puede tener funcionalidad de keylogger, pero una vez instalado en la computadora, el troyano puede descargar otros componentes que le permiten realizar otras acciones, como robar información específica (credenciales bancarias, contraseñas, documentos, etc.) . Aunque esto generalmente depende del interés que tenga un atacante en el equipo infectado, la mayoría de las veces es un proceso automatizado, ya que, por ejemplo, un troyano que se distribuye a través de una campaña de phishing puede infectar cientos o miles de dispositivos, dependiendo de la calidad. de su distribución.
- Descarga otras amenazas: Después de que una computadora se ve comprometida, algunos caballos de Troya descargan otras amenazas, pero también puede suceder que un agente malintencionado ofrezca a otros agentes de amenazas acceso a sistemas que han sido comprometidos por un caballo de Troya como servicio.
- Mejora: algunos tienen la capacidad de actualizarse a sí mismos y a sus componentes.
Tipos de troyanos más comunes
Como dijimos al principio de este artículo, el término troyano abarca varios tipos de malware. Algunos de los distintos tipos de troyanos que existen son:
Troyanos de puerta trasera: Las famosas “puertas traseras” que ofrecen al atacante un control más refinado del equipo infectado. Algunos de estos troyanos pueden mostrar al atacante la pantalla de la víctima en tiempo real, grabar audio, utilizar el mouse y el teclado, crear, eliminar y editar archivos, así como descargar y robar información.
Troyanos bancarios: Este tipo de troyano está diseñado con el objetivo de robar la información bancaria del usuario, ya sean contraseñas o credenciales para acceder al sistema bancario online o la aplicación bancaria, así como información sobre cuentas y tarjetas de crédito.
Troyanos ransomware: Uno de los tipos de malware más peligrosos que existen en la actualidad es el troyano ransomware, que tiene la capacidad de cifrar documentos o bloquear una computadora infectada. Los atacantes pueden solicitar alguna forma de pago a cambio de descifrar información o restaurar el uso de sistemas comprometidos.
Troyanos de descarga: Una vez que se obtiene acceso a una computadora, este tipo de troyano intentará descargar otras amenazas, ya sean otros tipos de troyanos o adware.
Troyanos cuentagotas: Este tipo de troyano a menudo queda eclipsado y protegido de alguna manera para que sea más difícil de analizar y detectar. Su función es instalar algún tipo de amenaza que se esconde en su interior.
Troyanos de software espía: Al igual que Backdoor, los troyanos espías buscan registrar todo tipo de información en la computadora, así como tomar capturas de pantalla, videos, audio y enviarlos a un atacante. Este proceso suele estar automatizado.
Ejemplos de troyanos conocidos
El notorio Spyware FinFisher (también conocido como FinSpy) es otro ejemplo de troyano. Es conocido por sus amplios recursos para espiar y usar cámaras web, micrófonos, registradores de pulsaciones de teclas de forma maliciosa y la capacidad de exfiltrar archivos. En ese momento, sus desarrolladores lo comercializaron como una herramienta para las fuerzas de seguridad, pero se cree que también fue utilizado por regímenes opresores. Para ocultar su verdadero propósito, FinFisher usa varios disfraces. En una de sus campañas descubiertas por ESET, fingió ser un instalador de programas populares, como navegadores y reproductores multimedia. También se distribuyó a través de correos electrónicos de phishing que incluían archivos adjuntos falsos o actualizaciones de software falsas.
En el tiempo, podemos hablar de Emotet, un popular troyano que comenzó como un troyano bancario, pero que con el tiempo se ha convertido en un malware modular muy utilizado para descargar otros códigos maliciosos, como TrickBot y Qbot, por ejemplo, en equipos de las victimas.
Troyanos dirigidos a dispositivos móviles
Sin embargo, los caballos de Troya no son una amenaza exclusiva para las computadoras. Muchos malware para dispositivos móviles (especialmente para Android) también entran en esta categoría. DoubleLocker era una familia innovadora de ransomware enmascarada como una actualización de Adobe Flash Player. Esta amenaza se ha infiltrado en un dispositivo móvil a través de servicios de accesibilidad, encriptando datos y bloqueando la pantalla mediante un código PIN aleatorio. Posteriormente, el atacante exigió un pago en bitcoin para desbloquear el dispositivo.
A lo largo del tiempo hemos observado diferentes campañas que buscan distribuir troyanos para Android a través de tiendas oficiales como Google Play que pasan por juegos, aplicaciones de redes sociales, administradores de baterías, aplicaciones meteorológicas, reproductores de video, entre otras funcionalidades. El propósito de estos caballos de Troya es permanecer ocultos en las computadoras de los usuarios mientras recopilan información confidencial, como las credenciales de acceso de otras aplicaciones.
Cómo protegerse de los troyanos
El término troyano incluye varios tipos de software malicioso y puede evitarse siguiendo algunas recomendaciones, como las que se mencionan en los siguientes artículos:
Por último, es importante mencionar que muchos troyanos aprovechan las vulnerabilidades de los sistemas de las víctimas para infiltrarse en ellas. Para mitigar estas vulnerabilidades, se recomienda a los usuarios que mantengan sus computadoras actualizadas e instalen parches con regularidad, no solo para el sistema operativo, sino para cualquier software que utilice.