Qué es un Troyano (Caballo de Troya) y Cómo Puede Dañarte

Los “caballos de Troya” modernos no participan en la toma de ciudades, pero causan muchos dolores de cabeza a los especialistas en ciberseguridad y a los usuarios comunes.

Qué es un Troyano

Un troyano es un tipo de software malicioso que se disfraza como software habitual y a menudo popular, ocultando su verdadera intención. Los troyanos se utilizan para obtener control sobre un ordenador, dañar el sistema o la red local, robar datos personales o rastrear las acciones del usuario.

Este tipo de software malicioso recibió su nombre en honor al caballo de Troya, descrito en la epopeya de la antigua Grecia “La Ilíada”. La esencia es que los habitantes de Troya permitieron que se introdujera en la ciudad un enorme caballo de madera, regalado por los aqueos supuestamente en señal de reconciliación. Dentro de aquel caballo se escondían tropas enemigas que, al amparo de la noche, tomaron y destruyeron la ciudad.

Para que tu ordenador o smartphone no caiga como Troya, hoy vamos a ver:

• Cómo son peligrosos los troyanos
• Cómo funcionan
• Qué tipos de troyanos existen
• Cómo protegerse de los programas troyanos

Cómo son peligrosos los troyanos

Los troyanos pueden vivir mucho tiempo en un sistema haciéndose pasar por software inofensivo, dañando archivos o recopilando información sobre el usuario para los atacantes. Este software malicioso llega al PC, por ejemplo, como parte de los archivos de instalación de programas populares descargados de sitios no oficiales.

Aunque los antivirus se enfrentan con bastante éxito a los troyanos y los virus, son tipos de programas completamente diferentes. Los virus se ejecutan y se auto-replican en el ordenador infectado, mientras que los troyanos son transportados y ejecutados por otros programas. Así que no deben confundirse.

Después de ejecutarse, los troyanos se añaden al inicio automático, cambian la configuración del sistema, empiezan a recopilar los datos necesarios y a enviarlos al atacante. Y algunos programas maliciosos incluso son capaces de recibir comandos de él. Veamos algunos ejemplos conocidos de troyanos.

Troyan.Mayachok.2

Fue detectado en 2011, y se registraron picos de su actividad durante varios años más. Este software malicioso bloqueaba el acceso a internet y mostraba una ventana emergente en el navegador ofreciendo actualizarlo a la última versión. Para la “actualización”, el usuario debía introducir su número de teléfono móvil y el código recibido por SMS. Como resultado, el usuario se suscribía a un servicio que le cobraba dinero de su cuenta móvil regularmente.

Linux.Sshdkit

Aunque en general se puede decir que Linux es un sistema operativo seguro, no está exento de vulnerabilidades. Linux.Sshdkit, al infiltrarse en el sistema bajo la apariencia de una biblioteca, infectaba el proceso sshd, interceptando las credenciales del usuario y enviando a los atacantes claves de acceso remoto, convirtiendo una estación con Linux en parte de una red zombi que conectaba ordenadores infectados. Estas redes se utilizan para ataques DDoS.

Trojan.Yontoo.1

Este troyano dañaba sistemas con macOS X. Trojan.Yontoo.1 se infiltraba en el ordenador bajo la apariencia de software útil o un plugin y transmitía datos sobre la página web que el usuario estaba viendo. Al recibir una respuesta del servidor, incrustaba anuncios en el sitio que llevaban a sitios de phishing, los cuales eran percibidos por los usuarios como parte de la página web.

Android.SmsSend

Android.SmsSend infectaba smartphones con Android. El troyano mostraba periódicamente una notificación a pantalla completa, ofreciendo actualizar los componentes del sistema. Si se hacía clic en el objeto, aparecía una animación de actualización, pero en realidad se activaba una suscripción a un servicio de pago o se enviaba un SMS de pago.

Cómo funcionan los troyanos

Un troyano no puede iniciarse por sí solo, a diferencia de cualquier virus informático. Los propios usuarios, por desconocimiento o descuido, ejecutan el código malicioso en el dispositivo.

La mayoría de las veces, el troyano se distribuye como un programa útil con software malicioso incrustado en forma de:

• código añadido en un instalador modificado de un programa completamente inofensivo;
• una imagen o documento adjunto a un correo electrónico;
• parte de un archivo autoextraíble (SFX).

Los troyanos también pueden llegar a un ordenador a través de redes Wi-Fi falsas o vulnerabilidades de software, cuando un atacante puede obtener acceso remoto al ordenador y descargar software malicioso en él.

Lee también: OWASP Top 10: las vulnerabilidades más comunes de las aplicaciones web

Inmediatamente después de ejecutarse, el troyano intenta obtener control sobre el sistema operativo, cambiando configuraciones, deshabilitando sistemas de protección y abriendo los puertos necesarios. Como dijimos, recopila información sobre contraseñas, datos introducidos con el teclado, la dirección IP y otros datos, enviándolos a los atacantes. El desarrollo posterior de los eventos depende del tipo de troyano.

Tipos de troyanos

Puerta trasera (Backdoor)

La versión clásica del troyano. Actuando como una puerta de enlace, el troyano descarga desde un servidor remoto los cuerpos de otros programas maliciosos para obtener aún más control sobre el ordenador. A menudo, este tipo de malware se utiliza para organizar redes zombi. Son grupos de docenas de máquinas infectadas en todo el mundo, utilizadas para realizar ataques DDoS.

Un ejemplo es la familia de troyanos Backdoor.MSIL, que permitía a los atacantes controlar ordenadores de forma remota. Posteriormente, estos dispositivos se unían en botnets para ataques DDoS.

Bloqueador

Bloquea las acciones del usuario o el acceso del sistema a archivos, a veces exigiendo un rescate. A menudo trabaja junto con un cifrador.

Un ejemplo de bloqueador es Trojan.Winlock.3794, común en la era de Windows XP. El malware mostraba en la pantalla del usuario una ventana similar a la de activación del sistema operativo, pero contenía requisitos para introducir datos de tarjeta bancaria. Si se rechazaba, aparecía la “pantalla azul de la muerte” y el ordenador se reiniciaba.

Cifrador

Como se puede entender por el nombre, este tipo cifra los datos, haciéndolos inaccesibles para el usuario. Para restaurar el acceso y obtener la clave de descifrado, exige un rescate.

Un ejemplo es Trojan.Encoder.25129, que infecta ordenadores con Windows fuera de Rusia y los países de la CEI. El troyano cifra el contenido de las carpetas del sistema, después de lo cual muestra al usuario un mensaje exigiendo un rescate.

Troyano bancario

Se utiliza para obtener el nombre de usuario y la contraseña de acceso al área personal del banco, datos de tarjetas de pago y redirigir los pagos en línea a una página de phishing con el objetivo de robar dinero.

Un ejemplo de este troyano es Clampi, que a veces se encuentra bajo los nombres Ligats e Ilomo. Al infectar el dispositivo, espera el momento en que el usuario acceda a la aplicación de banca online o introduzca datos de tarjeta bancaria en una tienda online.

Recolector de email

Recopila direcciones de correo electrónico para transmitirlas a los atacantes. Posteriormente pueden utilizarse para enviar correos electrónicos de phishing.

Downloader

A veces se les llama droppers (del inglés dropper – lanzador de bombas). Estos programas contienen o descargan de la red componentes maliciosos adicionales, por ejemplo, un troyano bancario. Un ejemplo es Trojan-Dropper: W32/Agent.PR, que crea varios archivos vacíos y descarga un troyano backdoor en el ordenador.

Los downloaders pueden actualizarse remotamente a nuevas versiones para ocultarse de los antivirus y ampliar sus capacidades de descarga de nuevos archivos.

Account Stealer

Roba datos de cuentas de juegos o perfiles en redes sociales y mensajería. Los atacantes obtienen acceso a la correspondencia personal y pueden chantajear a la persona con su divulgación o lanzar envíos masivos de spam desde la cuenta hackeada pidiendo dinero prestado.

Un ejemplo es el malware KPOT, capaz de robar datos de cuentas de servicios de juegos, Telegram, Skype y otras aplicaciones.

Troyano SMS

Envía mensajes a números internacionales a costa de los fondos del usuario que ha contraído este malware en su smartphone. Un ejemplo es Trojan-SMS.AndroidOS.FakePlayer.a, que fue el primer troyano de este tipo para smartphones con Android.

Espía

Graba y envía datos introducidos con el teclado, toma capturas de pantalla del escritorio y de las aplicaciones, da acceso al historial de actividades y a la cámara web. Así funcionaba Trojan-Spy.Win32.Noon, que recopilaba y transmitía a los atacantes información sobre contraseñas guardadas en el navegador y escritas con el teclado.

Exploit

Utiliza vulnerabilidades en el software instalado en el ordenador, con el fin de obtener acceso al sistema e inyectar código malicioso. Un ejemplo es el exploit EternalBlue, que se utilizó repetidamente para propagar otros troyanos y virus.

Lee también: Los 10 Ataques por Caballo de Troya más Destructivos

Cómo protegerse de los programas troyanos

Dos consejos principales: estar atento y entender cómo llegan los troyanos a tu ordenador o smartphone. Analicemos las principales formas de protección que reducen el riesgo de infección.

• Descarga las actualizaciones del sistema a tiempo. Cierran agujeros de seguridad, añaden nuevas funciones y actualizan las bases de datos del antivirus integrado.
• No caigas en el phishing. No descargues ni abras archivos adjuntos en correos electrónicos recibidos de personas desconocidas, y recuerda que a los atacantes les encanta disfrazar correos peligrosos como envíos de tu tienda favorita.
• Descarga software verificado y solo de sitios oficiales. Si descargas programas de torrents o sitios no oficiales, corres el riesgo de obtener malware en tu ordenador.
• Si eres usuario de Windows, no instales sistemas ensamblados por equipos de desarrollo de terceros. A menudo son imágenes de Windows reducidas, donde se han eliminado algunas aplicaciones estándar como “Windows Defender”, “Firewall”, y se han desactivado las actualizaciones automáticas, así como el control de cuentas de usuario. Dichos sistemas son un objetivo ideal para los troyanos.

Por cierto, sobre el control de cuentas de usuario. ¿Recuerdas la “molesta” ventanita en Windows que dice “¿Desea ejecutar Nombre_del_programa.exe?” y las opciones “Sí” y “No“? Pues bien: no aparece solo para molestarte.
Esa ventanita indica que el programa que se va a ejecutar requiere acceso al sistema con derechos de administrador. Está claro el riesgo de conceder tales privilegios a un programa malicioso. Por eso, no desactives el control de cuentas de usuario.

• Revisa periódicamente tu sistema con antivirus. Para esto son excelentes los antivirus gratuitos y de un solo uso como Dr.Web CureIt! o las soluciones de Malwarebytes. Si no estás seguro de un programa descargado, escanéalo con el antivirus online Virustotal antes de ejecutarlo. Comprobará el archivo en busca de malware. Pero no podrás hacer esto con archivos comprimidos protegidos con contraseña. Por eso, nunca los abras si los has descargado de una fuente no verificada.

Los troyanos pueden involucrar tu ordenador o smartphone en una red zombi de ordenadores para ataques DDoS o robar datos personales. Su particularidad, en comparación con otro malware, es la imposibilidad de auto-ejecutarse en el dispositivo. Por lo tanto, el éxito de la infección depende completamente de las acciones del usuario y de su atención.

Preguntas frecuentes sobre el caballo de Troya