¿Qué es un troyano?
Un troyano es un tipo de malware, también llamado caballo de Troya, cuyo nombre hace referencia a la construcción de madera con forma de caballo gigante creada por los griegos para introducirse en la ciudad fortificada de Troya en forma de regalo envenenado, según se narra Homero en la Odisea. Al igual que los griegos se escondieron en la barriga del caballo para firmar una paz falsa con los troyanos y atacarles cuando menos se lo esperaban, los virus troyanos se cuelan en los ordenadores de sus víctimas de forma silenciosa engañando a los usuarios para que descarguen y ejecuten programas maliciosos.
El origen del troyano fue ANIMAL, desarrollado por el programador informático John Walker en 1975. El nombre del primer troyano provenía de un juego informático en el que se trataba de adivinar en qué animal estaba pensando uno de los jugadores realizándole 20 preguntas.
La versión del juego que creó Walker se hizo muy popular. Para facilitar su instalación, Walker ideó PREVADE, un programa que se instalaba junto con ANIMAL. Mientras el usuario jugaba a ANIMAL, PREVADE examinaba todos los directorios informáticos disponibles para el usuarioy realizaba una copia de ANIMAL en cualquier directorio donde no estuviera presente. La intención no era maliciosa, pero ANIMAL y PREVADE reflejan la definición de un troyano, ya que oculto dentro de ANIMAL había otro programa que ejecutaba acciones sin la aprobación del usuario.
Evolución del troyano
La primera vez que el termino troyano se usó en referencia a un código malicioso fue en un informe de las Fuerzas Aéreas de Estados Unidos sobre el análisis de vulnerabilidades en los sistemas informáticos en 1974. Sin embargo, no fue hasta la década de 1980 que estos programas maliciosos que seguían el prototipo de ANIMAL empezaron a ser cada vez más frecuentes. Uno de los primeros troyanos en hacerse famoso fue AIDS en 1989. Este código malicioso fue distribuido a través del correo postal mediante unos disquetes que simulaban contener una base de datos interactiva asociada con la enfermedad del SIDA.
Desde sus orígenes, los troyanos han sido utilizados como arma de sabotaje por los servicios de inteligencia como la CIA, cuyo caso más emblemático fue el sabotaje al gasoducto siberiano en 1982. La CIA instaló un troyano en el software que se ocuparía de manejar el funcionamiento del gasoducto, antes de que la URSS comprara ese software en Canadá.
Ya en la década de los 2000, otro troyano que tuvo gran éxito fue el Trojan.Win32.Delf.a, creado en Rusia para robar información del sistema operativo Windows.
¿Cómo funciona un troyano?
En su propósito de eliminar, bloquear, modificar y copiar datos o de interrumpir el correcto funcionamiento de los PC’s, los troyanos suelen aparecer como un malware adjunto a un correo electrónico que parece provenir de una fuente confiable. De esta manera, el usuario que no tome las debidas precauciones puede descargar el archivo adjunto y, si el dispositivo tampoco cuenta con las barreras de protección y el antivirus necesario, el malware se instalará en el equipo propagándose por todos los archivos del dispositivo.
Los troyanos suelen aparecer como un malware adjunto a un correo electrónico que parece provenir de una fuente confiable
Tipos de troyano
Existen diferentes tipos de malware de Caballo de Troya:
Índice de temas
Backdoor, o de puerta trasera
Este es el troyano más sencillo, pero también el más peligroso porque, una vez instalado en el ordenador y sin que el usuario se dé cuenta, deja una puerta abierta a todo tipo de malwares dejando el ordenador en un estado completamente vulnerable. Asimismo, las puertas traseras se pueden utilizar para generar botnets que permitan a los ciberdelincuentes entrar en los ordenadores de forma remota.
Downloader
Es un tipo de troyano que no es intrínsicamente malicioso por sí solo, pero que se dirige a una computadora ya infectada para descargar e instalar malware que sí lo es.
De denegación de servicio distribuido (DDoS)
En estos ataques, un servidor o una red recibe un bombardeo de solicitudes, generalmente realizadas por un botnet. Esto se debe a que un troyano con un componente de puerta trasera duerme oculto en el ordenador y se activa cuando su operador lo considera necesario. Un ataque de botnet o DDoS exitoso puede bloquear el acceso a sitios web o incluso a redes completas.
Bancarios
Su objetivo es obtener las credenciales de acceso a las cuentas bancarias. Para ello, utilizan técnicas de phishing, por ejemplo, envían a las víctimas a una página manipulada en la que deben introducir sus credenciales de acceso.
Falsos antivirus
Estos troyanos se comportan como programas o softwares de antivirus pero, en lugar de robar datos, persiguen exigir dinero al usuario a cambio de detectar o eliminar amenazas, sean estas falsas o no.
Exploit
Los exploit son programas creados para aprovechar una vulnerabilidad en una aplicación del dispositivo.
Rootkit
Estos troyanos se encargan de ocultar ciertos programas maliciosos en el ordenador para que estos puedan seguir ejecutando su actividad el mayor periodo de tiempo posible en el ordenador infectado.
Dropper, o troyano de descarga
El dropper no puede ejecutar código en el ordenador por su cuenta, sin embargo, trae consigo otros programas maliciosos en el paquete, como el troyano bancario Trickbot y el ransomware Ryuk, que sí pueden. El dropper más famoso es Emotet.
Trojan-GameThief
Este tipo de programas roba los datos de la cuenta de usuario de jugadores online.
Trojan-IM (Mensajería Instantánea)
Este troyano se cuela en las aplicaciones de mensajería instantánea tales como Skype, WhatsApp o Facebook, robando las credenciales del usuario.
Trojan-Ransom
Este troyano bloquea o modifica los datos del ordenador impidiendo su correcto uso, y no lo restablecerá hasta que la víctima no pague el rescate.
Troyanos por SMS
Este troyano se encarga de mandar SMS masivos de alto coste a número internacionales y el cargo económico corre a cuenta del usuario que los recibe.
Trojan-Spy
La ley permite a la policía instalar spyware y troyanos en los equipos informáticos que utilicen presuntos delincuentes
Este troyano puede espiar cómo el usuario usa su ordenador a través del seguimiento de los datos que introduce con el teclado, de capturas de pantalla o de una lista de las aplicaciones en ejecución.
¿Cuáles son los troyanos más famosos?
Entre los troyanos más extendidos de los últimos años podemos encontrar:
Zeus
Zeus se incrusta en el sistema informático para robar datos, comunicarse con el servidor de mando y adentrarse en las páginas web de las cuentas bancarias. Este malware está diseñado para funcionar en servidores, dispositivos Android y estaciones de trabajo Windows. Entre las que han sido sus víctimas se encuentran Bank of America, NASA, Amazon, Oracle y Cisco.
DanaBot
DanaBot está asociado a campañas de phishing capaces de robar silenciosamente credenciales bancarias.
URSNIF
URSNIF es un troyano bancario que puede robar datos almacenados de webs de entidades bancarias, incluyendo contraseñas, a través de inyecciones web, proxies y conexiones VNC.
Dridex
Este troyano utiliza tácticas de ingeniería social incluyendo en los mensajes de los atacantes señuelos, archivos adjuntos y cargadores intermedios con los que se instala posteriormente Dridex.
ZLoader
ZLoader se hace con contraseñas y cookies almacenadas en los navegadores de las víctimas, conectándose a sus sistemas para realizar transacciones financieras ilícitas desde dispositivos legítimos.
Emotet
Fue diseñado originalmente como un malware bancario que intentaba colarse en los ordenadores y robar información confidencial y privada. En versiones posteriores de Emotet se añadieron los servicios de envío de spam y malware, incluidos otros troyanos bancarios. Retefe y TrickBot también son malwares bancarios que han tenido un gran alcance en los últimos años.
¿Cómo se detecta un troyano?
Algunos de los síntomas que nos dan la alerta de que un ordenador puede estar infectado con un troyano son: que el ordenador vaya más lento de los normal ejecutando sus funciones, que se bloquee o congele el sistema sin motivo aparente, que comiencen a aparecer aplicaciones desconocidas en el dispositivo, que cambien las redirecciones de Internet a nuevos sitios web, que se produzcan modificaciones en el escritorio, la barra de tareas o el navegador, apareciendo nuevos iconos o desapareciendo otros; que aparezcan más ventanas emergentes de las usuales o que se descubra que el software antivirus esta desactivado.
¿Cuáles son las principales formas de distribución de troyanos?
Actualmente, los troyanos informáticos no solo atacan a equipos de Windows, sino también de Mac y dispositivos móviles. Uno de los vectores de entrada de los troyanos a los dispositivos es el correo electrónico. La descarga de los archivos adjuntos de estos correos desencadena la infección. Aunque no solo por correo electrónicos se cuelan estos malwares, como hemos visto, los SMS o las interfaces web falsas, pero que resultan confiables a los usuarios, son otra de las principales entradas para el caballo de Troya.
Sin embargo, también existen troyanos de servicios secretos que se pueden instalar en sistemas objetivo sin que el usuario se entere y sin necesidad de interacción por parte de los este, como es el caso del troyano Pegasus, que se distribuye mediante la red del teléfono móvil.
¿Cómo pueden los usuarios prevenir la infección de troyanos?
La mayoría de las suites de seguridad instaladas en el ordenador advierten de cuando el usuario está accediendo a un sitio web que no es seguro o de cuando no se debe pinchar en las ventanas emergentes de un sitio concreto. Por este motivo, es fundamental contar con software anti-malware y antispyware, y actualizarlo periódicamente, para que realice diagnósticos del sistema de forma reiterada y detecte y bloquee cualquier tipo de amenaza.
Proteger las cuentas de aplicaciones y correo electrónico con contraseñas únicas y complejas es otro paso para blindarnos contra el malware. Los cortafuegos y las herramientas de escaneo de los archivos adjuntos de los correos electrónicos también pueden ayudar a proteger el dispositivo.
Por último, la formación en ciberseguridad y la concienciación por parte de los usuarios es fundamental para minimizar los ataques, y realizar copias de seguridad de todos los archivos lo es para minimizar los daños de estos.
¿Es posible eliminar completamente el daño causado por un troyano?
Es difícil eliminar por completo un troyano, -ya que se ocultan convenientemente en los archivos de la computadora-, pero no imposible. Para acabar con un troyano es necesario identificar el archivo o archivos infectados y eliminarlos del sistema. El siguiente paso es descargar e instalar un antivirus actualizado, luego desconectar Internet del dispositivo, borrar la caché y las cookies y reiniciar el dispositivo en modo “a prueba de fallos”.
Es importante que, si el ordenador tiene un sistema Windows, se deshabilite la función de restauración del sistema, ya que se pueden esconder caballos de Troya en sus archivos. Después es conveniente que el antivirus haga un diagnóstico del sistema para detectar posibles programas aún infectados y eliminarlos del panel de control junto con sus correspondientes extensiones, y entonces, reiniciar el sistema.
Un spyware recopila datos sobre el comportamiento del usuario en Internet, qué ha comprado online y hasta las teclas que pulsa en el teclado
¿Existen herramientas específicas que puedan ayudar a identificar y eliminar los componentes del código del troyano?
Unas de las herramientas más eficaces para eliminar troyanos son los anti-malware conocidos como antispyware. Un antispyware es un software que detecta el tipo de malware conocido como spyware. Estos programas maliciosos buscan principalmente recopilar datos sobre el comportamiento del usuario en Internet, qué ha comprado online y hasta las teclas que pulsa en el teclado. En otras palabras, espían los movimientos del usuario en el dispositivo para robar datos y contraseñas e, incluso, tienen el poder de modificar la configuración del ordenador y perjudicar su funcionamiento.
Es importante tener claro que un antispyware no es un antivirus. Los antivirus se encargan de eliminar virus que dañan el ordenador, los antispyware detectan la presencia de un posible programa espía que quiere inmiscuirse en el equipo para conocer datos sobre el usuario y transmitirle información privada a terceras personas que desean usarla a su favor. Sin embargo, en el mercado existen antivirus que contienen antispyware como una función complementaria.
¿Qué son los troyanos de acceso directo?
Los troyanos de acceso directo son malwares que infectan normalmente a los sistemas operativos Windows a través de la inserción de una memoria externa o dispositivo USB en el ordenador. Estos troyanos ocultan sus archivos y los reemplazan por accesos directos con el mismo nombre de archivo. Al hacer clic en los accesos directos, el virus se replica a sí mismo e infecta aún más su disco duro.
Legislación sobre los troyanos en España
En el mes de marzo de 2015 se aprobó una reforma de la Ley de Enjuiciamiento Criminal para la regulación de las medidas de investigación tecnológica que permitía a las Fuerzas de Seguridad del Estado instalar spyware y troyanos en los equipos informáticos que utilicen presuntos delincuentes, para así poder perseguir de forma remota determinados delitos.
En la reforma se desarrolla una nueva regulación de la figura del agente encubierto “que se adapta a las singulares peculiaridades de investigación en la Red” y que abre la puerta a que estos agentes intercambien “archivos ilícitos en Internet”.
