Imagen de portada de Christiaan Colen en Flickr bajo licencia Creative Commons
Malware, rootkit, virus, DDoS, troyano, exploit… la jerga de la seguridad informática está llena de términos que se refieren a diversas variantes de patógenos, cuyas tácticas de infección y actuación difieren ligeramente.
Una de estas tipologías, de la cual no se ha escuchado mucho en los medios de comunicación, es el fileless malware. ¿En qué consiste?
Su etimología corresponde a un tipo de malware que carece de soporte en fichero, realizando todo el proceso de ataque a través de la memoria RAM.
Hasta aquí, todo bien, pero… ¿en qué nos afecta esto? Pues en que las soluciones antivirus tradicionales no lo detectan, a menos que estén preparadas explícitamente para ello. Este malware actúa de forma “escondida” (stealth) en el sistema, pudiendo robar todo tipo de información sensible y abrir la puerta a otros tipos de infecciones.
En estos momentos podéis estar pensando que, si la memoria RAM es volátil, estáis a salvo cuando apagáis el ordenador. Esto es cierto en parte y, de hecho, el fileless malware está más enfocado a atacar servidores, máquinas que por la naturaleza de su función, están encendidas 24 horas al día y pocas veces se apagan o reinician.
No obstante, cabe señalar que si el fileless malware ya ha penetrado una vez en nuestro ordenador, es muy capaz de volverlo a hacer si no cerramos el agujero de seguridad que ha utilizado para su acceso.
Un uso que se ha hecho de él, lejos de los servidores, es para secuestrar ordenadores, lo que se conoce como ransomware: a través de un agujero de seguridad, por ejemplo, en el reproductor flash del navegador, el ransomware (que adopta la forma de fileless malware) se cola en el sistema sin ser detectado, encriptando los datos del usuario y pidiendo un rescate por ellos.
Pero ¿las soluciones antivirus no escanean también la memoria RAM? Sí, pero este tipo de malware es capaz de esconderse en partes de dicha memoria de difícil acceso, impidiendo o dificultando en gran medida su detección y desinfección.
Aunque pueda parecer un concepto nuevo de malware, lo cierto es que el fileless lleva con nosotros desde mediados de 2014, aunque se ha hablado poco de él como tipología en los medios de comunicación y, por ello, es más desconocido entre los usuarios.
Así ¿estamos desprotegidos? No nos desgarremos las vestiduras todavía, hay una solución, y consiste en disponer de un producto antivirus que tenga tecnología de detección de comportamientos.
Los diversos patógenos están pensados para realizar una serie de acciones determinadas, como camuflarse, intentar escalar sus privilegios, leer información, o encriptarla. Esos comportamientos son detectables si se analizan los procesos en ejecución en el sistema, por lo que el fileless malware tiene un punto débil que permite su detección y, con ello, tomar medidas para eliminarlo.
Nuestro consejo es, pues, que a la hora de decantaros por una solución de seguridad, lo hagáis siempre por una que incorpore tecnología de detección de comportamientos.