¿Qué es un troyano informático y cómo funciona?
Si hay algo que nadie debería dejar de lado en el momento actual es la seguridad informática. Usamos ordenadores y móviles para hacer más y más actividades en el día a día, algunas de ellas especialmente delicadas, como acceder a banca online, realizar pagos electrónicos, etc. Es por ello que debemos estar siempre atentos para no ser blanco fácil de ataques de seguridad. Dentro de las muchas amenazas que existen hoy os vamos a hablar de los troyanos, que es un tipo de malware especialmente dañino, porque puede abrir puertas de entrada a nuestros sistemas sin nosotros saberlo.
¿Qué es un troyano informático?
Antes que nada, lo ideal es comenzar por explicar en qué consiste un troyano informático. Pues bien, se trata de un software malicioso que se presenta generalmente como si fuera un programa de uso normal. Por ejemplo, se presenta como si fuese un instalador de un programa conocido, o un archivo corriente. De ese modo, el programa malicioso oculta su peligrosidad y trata de que los usuarios lo ejecuten pensando en que es útil e inofensivo.
Como te puedes imaginar, el nombre de este tipo de amenaza informática viene del mítico caballo de Troya. Su nombre encaja perfectamente en el perfil del malware, al presentarse como algo útil cuando realmente pretende realizar acciones maliciosas.
¿Cómo funciona un troyano informático?
Para entender mejor cómo funciona un troyano informático vamos a explicar paso por paso cuál es el sistema de ataque que realiza de manera general, aunque puede tener pequeños matices dependiendo del tipo de software y su patrón de funcionamiento.
1. Infección inicial o punto de entrada
Un troyano comienza su ciclo mediante un programa o archivo que se descarga de Internet, o se recibe por correo electrónico.
La infección suele ocurrir cuando intentamos ejecutar archivos que hemos obtenido de fuentes no confiables, como sitios web que ofrecen descargas de software de pago de manera gratuita. También puede venir por algún envío de software por correo electrónico que aproveche sistemas infectados para propagar programas maliciosos.
Lo destacable aquí es que el programa o archivo parecerá perfectamente confiable, haciendo que los usuarios tiendan a ejecutarlo sin mayores precauciones.
2. Ejecución y establecimiento en el sistema
Al ejecutar cualquier programa en nuestro ordenador le estamos entregando permisos para que realice cualquier tipo de acción en el sistema. Ahí está la fuente de los ataques más peligrosos. Ejecutar un archivo es como darle vía libre para que realice cualquier tipo de acción.
Por supuesto, si es un software legítimo no tenemos que preocuparnos de nada, porque hará las acciones que nosotros estamos esperando, y deseando que haga. Sin embargo, si es un programa infectado será un problema serio.
3. Ocultamiento y persistencia del malware
La característica del troyano es que consigue ocultarse de modo que el usuario no perciba que ha sido infectado. Este ocultamiento se produce a dos niveles. Primero en el propio archivo o software origen de la infección, que trata de parecer legítimo e inofensivo. Segundo, una vez ejecutado el programa infectado, al almacenarse en el equipo, ya que es capaz de ocultarse para que el usuario del ordenador no sepa que está realizando sus acciones maliciosas. Paralelamente los troyanos y otros tipos de malware son capaces de persistir en el sistema, haciendo que sean difíciles de eliminar.
4. Comunicación con el servidor del atacante (C&C)
A partir de aquí los troyanos pueden funcionar de diversos modos, aunque muchas veces ofrecen una puerta de entrada para posibles atacantes, de modo que puedan tomar el control de nuestro ordenador.
Esa puerta de entrada suele usar la red Internet y comunicarse a través de protocolos comunes como HTTP. Incluso a veces los programas son suficientemente sofisticados para realizar las comunicaciones de manera cifrada, lo que dificulta todavía más identificar las acciones maliciosas.
5. Ejecución de acciones maliciosas dentro del sistema
Cada tipo de troyano puede realizar diversos usos maliciosos del sistema infectado. Algunos tipos de troyanos ofrecen una puerta trasera para poder tomar el control del ordenador, otros consiguen capturar pulsaciones de teclado para robar contraseñas. También los hay capaces de cifrar archivos para pedir rescates o incorporar equipos a las llamadas botnet.
Tipos de troyanos informáticos
Los troyanos se pueden clasificar mediante diversos tipos, atendiendo a factores como la clase de acción maliciosa o el modo de infección. Vamos a ver algunas de las clasificaciones más comunes.
Troyanos bancarios
Los troyanos bancarios están especializados en robar las credenciales para el acceso a la banca online, o los medios de pago como tarjetas bancarias.
Troyanos de acceso remoto (RAT)
Los troyanos de acceso remoto, también conocidos con las siglas RAT, son aquellos que ofrecen al atacante una puerta para tomar el control del equipo infectado. De este modo el atacante puede realizar cualquier tipo de acción en el ordenador infectado, tal como si fuese el usuario habitual.
Troyanos descargadores (Downloader trojans)
Este tipo de troyanos hace un trabajo en segundo plano que permite a los atacantes descargar e instalar otros tipos de malware, como ransomware, spyware o más troyanos especializados en otras actividades. Como puedes imaginar, son especialmente peligrosos.
Troyanos espía (Spy trojans)
Este tipo de troyanos se centran en realizar tareas de espionaje de las acciones del usuario habitual sobre su propio ordenador. Pueden monitorizar desde las pulsaciones del teclado hasta la actividad de las aplicaciones o las páginas que visitan. Mediante esta vigilancia pueden robar todo tipo de información, desde medios de pago hasta información personal.
Troyanos de ransomware o cifrado
Otro tipo de troyanos bastante peligroso son los que se dedican a cifrar archivos de usuario, bloqueando su acceso. Este tipo de programas se conocen como ransomware y generalmente se utilizan para bloquear el acceso a archivos importantes para nosotros, de modo que los atacantes puedan pedir un rescate para volver a utilizar los archivos cifrados.
Señales de infección por troyanos
El problema de los troyanos es que muchas veces es difícil detectar que hemos sido infectados por uno de ellos, ya que una de sus características es justamente la ofuscación de su presencia y sus actividades. Así pues, lo que nos queda es permanecer atentos a posibles síntomas de infección, como los que vamos a nombrar ahora:
Lentitud inusual del sistema
Un síntoma bastante común para detectar anomalías en nuestro equipo, no solamente troyanos como también otros tipos de malware, es un descenso repentino del rendimiento del equipo. Si esto ocurre puede indicar que un programa se encuentra ejecutando procesos ocultos, gastando CPU o memoria.
Actividad sospechosa en segundo plano
Un síntoma de una infección puede ser la aparición de procesos desconocidos ejecutándose en el equipo. Por si no lo sabes, como usuario puedes acceder a una lista de procesos en ejecución con programas específicos que dependen del sistema operativo, como el Administrador de tareas de Windows o el El Monitor de actividad de macOS. En sistemas operativos Linux no existe necesariamente una correspondencia de programa de interfaz gráfica similar pero podemos obtener la lista de procesos mediante el terminal con comandos de terminal como «top».
Cambios en configuraciones o archivos del sistema
Si encuentras que han ocurrido cambios en configuraciones o archivos del sistema, que tú no has ordenado, puede ser una señal de infección. Por ejemplo si cambia la página de inicio del navegador o aparecen barras de herramientas nuevas, puede ser que tengas un troyano o un malware. Si ves que tu antivirus se desactiva por si solo también puede ser un síntoma importante de que algo no va bien.
Alertas de antivirus o cortafuegos
Por supuesto, en el caso de tener un antivirus, si recibimos alertas de seguridad de un troyano es un síntoma definitivo de que seguramente estemos infectados. También puede ocurrir que el cortafuegos que tengamos instalado informe de intentos de conexión bloqueados, en cuyo caso puede ser otro síntoma definitivo de que alguien esté realizando esas operaciones ocultas y no deseadas.
Comportamiento extraño en aplicaciones o red
Si tienes aplicaciones ejecutándose de manera extraña, por ejemplo apareciendo ventanas emergentes que no has activado o el acceso a sitios web que no has solicitado, pueden ser señales de troyanos ejecutándose en tu máquina.
Si usas algún tipo de monitor de red y ves accesos a servidores remotos extraños, o uso de ancho de banda inusual, también es una señal de alerta de actividad de programas maliciosos.
¿Cómo eliminar un troyano informático?
Cuando sabemos que hemos sido afectados por un troyano, o tenemos sospechas de ello, debemos actuar cuanto antes para eliminarlo del sistema. El proceso puede ser un tanto complicado, dependiendo del tipo de troyano y su grado de sofisticación. De todos modos existe una serie de acciones que deberías llevar a cabo y que vamos a explicar en los próximos puntos.
Escaneo completo con software antivirus o antimalware
Primero que todo necesitamos realizar un escaneo completo de nuestro equipo. Para ello utilizaremos algún software especializado como antivirus o antimalware y realizaremos un análisis profundo, que es más lento pero más detallado.
Afortunadamente estos programas están preparados para detectar la mayor parte de los programas maliciosos y eliminarlos del sistema de madera automática. Por supuesto, debemos mantener el antivirus actualizado para que detecte las últimas amenazas.
Además sería siempre recomendable utilizar distintos tipos de programas antivirus o antimalware para tener un grado mayor de detección y limpieza.
Desconexión temporal de Internet
Durante el proceso en el que estemos limpiando nuestro sistema se recomienda desconectar el equipo de Internet. Esto hará que el troyano pare su actividad y deje de operar maliciosamente en nuestro ordenador, enviando datos o permitiendo el acceso del atacante.
Eliminación manual en modo seguro
A veces puede ser importante realizar un inicio del sistema en modo seguro, para realizar procesos o servicios que resulten extraños. En el caso de eliminar de manera manualmente los supuestos archivos de un troyano sería ideal tener certeza de lo que estamos haciendo, para no correr riesgos de borrar archivos legítimos y necesarios para el buen funcionamiento de nuestro equipo.
Restauración del sistema o reinstalación
Si tenemos una infección que no somos capaces de eliminar completamente y tenemos copias de seguridad, entonces podemos restaurar el sistema a un punto anterior, siempre que tengamos certeza de que ese backup del equipo estaba completamente limpio.
En caso de no tener copias de seguridad, o si la infección persiste, entonces hay que tomar medidas más drásticas. Básicamente tendremos que realizar una instalación limpia del sistema operativo. Esta solución es la más efectiva para asegurarnos de que el malware se elimina completamente, aunque nos dará bastante trabajo.
Sobre todo, en este punto es importante realizar copias de seguridad antes de formatear el equipo, asegurándose de que los archivos copiados no tengan una infección. Para ello lo ideal sería escanearlos con varias herramientas de seguridad antes de restaurarlos en el equipo donde hemos instalado el sistema operativo limpio.
Verificación de la seguridad posterior a la limpieza
Para terminar el proceso de limpieza y asegurarnos de que está todo de nuevo en un estado limpio y seguro sería importante analizar nuevamente el equipo infectado con herramientas de seguridad y limpieza de malware. Si puedes utilizar varios tipos de herramientas será todavía mejor.
¿Cómo prevenir infecciones por troyanos?
Antes de acabar queremos darte una serie de consejos y buenas prácticas que te ayuden a prevenir infecciones por troyanos, ya que tomar medidas de prevención suele ser mucho más fácil y menos costoso que actuar cuando hemos detectado un problema.
Mantén actualizado tu sistema y programas
Primer consejo, indispensable para cualquier ordenador, servidor o dispositivo: Mantén siempre actualizado el sistema operativo y todos los programas que tengas instalados en esa máquina, especialmente los programas que hacen uso de la red, como navegadores, servidores web, servidores de archivos, etc.
Aplicar las actualizaciones siempre que estén disponibles nos ayudará a mantener el software libre de vulnerabilidades, ya que los parches de las actualizaciones generalmente corrigen agujeros de seguridad que son conocidos, evitando que puedan ser explotados por programas maliciosos o atacantes. Por supuesto, otra familia de programas que debes mantener siempre actualizados son los que se dedican a la seguridad, como antivirus o antimalware.
Descarga software solo de fuentes confiables
Otro consejo fundamental es descargar siempre el software de la fuente oficial. Nunca debes acudir a páginas de descargas, aunque tengan pinta de ser servicios confiables. Por supuesto, todavía es más importante no acudir a páginas que ofrezcan programas de pago de modo gratuito Este tipo de páginas es el señuelo más habitual que utilizan los bandidos digitales para colar el software malicioso.
No abras correos o archivos sospechosos
Otro vector habitual de infección es el correo electrónico, que es especialmente delicado porque los delincuentes utilizan muchas y variadas técnicas de ingeniería social para conseguir que los mensajes parezcan inofensivos.
Siempre hay que estar alerta con cualquier tipo de archivo o enlace que nos envían, incluso aunque las fuentes de los correos electrónicos parezcan confiables. La regla fundamental para no caer en la trampa es abrir solamente aquellos archivos que estamos esperando recibir. Además, no entrar a los enlaces de los correos electrónicos sin verificar que realmente se dirigen a sitios legítimos.
Utiliza un firewall y protección en tiempo real
También es importante utilizar soluciones de firewall para monitorizar la actividad de red, u otras herramientas de seguridad que te ofrezcan protección en tiempo real sobre conexiones que realiza tu equipo a servidores de Internet. Estas herramientas serán importantes para detectar posibles conexiones sospechosas y detener rápidamente la ejecución de los troyanos.
Educa a los usuarios sobre ciberseguridad
Como se dice, la protección es tan segura como el eslabón más débil y muchas veces el punto más vulnerable de los sistemas informáticos es el propio usuario. Por tanto, es importante que nos aseguremos de que nuestros compañeros de trabajo o miembros de la familia tengan una debida educación en lo que respecta a ciberseguridad.
Como Product Manager en Arsys, ha liderado el desarrollo de innovadores productos digitales. Especializado en SaaS y desarrollo de productos, su formación en Ciencias de la Computación y un máster en Inteligencia Artificial le permiten estar siempre a la vanguardia de la tecnología.