CABALLO DE TROYA
En informática,
se denomina troyano o caballo
de Troya a un software malicioso que se
presenta al usuario como un programa
aparentemente legítimo e inofensivo
pero al ejecutarlo le brinda a un atacante acceso remoto al equipo infectado. Los
troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos
crean una puerta trasera (en inglés backdoor) que permite la administración remota a un usuario no autorizado. Un troyano no es de por sí, un virus informático, aun cuando teóricamente pueda ser distribuido y funcionar
como tal. La diferencia fundamental entre un troyano y un virus, consiste en su
finalidad. Para que un programa sea un "troyano" sólo tiene que
acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo
una apariencia inocua. Al contrario que un virus, que es un huésped
destructivo, el troyano no necesariamente provoca daños porque no es su
objetivo.
Los troyanos se concibieron como una
herramienta para causar el mayor daño posible en el equipo infectado. En los
últimos años y gracias al mayor uso de Internet, esta tendencia ha cambiado hacia el robo
de datos bancarios o información personal. Desde sus
orígenes, los troyanos han sido utilizados como arma de sabotaje por los servicios de inteligencia como la CIA,
cuyo caso más emblemático fue el Sabotaje al Gasoducto Siberiano en 1982. La CIA instaló un troyano en el software
que se ocuparía de manejar el funcionamiento del gasoducto, antes de que la
URSS comprara ese software en Canadá. Los troyanos están diseñados para
permitir a un individuo el acceso remoto a un sistema. Una vez ejecutado el
troyano, el individuo puede acceder al sistema de forma remota y realizar
diferentes acciones sin necesitar permiso.
·
Utilizar la máquina como parte de
una botnet (por
ejemplo para realizar ataque
de denegación de servicio o envío de spam).
·
Robo de información personal:
información bancaria, contraseñas, códigos de seguridad.
·
Borrado, modificación o
transferencia de archivos (descarga o subida).
·
Ejecutar o terminar procesos.
·
Monitorizar las pulsaciones del teclado.
·
Realizar capturas de pantalla.
·
Ocupar el espacio libre del disco duro con archivos
inútiles.
·
Monitorización del sistema y
seguimiento de las acciones del usuario.
Los troyanos están compuestos
principalmente por dos programas: un programa de administración, que envía las
órdenes que se deben ejecutar en la computadora infectada y el programa
residente situado en la computadora infectada, que recibe las órdenes del
administrador, las ejecuta y le devuelve un resultado. Generalmente también se
cuenta con un editor del programa residente, el cual sirve para modificarlo,
protegerlo mediante contraseñas, unirlo a otros programas para disfrazarlo,
configurar en que puerto deseamos instalar el servidor, etc. Atendiendo a la
forma en la que se realiza la conexión entre el programa de administración y el
residente se pueden clasificar en:
·
Conexión directa: El atacante se conecta
directamente al PC infectado mediante su dirección IP. En este caso, el equipo
atacante es el cliente y la víctima es el servidor.
·
Conexión indirecta: El equipo host o víctima se
conecta al atacante mediante un proceso automático en el software malicioso
instalado en su equipo, por lo que no es necesario para el atacante tener la
dirección IP de la víctima. Para que la conexión esté asegurada, el atacante
puede utilizar una IP fija o un nombre de dominio. La mayoría de los troyanos
modernos utiliza este sistema de conexión, donde el atacante es el servidor a
la espera de la conexión y el equipo host es el cliente que envía peticiones de
conexión constantemente hasta lograrla.
No hay comentarios:
Publicar un comentario