Cuando se sospeche la existencia de malware, no se precipite en el diagnóstico ni en las medidas correctivas. Siga estas directrices de mejores prácticas para garantizar una respuesta adecuada y mesurada.
Quizás el incidente de seguridad más común en cualquier organización es el descubrimiento de malware en sus sistemas. Pero el hecho de que pueda ser algo común no significa que deba tomarse a la ligera o que deba actuarse de manera descarada. Echemos un vistazo a algunos de los pasos que puede seguir cuando se enfrenta a un brote de malware y a algunas herramientas que pueden ayudarle a lo largo del camino. Detección e identificación de una posible infección
Aunque parezca sencillo, a veces determinar que un incidente en particular se debe a malware puede ser complicado. Los informes iniciales pueden provenir de diferentes fuentes: un usuario puede ponerse en contacto con el servicio de ayuda para informar de problemas con su sistema; pueden detectarse patrones de tráfico inusuales en el cortafuegos o en los registros de acceso a Internet; o un sistema específico puede no informar sobre el estado de su software antimalware. Además del malware, cada uno de estos casos podría explicarse por fallos de hardware o configuraciones erróneas de software, por lo que cada caso debería investigarse en consecuencia. Aquí hay algunas comprobaciones y herramientas que pueden ayudar en una investigación:
- Compruebe el estado de la solución antimalware instalada. Si no hay ninguna protección instalada o sus definiciones están desactualizadas, incluso el malware más básico puede entrar en el sistema. Sin embargo, si el software antimalware está funcionando mal de otras maneras (los servicios residentes no se inician o su proceso de actualización o los escaneos fallan constantemente), usted podría estar tratando con una pieza de malware más avanzada.
- Compruebe si hay procesos sospechosos o desconocidos que se estén ejecutando en el sistema. Para los sistemas Windows, Sysinternals Process Explorer es un gestor de tareas muy potente que puede mostrar procesos que intentan enmascararse como procesos ordinarios del sistema.
- Para determinar el origen de conexiones de red sospechosas, la utilidad netstat y el monitor de procesos de Sysinternals son una excelente combinación para ayudar a localizar el malware que intenta «llamar a casa» o intentar propagarse.
- Otra herramienta de Sysinternals, el Rootkit Revealer, es muy útil para detectar Rootkits o malware que utilizan técnicas avanzadas para enmascarar su presencia en un sistema.
- Si encuentra un archivo sospechoso y desea determinar si es o no malware, VirusTotal es el sitio para usted. Puede cargar un archivo (o escanear una URL) que se comprobará con varios motores antimalware y los resultados de cada motor se presentarán junto con los comentarios de su comunidad de usuarios.
- Además, la mayoría de los proveedores de antimalware ofrecen formas de comprobar archivos sospechosos o enviar muestras de malware o archivos maliciosos que no son detectados por sus productos o sus definiciones actuales. También puede consultar sus «enciclopedias» de malware para ayudar a identificar una determinada pieza de malware, sus síntomas y la evidencia de su presencia en un sistema.
Contención
Una vez confirmada la infección, el siguiente paso es su contención. Tenga en cuenta que la contención no pretende ser la solución definitiva a una infección, sino una solución temporal para evitar la propagación del malware y limitar su impacto. La estrategia de contención dependerá de muchos factores, incluyendo el tipo de malware detectado y la función o el número de sistemas afectados. La contención puede ser tan simple como desconectar el sistema afectado de la red o soluciones más complejas como eliminar un servidor infectado de la red y activar los planes de recuperación de desastres correspondientes.
Erradicación y prevención de nuevas infecciones
Una vez que los sistemas afectados son identificados y contenidos, el siguiente paso es eliminar la infección y restaurar los sistemas a su estado normal. Los pasos específicos de eliminación dependerán del malware identificado: puede ser tan simple como reinstalar (o instalar) una solución antimalware actualizada y realizar un análisis, o tan complejo como tener que eliminar manualmente entradas de registro o archivos protegidos.
Algunos proveedores de antimalware ofrecen herramientas o versiones de sus productos que no requieren instalación y pueden ejecutarse desde una unidad de CD o USB para evitar que se vean afectados por el malware que reside en el sistema. Por ejemplo:
Una vez eliminado el malware, se deben tomar medidas para evitar la reinfección. Estos pasos podrían incluir la parcheo completo del sistema afectado (tanto del sistema operativo como de todo el software de terceros), la instalación de una solución antimalware actualizada y la eliminación o desactivación de software o servicios que no sean necesarios.
Lecciones aprendidas
Una vez que se ha eliminado el malware y se ha vuelto a poner en producción el sistema, es necesario realizar un análisis posterior al incidente para identificar las causas de la infección y las defensas que deben mejorarse para evitar que se produzcan incidentes similares en el futuro.
Las mejoras podrían incluir soluciones técnicas (como la implementación de herramientas automatizadas para mantener actualizados los sistemas con parches y antimalware o la implementación de herramientas como EMET), aumentar la concienciación de los usuarios (por ejemplo, a través de la formación obligatoria) o la revisión de las políticas y procesos de seguridad para asegurarse de que están actualizados y siguen siendo pertinentes.
Esta no es una lista completa de todas las herramientas y pasos posibles que puede tomar al tratar con una infección de malware, pero es de esperar que pueda utilizar estos pasos y herramientas para crear su propio plan de respuesta de malware.