¿Qué es el malware Fork Bomb y cómo funciona?

Los ciberdelincuentes organizan ataques utilizando fragmentos de código. Pueden intentar robar información personal de una computadora o corromper un sistema completo. Ni siquiera necesitan un software muy avanzado y conocimientos de codificación para hacer todo eso. ¿Sabía que un atacante puede colapsar por completo una computadora con solo una línea de código? El nombre del método utilizado por los actores de amenazas para tales ataques es la bomba de horquilla, también conocida como virus de conejo.

Entonces, ¿qué es una bomba de horquilla? ¿Cómo trabajan? ¿Y cómo puedes protegerte?

¿Qué es un virus bomba de horquilla?

Los lenguajes de programación generalmente producen resultados específicos. Escribes código, y cuando ejecutas ese código, obtienes ciertos resultados. Pero, ¿y si estos resultados le dieran a su programa comandos que pudieran ejecutarse una y otra vez? En tales casos, el programa continuará ejecutándose indefinidamente. Como resultado, su hardware, es decir, su máquina real, no podrá ejecutar lo mismo una y otra vez; se volverá inutilizable. Ni siquiera podrá usar su máquina. En el mejor de los casos, tendrás que reiniciarlo.

E incluso eso no detendrá una bomba de horquilla...

Una bomba de horquilla es una Ataque de denegación de servicio (DOS), lo que significa que usará su RAM para que no se lleven a cabo procesos genuinos. Es exactamente lo que dice en la lata: le niega el servicio al redirigir los recursos a otra parte.

Este ataque se puede realizar en todos los sistemas operativos. Si puede escribir código en un archivo de texto simple y nombrar ese archivo de texto con una extensión ejecutable por computadora, su bomba de bifurcación está lista. No intentes esto. Si quiere ver los efectos usted mismo, pruebe con un entorno en el que pueda aislarse y apagarse; puedes usar maquinas virtuales. Sin embargo, te recomendamos que ni siquiera lo intentes.

¿Cómo funcionan los scripts de Fork Bomb?

Las bombas de horquilla consisten básicamente en funciones que se activan entre sí. Piense en ello como si las bacterias comenzaran a reproducirse en un contenedor. Las bacterias se dividen y duplican constantemente si se proporcionan las condiciones y el entorno necesarios. Si bien solo había una bacteria en el contenedor, es posible que se hayan formado decenas de miles de bacterias después de unas pocas horas. Así, la bomba de horquilla crea muchas bombas de horquilla nuevas dentro de sí misma y, después de un tiempo, comienza a consumir la CPU de la computadora. Cuando la CPU ya no puede hacerle frente, la computadora fallará.

Para que la bomba de bifurcación funcione, el usuario objetivo debe ejecutar estos archivos de alguna manera: BAT para Windows, archivos SH para Linux, los cuales pueden ejecutarse con un simple doble clic. Es por eso que los atacantes preparan sus bombas de bifurcación en estas extensiones de archivo.

Si el atacante tiene como objetivo Windows, guarda el código bomba bifurcación en un archivo de texto como un archivo BAT. Cuando el usuario objetivo hace doble clic en este archivo BAT, la bomba de bifurcación comienza a funcionar. El programa en ejecución devuelve constantemente nuevos resultados y los reutiliza. Dado que este proceso continuará para siempre, después de un tiempo los requisitos del sistema de la computadora ya no podrán manejarlo. De hecho, la computadora está tan ocupada con la bomba de bifurcación que el usuario ni siquiera puede emitir un nuevo comando para apagarla. La única solución a esto es reinicia la computadora.

Si el atacante ha elegido Linux como dispositivo de destino, utilizará el archivo SH en lugar del archivo BAT, porque Linux no puede abrir archivos BAT. El código fork bomb que preparará el atacante será diferente para Windows y Linux; sin embargo, la lógica de los códigos es exactamente la misma. Cuando el usuario objetivo hace doble clic en el archivo SH, ocurre lo mismo que en Windows: los requisitos del sistema ya no serán suficientes, por lo que el ataque tendrá éxito.

Entonces, si todo vuelve a ser como era cuando reinicias la computadora, ¿cuál es el propósito de este ataque? Los piratas informáticos que diseñaron bombas de horquilla saben que reiniciará su máquina. Es por eso que la bomba de la bifurcación también se reiniciará, es decir, se duplicará, cada vez que reinicies tu PC.

Al hacer clic en estos archivos, su computadora quedará inutilizable y se abrirá una puerta trasera a atacantes maliciosos. Mientras intenta reparar su máquina, un atacante puede robar toda su información personal.

Cómo evitar los ataques con bombas de bifurcación

Si confía en el software antivirus para proteger su red, aún puede caer en un ataque de bomba de bifurcación. Estos fragmentos de código pueden ser pequeños scripts de una línea y no utilizan formatos que los antivirus sospechan habitualmente, como los archivos .exe. Es posible que el software antivirus ni siquiera se dé cuenta de estas bombas de bifurcación.

El paso más importante que debe tomar aquí es evitar que este software malicioso llegue a su computadora. No descargues ningún archivo del que no estés seguro, nada supuestamente gratuito. Nadie le enviará archivos SH o BAT de la nada. Si recibe dichos archivos, ya sea a través de su correo electrónico, desde un enlace descargable en un sitio o en las redes sociales, no haga clic en él.

Los antivirus no son la solución para Fork Bomb

Los antivirus son útiles de muchas maneras; Nadie puede negar eso. Pero las bombas de horquilla pueden ser un asunto diferente.

La lógica de funcionamiento general del software antivirus es que los expertos en ciberseguridad y los investigadores de seguridad descubren un nuevo virus o malware. Las compañías antivirus agregan este malware a sus sistemas. Ahora, si sufre un ataque de este tipo, su software antivirus puede advertirle porque reconocerá este vector. Pero todavía está en peligro de malware desconocido.

Además, los programas antivirus buscan extensiones de programas como EXE, VBS, CMD y MSI, no necesariamente archivos BAT o SH.

Por ejemplo, si un archivo que descarga tiene una extensión MSI, el antivirus que está utilizando puede sospechar de este archivo y advertirle al respecto. Pero las bombas de horquilla vienen como archivos de texto y shell. Dado que las bombas de bifurcación son bastante livianas y parecen un archivo de texto, algunas suites de antivirus pueden aceptar dichos archivos. Aunque hoy en día, la mayoría de los programas antivirus pueden capturar este tipo de archivos, todavía hay algunos que no pueden detectar archivos ligeros pero dañinos. En tales casos, antes de abrir un archivo, debe asegurarse de su contenido y, si es posible, verificar el archivo con un editor de texto.

¿Tengo malware en mi computadora?

Está casi constantemente conectado a Internet y con frecuencia tiene que descargar cosas. Elimina estos archivos con el tiempo y este ciclo continúa. Sin embargo, sus efectos aún pueden sentirse. La disminución en el rendimiento de su computadora podría deberse a este malware. Los piratas informáticos pueden estar usando su computadora para realizar actividades como extraer criptomonedas o atacar otras redes.

Afortunadamente, puede detectar los síntomas de malware y virus, al igual que una dolencia humana. Reconocerlos y tratarlos le proporcionará un entorno más seguro.