Introducción
El software malicioso —o malware— constituye la amenaza principal en el panorama de ciberseguridad actual. Según AV-TEST, en 2025 se registran más de 450.000 nuevas muestras de malware por día, una cifra que sigue en crecimiento exponencial impulsada por la automatización, los modelos de negocio del crimen organizado y la proliferación de superficies de ataque.
Malware es un término paraguas que engloba cualquier software diseñado con la intención de dañar, infiltrar, explotar o comprometer la integridad, confidencialidad o disponibilidad de sistemas, datos o redes. No se trata solo de virus clásicos: el ecosistema del malware contemporáneo incluye desde ransomware que paraliza hospitales enteros hasta rootkits que habitan bajo el kernel del sistema operativo, pasando por software espía indetectable que compromete a funcionarios de gobiernos y periodistas.
Evolución del malware
La historia del malware refleja la evolución de la informática misma:
- 1986 — Brain: Considerado el primer virus de PC, creado por los hermanos Alvi en Pakistán para proteger la copia ilegal de software médico.
- 1988 — Morris Worm: El primer gusano de Internet, diseñado por Robert Tappan Morris, infectó aproximadamente 6.000 sistemas (el 10% de Internet en aquel momento) y demostró el potencial destructivo de la conectividad global.
- 1990s — Troyanos bancarios: Aparición del primer malware diseñado para robar credenciales financieras de forma automatizada.
- 2000s — Gusanos como Code Red y SQL Slammer: Propagación masiva que exploitaba vulnerabilidades en servicios de red, causando daños multimillonarios en cuestión de minutos.
- 2010s — Era del APT y Ransomware: Aparecen los Advanced Persistent Threats (APT) respaldados por estados-nación, junto con el ransomware moderno (CryptoLocker, WannaCry, NotPetya).
- 2020s — RaaS, malware fileless y espionaje estatal: Modelos de negocio del crimen organizado, uso masivo de Living-off-the-Land (LOLBins), y el mercado de malware comercial para espionaje (Pegasus, Predator).
El panorama actual en 2026
En 2026, el malware se caracteriza por varias tendencias críticas:
- IA generativa aplicada: Los atacantes utilizan modelos de lenguaje para generar variantes polymórficas, crear phishing ultrapersonalizado y automatizar la explotación de vulnerabilidades.
- Ransomware como servicio (RaaS): Bandas como LockBit, BlackCat/ALPHV y Cl0p operan como franquicias criminales con paneles de administración, soporte técnico para afiliados y blogs de filtración de datos.
- Malware sin archivos (fileless): Cada vez más malware opera exclusivamente en memoria del sistema, utilizando herramientas legítimas de administración (PowerShell, WMI, Living-off-the-Land Binaries) para evadir la detección de antivirus.
- Cadenas de suministro comprometidas: El compromiso de repositorios de código abierto, paquetes npm/PyPI maliciosos y actualizaciones de software legítimo se ha convertido en una vector de distribución masiva.
Clasificación por comportamiento
Los profesionales de ciberseguridad clasifican el malware según su comportamiento primario: qué hace una vez que se ejecuta en el sistema objetivo. Esta clasificación es fundamental para entender las tácticas del atacante (Mitre ATT&CK) y diseñar defensas específicas.
Ransomware
El ransomware es un tipo de malware cifra los archivos del sistema objetivo y exige el pago de un rescate (usualmente en Bitcoin o Monero) a cambio de la clave de descifrado. Es la categoría de malware con mayor impacto económico directo en la actualidad.
Cómo funciona
- Acceso inicial: Phishing, credenciales comprometidas, vulnerabilidades en VPN/RDP expuestas.
- Instalación y persistencia: El payload se ejecuta silenciosamente y establece persistencia en el registro de Windows o tareas programadas.
- Reconocimiento interno: El malware escanea la red para localizar servidores de archivos compartidos, bases de datos y, críticamente, sistemas de backup.
- Cifrado: Utiliza algoritmos híbridos —AES-256 o ChaCha20 para cifrar archivos a alta velocidad, y RSA-2048 o curvas elípticas para proteger la clave de descifrado.
- Extorsión: Muestra la nota de rescate y activa el blog de filtración para la extorsión adicional.
Modelo RaaS (Ransomware-as-a-Service)
Los principales grupos de ransomware operan bajo un modelo de franquicia criminal:
- Desarrolladores: Crean el ransomware, mantienen el panel de administración y el sitio de extorsión.
- Afiliados: Realizan la intrusión y despliegan el malware. Reciben entre el 70-80% del rescate.
- Initial Access Brokers (IABs): Venden accesos previamente comprometidos en la Dark Web.
Doble y triple extorsión
- Doble extorsión: El atacante cifra los datos y amenaza con publicar la información robada en su blog de la Dark Web si no se paga.
- Triple extorsión: Los atacantes contactan directamente a clientes, proveedores o reguladores de la víctima para presionar adicionalmente.
Ejemplos reales
| Incidente | Fecha | Impacto |
|---|---|---|
| WannaCry | Mayo 2017 | Infectó más de 230.000 sistemas en 150 países explotando EternalBlue (MS17-010). Causó daños estimados en $4.000 millones. El NHS del Reino Unido tuvo que cancelar más de 19.000 citas médicas. |
| Colonial Pipeline (DarkSide) | Mayo 2021 | El mayor oleoducto de EE.UU. detuvo operaciones durante 6 días. Colonial Pipeline pagó $4,4 millones en rescate. Provocó escasez de combustible en la Costa Este. |
| Kaseya VSA (REvil) | Julio 2021 | Ataque a cadena de suministro que comprometió el software de gestión remota Kaseya, afectando a más de 1.500 empresas simultáneamente. REvil exigió $70 millones por un descifrador universal. |
| LockBit | 2022-2025 | Operó como el grupo RaaS más activo globalmente, con más de 2.000 víctimas confirmadas antes de su desarticulación parcial por la operación Cronos de Europol en febrero 2024. |
| BlackCat/ALPHV | 2022-2024 | Primera implementación de ransomware en Rust. Responsable del ataque a Change Healthcare (febrero 2024), el mayor ataque a infraestructura de salud en EE.UU., con filtración de datos de más de 100 millones de pacientes. |
# Regla Sigma para detectar cifrado masivo de archivos
# Detecta ransomware por patrones de renombrado de archivos en lote
title: Detectar Patrón de Cifrado de Ransomware
id: 7f8a2c3d-4e5f-6a7b-8c9d-0e1f2a3b4c5d
status: experimental
description: Detecta patrones de renombrado masivo de archivos consistente con ransomware
references:
- https://attack.mitre.org/techniques/T1486/
logsource:
category: file_rename
product: windows
detection:
selection:
EventID: 4663
ObjectType: File
AccessMask|contains:
- '0x2' # WRITE
condition: selection | count(ObjectName) by SubjectUserName > 100 within 1m
level: critical
tags:
- attack.impact
- attack.t1486
Troyanos
Un troyano es un programa que se disfraza de software legítimo o útil mientras ejecuta código malicioso oculto. A diferencia de los virus o gusanos, los troyanos no se auto-propagan: dependen de que el usuario los ejecute voluntariamente, normalmente engañado por una apariencia inocua.
Subcategorías principales
Troyanos bancarios
Diseñados para robar credenciales financieras mediante inyección de código en el navegador (Man-in-the-Browser) o keylogging:
- Emotet: Originalmente un troyano bancario alemán (2014), evolucionó hasta convertirse en la mayor plataforma de distribución de malware del mundo. Se comercializaba como MaaS (Malware-as-a-Service) y distribuía TrickBot, QakBot y ransomware. Fue desarticulado en enero 2021 por Europol y reactivado brevemente en 2022.
- TrickBot: Troyano bancario modular que evolucionó a plataforma de entrega de ransomware. Capaz de robar credenciales, cosechadores de cookies, y propagación lateral vía EternalBlue.
- QakBot (QBot): Trojan bancario que operó desde 2008 hasta su desarticulación en agosto 2023 (operación Duck Hunt del FBI). Utilizaba la técnica de "thread hijacking" en emails para su propagación.
RATs (Remote Access Trojans)
Software que otorga al atacante acceso remoto completo al sistema comprometido:
- DarkComet: RAT popular utilizado en conflictos geopolíticos. Fue utilizado en la guerra civil siria para vigilar a activistas de la oposición.
- njRAT (Bladabindi): RAT con una base de usuarios masiva en la Dark Web, capaz de control de cámara, microfono, teclado y sistema de archivos remoto.
- Cobalt Strike: Originally una herramienta legítima de threat simulation, su cracked version se ha convertido en el RAT/C2 más utilizado por grupos APT y cibercriminales. Se detecta comunidades de licencias pirateradas masivamente.
Cómo se propaga un troyano
Email de phishing con adjunto malicioso
└──> Usuario abre el documento
└──> Macro de PowerShell se ejecuta
└──> Descarga el payload del troyano
└──> Establece persistencia (Run registry key)
└──> Comunica con C2 server
└──> Descarga módulos adicionales
# Regla YARA para detectar variantes de Emotet
rule Emotet_General {
meta:
description = "Detecta Emotet por patrones de API calls y strings característicos"
author = "CyberFlows Team"
date = "2026-07-10"
reference = "https://attack.mitre.org/software/S0367/"
malware_family = "Emotet"
strings:
$api1 = "InternetOpenA" ascii
$api2 = "HttpSendRequestA" ascii
$api3 = "URLDownloadToFileA" ascii
$api4 = "CreateServiceA" ascii
$str1 = "NtSetInformationProcess" ascii wide
$str2 = "WinHttpConnect" ascii
$mutex = "Global\\%s" ascii
$enc1 = {6A 04 68 00 30 00 00 8D ?? 24 ?? 6A 00 6A 00 6A 03 6A 00 6A 00}
condition:
uint16(0) == 0x5A4D and
filesize < 500KB and
3 of ($api*) and
2 of ($str*) and
$enc1
}
Gusanos
Un gusano (worm) es un tipo de malware que se propaga de forma autónoma a través de redes, sin necesidad de intervención del usuario ni de un archivo huésped. A diferencia de los virus, los gusanos son entidades independientes que se replican activamente explotando vulnerabilidades de red o compartición de archivos.
Características distintivas
- Auto-propagación: No requiere interacción humana para replicarse.
- Consumo de ancho de banda: La propagación masiva puede saturar redes enteras.
- Vector de distribución: Explota servicios de red (SMB, FTP, RDP), usa credenciales robadas o compartición de archivos P2P.
Ejemplos reales
| Gusano | Fecha | Descripción |
|---|---|---|
| ILOVEYOU | Mayo 2000 | Se propagó vía email con el asunto "ILOVEYOU". Infectó 50 millones de sistemas en 10 días. Causó pérdidas estimadas en $10.000 millones. Utilizaba macros de Visual Basic en un archivo .vbs adjunto. |
| SQL Slammer | Enero 2003 | Se propagó explotando una vulnerabilidad en SQL Server 2000. Infectó 75.000 servidores en 10 minutos, saturó redes de todo el mundo y causó interrupciones en el sistema de emergencia 911 de Seattle y en los servicios de ATM de Bank of America. |
| Conficker | Noviembre 2008 | Infectó entre 9 y 15 millones de sistemas explotando la vulnerabilidad MS08-067 (Windows Server Service). Utilizaba algoritmos de generación de dominios (DGA) para comunicarse con su C2, haciendo la neutralización extremadamente difícil. Fue neutralizado por la Conficker Working Group. |
| WannaCry | Mayo 2017 | Aunque es conocido como ransomware, técnicamente es un gusano: se propaga automáticamente explotando EternalBlue (MS17-010) a través del puerto 445 (SMB). Infectó 230.000 sistemas en 150 países sin intervención del usuario. |
# Detección de propagación de gusanos vía SMB en Windows
# Event ID 5145: Verificación de recurso de red
title: Propagación Masiva por SMB - Posible Gusano
id: a1b2c3d4-5678-90ab-cdef-1234567890ab
status: stable
description: Detecta escaneo o propagación masiva por SMB que podría indicar un gusano
logsource:
product: windows
service: security
detection:
selection:
EventID: 5145
ShareName: '\\*\IPC$' # Named pipe compartida
filter_legitimate:
SubjectUserName|startswith: 'ADMIN'
condition: selection and not filter_legitimate | count(ShareName) by IpAddress > 50 within 5m
level: high
tags:
- attack.lateral_movement
- attack.t1021
Spyware y Keyloggers
El spyware es software diseñado para la vigilancia encubierta de un sistema, recopilando información sin el conocimiento o consentimiento del usuario. Los keyloggers son una subcategoría que graba cada pulsación de teclado.
Tipos de spyware
- Spyware comercial: Vendido como herramienta de "monitoreo parental" o "supervisión empresarial" pero frecuentemente utilizado para vigilancia no autorizada de parejas, empleados o activistas.
- Spyware estatal (APT): Desarrollado por empresas de surveillance y adquirido por gobiernos para vigilar a periodistas, opositores políticos y disidentes.
- Spyware de robo de credenciales: Combina keylogging, form grabbing y robo de cookies para obtener credenciales de banca online, redes sociales y correos electrónicos.
Ejemplos reales
-
Pegasus (NSO Group): Spyware israelí de nivel militar que podía infectar iPhones y Android completamente parcheados sin que el usuario hiciera clic en nada (zero-click). Utilizado contra periodistas del Financial Times, activistas saudíes (vinculado al asesinato de Jamal Khashoggi en 2018) y políticos de múltiples países. Expuesto por el Proyecto Pegasus de Amnistía Internacional en 2021. Apple lanzado el modo Lockdown en iOS 16 como respuesta directa.
-
Predator (Cytrox/Intellexa): Competidor de Pegasus desarrollado por la empresa greco-macedonia Cytrox (luego Intellexa). Expuesto en 2023 tras ser encontrado en dispositivos de periodistas y políticos en múltiples países. Utilizaba cadenas de exploit zero-day para Android y Chrome.
-
FinFisher (FinSpy): Suite de espionaje vendida a gobiernos para vigilancia de disidentes. Expuesta en 2011 tras un hackeo a sus servidores. Los servidores estaban alojados en países del Golfo Pérsico y documentaron operaciones contra activistas en Baréin, Etiopía y otros países.
# Regla Sigma para detectar keyloggers por acceso a teclado
title: Posible Keylogger - Acceso Excesivo a Teclado
id: d4e5f6a7-8901-2345-6789-abcdef012345
status: experimental
description: Detecta procesos que acceden excesivamente al dispositivo de entrada de teclado
logsource:
category: device_access
product: windows
detection:
selection:
EventID: 1 # Sysmon
EventName: 'Device access'
ObjectType: 'Device'
DeviceObject|contains: 'Keyboard'
suspicious_process:
Image|endswith:
- '\powershell.exe'
- '\wscript.exe'
- '\cscript.exe'
- '\mshta.exe'
condition: selection and suspicious_process
level: high
tags:
- attack.collection
- attack.t1056
Rootkits
Un rootkit es un conjunto de herramientas diseñadas para ocultar la presencia de malware en un sistema, manteniendo acceso privilegiado (root) de forma encubierta. Su función principal no es causar daño directo, sino evadir la detección y garantizar la persistencia a largo plazo.
Niveles de operación
┌─────────────────────────────────────────┐
│ Niveles del Rootkit │
├─────────────────────────────────────────┤
│ Application Layer (Userland) │
│ ├── Hooking de API calls │
│ ├── Inyección en procesos legítimos │
│ └── Modificación de resultados de ls │
├─────────────────────────────────────────┤
│ Kernel Mode │
│ ├── Driver malicioso (.sys) │
│ ├── DKOM (Direct Kernel Object Manip.) │
│ ├── SSDT hooking │
│ └── Ocultación de procesos en EPROCESS │
├─────────────────────────────────────────┤
│ Bootkit (Boot-level) │
│ ├── MBR/VBR modificado │
│ ├── UEFI rootkit │
│ └── Se ejecuta ANTES del SO │
└─────────────────────────────────────────┘
Ejemplos reales
-
ZeroAccess (Sirefef): Rootkit peer-to-peer que utilizaba DGA para generar direcciones C2 y explotaba vulnerabilidades de Windows para escalación de privilegios. Infectó millones de sistemas entre 2011 y 2013. Utilizado principalmente para ad fraud (fraude publicitario) y minado de bitcoins.
-
Necurs: Rootkit que protegía una de las mayores botnets de spam del mundo. Infectó más de 6 millones de sistemas y era utilizado para distribuir Locky ransomware y Dridex troyano bancario. Microsoft y socios lo desarticularon en junio 2020.
-
LoJax: Primer rootkit UEFI en campo detectado en 2018, utilizado por el grupo APT Fancy Bear (APT28, vinculado al GRU ruso). Modificaba el UEFI del firmware para sobrevivir incluso a la reinstalación completa del sistema operativo y formateo del disco duro.
-
CosmicStrand: Rootkit UEFI descubierto en 2022 por Kaspersky que comprometía el firmware UEFI de placas madre ASUS, modificando el binario del DXE para inyectar código malicioso durante el arranque antes de que Windows cargue.
# Comando para verificar integridad del MBR en Windows
# Ejecutar desde entorno de recuperación o Live USB
# Verificar MBR
Get-Disk | Select-Object Number, PartitionStyle
# Con DISM: verificar integridad de archivos del sistema
DISM /Online /Cleanup-Image /ScanHealth
DISM /Online /Cleanup-Image /RestoreHealth
# Verificar firmas de drivers con Sigcheck (Sysinternals)
sigcheck -accepteula -u -vt *:\Windows\System32\drivers\*.sys
# Usar GMER o RootkitRemover de Sophos para escaneo de rootkits
Malware Fileless (Sin archivos)
El malware fileless opera exclusivamente en memoria RAM sin escribir archivos persistentes en el disco duro. Utiliza herramientas legítimas del sistema operativo (PowerShell, WMI, .NET CLR, scripts VBScript) para ejecutar código malicioso, lo que lo hace extremadamente difícil de detectar para antivirus tradicionales.
Cómo funciona
Email phishing → Archivo adjunto (Word/PDF)
└──> Macro VBA o exploit de kernel
└──> Descarga PowerShell en memoria
└──> PowerShell ejecuta código directamente en RAM
└──> No se escribe ningún archivo en disco
└──> Herramientas legítimas ejecutan la carga útil
Técnicas principales
- PowerShell en memoria: Descarga y ejecuta payloads directamente en memoria sin pasar por el disco.
- WMI Event Subscriptions: Crea suscripciones de eventos WMI que ejecutan código malicioso cuando se cumple una condición (temporizador, inicio de sesión, etc.).
- DLL Sideloaded: Bibliotecas legítimas de Microsoft son forzadas a cargar DLLs maliciosas modificadas.
- Process Hollowing: Un proceso legítimo (como
svchost.exe) se crea en estado pausado, su imagen se reemplaza con código malicioso y luego se reanuda. - Registry-based payloads: El código malicioso se almacena en claves del registro de Windows y se ejecuta directamente desde allí.
Ejemplos reales
-
Kovter: Troyano fileless que evolucionó de un troyano bancario a plataforma de ad fraud. Se alojaba completamente en el registro de Windows y ejecutaba código a través de PowerShell o WMIC. Responsable de fraude publicitario por millones de dólares.
-
PowerGhost: Miner fileless que se propagaba explotando EternalBlue y credential dumping. Utilizaba PowerShell en memoria para minero Monero sin dejar rastro en disco.
-
Astaroth (Stagestrix): Campaña de 2018-2019 que utilizaba una cadena de herramientas legítimas de Windows (WMIC, Bitsadmin, certutil) para descargar y ejecutar payloads sin escribir archivos. Cada paso utilizaba una herramienta diferente, dificultando la correlación.
# Regla Sigma para detectar ejecución sospechosa de PowerShell
title: Ejecución de PowerShell con Descarga desde Internet
id: 8a9b0c1d-2345-6789-abcd-ef0123456789
status: stable
description: Detecta PowerShell descargando y ejecutando código desde Internet
logsource:
category: process_creation
product: windows
detection:
selection:
EventID: 1
Image|endswith: '\powershell.exe'
CommandLine|contains:
- 'Invoke-WebRequest'
- 'Invoke-Expression'
- 'IEX'
- 'DownloadString'
- 'DownloadFile'
- 'Net.WebClient'
- 'Start-BitsTransfer'
- 'certutil'
condition: selection
level: high
tags:
- attack.execution
- attack.t1059
# Query de Windows Event Log para detectar PowerShell sospechoso
# Busca ejecuciones de PowerShell con parámetros ofuscados
Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" |
Where-Object {
$_.Id -eq 4104 -and
$_.Message -match 'Invoke-Expression|IEX|DownloadString|Net\.WebClient'
} | Select-Object TimeCreated, @{N='ScriptBlock';E={$_.Properties[2].Value}} | Format-List
Wipers
Un wiper es un tipo de malware diseñado exclusivamente para destruir datos de forma irreversible. A diferencia del ransomware, el objetivo del wiper no es obtener un rescate sino causar el mayor daño posible a la víctima. Los wipers sobrescriben, cifran sin posibilidad de descifrado o eliminan físicamente los registros de partición.
Características distintivas vs. ransomware
| Característica | Ransomware | Wiper |
|---|---|---|
| Objetivo | Obtener rescate monetario | Destruir datos, causar caos |
| Descifrado posible | Sí (con clave de pago) | No |
| Exfiltración de datos | Frecuente (doble extorsión) | Rara vez |
| Presupuesto del atacante | Alto (ROI esperado) | Bajo (objetivo geopolítico) |
| Cobro de rescate | Sí | No |
Ejemplos reales
-
Shamoon (W32.Disttrack): En agosto 2012, Shamoon destruyó los datos de 35.000 computadoras de Saudi Aramco, la empresa petrolera más grande del mundo. Sobrescribió los MBR y archivos con una imagen de bandera estadounidense (en represalia por Stuxnet, según se especula). Obligó a Saudi Aramco a comprar 50.000 discos duros de emergencia de Best Buy en EE.UU. Shamoon reapareció en 2016 y 2018 atacando a empresas energéticas del Golfo Pérsico.
-
NotPetya: En junio 2017, este wiper se propagó masivamente desde Ucrania a todo el mundo mediante el compromiso del software de contabilidad M.E.Doc. Aunque se disfrazó como ransomware (NotPetya era una variante de Petya), en realidad era un wiper: el algoritmo de cifrado generaba claves aleatorias sin posibilidad de descifrado, y la clave proporcionada en el supuesto pago no funcionaba. Causó más de $10.000 millones en daños globales: Maersk perdió $300 millones, Merck $870 millones y FedEx $400 millones.
-
HermeticWiper: Desplegado el 23 de febrero de 2022, horas antes de la invasión rusa de Ucrania, este wiper atacó sistemáticamente instituciones gubernamentales, financieras y de comunicación ucranianas. Utilizaba drivers legítimos de EaseUS para sobrescribir el MBR y el VBR.
-
CaddyWiper: Descubierto el 14 de marzo de 2022 en redes ucranianas. Este wiper era notablemente más pequeño que sus predecesores (25 KB vs. los típicos 3-5 MB), lo que sugiere un diseño rápido y específico.
-
AcidRain: Wiper desplegado el 24 de febrero de 2022 que destruyó los módems de comunicaciones Viasat KA-SAT, causando interrupciones masivas de Internet en Ucrania y Europa del Este justo al inicio de la invasión. Afectó a más de 30.000 clientes de internet en toda Europa.
Cryptominers
Un criptominer o cryptojacker es malware que utiliza los recursos de procesamiento (CPU/GPU) de la máquina comprometida para minar criptomonedas sin el consentimiento del usuario. Es una de las formas de malware más extendidas y menos denunciadas.
Impacto
- Consumo de energía: Reduce la vida útil del hardware y genera facturas de electricidad elevadas.
- Degradación del rendimiento: Los sistemas se vuelven notablemente lentos, con uso de CPU/GPU constante al 100%.
- Detección más difícil que otros malware: Muchos cryptominers no dañan archivos ni roban datos, por lo que pasan desapercibidos durante meses.
Ejemplos reales
-
CoinHive: JavaScript minero que se ejecutaba en el navegador de los visitantes de páginas web sin su conocimiento. Lanzado en 2017, fue utilizado masivamente hasta su cierre en marzo 2019. En su pico, el código de CoinHive estaba presente en más de 30.000 sitios web, incluyendo sitios de-streaming como The Pirate Bay y el sitio oficial de la CIA.
-
Lemon Duck: Botnet de criptominado que explotaba vulnerabilidades de Exchange (ProxyLogon) y utilizaba múltiples vectores de propagación. Infectó servidores Exchange en todo el mundo para minar Monero, y en 2022 seguía activo incorporando herramientas como Cobalt Strike.
-
XMRig: Originalmente una herramienta legítima de minado de Monero, XMRig se ha convertido en la herramienta de minado más utilizada en operaciones de cryptojacking malicioso. Los atacantes despliegan XMRig en servidores comprometidos o lo ejecutan a través de scripts de PowerShell en memoria.
-
Chimaera (Win32.CoinMiner): Campaña de criptominado detectada en 2023 que infectó miles de servidores Windows sin parchear a través de EternalBlue, desplegando mineros XMRig.
Botnets
Una botnet (red de robots) es una red de dispositivos comprometidos (computadoras, servidores, dispositivos IoT) controlados remotamente por un atacante (el botmaster) sin conocimiento de los propietarios. Los dispositivos comprometidos se denominan bots o zombies.
Usos principales de las botnets
- DDoS (Distributed Denial of Service): El atacante ordena a todos los bots que envíen tráfico simultáneamente a un objetivo, colapsando sus servidores.
- Envío masivo de spam/phishing: Miles de bots envían correos de phishing en paralelo.
- Distribución de malware: La botnet se utiliza como plataforma de distribución para otros malware.
- Click fraud / Ad fraud: Los bots generan clics falsos en anuncios publicitarios.
- Credential stuffing: Los bots prueban credenciales robadas contra múltiples servicios.
Ejemplos reales
-
Mirai: Botnet de dispositivos IoT (cámaras IP, routers domésticos, NVR) que en octubre 2016 ejecutó el mayor ataque DDoS registrado hasta la fecha contra Dyn (proveedor de DNS), dejando fuera de línea a Twitter, Netflix, Reddit, The Guardian, CNN y muchos más durante horas. El código fuente fue publicado públicamente, dando origen a múltiples variantes.
-
Emotet Botnet: Aunque conocido como troyano bancario, Emotet operaba fundamentalmente como una botnet masiva. En su pico, controlaba más de 1,5 millones de endpoints y era utilizado para distribuir otros malware. Su desarticulación por Europol en enero 2021 fue considerada la mayor operación contra ciberdelincuencia de la historia.
-
Mozi: Botnet P2P que utilizaba protocolo DHT de BitTorrent para comunicarse con su C2, haciendo casi imposible su desarticulación. Infectó más de 100.000 dispositivos IoT en 2020-2023, principalmente routers y NVR con credenciales predeterminadas.
Clasificación por vector de infección
Más allá de su comportamiento, el malware se clasifica según cómo llega al sistema objetivo:
Phishing y spear phishing
El vector de distribución más común. Los atacantes envían emails, mensajes de WhatsApp o LinkedIn con enlaces maliciosos o archivos adjuntos infectados. El spear phishing es una versión dirigida que personaliza el ataque utilizando información pública de la víctima (nombre, cargo, intereses) para aumentar la tasa de éxito.
Drive-by downloads
Comprometen visitantes de sitios web legítimos (o sitios comprometidos) que contienen scripts de exploit kits (como RIG, Magnitude o Angler) que detectan vulnerabilidades en el navegador, Flash Player, Java o Windows para descargar y ejecutar malware sin interacción del usuario.
Cadena de suministro (Supply Chain)
El atacante compromete un software, paquete o servicio legítimo para distribuir malware a todos sus usuarios. Ejemplos: SolarWinds (2020), 3CX (2023), paquetes npm/PyPI maliciosos, compromisos de repositorios de código abierto.
Medios extraíbles
USBs infectados, discos duros externos y otros medios físicos. Aunque es un vector antiguo, sigue siendo relevante en entornos industriales (OT/SCADA) y en ataques altamente dirigidos.
Exploit kits
Plataformas automatizadas que escanean el navegador del visitante y explotan vulnerabilidades conocidas para entregar payloads. Los más conocidos son RIG, Magnitude y Angler (ya discontinuado).
Credenciales comprometidas
Utilización de credenciales robadas de VPN, RDP, SSH u otros servicios para acceder a la infraestructura de la víctima. Los Initial Access Brokers (IABs) se especializan en esta fase.
Malware avanzado y tendencias 2026
Malware generado por IA
Los atacantes están utilizando modelos de lenguaje para:
- Generar variantes polymórficas: Scripts que modifican su propio código en cada iteración para evadir firmas de antivirus.
- Crear phishing ultrapersonalizado: Emails de phishing generados a partir de perfiles de redes sociales de la víctima, con un estilo y tono prácticamente indistinguible de comunicaciones legítimas.
- Automatizar la explotación de vulnerabilidades: Herramientas que combinan IA con escaneo de vulnerabilidades para generar exploits automáticamente.
- Evasión de modelos de ML: Algoritmos que aprenden a evadir los sistemas de detección basados en machine learning.
Malware polymórfico y metamórfico
- Polymórfico: El código malicioso se ofusca y modifica su apariencia binaria en cada infección, manteniendo la funcionalidad pero cambiando las firmas.
- Metamórfico: El malware reescribe completamente su propio código en cada generación, lo que lo hace extremadamente difícil de detectar con firmas estáticas.
Living off the Land (LOLBins)
La tendencia más significativa en evasión de detección: utilizar herramientas legítimas del sistema operativo para ejecutar código malicioso. Al no escribir archivos maliciosos en disco, el malware se beneficia de la confianza inherente que tienen los antivirus en herramientas como PowerShell, WMI, certutil, bitsadmin y msbuild.
Bypass de MFA
El malware moderno explota múltiples vectores para evadir la autenticación multifactor:
- Adversary-in-the-Middle (AiTM): Proxy inversos que interceptan tokens MFA en tiempo real.
- Session hijacking: Robo de cookies de sesión activas para saltarse la autenticación.
- MFA fatigue attacks: Envío masivo de solicitudes de aprobación MFA hasta que el usuario acepte por frustración.
- Token theft: Robo de tokens de persistentes de sesiones de Windows (NTLM/Kerberos).
Defensa en profundidad
La defensa contra el malware requiere múltiples capas superpuestas (defensa en profundidad). Ninguna capa por sí sola es suficiente.
1. EDR/XDR (Endpoint Detection and Response)
Los sistemas EDR modernos (Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne) no dependen de firmas: utilizan análisis comportamental, telemetry de procesos en tiempo real y modelos de IA para detectar y contener amenazas.
Capacidades críticas:
- Detección basada en comportamiento (no en firmas).
- Respuesta automatizada (aislamiento de endpoints, eliminación de procesos maliciosos).
- Forense en tiempo real (registro de actividad de procesos, archivos, registros, conexiones de red).
2. Seguridad de email
- Filtros anti-spam y anti-phishing (Microsoft Defender for Office 365, Proofpoint).
- Aislamiento de archivos adjuntos (sandboxing).
- DMARC, DKIM, SPF para prevenir suplantación de dominios.
- Educación continua del usuario (simulacros de phishing).
3. Segmentación de red
- Dividir la red en VLANs con control de acceso entre zonas.
- Implementar microsegmentación para limitar el movimiento lateral.
- Monitorear el tráfico Este-Oeste (servidor a servidor) con IDS/IPS de red.
4. Gestión de parches
- Proceso automatizado para parches críticos de seguridad (WSUS, SCCM, Intune).
- Priorizar vulnerabilidades activamente explotadas (CISA KEV catalog).
- Reducir la superficie de ataque: desactivar servicios innecesarios (SMBv1, RDP expuesto).
5. Educación y concienciación
- Programas de formación continua en ciberseguridad para todos los empleados.
- Simulacros periódicos de phishing con métricas de tasa de clics.
- Políticas claras de uso de USB, software no autorizado y BYOD.
6. Estrategia de respaldo (Regla 3-2-1)
- 3 copias de los datos.
- 2 medios diferentes (disco, cinta, nube).
- 1 copia fuera de sitio (offsite).
- 1 copia offline o inmutable (que no pueda ser cifrada ni borrada).
- Pruebas periódicas de restauración para verificar que los backups funcionan.
Checklist de detección por tipo de malware
Ransomware
# Buscar archivos renombrados masivamente en últimos 30 minutos
Get-ChildItem -Path C:\Users -Recurse -File -ErrorAction SilentlyContinue |
Where-Object { $_.LastWriteTime -gt (Get-Date).AddMinutes(-30) } |
Group-Object Extension | Sort-Object Count -Descending | Select-Object -First 10
# Buscar notas de rescate conocidas
Get-ChildItem -Path C:\ -Recurse -File -ErrorAction SilentlyContinue |
Where-Object { $_.Name -match '(README|DECRYPT|RECOVER|RESTORE).*\.(txt|html|htm)' }
# Verificar servicios de backup
Get-Service -Name "Veeam*", "Acronis*", "ShadowProtect*" | Select-Object Name, Status
# Verificar sombras de volumen
vssadmin list shadows
Troyanos
# Buscar procesos que no deberían estar ejecutándose
Get-Process | Where-Object { $_.Path -and $_.Path -notmatch 'C:\\Windows|C:\\Program Files' } |
Select-Object Name, Id, Path, StartTime | Sort-Object StartTime -Descending
# Verificar conexiones de red sospechosas
Get-NetTCPConnection -State Established |
Where-Object { $_.RemotePort -notin @(80, 443, 53) } |
Select-Object LocalPort, RemoteAddress, RemotePort, OwningProcess,
@{N='ProcessName';E={(Get-Process -Id $_.OwningProcess).Name}}
Keyloggers
# Verificar procesos que acceden al teclado
Get-Process | Where-Object {
(Get-ProcessModule -Id $_.Id -ErrorAction SilentlyContinue) |
Where-Object { $_.ModuleName -match 'GetAsyncKeyState|SetWindowsHookEx' }
}
# Buscar hooks de teclado activos (requiere herramientas especializadas como GMER o Process Explorer)
# En Process Explorer: Find > Find Handle or DLL > buscar hooks de teclado
Rootkits
# Verificar integridad de archivos del sistema
sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
# Buscar drivers no firmados
Get-WindowsDriver -Online -ErrorAction SilentlyContinue |
Where-Object { $_.OriginalFileName -and !(Test-Path $_.OriginalFileName) } |
Select-Object Driver, OriginalFileName, ProviderName
# Verificar rootkits de arranque (requiere entorno offline)
# Usar GMER (https://www.gmer.net/) o Autoruns de Sysinternals
# Verificar UEFI: módulos DXE y variable SecureBoot
Malware fileless
# Buscar scripts ofuscados en logs de PowerShell
Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" -MaxEvents 1000 |
Where-Object { $_.Id -eq 4104 -and $_.Message -match 'FromBase64|IEX|Invoke-Expression' } |
Select-Object TimeCreated, @{N='Block';E={$_.Properties[2].Value}} | Format-List
# Buscar tareas programadas creadas recientemente con contenido sospechoso
Get-ScheduledTask | Where-Object {
$_.Actions.Execute -match 'powershell|cmd' -and
$_.Actions.Arguments -match 'IEX|DownloadString|FromBase64'
} | Select-Object TaskName, TaskPath, @{N='Command';E={$_.Actions.Execute}}
# Verificar procesos hollowed (requiere herramientas como Hollows_Hunter o PE-sieve)
# Detectar svchost.exe en rutas inusuales (debería estar en C:\Windows\System32\)
Get-Process svchost | Where-Object { $_.Path -ne "C:\Windows\System32\svchost.exe" }
Wipers
# Verificar integridad del MBR
# Desde cmd (requiere ejecutar como administrador en entorno de recuperación)
bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd
# Buscar escritura masiva en disco en los últimos 15 minutos
Get-WinEvent -LogName "Security" -MaxEvents 5000 |
Where-Object { $_.Id -eq 4663 -and $_.TimeCreated -gt (Get-Date).AddMinutes(-15) } |
Measure-Object | Select-Object Count
# Verificar estado de volumen de sombras
Get-WmiObject Win32_ShadowCopy | Select-Object DeviceObject, InstallDate
Cryptominers
# Buscar procesos con consumo anómalo de CPU
Get-Process | Where-Object { $_.CPU -gt 1000 } |
Select-Object Name, Id, CPU, Path | Sort-Object CPU -Descending
# Verificar procesos minando con puertos de pool conocidos
Get-NetTCPConnection -RemotePort 3333,5555,7777,8888,9999,14433,45560 -ErrorAction SilentlyContinue |
Select-Object LocalPort, RemoteAddress, RemotePort, OwningProcess,
@{N='ProcessName';E={(Get-Process -Id $_.OwningProcess).Name}}
# Buscar wallets de Monero conocidos en procesos en memoria
Get-Process | ForEach-Object {
try { [System.Text.Encoding]::UTF8.GetString($_.MainModule.FileName) } catch {}
}
Botnets
# Buscar conexiones a C2 conocidos (verificar con threat intelligence feeds)
Get-NetTCPConnection -State Established |
Where-Object { $_.RemoteAddress -notmatch '(127\.0\.0\.1|192\.168|10\.0|172\.(1[6-9]|2|3[01]))' } |
Select-Object LocalPort, RemoteAddress, RemotePort, OwningProcess,
@{N='ProcessName';E={(Get-Process -Id $_.OwningProcess).Name}}
# Verificar tareas programadas que ejecutan descargas periódicas
Get-ScheduledTask | Where-Object { $_.State -eq 'Running' } |
Select-Object TaskName, @{N='Execute';E={$_.Actions.Execute}}, @{N='Args';E={$_.Actions.Arguments}}
Artículos Relacionados
- Análisis de Malware: Técnicas Estáticas y Dinámicas — Aprende a analizar muestras de malware con Ghidra, sandboxes y reglas YARA.
- Incident Response (DFIR): Metodología NIST — Cómo responder estructuradamente a un incidente de malware según el marco NIST.
- EDR Evasion: Técnicas de Evasion de Endpoint — Cómo el malware moderno evita la detección de los sistemas EDR y XDR.
- Ransomware: Prevención y Respuesta Empresarial — Guía profunda sobre estrategias de defensa contra ransomware.
- Threat Hunting: Pirámide del Dolor — Técnicas proactivas de caza de amenazas basadas en la Pirámide del Dolor.
- SOC desde Cero — Cómo construir un Centro de Operaciones de Seguridad desde los fundamentos.