Hard2bit
← Volver al glosario Amenazas y ataques

Malware

Qué es malware

Malware es cualquier software diseñado para dañar, espiar o tomar el control de un sistema sin el consentimiento de su propietario. El término agrupa familias con objetivos muy distintos: el ransomware cifra datos para extorsionar, los troyanos abren puertas traseras, el spyware roba credenciales e información, los gusanos se propagan solos por la red, el adware monetiza con publicidad intrusiva y las botnets convierten equipos infectados en soldados de ataques mayores. Entra por phishing, exploits de vulnerabilidades sin parchear, descargas comprometidas, dispositivos USB o la cadena de suministro de software. Entenderlo por familias y vectores es el primer paso para defenderse con criterio en lugar de confiar solo en el antivirus.

Por qué importa

El malware es el vehículo de la mayoría de los incidentes con impacto económico real: paradas de producción por ransomware, fraude bancario por troyanos que capturan credenciales, espionaje industrial por spyware persistente y sanciones regulatorias cuando la infección deriva en fuga de datos personales. Para una pyme, la pregunta relevante no es si recibirá malware —los filtros de correo de cualquier empresa descartan intentos a diario— sino si detectará a tiempo el que consiga ejecutarse. Ahí está el salto cualitativo: el malware moderno ya no es un fichero ruidoso que un antivirus de firmas identifica, sino cargas que se ejecutan solo en memoria, abusan de herramientas legítimas del sistema (PowerShell, WMI) y permanecen semanas en silencio mientras el operador humano detrás reconoce la red, escala privilegios y localiza los backups antes de lanzar el golpe final. Cada hora entre la infección inicial y la detección amplía el coste de la respuesta. Por eso la defensa eficaz combina prevención (parcheo, filtrado, concienciación), detección en el endpoint con capacidad de análisis de comportamiento y un plan de respuesta que asuma que, tarde o temprano, algo se ejecutará.

Puntos clave

Familias principales: ransomware (cifrado y extorsión), troyanos (acceso remoto encubierto), spyware e infostealers (robo de credenciales y datos), gusanos (autopropagación por red), adware (monetización intrusiva) y botnets (equipos zombis al servicio de DDoS, spam o minado).

Vectores de entrada: adjuntos y enlaces de phishing, explotación de vulnerabilidades expuestas sin parchear, descargas desde webs comprometidas o software pirata, dispositivos USB y ataques a la cadena de suministro que troyanizan actualizaciones legítimas.

Ciclo de vida típico: entrega, ejecución, persistencia (arranque automático, tareas programadas), comunicación con el servidor de mando y control (C2), acciones sobre el objetivo (robo, cifrado, propagación) y, cada vez más, exfiltración previa al impacto visible.

Detección por capas: el antivirus de firmas atrapa lo conocido; el EDR detecta comportamiento anómalo (procesos, memoria, red) incluso en malware sin fichero; el sandboxing detona adjuntos sospechosos en un entorno aislado antes de que lleguen al usuario.

El malware moderno evade firmas por diseño: polimorfismo, empaquetado, ejecución solo en memoria y abuso de binarios legítimos del sistema (living off the land). Por eso la telemetría de comportamiento del endpoint pesa más que la lista de firmas.

Respuesta ante infección: aislar el equipo de la red sin apagarlo, preservar evidencias, identificar el vector de entrada y el alcance real (¿se movió lateralmente?, ¿salieron datos?) antes de limpiar y restaurar. Limpiar sin investigar suele dejar la puerta abierta.

Ejemplo: Un infostealer en el portátil del responsable comercial

El responsable comercial de una distribuidora descarga un supuesto visor de PDF desde un anuncio en un buscador. El instalador funciona, pero incluye un infostealer que en minutos recolecta las contraseñas guardadas del navegador, las cookies de sesión de M365 y del CRM, y las envía al servidor del atacante. No hay cifrado, no hay nota de rescate, no hay síntomas: el antivirus tradicional no reconoce la muestra, recién generada para esa campaña, y el portátil sigue funcionando con normalidad.

Tres semanas después, el atacante usa las cookies robadas para entrar en el correo corporativo sin disparar el MFA, estudia los hilos con clientes y envía facturas con un IBAN cambiado desde la cuenta legítima del comercial. El fraude se descubre cuando un cliente llama preguntando por qué ha cambiado la cuenta bancaria. Con un EDR gestionado, la ejecución del instalador no firmado y la lectura masiva del almacén de credenciales del navegador habrían generado una alerta el primer día; sin él, la empresa descubre la infección por el daño, no por la detección, y la respuesta pasa de reimaginar un portátil a gestionar un fraude consumado con clientes afectados.

Errores habituales

  • Confiar solo en el antivirus de firmas. El malware de campaña actual se genera y empaqueta para no coincidir con firmas conocidas; sin análisis de comportamiento en el endpoint, la primera víctima de cada variante no tiene protección.
  • Dar por resuelta la infección al eliminar el fichero malicioso. La persistencia (tareas programadas, claves de registro, cuentas creadas) y las credenciales ya robadas siguen activas; hay que investigar el alcance antes de cerrar el caso.
  • Ignorar el aviso 'el antivirus lo ha bloqueado'. Un bloqueo indica que algo llegó a ejecutarse o descargarse; conviene preguntarse cómo entró y si hubo más intentos que no se bloquearon, no archivar la alerta como éxito.
  • Dejar equipos sin parchear porque 'no son críticos'. Los gusanos y el ransomware se propagan precisamente por los sistemas olvidados: el servidor de pruebas o el equipo del quiosco comparten red con producción.
  • No cubrir móviles ni equipos personales que acceden a recursos corporativos. Los infostealers en dispositivos BYOD roban las mismas sesiones de M365 y VPN que un portátil corporativo, pero fuera del alcance de las herramientas de la empresa.

Términos relacionados

Servicios relacionados

Este concepto puede tener relación con servicios como:

Preguntas frecuentes

¿Qué diferencia hay entre malware, virus y ransomware?

Malware es la categoría general: cualquier software malicioso. Un virus es un tipo concreto que se replica infectando otros ficheros, hoy minoritario. El ransomware es otra familia, especializada en cifrar datos y extorsionar. En la práctica, la mayoría de lo que llega a una empresa son troyanos, infostealers y cargadores que preparan el terreno para un ataque mayor, no virus clásicos.

¿Basta un antivirus para proteger una empresa del malware?

No. El antivirus de firmas sigue siendo útil como primera capa, pero el malware de campaña se genera para evadirlo y las técnicas sin fichero ni siquiera escriben en disco. La protección razonable para una empresa combina EDR con análisis de comportamiento, filtrado de correo y navegación, parcheo disciplinado y alguien —interno o un SOC gestionado— que revise y responda a las alertas.

¿Cómo sé si un equipo de mi empresa está infectado?

Los síntomas clásicos (lentitud, ventanas emergentes) ya casi no aparecen: el malware actual busca pasar desapercibido. Las señales fiables son técnicas: conexiones salientes a dominios anómalos, procesos que abusan de PowerShell o WMI, accesos a credenciales del navegador o picos de lectura de ficheros. Detectarlas requiere telemetría de endpoint y alguien que la vigile; ante la sospecha, aislar el equipo de la red sin apagarlo.

¿Qué hacer en la primera hora tras detectar malware en un equipo?

Aislarlo de la red —cable y wifi— sin apagarlo, para preservar la evidencia en memoria. Cambiar desde otro dispositivo las contraseñas de las cuentas usadas en ese equipo e invalidar sus sesiones activas. No ejecutar limpiadores por iniciativa propia: si hay indicios de acceso a datos o movimiento lateral, conviene activar el procedimiento de respuesta a incidentes antes de alterar nada.