Hard2bit
← Volver al glosario Amenazas y ataques

Spyware

Qué es el spyware

El spyware es software diseñado para vigilar a la víctima y recolectar información sin su consentimiento: pulsaciones de teclado, capturas de pantalla, contraseñas guardadas, cookies de sesión, historial de navegación e incluso micrófono y cámara. A diferencia del ransomware, no anuncia su presencia: su valor depende de pasar desapercibido el máximo tiempo posible mientras realiza una exfiltración de datos continua hacia el atacante. En el entorno empresarial, su variante más dañina hoy es el infostealer, responsable de gran parte de las credenciales comprometidas que alimentan los accesos iniciales de otros ataques: lo que empieza como un espía silencioso acaba como una brecha con nombre y apellidos.

Por qué importa

El spyware convierte cada equipo infectado en un micrófono abierto hacia el negocio: lo que teclea un empleado incluye contraseñas del ERP, datos de clientes, credenciales bancarias y conversaciones confidenciales. El impacto más frecuente hoy no es el espionaje en sí, sino lo que viene después: los infostealers roban cookies de sesión que permiten al atacante entrar en el correo o en Microsoft 365 sin necesidad de contraseña ni MFA, porque secuestran una sesión ya autenticada. Ese es el origen de muchos casos de account takeover, fraude del CEO y accesos "legítimos" imposibles de explicar. A escala corporativa, un solo portátil infectado puede exponer credenciales de decenas de aplicaciones en minutos, y esas credenciales se venden en mercados criminales a los pocos días. Además hay una dimensión legal: si el spyware captura datos personales de clientes o empleados, la empresa puede estar ante una brecha notificable bajo RGPD. Y en el extremo alto del espectro, el spyware mercenario demuestra que hasta los móviles cifrados de directivos son objetivo. Detectarlo pronto —por comportamiento del endpoint y tráfico saliente anómalo— es la diferencia entre un incidente contenido y meses de vigilancia hostil.

Puntos clave

Keyloggers: registran cada pulsación de teclado, capturando contraseñas, mensajes y documentos según se escriben. Existen en versión software (lo habitual) y hardware (dispositivos físicos intercalados en el teclado, relevantes en entornos de alta seguridad).

Infostealers: la variante dominante en el cibercrimen actual. En minutos recolectan contraseñas guardadas en el navegador, cookies de sesión, tokens y monederos, y los suben al atacante. Su botín alimenta el mercado de credenciales comprometidas y los ataques de account takeover.

Stalkerware: spyware comercial instalado por alguien con acceso físico al dispositivo, típicamente en contextos de vigilancia personal. En la empresa importa porque un móvil BYOD con stalkerware expone también el correo y los datos corporativos que ese dispositivo toca.

Spyware móvil y mercenario: desde apps espía que piden permisos excesivos hasta plataformas profesionales tipo Pegasus, capaces de comprometer un móvil sin interacción del usuario. Directivos, asesores legales y perfiles con acceso a información sensible son sus objetivos naturales.

Detección: EDR con análisis de comportamiento en el endpoint, vigilancia de tráfico saliente hacia dominios anómalos, alertas de acceso masivo a almacenes de credenciales del navegador e inicios de sesión imposibles (misma cuenta desde dos países en minutos).

Prevención: control de aplicaciones y extensiones de navegador, retirar privilegios de administrador local, MFA resistente al phishing con políticas que detecten sesiones robadas, DLP para frenar la salida de datos sensibles y formación específica sobre instaladores falsos y software "gratuito".

Ejemplo: Un infostealer secuestra las sesiones de Microsoft 365

Un comercial instala una "herramienta gratuita" para descargar vídeos que en realidad incluye un infostealer. En menos de cinco minutos, el malware vuelca las contraseñas guardadas en el navegador, las cookies de sesión —incluida la de Microsoft 365— y los tokens de acceso, los comprime y los envía al atacante. El equipo no muestra ningún síntoma: sin cifrado, sin ventanas extrañas, sin lentitud. Tres días después, alguien inicia sesión en el buzón del comercial desde otro país usando la cookie robada: no necesita la contraseña ni superar el MFA, porque la sesión ya estaba autenticada.

Desde ese buzón, el atacante estudia las conversaciones con clientes y lanza una campaña de facturas fraudulentas con el dominio real de la empresa. La detección llega por partida doble: una regla de inicio de sesión imposible en el tenant y una alerta del EDR que había quedado sin revisar. La respuesta exige revocar todas las sesiones activas, rotar credenciales, analizar el equipo con forense digital para acotar qué se llevó el infostealer y revisar el tenant en busca de reglas de buzón maliciosas — el escenario típico que una auditoría de Microsoft 365 ayuda a endurecer antes de que ocurra.

Errores habituales

  • Creer que el MFA hace inofensivo al spyware. Los infostealers roban cookies de sesiones ya autenticadas: el atacante entra sin contraseña y sin segundo factor. Sin políticas de sesión y revocación, el MFA solo protege la puerta, no las ventanas.
  • Buscar solo ejecutables maliciosos. Buena parte del spyware moderno vive en extensiones de navegador, scripts y aplicaciones 'legítimas' con permisos excesivos que ningún antivirus clasifica como malware.
  • Limpiar el equipo sin revocar sesiones ni rotar credenciales. Si el infostealer ya exfiltró cookies y contraseñas, el atacante conserva el acceso aunque el equipo quede impecable. La limpieza sin rotación es una falsa sensación de cierre.
  • Tratarlo como un problema doméstico. Un móvil personal con stalkerware o un portátil BYOD infectado exponen el correo corporativo, el CRM y todo lo que ese dispositivo toca; la frontera personal/profesional no existe para el malware.
  • Depender del antivirus tradicional sin telemetría. El spyware está diseñado para no dar síntomas; sin EDR en el endpoint y visibilidad del tráfico saliente, la primera noticia suele llegar meses después, desde fuera.

Servicios relacionados

Este concepto puede tener relación con servicios como:

Preguntas frecuentes

¿Cómo sé si un equipo corporativo tiene spyware?

Los síntomas visibles (lentitud, batería, ventanas raras) son poco fiables: el spyware moderno no da síntomas. Las señales útiles son técnicas: conexiones salientes a dominios anómalos, procesos que acceden a los almacenes de credenciales del navegador, inicios de sesión imposibles en las cuentas del usuario y alertas de comportamiento del EDR. Si hay sospecha fundada, el equipo se aísla y se analiza; no se 'limpia' a ciegas.

¿Qué diferencia hay entre spyware e infostealer?

El infostealer es un tipo de spyware optimizado para la velocidad: en lugar de vigilar durante semanas, roba en minutos todo lo que encuentra —contraseñas, cookies, tokens, monederos— y desaparece o queda latente. El spyware clásico prioriza la vigilancia prolongada (teclado, pantalla, micrófono). En la práctica empresarial, el infostealer es hoy la variante más frecuente y la que más brechas origina.

¿El spyware también afecta a los móviles de empresa?

Sí, y de dos formas. La común: apps espía o stalkerware instaladas con acceso físico o mediante engaño, que capturan mensajes, ubicación y credenciales. La avanzada: spyware mercenario tipo Pegasus, que puede comprometer el dispositivo sin interacción y se dirige a perfiles de alto valor. Un MDM bien configurado, sistemas actualizados y separar el trabajo de lo personal reducen ambas superficies.

¿Qué hay que hacer justo después de detectar spyware?

Aislar el dispositivo sin apagarlo, preservar la evidencia y asumir que todo lo que ese equipo tocaba está comprometido: revocar todas las sesiones activas del usuario, rotar sus credenciales, revisar reglas de buzón y accesos recientes, y analizar el alcance con forense. Después, cerrar la vía de entrada y valorar si hubo acceso a datos personales que obligue a notificar bajo RGPD.