Hard2bit
← Volver al glosario Amenazas y ataques

Troyano

Qué es un troyano

Un troyano es un tipo de malware que se disfraza de software legítimo —un instalador, un adjunto de correo, una herramienta gratuita— para que sea la propia víctima quien lo ejecute. A diferencia de un virus o un gusano, no se replica por sí solo: su fuerza está en el engaño. Una vez dentro, hace el trabajo para el que fue diseñado: robar credenciales, dar control remoto del equipo, descargar más malware o vaciar cuentas bancarias. La mayoría llega mediante campañas de phishing, cracks y activadores piratas, instaladores falsos o publicidad maliciosa, y en cuanto se ejecuta suele conectar con la infraestructura de C2 del atacante para recibir órdenes.

Por qué importa

El troyano es la puerta de entrada más habitual del cibercrimen moderno: la mayoría de las brechas graves —incluido el ransomware— empiezan con un empleado ejecutando algo que parecía legítimo. El modelo de negocio lo agrava: los operadores de troyanos actúan como initial access brokers y venden el acceso conseguido a otros grupos, de modo que una infección que hoy parece menor puede convertirse en cifrado masivo o exfiltración de datos semanas después. Además, los troyanos actuales son sigilosos por diseño: se firman con certificados robados, se inyectan en procesos legítimos, establecen persistencia y comunican con su C2 por HTTPS mezclados con el tráfico normal. Eso significa que el antivirus tradicional de firmas llega tarde con frecuencia y que la detección real depende de vigilar comportamiento: procesos que hacen cosas impropias, conexiones salientes anómalas, mecanismos de arranque nuevos. Para una empresa, entender qué es un troyano es entender por dónde empiezan casi todos sus peores días: por eso el control de qué software se ejecuta, la formación frente al phishing y la monitorización continua no son opcionales.

Puntos clave

RAT (Remote Access Trojan): da al atacante control remoto completo del equipo —pantalla, teclado, ficheros, webcam—. Es la variante preferida para espionaje y para preparar el movimiento lateral hacia sistemas más valiosos.

Troyanos bancarios (bankers): interceptan sesiones de banca online, inyectan formularios falsos en la web del banco y manipulan transferencias en tiempo real. Familias como Zeus, Emotet o Grandoreiro marcaron época; sus descendientes siguen activos contra empresas españolas.

Downloaders y droppers: su única función es abrir la puerta y descargar la carga útil real (ransomware, infostealers, herramientas de post-explotación). Detectarlos pronto corta la cadena antes del daño grave.

Infostealers: recolectan en minutos credenciales guardadas en el navegador, cookies de sesión, monederos cripto y tokens de acceso, y los suben al atacante. Son el origen de gran parte de las credenciales comprometidas que se venden en mercados criminales.

Vías de entrada típicas: adjuntos de phishing (facturas, currículums, requerimientos), cracks y software pirata, instaladores falsos posicionados con SEO o anuncios (malvertising) y actualizaciones fraudulentas de navegador. Casi siempre hace falta que el usuario ejecute algo.

Detección y respuesta: EDR con análisis de comportamiento, vigilancia del tráfico saliente hacia dominios de C2, revisión de mecanismos de persistencia y aislamiento inmediato del equipo afectado. Tras contener, hay que asumir robo de credenciales y rotarlas.

Ejemplo: Un falso instalador acaba en intento de fraude bancario

Una responsable de administración necesita convertir un PDF y descarga un "conversor gratuito" desde el primer resultado patrocinado del buscador. El instalador funciona —convierte el PDF— pero también despliega un troyano bancario que se registra como tarea programada para sobrevivir a los reinicios y abre un canal cifrado con el C2 del atacante. Durante días, el malware permanece en silencio: recolecta las contraseñas guardadas en el navegador, identifica que el equipo se usa para la banca electrónica de la empresa y espera a la siguiente sesión.

Cuando la empleada accede al banco, el troyano inyecta un formulario falso que solicita "revalidar" el token de firma y el atacante intenta colar una transferencia. En este caso el intento falla porque el SOC había recibido una alerta del EDR por la tarea programada anómala y el equipo ya estaba aislado; el análisis forense posterior confirma qué credenciales se exfiltraron, se rotan todas, se revocan las sesiones activas y se notifica al banco. Sin esa detección temprana, la diferencia habrían sido decenas de miles de euros y una notificación de brecha.

Errores habituales

  • Confiar solo en el antivirus de firmas. Los troyanos actuales se recompilan y ofuscan a diario precisamente para no coincidir con ninguna firma; sin detección por comportamiento (EDR) la ventana de ceguera es de días o semanas.
  • Permitir que cualquier usuario instale software libremente. Los cracks, los instaladores descargados de anuncios y las 'herramientas gratuitas' son la vía de entrada clásica; el control de aplicaciones y retirar privilegios de administrador local cortan la mayoría de infecciones.
  • Dar por cerrado el incidente cuando el antivirus 'limpia' el fichero. El ejecutable detectado suele ser solo el dropper: la persistencia, las credenciales robadas y las cargas descargadas después pueden seguir ahí. Hay que investigar qué pasó tras la ejecución.
  • Reinstalar el equipo sin análisis previo. Formatear elimina el malware pero destruye la evidencia: no sabrás qué credenciales se llevaron, si hubo movimiento lateral ni si el atacante conserva otro punto de acceso.
  • Ignorar el tráfico saliente. Un troyano necesita comunicarse con su C2 para ser útil; si solo se vigila lo que entra y no lo que sale, esa señal —la más fiable— se pierde.

Servicios relacionados

Este concepto puede tener relación con servicios como:

Preguntas frecuentes

¿Qué diferencia hay entre un troyano, un virus y un gusano?

El criterio es cómo se propagan. Un virus infecta otros ficheros y necesita que alguien los ejecute; un gusano se replica solo a través de la red sin intervención humana; un troyano no se replica en absoluto: se presenta como software legítimo y espera a que la víctima lo instale. En la práctica moderna casi todo el malware relevante para empresas entra como troyano, y lo que descarga después determina el daño.

¿El antivirus es suficiente para detectar troyanos modernos?

No como única capa. Los operadores prueban sus muestras contra los antivirus comerciales antes de distribuirlas, así que la primera oleada suele pasar sin detección. El antivirus sigue siendo útil contra malware conocido, pero la detección fiable exige EDR con análisis de comportamiento, vigilancia del tráfico saliente y alguien que investigue las alertas: la tecnología sola no cierra el caso.

¿Qué debo hacer si sospecho que un equipo tiene un troyano?

Aislar el equipo de la red inmediatamente —sin apagarlo, para preservar la memoria—, avisar al equipo de seguridad o al proveedor de respuesta a incidentes y no 'limpiar' nada por cuenta propia. Después toca identificar qué se ejecutó, qué persistencia dejó, con qué C2 habló y qué credenciales pudo llevarse; esas credenciales se rotan y las sesiones se revocan aunque el equipo ya esté limpio.

¿Cómo se previenen los troyanos en la empresa?

Reduciendo las oportunidades de ejecución: usuarios sin privilegios de administrador local, control de aplicaciones que solo permita software aprobado, filtrado de correo y navegación, parches al día y formación específica contra phishing e instaladores falsos. Y asumiendo que alguna infección ocurrirá: EDR desplegado, monitorización continua y un plan de respuesta ensayado marcan la diferencia entre una anécdota y una brecha.