La evolución de las ciberamenazas ha dado paso a técnicas cada vez más sofisticadas, y entre ellas, el malware sin archivos se destaca como una de las más evasivas. A diferencia del malware tradicional, que suele instalarse en los discos duros, el malware sin archivos opera exclusivamente en la memoria RAM de un sistema, lo que lo convierte en una amenaza difícil de detectar y neutralizar.
A diferencia del malware convencional que depende de archivos ejecutables, el malware sin archivos utiliza y manipula procesos legítimos del sistema operativo para ejecutar su código malicioso, es decir, no necesita instalarse ni guardar archivos en el disco duro. Al no dejar rastros físicos, evita ser detectado por herramientas de seguridad que analicen archivos en busca de anomalías. Este tipo de ataques son particularmente peligrosos porque aprovechan vulnerabilidades del sistema y programas ya instalados, en lugar de introducirse como un archivo adicional.
“Utilizando herramientas legítimas del sistema, como PowerShell o servicios internos de Windows, el malware sin archivos puede ejecutar su código malicioso sin que el usuario se percate. De esta manera, las defensas tradicionales de los endpoints, que dependen del escaneo de archivos, no siempre son suficientes para detener estas amenazas”, señala Josep Albors, director de investigación y concienciación de ESET España.
Ataques destacados de malware sin archivos
Un caso destacado es el de la campaña de malware detectada por ESET de Astaroth, que utilizó un método sin archivos para robar información a través de correos electrónicos maliciosos. Al interactuar con estos correos, el malware aprovechaba herramientas internas de Windows, como BITSAdmin y Alternate Data Streams, para evadir la detección y ejecutar su código malicioso.
Otro ejemplo significativo es el malware Kovter, también detectado por primera vez por ESET, que almacenaba su carga maliciosa cifrada en el registro de Windows. Del mismo modo, la familia de malware GreyEnergy también se aprovechaba del uso de técnicas sin archivos, asegurando que algunos de sus módulos solo se ejecutaran en la memoria, complicando aún más su detección.
¿Cómo protegerse del malware sin archivos?
Para combatir estas avanzadas amenazas, las soluciones de ciberseguridad han evolucionado hacia un enfoque multicapa. ESET Endpoint Security, por ejemplo, incorpora tecnologías como Advanced Memory Scanner, Exploit Blocker y diferentes formas de machine learning avanzadas, diseñadas específicamente para identificar actividades sospechosas en la memoria y bloquear amenazas que se esconden dentro de procesos legítimos.
Además, los sistemas de prevención de intrusiones (HIPS) y la inspección profunda del comportamiento (DBI) permiten a estas soluciones monitorizar el comportamiento de los procesos, archivos y claves de registro en tiempo real, detectando no solo las amenazas activas en la memoria, sino también eliminando las cargas maliciosas cifradas que intentan evadir la seguridad.
Más allá de las herramientas de seguridad, es esencial que los usuarios adopten buenas prácticas para reducir el riesgo de infección. Entre las principales recomendaciones, ESET, compañía líder en ciberseguridad, destaca las siguientes:
· Mantener el software actualizado: Los ciberdelincuentes suelen explotar vulnerabilidades en software desactualizado. Asegurate de que tanto el sistema operativo como todas las aplicaciones estén siempre al día con los últimos parches de seguridad.
· Evitar hacer clic en enlaces sospechosos: Muchas amenazas sin archivos inician su cadena de infección mediante enlaces o archivos adjuntos aparentemente legítimos. Verifica siempre la legitimidad de cualquier enlace antes de hacer clic.
· Usar contraseñas seguras y autenticación multifactor: Las credenciales robadas son una vía común para que los ciberdelincuentes accedan a un sistema. Utiliza contraseñas fuertes y habilita la autenticación multifactor siempre que sea posible.
· Restringir el uso de privilegios administrativos: Los ciberdelincuentes suelen aprovechar cuentas con privilegios elevados. Limita el uso de estas cuentas a las tareas esenciales y emplea cuentas con menores privilegios para las actividades cotidianas.