Qué es el “malware sin archivos persistentes” y cómo detectarlo con herramientas gratuitas

Tuhinga o mua malware sin archivos persistentes ha supuesto un auténtico quebradero de cabeza para los equipos de seguridad. No estamos ante el típico virus que dejas “cazado” al borrar un ejecutable del disco, sino ante amenazas que viven en memoria, abusan de herramientas legítimas del sistema y, en muchos casos, apenas dejan rastro forense aprovechable.

Este tipo de ataques se ha vuelto especialmente popular entre grupos avanzados y ciberdelincuentes que buscan evadir antivirus tradicionales, robar datos y mantenerse ocultos el máximo tiempo posible. Entender cómo funcionan, qué técnicas utilizan y cómo detectarlos es clave para cualquier organización que quiera tomarse en serio la ciberseguridad hoy en día.

¿Qué es el malware sin archivos (fileless) y por qué preocupa tanto?

A, no te korero e pā ana ki malware sin archivos no nos referimos a que no haya ni un solo byte implicado, sino a que el código malicioso no se almacena como un archivo ejecutable clásico en el disco del endpoint. En lugar de eso, se ejecuta directamente en memoria o se aloja en contenedores poco visibles como el Registro, WMI o tareas programadas.

En muchos escenarios, el atacante se apoya en herramientas ya presentes en el sistema —PowerShell, WMI, scripts, binarios de Windows firmados— para cargar, descifrar o ejecutar payloads directamente en RAM. De esta manera evita dejar ejecutables evidentes que un antivirus basado en firmas pueda detectar en un escaneo normal.

Además, parte de la cadena de ataque puede ser “sin archivos” y otra parte sí usar el sistema de ficheros, de modo que hablamos más de un espectro de técnicas fileless que de una única familia de malware. Por eso no existe una única definición cerrada, sino varias categorías según el grado de huella que dejan en la máquina.

Principales características del malware sin archivos persistentes

Una propiedad clave de estas amenazas es su ejecución centrada en memoria: el código malicioso se carga en RAM y se ejecuta dentro de procesos legítimos, sin necesitar un binario malicioso estable en el disco duro. En algunos casos, incluso se inyecta en procesos críticos del sistema para camuflarse mejor.

Ko tetahi atu waahanga nui ko te persistencia poco convencional. Muchas campañas fileless son puramente volátiles y desaparecen tras un reinicio, pero otras logran reactivarse usando claves de Autorun del Registro, suscripciones WMI, tareas programadas o BITS, de modo que el artefacto “visible” es mínimo y el payload real vuelve a vivir en memoria cada vez.

Este enfoque reduce enormemente la eficacia de la detección basada en firmas, ya que no hay un ejecutable fijo que analizar. A menudo, lo que se ve es un PowerShell.exe, un wscript.exe o un mshta.exe perfectamente legítimos, lanzados con parámetros sospechosos o cargando contenido ofuscado.

Por último, muchos actores combinan técnicas fileless con otros tipos de malware como troyanos, ransomware o adware, dando lugar a campañas híbridas que mezclan lo mejor (y lo peor) de ambos mundos: persistencia y sigilo.

Tipos de amenazas sin archivos según su huella en el sistema

Varios fabricantes de seguridad clasifican las amenazas “sin archivos” según la huella que dejan en el equipo. Esta taxonomía ayuda a entender qué estamos viendo y cómo investigarlo.

Tipo I: sin actividad de archivo visible

En el extremo más sigiloso encontramos el malware que no escribe absolutamente nada en el sistema de archivos. El código llega, por ejemplo, a través de paquetes de red que explotan una vulnerabilidad (como EternalBlue), se inyecta directamente en memoria y se mantiene, por ejemplo, como una puerta trasera en el kernel (DoublePulsar fue un caso emblemático).

En otros escenarios, la infección reside en firmware de BIOS, tarjetas de red, dispositivos USB o incluso en subsistemas dentro de la CPU. Este tipo de amenazas puede sobrevivir a reinstalaciones del sistema operativo, formateos de disco e incluso algunos reinicios completos.

El problema es que la mayoría de soluciones de seguridad no inspeccionan firmware ni microcódigo, y aunque lo hagan, la remediación es compleja. Por suerte, estas técnicas suelen estar reservadas a actores muy sofisticados y no son lo más habitual en ataques masivos.

Tipo II: uso indirecto de archivos

Un segundo grupo se basa en contener el código malicioso en estructuras almacenadas en disco, pero no como ejecutables tradicionales, sino en repositorios que mezclan datos legítimos y maliciosos, difíciles de limpiar sin dañar el sistema.

Ejemplos típicos son scripts almacenados en el repositorio de WMI, cadenas ofuscadas en claves del Registro o tareas programadas que lanzan comandos peligrosos sin que exista un binario malicioso claro. El malware puede instalar estas entradas directamente desde la línea de comandos o un script y, a partir de ahí, vivir de forma casi invisible.

Aunque técnicamente hay archivos implicados (el fichero físico donde Windows guarda el repositorio WMI o el hive del Registro), a efectos prácticos hablamos de actividad fileless porque no hay un ejecutable evidente que se pueda poner en cuarentena sin más.

Tipo III: necesita archivos para funcionar

En el tercer tipo aparecen amenazas que usan archivos, pero de manera poco útil para la detección. Un caso conocido es Kovter, que registra extensiones aleatorias en el Registro para que, al abrir un archivo con esa extensión, se ejecute un script a través de mshta.exe o un binario nativo similar.

Estos archivos señuelo contienen datos irrelevantes, y el verdadero código malicioso se recupera de otras claves de Registro o repositorios internos. Aunque existe “algo” en disco, no es fácil usarlo como indicador fiable de compromiso, ni mucho menos como mecanismo de limpieza directa.

Vectores de entrada y puntos de infección más habituales

Más allá de la clasificación por huella, es importante entender cómo entra en juego el malware sin archivos persistentes en el día a día. Los atacantes suelen combinar varios vectores según el entorno y el objetivo.

Exploits y vulnerabilidades

Uno de los caminos más directos es el abuso de vulnerabilidades de ejecución remota de código (RCE) en navegadores, plugins (como Flash en su momento), aplicaciones web o servicios de red (SMB, RDP, etc.). El exploit inyecta shellcode que directamente descarga o descodifica la carga maliciosa en memoria.

En este modelo, el archivo inicial puede estar en la red (exploits tipo WannaCry) o en un documento que abra el usuario, pero la carga útil nunca se escribe como ejecutable en disco: se descifra y ejecuta sobre la marcha desde RAM.

Documentos maliciosos y macros

Otra vía muy explotada son los documentos de Office con macros o DDE, así como PDFs preparados para aprovechar fallos de los lectores. Un Word o Excel aparentemente inofensivo puede incluir VBA que lance PowerShell, WMI u otros intérpretes para descargar código, ejecutar comandos o inyectar shellcode en procesos de confianza.

Aquí el archivo en disco es “solo” un contenedor de datos, mientras que el vector real es el motor de scripting interno de la aplicación. De hecho, muchas campañas de spam masivo han abusado de esta táctica para desplegar ataques fileless en redes corporativas.

Scripts y binarios legítimos (Living off the Land)

Los atacantes adoran las herramientas que ya trae Windows: PowerShell, wscript, cscript, mshta, rundll32, regsvr32, Windows Management Instrumentation, BITS, etc. Estos binarios firmados y confiables pueden ejecutar scripts, DLLs o contenido remoto sin que haga falta un “virus.exe” sospechoso.

Al pasar código malicioso como parámetros de línea de comandos, incrustarlo en imágenes, cifrarlo y descodificarlo en memoria o almacenarlo en el Registro, consiguen que el antivirus solo vea actividad de procesos legítimos, dificultando mucho la detección basada únicamente en archivos.

Hardware y firmware comprometido

A un nivel aún más bajo, los atacantes avanzados pueden infiltrar firmware de BIOS, tarjetas de red, discos duros o incluso subsistemas de gestión de la CPU (como Intel ME o AMT). Este tipo de malware se ejecuta por debajo del sistema operativo y puede interceptar o modificar tráfico sin que el OS tenga constancia.

Aunque es un escenario extremo, ilustra hasta qué punto una amenaza sin archivos puede mantener persistencia sin tocar el sistema de ficheros del SO, y por qué las herramientas clásicas de endpoint se quedan cortas en estos casos.

Cómo funciona un ataque de malware sin archivos persistentes

A nivel de flujo, un ataque fileless se parece bastante a uno basado en archivos, pero con diferencias relevantes en cómo se implementa el payload y cómo se mantiene el acceso.

1. Acceso inicial al sistema

Todo empieza cuando el atacante consigue un primer punto de apoyo: un correo de phishing con enlace o adjunto malicioso, un exploit contra una aplicación vulnerable, credenciales robadas para RDP o VPN, o incluso un dispositivo USB manipulado.

En esta fase se usa te hangarau hapori, redirecciones maliciosas, campañas de malvertising o ataques sobre Wi-Fi maliciosos para que el usuario haga clic donde no debe o para explotar servicios expuestos en Internet.

2. Ejecución del código malicioso en memoria

Una vez ganada esa primera entrada, se desencadena el componente fileless: un macro de Office lanza PowerShell, un exploit inyecta shellcode, una suscripción WMI dispara un script, etc. El objetivo es cargar el código malicioso directamente en RAM, ya sea descargándolo de Internet o reconstruyéndolo a partir de datos incrustados.

Desde ahí, el malware puede escalar privilegios, moverse lateralmente, robar credenciales, desplegar webshells, instalar RATs o cifrar datos, todo ello apoyándose en procesos legítimos para reducir el ruido.

3. Establecimiento de persistencia

Entre las técnicas habituales Ko:

• Claves de Autorun en el Registro que ejecutan comandos o scripts al iniciar sesión.
• Nga mahi kua whakaritea que lanzan scripts, binarios legítimos con parámetros o comandos remotos.
• Suscripciones WMI que disparan código al cumplirse determinados eventos del sistema.
• Uso de BITS para descargas periódicas de payloads desde servidores de mando y control.

En muchos casos, el componente persistente es mínimo y sirve solo para volver a inyectar el malware en memoria cada vez que arranca el sistema o se cumple una condición específica.

4. Acciones sobre los objetivos y exfiltración

Con la persistencia asegurada, el atacante se centra en lo que realmente le interesa: robar información, cifrarla, manipular sistemas o espiar durante meses. La exfiltración puede hacerse por HTTPS, DNS, canales encubiertos o servicios legítimos. En incidentes reales, saber qué hacer en las primeras 24 horas tras un hackeo ka taea te rereke.

En ataques APT, es habitual que el malware permanezca silencioso y sigiloso durante largos periodos, construyendo puertas traseras adicionales para garantizar el acceso incluso si parte de la infraestructura es detectada y limpiada.

Capacidades y tipos de malware que pueden ser fileless

Prácticamente cualquier función maliciosa que pueda realizar un malware clásico se puede implementar siguiendo un enfoque sin archivos o semi-fileless. Lo que cambia no es el objetivo, sino la manera de desplegar el código.

Malware residente únicamente en memoria

En esta categoría entran payloads que viven exclusivamente en la memoria del proceso o del kernel. Rootkits modernos, backdoors avanzadas o herramientas de espionaje pueden cargarse en el espacio de memoria de un proceso legítimo y permanecer ahí hasta que se reinicie el sistema.

Estos componentes son especialmente difíciles de ver con herramientas orientadas al disco, y obligan a usar análisis de memoria en vivo, EDR con inspección en tiempo real o capacidades forenses avanzadas.

Malware basado en el Registro de Windows

Otra técnica recurrente es almacenar código cifrado u ofuscado en claves del Registro y usar un binario legítimo (como PowerShell, MSHTA o rundll32) para leerlo, descodificarlo y ejecutarlo en memoria.

El dropper inicial puede autodestruirse tras escribir en el Registro, de modo que lo único que queda es una mezcla de datos aparentemente inofensivos que activan la amenaza cada vez que arranca el sistema o cada vez que se abre un archivo concreto.

Ransomware y troyanos sin archivos

El enfoque fileless no está reñido con cargas muy agresivas como el ransomware. Hay campañas que descargan, descifran y ejecutan el cifrador íntegramente en memoria usando PowerShell o WMI, sin dejar el ejecutable del ransomware en disco.

Waihoki, troyanos de acceso remoto (RAT), keyloggers o ladrones de credenciales pueden operar de manera semi-fileless, cargando módulos bajo demanda y alojando la lógica principal en procesos legítimos del sistema.

Kits de explotación y credenciales robadas

Los kits de exploits web son otra pieza del puzzle: detectan el software instalado, seleccionan el exploit adecuado e inyectan el payload directamente en memoria, a menudo sin guardar absolutamente nada en disco.

I tetahi atu, ko te whakamahinga o credenciales robadas es un vector que encaja muy bien con las técnicas sin archivos: el atacante se autentica como un usuario legítimo y, a partir de ahí, abusa de herramientas administrativas nativas (PowerShell Remoting, WMI, PsExec) para desplegar scripts y comandos que no dejan rastros clásicos de malware.

¿Por qué el malware sin archivos es tan difícil de detectar?

La razón de fondo es que este tipo de amenazas se diseña específicamente para burlar las capas tradicionales de defensa, basadas en firmas, listas blancas y escaneos periódicos de archivos.

Si el código malicioso nunca se guarda como ejecutable en el disco, o si se esconde en contenedores mixtos como WMI, Registro o firmware, el antivirus clásico tiene muy poco que analizar. En lugar de un “archivo sospechoso”, lo que hay son procesos legítimos que se comportan de forma anómala.

Además, bloquear herramientas como PowerShell, macros de Office o WMI de forma radical no es viable en muchas organizaciones, porque son imprescindibles para administración, automatización y operaciones diarias. Esto obliga a los defensores a hilar muy fino.

Algunos proveedores han intentado compensar con parches rápidos (bloqueo genérico de PowerShell, desactivación total de macros, detección solo en la nube, etc.), pero estas medidas suelen ser insuficientes o excesivamente disruptivas mo te pakihi.

Estrategias modernas para detectar y frenar el malware sin archivos

Para enfrentarse a estas amenazas hace falta ir más allá del simple escaneo de archivos y apostar por un enfoque centrado en comportamiento, telemetría en tiempo real y visibilidad profunda del punto final.

Monitorización de comportamiento y memoria

Un enfoque eficaz consiste en observar lo que hacen realmente los procesos: qué comandos ejecutan, a qué recursos acceden, qué conexiones establecen, cómo se relacionan entre sí, etc. Aunque existan miles de variantes de malware, los patrones de comportamiento malicioso son bastante más limitados. También puede complementarse con la detección avanzada con YARA.

Soluciones modernas combinan esta telemetría con análisis en memoria, heurísticas avanzadas y akoranga ako para identificar cadenas de ataque, incluso cuando el código está fuertemente ofuscado o nunca se ha visto antes.

Uso de interfaces del sistema como AMSI y ETW

Windows ofrece tecnologías como Atanga Matawai Antimalware (AMSI) y Takitaki Takahanga mo Windows (ETW) que permiten inspeccionar scripts y eventos del sistema a muy bajo nivel. Integrar estas fuentes en las soluciones de seguridad facilita detectar código malicioso justo antes o durante su ejecución.

Además, el análisis de áreas críticas —tareas programadas, suscripciones WMI, claves de Registro de arranque, etc.— ayuda a identificar persistencias fileless encubiertas que podrían pasar desapercibidas con un simple escaneo de archivos.

Caza de amenazas e indicadores de ataque (IoA)

Dado que los indicadores clásicos (hashes, rutas de archivo) se quedan cortos, es recomendable apoyarse en indicadores de ataque (IoA), que describen comportamientos sospechosos y secuencias de acciones que encajan con tácticas conocidas.

Equipos de threat hunting —internos o mediante servicios gestionados— pueden buscar de forma proactiva patrones de movimiento lateral, abuso de herramientas nativas, anomalías en el uso de PowerShell o accesos extraños a datos sensibles, detectando amenazas fileless antes de que desencadenen un desastre.

EDR, XDR y SOC 24/7

Las plataformas modernas de EDR y XDR (detección y respuesta en endpoints y a nivel extendido) aportan la visibilidad y correlación necesarias para reconstruir la historia completa de un incidente, desde el primer correo de phishing hasta la exfiltración final.

Combinadas con un SOC operativo 24/7, permiten no solo detectar, sino también contener y remediar automáticamente la actividad maliciosa: aislar equipos, bloquear procesos, revertir cambios en el Registro o deshacer cifrados cuando es posible.

Las técnicas de malware sin archivos persistentes han cambiado las reglas del juego: ya no basta con “pasar el antivirus” y borrar un ejecutable sospechoso. Hoy la defensa pasa por entender cómo los atacantes viven de la tierra, ocultando código en memoria, Registro, WMI o firmware, y por desplegar una combinación de monitorización de comportamiento, análisis en memoria, EDR/XDR, caza de amenazas y buenas prácticas. Reducir de forma realista el impacto de unos ataques que, por diseño, intentan no dejar huellas donde miran las soluciones más tradicionales requiere una estrategia holística y continuada. En caso de compromiso, saber Whakatikahia a Windows i muri i te huaketo kino he mea nui.