Tema 4

4. Amenazas frecuentes en clientes: malware, ransomware, spyware, keyloggers y robo de información

Los endpoints concentran identidad, datos, sesiones y capacidad operativa. Por eso son un objetivo constante para amenazas que buscan ejecutar código, vigilar al usuario, cifrar archivos, secuestrar acceso o extraer información sin ser detectadas.

Objetivo Entender las amenazas más comunes sobre clientes
Enfoque Tipos de amenaza, impacto y señales de riesgo
Resultado Distinguir comportamientos y prioridades defensivas

4.1 Introducción

Una vez entendida la superficie de ataque del cliente, el siguiente paso es estudiar qué amenazas la explotan. No todas persiguen el mismo objetivo. Algunas buscan cifrar archivos y extorsionar, otras espiar al usuario, otras capturar credenciales y otras simplemente abrir la puerta a un compromiso más amplio.

En el entorno del usuario final, muchas amenazas se apoyan en contenido aparentemente cotidiano: correos, adjuntos, documentos, instaladores, extensiones, actualizaciones falsas o sitios web engañosos. Esto hace que el acceso inicial no siempre dependa de una vulnerabilidad compleja, sino también de la capacidad del atacante para aprovechar la rutina de trabajo.

Comprender estas amenazas ayuda a decidir mejor cómo endurecer el endpoint, qué señales monitorear y qué controles priorizar según el impacto.

4.2 Qué entendemos por malware

Malware es un término general que agrupa software malicioso diseñado para dañar, espiar, alterar, cifrar, robar o abrir acceso no autorizado en un sistema. No describe una sola familia técnica, sino una categoría amplia de herramientas ofensivas con fines distintos.

Un mismo incidente puede involucrar varios tipos de malware. Por ejemplo, una infección inicial mediante un descargador puede terminar desplegando un infostealer, un keylogger y luego ransomware. Desde el punto de vista defensivo, conviene pensar el malware como una cadena de capacidades y no solo como un archivo malicioso aislado.

El valor del malware para el atacante no está solo en infectar, sino en lo que permite hacer después: persistir, robar, extorsionar o moverse con la identidad de la víctima.

4.3 Vías frecuentes de ingreso del malware

El malware puede ingresar por múltiples caminos, pero en clientes suelen repetirse ciertos vectores:

  • Adjuntos o enlaces maliciosos enviados por correo.
  • Descargas desde sitios comprometidos o falsos.
  • Instaladores alterados, cracks o software no autorizado.
  • Macros y documentos con contenido activo.
  • Extensiones del navegador con permisos abusivos.
  • Explotación de vulnerabilidades en aplicaciones o sistema operativo.

La fase de ingreso no siempre produce un impacto inmediato visible. Muchas amenazas buscan primero establecerse con bajo perfil para después desplegar su carga principal.

4.4 Clasificación general de amenazas en clientes

Tipo Objetivo principal Impacto habitual
Malware genérico Ejecutar acciones maliciosas en el sistema Compromiso inicial, persistencia o daño operativo
Ransomware Cifrar información y extorsionar Interrupción de operación y pérdida de disponibilidad
Spyware Vigilar al usuario y extraer información Espionaje y fuga de datos
Keylogger Capturar teclas, credenciales y actividad Robo de acceso y suplantación
Infostealer Robar secretos, cookies, wallets o sesiones Compromiso de identidad y servicios asociados

4.5 Malware genérico: función y comportamiento

En su forma más amplia, el malware puede ejecutar acciones como abrir canales de comando y control, descargar componentes adicionales, alterar configuraciones, ocultar procesos, desactivar defensas o preparar el sistema para ataques posteriores.

Algunas familias son ruidosas y otras discretas. En clientes corporativos, las amenazas discretas suelen ser especialmente peligrosas porque priorizan permanencia, robo silencioso o abuso de identidad antes que destrucción visible.

Señales frecuentes de actividad maliciosa incluyen:

  • Procesos desconocidos con comportamiento persistente.
  • Cambios inesperados en mecanismos de inicio.
  • Conexiones salientes inusuales o repetitivas.
  • Desactivación o degradación de herramientas de seguridad.
  • Archivos nuevos en rutas poco habituales.

4.6 Ransomware: impacto y lógica de operación

El ransomware busca impedir el acceso a la información o al sistema hasta que la víctima pague un rescate. Aunque el cifrado de archivos es su rasgo más conocido, las campañas modernas suelen combinar varias acciones previas: reconocimiento local, desactivación de defensas, borrado de respaldos accesibles y exfiltración de datos para doble extorsión.

En un endpoint, el ransomware puede impactar:

  • Archivos de trabajo locales.
  • Carpetas sincronizadas con la nube.
  • Recursos compartidos montados por el usuario.
  • Perfiles y configuraciones necesarias para operar.
El ransomware no es solo una amenaza de disponibilidad. También puede convertirse en un problema de confidencialidad cuando hay exfiltración previa a la extorsión.

4.7 Etapas típicas de un incidente de ransomware

  1. Ingreso inicial mediante phishing, descarga o vulnerabilidad explotada.
  2. Persistencia y reconocimiento del entorno del usuario.
  3. Robo de credenciales o elevación de privilegios si es posible.
  4. Desactivación o evasión de controles defensivos.
  5. Exfiltración de información valiosa en campañas avanzadas.
  6. Cifrado de archivos y despliegue de nota de rescate.

Esta secuencia muestra por qué la detección temprana es tan importante. Cuando aparece la fase visible del cifrado, buena parte del daño ya puede estar hecho.

4.8 Spyware: vigilancia silenciosa del usuario

El spyware está diseñado para observar y recopilar información sin consentimiento ni visibilidad clara para la víctima. Puede registrar actividad, capturar pantallas, monitorear navegación, leer archivos o recolectar datos del sistema y de las aplicaciones usadas.

Su valor para el atacante radica en la discreción. A diferencia del ransomware, no necesita generar un evento llamativo. Le alcanza con permanecer el tiempo suficiente para recolectar contexto, documentos, credenciales o patrones de comportamiento.

En clientes corporativos, el spyware puede revelar:

  • Qué aplicaciones utiliza el usuario y con qué frecuencia.
  • Qué sitios visita y qué servicios web considera confiables.
  • Qué documentos abre y con qué personas se comunica.
  • Qué credenciales o sesiones podrían ser capturadas luego.

4.9 Keyloggers y captura de interacción

Los keyloggers son amenazas orientadas a registrar pulsaciones de teclado, aunque muchas variantes modernas también capturan portapapeles, formularios, pantallas o eventos del mouse. Su objetivo principal suele ser obtener credenciales, datos financieros o información ingresada en sistemas sensibles.

Este tipo de amenaza es especialmente peligrosa cuando el usuario inicia sesión en múltiples servicios desde el mismo equipo, ya que el atacante puede acumular acceso de manera progresiva.

Capacidad Qué captura Riesgo
Registro de teclas Usuario, contraseña, mensajes, búsquedas Robo directo de acceso e información
Captura de portapapeles Contraseñas copiadas, datos confidenciales Exfiltración silenciosa de secretos
Captura de pantalla Aplicaciones abiertas, MFA, contenido sensible Espionaje contextual y bypass parcial de controles
Monitoreo de formularios Datos antes de ser enviados Robo preciso en sitios o apps críticas

4.10 Robo de información e infostealers

El robo de información en endpoints suele estar asociado a malware especializado en recolectar credenciales, cookies, historiales, sesiones, wallets, tokens, archivos y datos de aplicaciones. A estas familias se las suele agrupar como infostealers.

Su crecimiento reciente se explica porque monetizan muy bien el compromiso del usuario final. Un solo endpoint puede entregar acceso a correo, SaaS corporativos, banca, mensajería y sistemas internos, todo desde una misma sesión operativa.

Los objetivos habituales de un infostealer incluyen:

  • Contraseñas guardadas en navegadores.
  • Cookies y sesiones activas.
  • Archivos de configuración con secretos.
  • Tokens de autenticación y datos de autofill.
  • Documentos valiosos o fácilmente revendibles.

4.11 Amenazas combinadas y cadenas de ataque

En la práctica, muchas campañas no usan una sola técnica. Un mismo incidente puede comenzar con phishing, seguir con un descargador, instalar un infostealer, capturar credenciales y terminar en ransomware o fraude por correo. Esta combinación permite a los atacantes maximizar valor y adaptarse según lo que encuentren en el equipo.

Por eso es un error pensar las amenazas como compartimentos aislados. En clientes, lo importante es entender cómo una primera intrusión habilita capacidades nuevas sobre identidad, datos y sesiones.

4.12 Señales comunes de compromiso en clientes

No existe una única señal infalible, pero sí patrones que suelen justificar investigación:

  • Archivos que desaparecen, cambian de extensión o quedan inaccesibles.
  • Procesos desconocidos, consumo anómalo o actividad persistente fuera de horario.
  • Cambios inesperados en el navegador, en el buscador o en extensiones instaladas.
  • Correos enviados sin intervención del usuario o reglas nuevas en la bandeja.
  • Alertas de acceso desde ubicaciones extrañas o revocaciones inesperadas de sesión.
  • Desactivación de antivirus, EDR o actualizaciones automáticas.

Estas señales no siempre confirman malware, pero sí indican que el endpoint debe ser revisado con criterio técnico y rapidez.

4.13 Factores que aumentan el riesgo

Algunas condiciones operativas hacen más probable o más grave el impacto de estas amenazas:

  • Usuarios con privilegios elevados de forma permanente.
  • Software sin soporte o con parcheo deficiente.
  • Ausencia de MFA y de monitoreo de identidad.
  • Descarga e instalación libre de herramientas no autorizadas.
  • Dependencia alta del navegador para servicios críticos sin controles adicionales.
  • Escasa visibilidad sobre correo, adjuntos y telemetría del endpoint.

4.14 Enfoque defensivo frente a estas amenazas

La defensa no debe apoyarse en un solo control. Un enfoque maduro combina capas preventivas, detectivas y de contención.

  • Hardening del sistema operativo y mínimo privilegio.
  • Gestión de parches y reducción de software innecesario.
  • Protección antimalware y EDR con telemetría útil.
  • Políticas de navegador, control de extensiones y filtrado web.
  • Defensas de correo contra phishing, adjuntos y remitentes falsos.
  • MFA, revocación de sesiones y protección de credenciales.
  • Capacidad de aislamiento del endpoint y respuesta rápida.

4.15 Qué aprenderemos en el próximo tema

Ahora que entendemos qué amenazas afectan al cliente, el siguiente paso es estudiar cómo endurecer el sistema operativo para reducir su exposición. En el tema 5 veremos configuración segura, servicios, cuentas y actualizaciones.

Ese enfoque es clave porque muchas de las amenazas revisadas aprovechan debilidades básicas del endpoint antes que fallas extremadamente sofisticadas.

4.16 Qué debes recordar de este tema

  • Malware es una categoría amplia que incluye capacidades distintas como espionaje, robo de credenciales, persistencia o extorsión.
  • Ransomware, spyware, keyloggers e infostealers tienen objetivos diferentes, pero pueden formar parte de la misma cadena de ataque.
  • El correo, las descargas, los documentos y las extensiones son vías frecuentes de ingreso al endpoint.
  • Muchas amenazas modernas buscan identidad, sesiones y datos antes de mostrar efectos visibles.
  • La defensa efectiva combina hardening, detección, protección de credenciales y capacidad de contención.

4.17 Conclusión

Las amenazas sobre clientes no deben analizarse solo por su nombre técnico, sino por la capacidad que le otorgan al atacante: ejecutar código, espiar, robar acceso, cifrar información o combinar varias de esas acciones. En todos los casos, el endpoint es valioso porque concentra identidad, datos y continuidad operativa.

En el próximo tema nos enfocaremos en hardening del sistema operativo cliente para reducir la posibilidad de que estas amenazas encuentren un entorno fácil de comprometer.

Volver al índice