Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué es el malware troyano Zeus (Zbot)?
Cybersecurity 101/Ciberseguridad/Malware troyano Zeus

¿Qué es el malware troyano Zeus (Zbot)?

El malware troyano Zeus intercepta credenciales bancarias antes de que la encriptación las proteja. Esta guía cubre cómo funciona el malware Zeus, sus componentes principales y estrategias de detección. Aprenderá sobre ataques man-in-the-browser, técnicas de inyección en memoria y cómo crear reglas de detección para amenazas derivadas de Zeus dirigidas a su empresa.

CS-101_Cybersecurity.svg
Tabla de contenidos
¿Qué es el malware troyano Zeus?
Qué distingue al troyano Zeus de otros malware
Variantes del troyano Zeus y la familia de malware
Relación del troyano Zeus con la ciberseguridad
Impacto del malware Zeus en las organizaciones
Cómo funciona el malware troyano Zeus
Componentes principales del malware Zeus
Capacidades clave del malware Zeus
Cómo se propaga el troyano Zeus
Indicadores de compromiso (IOC) para infecciones Zbot
Cómo detectar el malware troyano Zeus
Cómo eliminar el malware Zeus de los sistemas
Mejores prácticas para prevenir ataques del troyano Zeus
Detén las amenazas del troyano Zeus con SentinelOne
Puntos clave

Entradas relacionadas

  • ¿Qué es la fijación de sesión? Cómo los atacantes secuestran sesiones de usuario
  • Hacker Ético: Métodos, Herramientas y Guía de Carrera
  • ¿Qué son los ataques adversarios? Amenazas y defensas
  • Ciberseguridad en el sector gubernamental: riesgos, mejores prácticas y marcos normativos
Autor: SentinelOne
Actualizado: January 5, 2026

¿Qué es el malware troyano Zeus?

Cuando escribes tu contraseña bancaria en lo que parece ser un sitio web legítimo, Zeus captura esos datos directamente desde tu navegador en la capa de aplicación, antes de que la protección SSL/TLS los encripte para su transmisión al servidor. Zeus estableció la arquitectura fundamental para el ciberdelito financiero como un troyano bancario que intercepta credenciales a nivel de navegador antes de que ocurra la encriptación. Según el Departamento de Justicia de EE. UU., las operaciones de Zeus robaron 3 millones de dólares de un solo grupo de ciberdelincuentes solo en casos procesados.

El malware surgió en 2007 y estableció la arquitectura que los troyanos bancarios modernos aún utilizan. El FBI documentó que solo GameOver Zeus infectó 3,6 millones de PC en Estados Unidos para 2009 antes de que las fuerzas del orden interrumpieran la botnet en 2014. Aunque no encontrarás a Zeus en el informe CIS Top 10 Malware Q1 2025, su ADN técnico sigue presente en amenazas actuales. Estás combatiendo troyanos bancarios derivados de Zeus que adoptaron su innovadora arquitectura modular y de hombre en el navegador.

Zeus Malware - Featured Image | SentinelOne

Qué distingue al troyano Zeus de otros malware

Zeus fue pionero en los ataques de hombre en el navegador (MitB) que interceptan datos en la capa de aplicación. Mientras que los keyloggers simplemente registran pulsaciones de teclas, Zeus modifica el tráfico web en tiempo real. Cuando cargas el sitio web de tu banco, Zeus inyecta código malicioso directamente en la página antes de que la veas. La interfaz parece idéntica al sitio legítimo porque es el sitio legítimo, con el código de Zeus superpuesto de forma invisible.

Cuando Zeus opera en tu sistema, intercepta y captura los datos de los formularios desde tu navegador antes de que ocurra la encriptación. Tu certificado SSL aparece en verde y válido, y la conexión cifrada permanece segura. Sin embargo, Zeus recopila cada credencial que ingresas en la capa de aplicación, en tu sistema comprometido, antes de que el navegador inicie la encriptación.

Variantes del troyano Zeus y la familia de malware

Estás enfrentando múltiples generaciones de troyanos bancarios derivados de Zeus.

Primera generación (2007-2011):

  • Zeus (2007): Estableció la arquitectura MitB y de captura de formularios
  • GameOver Zeus (2011): CISA confirma que la variante P2P eliminó los servidores C2 centralizados, dificultando significativamente su desmantelamiento
  • Citadel (2011): Surgió como el troyano bancario "open-source" para la personalización criminal
  • Zeus Mobile (Zitmo): Extendido a plataformas móviles para capturar códigos de autenticación de dos factores

Sucesores (2014-2016):

  • Dridex (2014): Distribuido a través de campañas de spam
  • Dyre (2014): Incluye capacidades de evasión de HTTPS
  • Trickbot (2016): Variante de Dyre con configuraciones en línea y arquitectura modular

Según el informe Cloud and Threat Report 2025 de Netskope, los derivados de Zeus como Zusy (TinyBanker) siguen activos, continuando el robo de credenciales bancarias mediante técnicas de inyección de código que Zeus introdujo.

Relación del troyano Zeus con la ciberseguridad

La detección basada en firmas tiene dificultades contra Zeus porque las técnicas de evasión del malware, incluida la encriptación polimórfica en la versión 1.4 que hace única cada infección, hacen que las firmas tradicionales de antivirus sean insuficientes. Los equipos de seguridad deben implementar detección basada en IA conductual y estrategias de defensa en profundidad para contrarrestar amenazas en evolución.

Comprender estas implicaciones de ciberseguridad te ayuda a construir defensas, pero cuantificar el daño organizacional revela por qué las amenazas derivadas de Zeus requieren atención prioritaria.

Impacto del malware Zeus en las organizaciones

Cuando Zeus compromete tu organización, enfrentas impactos en cascada más allá de la infección inicial. El malware roba credenciales bancarias mediante ataques de hombre en el navegador, recopila credenciales de correo corporativo que permiten el compromiso de correo empresarial y captura credenciales de VPN. Según el análisis técnico de IOActive, Zeus crea archivos ocultos en \windows\system32\lowsec\ con ejecutables cifrados que evaden la detección.

Los costos de tu respuesta a incidentes se multiplican. Según la Office of the Comptroller of the Currency, las instituciones financieras deben notificar oportunamente a los reguladores bancarios federales sobre incidentes significativos de seguridad informática.

El robo de credenciales crea un problema de compromiso de identidad que persiste más allá de la infección por malware. Según la guía de respuesta a incidentes de SpyCloud, simplemente eliminar el malware deja las credenciales robadas activas para uso del atacante, permitiendo el despliegue de ransomware o acceso persistente semanas después de la detección y eliminación.

Para defenderte eficazmente contra estos impactos, necesitas comprender exactamente cómo Zeus ejecuta su cadena de ataque desde la infección inicial hasta la exfiltración de credenciales.

Cómo funciona el malware troyano Zeus

Zeus llega a tus endpoints mediante kits de explotación que entregan descargas drive-by, campañas de phishing con archivos adjuntos maliciosos y sitios web legítimos comprometidos que distribuyen malware. Una vez que comienza la ejecución, Cisco Talos Intelligence documenta un patrón de escalada rápida.

Línea de tiempo posterior a la infección:

  • Milisegundos: Solicitud HTTP GET al servidor C2
  • Milisegundos a segundos: Descarga de blob de configuración binaria (respuesta C2)
  • Segundos: Archivo de configuración desplegado en el sistema
  • Segundos: El malware se registra con solicitudes HTTP POST emparejadas
  • Continuo: Robo de credenciales mediante keylogging, captura de formularios, inyección web

El dropper desempaqueta el bot principal de Zeus en la ubicación de memoria 0x00b70000 con protección PAGE_EXECUTE_READWRITE. El bot principal establece persistencia en el directorio del sistema Windows, creando archivos ocultos para almacenamiento de pulsaciones de teclas, datos de configuración y el ejecutable del bot cifrado. Según el análisis técnico de IOActive, Zeus engancha la función API NtQueryDirectoryFile para ocultar archivos en disco durante la inspección del sistema de archivos.

Esta rápida progresión del ataque depende de la arquitectura modular de Zeus, que permite a los delincuentes actualizar capacidades individuales sin reinfectar sistemas comprometidos.

Componentes principales del malware Zeus

Comprender cada componente te ayuda a identificar oportunidades de detección a lo largo de la cadena de ataque.

  • Sistema de archivos oculto: Zeus opera desde \windows\system32\lowsec\ con archivos ocultos para almacenamiento de pulsaciones de teclas (user.ds), configuración (local.ds) y el ejecutable del bot cifrado. Zeus engancha NtQueryDirectoryFile para ocultar estos archivos de las herramientas de detección estándar.
  • Infraestructura de comando y control: Zeus tradicional utilizaba C2 centralizado con HTTP GET/POST para configuración y exfiltración. GameOver Zeus eliminó esta debilidad con arquitectura P2P donde los sistemas infectados se comunican directamente, dificultando significativamente su desmantelamiento según CISA.
  • Módulos de inyección en el navegador: Zeus mantiene módulos específicos para Firefox, Chrome e IE que capturan datos de formularios antes de la encriptación e inyectan contenido malicioso en páginas bancarias. Las actualizaciones del archivo de configuración permiten apuntar a nuevos bancos sin requerir reinfección de sistemas comprometidos.

Estos componentes arquitectónicos habilitan las capacidades principales de ataque de Zeus que comprometen directamente tus credenciales bancarias y datos financieros.

Capacidades clave del malware Zeus

  • Captura de formularios: El malware intercepta datos en la capa de aplicación mientras completas formularios web. Cuando escribes tu nombre de usuario, Zeus captura esos datos antes de que tu navegador los encripte para su transmisión. Esto ocurre independientemente de la implementación de seguridad del sitio web porque Zeus opera en tu lado del proceso de encriptación.
  • Inyección web: Zeus modifica sitios web bancarios en tiempo real inyectando JavaScript y HTML maliciosos en páginas legítimas. Ves campos de formulario adicionales solicitando información que tu banco nunca pide. Estos campos inyectados lucen idénticos a la interfaz legítima porque Zeus imita exactamente el estilo del banco.
  • Keylogging: La captura completa de pulsaciones de teclas proporciona respaldo para el robo de credenciales cuando falla la captura de formularios. Zeus registra cada pulsación mediante hooks a nivel de kernel, almacenando los datos en el archivo oculto user.ds con capturas de pantalla para contexto adicional.
  • Exfiltración de credenciales: Zeus empaqueta las credenciales robadas y las transmite mediante solicitudes HTTP POST a la infraestructura C2. Según Cisco Talos Intelligence, las solicitudes POST del malware utilizan nombres de archivo idénticos, permitiendo a los operadores correlacionar sesiones y reconstruir perfiles de usuario.

Estas capacidades hacen que Zeus sea devastador una vez instalado, por lo que comprender sus métodos de propagación te ayuda a bloquear infecciones antes de que comience el robo de credenciales.

Cómo se propaga el troyano Zeus

La propagación de Zeus depende de la ingeniería social en lugar de un comportamiento automatizado tipo gusano.

  • Campañas de phishing: La alerta de Zeus de CISA de marzo de 2010 documentó campañas masivas de phishing que suplantaban al FBI, IRS y grandes instituciones financieras. La ingeniería social aprovechaba la urgencia para inducir clics antes de que los destinatarios evaluaran la legitimidad.
  • Kits de explotación: Los operadores de Zeus desplegaban el malware mediante infraestructura de kits de explotación que automatizaban la explotación de vulnerabilidades del navegador. Al visitar un sitio comprometido, el kit de explotación perfilaba tu navegador y entregaba exploits dirigidos a vulnerabilidades sin parchear.
  • Sitios web legítimos comprometidos: La propagación de Zeus frecuentemente aprovechaba sitios web confiables en lugar de infraestructura obviamente maliciosa. Tus usuarios visitaban dominios familiares y recibían infecciones de Zeus desde sitios en los que no tenían motivo para desconfiar.
  • Entrega de cargas secundarias: Las operaciones de GameOver Zeus desplegaban ransomware CryptoLocker junto con el robo de credenciales. Cuando elimines Zeus, investiga la presencia de amenazas persistentes adicionales.

Una vez que Zeus infiltra tu entorno a través de estos vectores, necesitas indicadores confiables para detectar infecciones activas antes de que se complete la exfiltración de credenciales.

Indicadores de compromiso (IOC) para infecciones Zbot

Necesitas detección conductual e indicadores basados en red porque la encriptación polimórfica de Zeus hace única cada infección, volviendo impráctica la detección basada en firmas.

  1. Patrones de comportamiento en red: Según Cisco Talos Intelligence, Zeus exhibe patrones de tráfico distintivos: solicitudes HTTP GET reciben blobs de configuración binaria con Content-Type application/octet-stream, seguidas inmediatamente por solicitudes HTTP POST emparejadas para completar el registro.
  2. Artefactos forenses en memoria: Cuando utilizas el framework Volatility, busca regiones de memoria privada con protección PAGE_EXECUTE_READWRITE en la ubicación 0x00b70000, donde Zeus desempaqueta su imagen principal de bot.
  3. Comportamientos mapeados a MITRE ATT&CK: Monitorea el descubrimiento de información del sistema usando comandos cmd /c systeminfo (T1082), rastrea modificaciones de registro que crean mecanismos de persistencia y hooking de API para sigilo, observa actividades de keylogging y captura de formularios, monitorea inyección de procesos y ejecución en memoria, y correlaciona patrones de beaconing HTTP.
  4. Principio de detección: Correlaciona estos indicadores individuales porque Zeus exhibe múltiples comportamientos sospechosos en patrones coordinados en lugar de incidentes aislados. La detección conductual enfocada en acciones maliciosas resulta más efectiva que la detección basada en firmas contra variantes polimórficas de Zeus.
  5. Hashes de muestras verificadas: ANY.RUN y MalwareBazaar mantienen repositorios confirmados de muestras de Zeus. El hash SHA-256 18022d8613b4c36e502f9962ce27d4bb9f099d5659d44f82683b63f704873dcf representa una variante confirmada de Zeus con características de infección observables. Sin embargo, la detección basada en hash solo proporciona valor puntual porque las variantes polimórficas generan nuevos hashes con cada infección.

Saber qué buscar es solo la mitad del desafío. Traducir estos IOC en detección accionable requiere las herramientas y metodologías adecuadas.

Cómo detectar el malware troyano Zeus

La detección basada en firmas falla contra Zeus debido a múltiples técnicas de evasión. Según Secureworks, la versión 1.4 de Zeus introdujo encriptación polimórfica, haciendo única cada infección.

  • Requisitos de analítica conductual: Despliega detección en endpoints que monitoree acciones de procesos a nivel de kernel y patrones de uso de memoria. Zeus exhibe comportamientos específicos que persisten entre variantes: hooking de API para sigilo, inyección en memoria para ejecución, captura de formularios para interceptar credenciales bancarias y keylogging. El  Motor de IA Conductual de SentinelOne monitorea acciones de procesos a nivel de kernel para encontrar variantes de Zeus independientemente de la encriptación polimórfica.
  • Análisis de tráfico de red: El comportamiento de beaconing en red hacia la infraestructura C2 proporciona detección confiable. Zeus debe comunicarse con servidores externos para recibir configuraciones y exfiltrar credenciales. Las capacidades de inteligencia de amenazas permiten detectar comunicaciones C2 de Zeus mediante análisis de patrones de tráfico.
  • Detección y respuesta en endpoints: Tu XDR debe proporcionar visibilidad sobre inyección de procesos, carga de DLL y comportamientos de hooking de API.

Cuando la detección confirma la presencia de Zeus en tu entorno, la eliminación rápida y exhaustiva se vuelve crítica para limitar la exposición de credenciales.

Cómo eliminar el malware Zeus de los sistemas

La eliminación de Zeus requiere un restablecimiento completo de credenciales junto con la erradicación del malware. El propio malware es solo la mitad del problema porque las credenciales robadas siguen siendo válidas tras la eliminación.

  • Contención inmediata: Aísla los sistemas infectados de la red antes de iniciar la eliminación. Bloquea los dominios C2 de Zeus en tus perímetros DNS y firewall.
  • Preservación forense: Captura volcados de memoria antes de apagar el sistema. Utiliza el framework Volatility para analizar indicadores de inyección de procesos.
  • Erradicación del malware: Despliega soluciones EDR con monitoreo conductual a nivel de kernel para detectar las técnicas de evasión de Zeus. Las capacidades de respuesta autónoma de SentinelOne remedian infecciones de Zeus a velocidad de máquina, con  Ransomware Rollback restaurando los sistemas al estado previo al ataque.
  • Remediación de identidad: Restablece contraseñas de todas las aplicaciones accedidas desde el dispositivo infectado. Invalida todas las sesiones web y tokens de autenticación.
  • Validación y monitoreo: Verifica la eliminación completa del malware mediante múltiples métodos de escaneo. Monitorea los sistemas afectados durante más de 30 días en busca de indicadores de reinfección.

La eliminación reactiva aborda infecciones inmediatas, pero prevenir que Zeus obtenga acceso inicial ofrece un valor de seguridad mucho mayor.

Mejores prácticas para prevenir ataques del troyano Zeus

La prevención de Zeus requiere una arquitectura de defensa en profundidad porque ningún control único detiene de forma confiable a los troyanos bancarios.

  • Segmentación de red: Segmenta tu red para que las estaciones de trabajo no puedan acceder directamente a servidores que contienen datos sensibles.
  • Arquitectura Zero Trust: Implementa los principios de  arquitectura zero trust de NIST SP 800-207 que tratan cada solicitud de acceso como no confiable independientemente de la ubicación en la red.
  • Autenticación multifactor con monitoreo de sesión: MFA proporciona protección al requerir dos o más formas de verificación antes de acceder a la cuenta. Sin embargo, Zeus emplea técnicas de hombre en el navegador que pueden eludir la autenticación basada en sesión, por lo que MFA por sí sola es insuficiente.
  • Sistemas de detección conductual: Despliega protección en endpoints más allá de métodos basados en firmas. Zeus exhibe patrones conductuales específicos que los sistemas conductuales detectan independientemente de las firmas de código.
  • Infraestructura de monitoreo continuo: Implementa monitoreo continuo para patrones C2 de Zeus antes de que ocurra la exfiltración de credenciales.  Purple AI de SentinelOne utiliza lenguaje natural para agilizar investigaciones de amenazas y acelera SecOps con análisis impulsados por IA, resúmenes automáticos y consultas sugeridas para caza de amenazas.
  • Cumplimiento regulatorio: Las instituciones financieras deben reportar incidentes según CIRCIA e implementar controles del NIST Cybersecurity Framework.

Implementar estas mejores prácticas crea una base defensiva sólida, pero los troyanos bancarios modernos requieren capacidades de detección y respuesta igualmente modernas.

Detén las amenazas del troyano Zeus con SentinelOne

Detectar y detener variantes de Zeus requiere monitorear acciones de procesos a nivel de kernel y patrones de uso de memoria independientemente de la ofuscación de código. El Motor de IA Conductual de SentinelOne ofrece esta capacidad al observar comportamientos de procesos y archivos, detectando Zeus por sus acciones en lugar de firmas de código. La plataforma registra automáticamente detalles forenses en el Singularity Data Lake.

La  Plataforma Singularity de SentinelOne ofrece capacidades de respuesta autónoma que detectan y detienen amenazas antes de que ocurra un robo significativo de credenciales. Múltiples motores de detección impulsados por IA trabajan juntos para proporcionar protección a velocidad de máquina contra ataques en tiempo de ejecución, incluyendo análisis conductual que identifica patrones sospechosos de actividad de procesos.

  • Detección conductual de amenazas: El Motor de IA Estática de SentinelOne está entrenado con más de quinientos millones de muestras de malware e inspecciona estructuras de archivos en busca de características maliciosas, mientras que el Motor de IA Conductual evalúa intención y comportamientos maliciosos en tiempo real sin intervención humana.
  • Respuesta autónoma y rollback: La Plataforma Singularity de SentinelOne remedia endpoints a velocidad de máquina sin intervención humana. Ransomware Rollback permite a las organizaciones restaurar datos a un estado previo al ataque.
  • Investigación forense Storyline: La tecnología patentada  Storyline de SentinelOne monitorea, rastrea y contextualiza automáticamente los datos de eventos en todo tu entorno empresarial para reconstruir ataques en tiempo real, correlacionando eventos relacionados sin análisis manual.
  • Investigaciones aceleradas con Purple AI: Purple AI utiliza lenguaje natural para agilizar investigaciones de amenazas, proporciona análisis impulsados por IA y entrega información accionable. Acelera SecOps con resúmenes automáticos y consultas sugeridas para una caza de amenazas más rápida.

SentinelOne detiene variantes de Zeus de forma autónoma con detección conductual basada en IA. Solicita una demostración de SentinelOne para experimentarlo en tu entorno.

Plataforma Singularity

Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.

Demostración

Puntos clave

Zeus estableció la interceptación de credenciales a nivel de navegador como la técnica dominante en las amenazas bancarias modernas. Despliega sistemas de detección conductual que identifican acciones maliciosas independientemente de las firmas de código porque la encriptación polimórfica de Zeus derrota a los antivirus tradicionales. 

Cuando Zeus compromete tus sistemas, la eliminación del malware solo resuelve la mitad del problema; la remediación completa exige el restablecimiento inmediato de credenciales en todas las aplicaciones accedidas. Derrota amenazas derivadas de Zeus mediante defensa en profundidad combinando IA conductual, arquitectura zero trust y respuesta a incidentes centrada en la identidad.

Preguntas frecuentes sobre Zeus Malware

Zeus Trojan, también conocido como Zbot, es un troyano bancario que roba credenciales financieras mediante ataques man-in-the-browser. Zeus intercepta los datos antes de la encriptación inyectando código en su navegador y capturando credenciales a medida que las ingresa. El malware surgió en 2007 y estableció la arquitectura fundamental que los troyanos bancarios modernos aún utilizan. Zeus fue pionero en técnicas de form grabbing, inyección web y keylogging que siguen siendo estándar en el malware financiero actual.

Los hackers despliegan Zeus mediante campañas de phishing y kits de explotación que comprometen tus endpoints. Una vez infectado, Zeus captura credenciales bancarias a través de form grabbing y keylogging, luego exfiltra los datos robados a servidores C2. Los atacantes utilizan estas credenciales para fraude financiero directo y a menudo despliegan cargas útiles secundarias como ransomware para maximizar el retorno criminal de los sistemas comprometidos.

Zeus apunta específicamente a credenciales financieras interceptando datos de sitios web bancarios antes de que ocurra la encriptación. El malware mantiene archivos de configuración que especifican los bancos objetivo y utiliza inyección web para modificar páginas bancarias en tiempo real, capturando credenciales y detalles de transacciones. Este enfoque especializado en el robo financiero distingue a Zeus de los troyanos de propósito general.

Zeus estableció la base arquitectónica que los troyanos bancarios modernos aún siguen: ataques man-in-the-browser, inyección web y diseño modular. Amenazas actuales como Dridex y Trickbot evolucionaron a partir del código fuente filtrado de Zeus, pero añadieron herramientas de movimiento lateral y capacidades de entrega de ransomware. El Zeus original está en gran parte inactivo, pero sus derivados dominan la actividad actual de troyanos bancarios.

MFA proporciona cierta protección pero no detiene completamente a Zeus porque el malware utiliza técnicas de hombre en el navegador que pueden eludir la autenticación basada en sesiones. Zeus puede secuestrar sesiones autenticadas después de un inicio de sesión exitoso con MFA al robar cookies de sesión junto con credenciales. 

Implemente MFA como una capa dentro de la defensa en profundidad junto con la detección basada en comportamiento y la arquitectura de confianza cero.

GameOver Zeus eliminó el punto único de fallo presente en Zeus tradicional al reemplazar los servidores centralizados de comando y control por una arquitectura peer-to-peer. Los sistemas infectados se comunican directamente entre sí, lo que dificulta significativamente las acciones de desmantelamiento por parte de las fuerzas del orden. 

CISA confirma que este diseño P2P requirió esfuerzos internacionales coordinados para su interrupción. GameOver Zeus también combinó el robo de credenciales con la entrega de ransomware CryptoLocker, maximizando los beneficios criminales de cada infección.

La versión 1.4 de Zeus introdujo encriptación polimórfica que genera firmas de código únicas para cada infección, eludiendo la detección basada en firmas. El malware también engancha la API NtQueryDirectoryFile para ocultar sus archivos de los análisis de seguridad y opera principalmente en memoria para evitar la detección basada en disco. 

La detección basada en comportamiento que monitorea acciones de procesos y patrones en memoria resulta más eficaz porque identifica a Zeus por lo que hace en lugar de cómo se ve su código.

Las variantes originales de Zeus están en gran parte inactivas, pero existen amenazas activas de troyanos bancarios derivados de Zeus que heredaron su arquitectura. Dridex, Trickbot y Zusy (TinyBanker) continúan apuntando a credenciales financieras utilizando técnicas man-in-the-browser que Zeus introdujo. 

Estas variantes modernas añadieron capacidades de entrega de ransomware y movimiento lateral. Los métodos de ataque fundamentales establecidos por Zeus siguen siendo el enfoque estándar para los troyanos bancarios en la actualidad.

Aísle los sistemas infectados de inmediato, capture volcados de memoria para análisis forense y luego despliegue herramientas EDR con visibilidad a nivel de kernel para eludir los hooks de API de Zeus. Elimine los artefactos de malware y los mecanismos de persistencia, aunque la reconstrucción del sistema a partir de copias de seguridad limpias suele ser más confiable. 

Restablezca todas las credenciales e invalide todas las sesiones de las cuentas accedidas desde dispositivos infectados, ya que el robo de credenciales permite una compromisión continua después de la eliminación del malware.

Descubre más sobre Ciberseguridad

¿Qué es la referencia directa insegura a objetos (IDOR)?Ciberseguridad

¿Qué es la referencia directa insegura a objetos (IDOR)?

La referencia directa insegura a objetos (IDOR) es una falla de control de acceso donde la ausencia de verificaciones de propiedad permite a los atacantes recuperar los datos de cualquier usuario al modificar un parámetro en la URL. Descubra cómo detectarla y prevenirla.

Seguir leyendo
Seguridad IT vs. OT: Diferencias clave y mejores prácticasCiberseguridad

Seguridad IT vs. OT: Diferencias clave y mejores prácticas

La seguridad IT vs. OT abarca dos dominios con perfiles de riesgo, mandatos de cumplimiento y prioridades operativas distintas. Conozca las diferencias clave y las mejores prácticas.

Seguir leyendo
¿Qué son las copias de seguridad air gapped? Ejemplos y mejores prácticasCiberseguridad

¿Qué son las copias de seguridad air gapped? Ejemplos y mejores prácticas

Las copias de seguridad air gapped mantienen al menos una copia de recuperación fuera del alcance de los atacantes. Descubra cómo funcionan, tipos, ejemplos y mejores prácticas para la recuperación ante ransomware.

Seguir leyendo
¿Qué es la seguridad OT? Definición, desafíos y mejores prácticasCiberseguridad

¿Qué es la seguridad OT? Definición, desafíos y mejores prácticas

La seguridad OT protege los sistemas industriales que ejecutan procesos físicos en infraestructuras críticas. Cubre la segmentación del Modelo Purdue, la convergencia IT/OT y la orientación de NIST.

Seguir leyendo
Experimente la plataforma de ciberseguridad más avanzada

Experimente la plataforma de ciberseguridad más avanzada

Vea cómo la plataforma de ciberseguridad más inteligente y autónoma del mundo puede proteger su organización hoy y en el futuro.

Demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español