Login Probar gratis
Droppers y loaders: el malware que abre la puerta a infecciones peores

Droppers y loaders: el malware que abre la puerta a infecciones peores

por MataSpam Malware y Virus

Un dropper malware es un programa diseñado para hacer una sola cosa: colarse en tu sistema y descargar el verdadero bicho. Piensa en él como el tipo que abre la puerta trasera de un edificio para que entre el equipo de asalto. El loader malware —o descargador malware— funciona de forma similar: su trabajo es ejecutar la primera fase de infección y preparar el terreno para amenazas más graves. Ransomware, troyanos bancarios, stealers de credenciales… todo empieza con un pequeño archivo aparentemente inofensivo que gestiona la malware descarga del payload real. Y lo peor: la mayoría de antivirus los detectan tarde, porque estos bichos están diseñados para parecer inocuos hasta que ya han cumplido su misión.

Si alguna vez te has preguntado cómo saber si tu ordenador tiene malware, probablemente el problema empezó con uno de estos. Vamos a destripar cómo funcionan, qué los diferencia y cómo puedes cazarlos antes de que te arruinen el día.

Dropper vs. loader: no son lo mismo, aunque trabajan juntos

La confusión entre dropper y loader es comprensible. Ambos son malware de primera etapa, pero su mecánica interna difiere. Un dropper lleva el payload malicioso embebido dentro de sí mismo —como un archivo ZIP que se autoextrae—. Un loader, en cambio, se conecta a un servidor externo (C2, command and control) para descargar el malware final.

¿Por qué importa la diferencia? Porque cambia la estrategia de detección. Un dropper puede funcionar sin conexión a internet: todo lo que necesita ya lo lleva encima. Un descargador malware tipo loader necesita comunicación de red, lo que significa que un firewall bien configurado o un análisis de tráfico DNS puede frenarlo.

  • Dropper: payload embebido, no requiere conexión, más difícil de analizar estáticamente porque el código malicioso está ofuscado o cifrado dentro del binario.
  • Loader: descarga el payload en tiempo real, puede cambiar de malware según instrucciones del C2, más flexible pero más detectable a nivel de red.
  • Dropper-loader híbrido: lleva un payload básico y además descarga módulos adicionales. Lo peor de los dos mundos.

Familias como Emotet (que EUROPOL desmanteló en 2021 y resurgió meses después), QakBot, BumbleBee o IcedID han operado como loaders para distribuir ransomware como Conti, BlackBasta o REvil. El FBI coordinó la operación Duck Hunt en agosto de 2023 para tumbar la infraestructura de QakBot, pero variantes derivadas siguen apareciendo.

Cómo llega un dropper a tu máquina

La primera fase de infección casi siempre empieza por el eslabón más débil: el usuario. Estos son los vectores de entrada más habituales para un dropper malware:

Vector de entradaEjemplo realSeñal de alerta
Email con adjunto OfficeMacro VBA en .docm o .xlsm que ejecuta PowerShell«Habilitar contenido» / «Habilitar macros»
PDF con JavaScript embebidoExploit en Adobe Reader (CVE-2023-26369)PDF que pide «abrir con» o lanza diálogos extraños
Enlace a descarga directaArchivo .iso o .img que monta un disco virtual con un .lnk maliciosoDescarga inesperada desde email o chat
Software pirata o cracksKMSPico, activadores de Windows con loader embebidoAntivirus desactivado «porque da falsos positivos»
MalvertisingAnuncios en buscadores que suplantan software legítimo (Slack, OBS, 7-Zip)URL ligeramente distinta al dominio oficial

El phishing por email sigue siendo el rey. Un documento de Word con macros sigue funcionando en 2026 porque la gente sigue haciendo clic en «Habilitar contenido». Microsoft desactivó las macros VBA por defecto en archivos descargados de internet en 2022, lo que obligó a los atacantes a migrar a formatos .iso, .vhd, archivos .lnk y, más recientemente, OneNote con objetos embebidos.

La técnica de typosquatting también alimenta esta cadena: dominios falsos que imitan webs de software legítimo y distribuyen instaladores troyanizados con un loader dentro. Google Ads ha sido un canal habitual para estas campañas de malvertising.

Anatomía de una infección en cadena

Veamos cómo funciona una malware descarga típica paso a paso, usando como referencia una campaña real de BumbleBee documentada por Google TAG:

  1. Entrega: La víctima recibe un email con un enlace a un archivo .iso alojado en un servicio de almacenamiento legítimo (OneDrive, Google Drive, TransferNow).
  2. Ejecución del dropper: Al montar el .iso, aparece un archivo .lnk que parece un documento. Al hacer doble clic, ejecuta un comando PowerShell o un DLL malicioso mediante rundll32.exe.
  3. Persistencia: El loader se registra en el registro de Windows (Run keys), crea una tarea programada o se inyecta en un proceso legítimo como explorer.exe o svchost.exe.
  4. Comunicación C2: El loader contacta con su servidor de mando para reportar información del sistema: versión de Windows, software instalado, si está en una máquina virtual (evasión de sandbox).
  5. Descarga del payload final: Según el perfil de la víctima, el C2 envía ransomware, un stealer de credenciales (como RedLine o Raccoon) o un troyano de acceso remoto (RAT).

Lo que hace especialmente peligrosa esta primera fase de infección es la modularidad. El mismo loader puede entregar ransomware a una empresa y un stealer bancario a un usuario doméstico. El operador del loader suele ser un grupo distinto al del payload final —funciona como un servicio: Malware-as-a-Service (MaaS)—.

Para quienes gestionan dispositivos IoT o redes domésticas inteligentes, ojo: los loaders no son exclusivos de Windows. Mirai y sus variantes usan droppers específicos para Linux embebido que infectan routers y dispositivos de domótica mal configurados.

Cómo detectar y frenar un dropper antes de que actúe

Aquí van medidas prácticas, no teoría de manual:

En el endpoint:

  • Desactiva la ejecución de macros en Office para archivos descargados de internet (Group Policy: «Block macros in Office files from the internet»). Microsoft lo hace por defecto desde 2022, pero muchas organizaciones lo han revertido «porque rompía flujos de trabajo».
  • Desactiva el montaje automático de archivos .iso y .img. En Windows, puedes asociar esos formatos a un programa que no los monte (como 7-Zip).
  • Usa un EDR (Endpoint Detection and Response) que analice comportamiento, no solo firmas. Herramientas como Microsoft Defender for Endpoint, CrowdStrike Falcon o SentinelOne detectan patrones de ejecución sospechosos como PowerShell descargando binarios o inyección en procesos del sistema.
  • Configura Windows ASR Rules (Attack Surface Reduction): bloquean que procesos de Office lancen procesos hijo, que scripts ofuscados se ejecuten, etc.

En la red:

  • Monitoriza consultas DNS a dominios recién registrados (menos de 30 días). Los loaders suelen usar dominios desechables.
  • Bloquea el tráfico a TLDs sospechosos y usa listas de bloqueo de dominios C2 actualizadas (abuse.ch URLhaus, Feodo Tracker).
  • Analiza el tráfico saliente en busca de beaconing: conexiones periódicas a la misma IP/dominio a intervalos regulares.

Análisis de archivos sospechosos:

  • VirusTotal: sube hashes, no archivos completos (para no exponer datos). Si un archivo tiene menos de 5 detecciones de más de 70 motores, sospecha igual: los droppers frescos suelen tener detección baja las primeras horas.
  • Any.run o Hybrid Analysis: sandboxes online donde puedes ver el comportamiento real de un archivo sin ejecutarlo en tu máquina.
  • YARA rules: si gestionas infraestructura, implementa reglas YARA para detectar patrones conocidos de droppers en archivos entrantes.

Si ya sospechas que algo se ha colado, revisa los indicadores que describimos en nuestra guía sobre señales de malware en tu ordenador. Un proceso desconocido que consume red sin motivo suele ser un loader reportando a su C2.

Casos recientes que deberías conocer

Emotet (2014–presente): El rey de los loaders. Empezó como troyano bancario y evolucionó a una plataforma de distribución de malware descarga para terceros. En su pico, infectaba aproximadamente 1,6 millones de máquinas según estimaciones de EUROPOL. Tras su desmantelamiento en enero de 2021, resurgió en noviembre del mismo año. Usa documentos Office con macros, y en versiones recientes, archivos OneNote con scripts embebidos.

QakBot / Qbot: Activo desde 2008, se convirtió en uno de los principales loaders para ransomware (BlackBasta, REvil). La operación Duck Hunt del FBI en agosto de 2023 tumbó su infraestructura y desinfectó aproximadamente 700.000 máquinas. Pero como suele pasar, variantes derivadas reaparecieron meses después.

BumbleBee: Descubierto en 2022 por Google TAG, se distribuyó mediante campañas de phishing dirigidas a empresas. Reemplazó a BazarLoader (vinculado al grupo Conti) como loader de referencia para acceso inicial en ataques de ransomware.

Raspberry Robin: Un gusano-loader que se propaga a través de USBs infectados. Sí, en pleno 2024-2025 los USB siguen siendo un vector. Vinculado a la distribución de FakeUpdates y SocGholish, con conexiones al grupo que explota vulnerabilidades zero-day para maximizar impacto.

Estos casos demuestran que el modelo de negocio del dropper malware y el loader malware funciona como una cadena de suministro criminal: unos se especializan en acceso inicial y otros en monetización.

Preguntas frecuentes

¿Un dropper es un virus?

Técnicamente no. Un virus se replica; un dropper malware solo entrega otro programa malicioso. Es malware, pero su función es logística: transportar y ejecutar el payload real. Los antivirus lo clasifican como Trojan.Dropper o Trojan.Downloader según su comportamiento.

¿Puede un antivirus detectar un loader nuevo?

Depende. Los antivirus basados solo en firmas fallan con droppers recién compilados (la detección puede tardar horas o días). Las soluciones EDR con análisis de comportamiento tienen más probabilidades de detectar la actividad sospechosa —como un documento de Office lanzando PowerShell— aunque el binario sea desconocido.

¿Qué hago si creo que un loader se ha ejecutado en mi equipo?

Desconecta el equipo de la red inmediatamente para cortar la comunicación con el C2. Arranca desde un medio limpio y ejecuta un análisis completo. Si estás en un entorno corporativo, avisa a tu equipo de seguridad: un loader implica que puede haber un payload adicional ya instalado o en descarga.

¿Los móviles también son vulnerables a droppers?

Sí, especialmente Android. Aplicaciones en tiendas no oficiales (y ocasionalmente en Google Play) actúan como droppers que descargan troyanos bancarios como Anatsa o SharkBot. iOS es más restrictivo, pero no inmune: los perfiles de configuración MDM maliciosos pueden actuar como vector de entrada.

El siguiente paso

Abre el Administrador de Tareas de Windows (Ctrl+Shift+Esc), ve a la pestaña «Inicio» y revisa cada programa que arranca con tu sistema. Busca en VirusTotal el hash de cualquier ejecutable que no reconozcas (clic derecho → Propiedades → pestaña Detalles para ver la ruta, luego usa certutil -hashfile ruta\archivo SHA256 en CMD). Si algo no tiene firma digital válida o tiene menos de un año y no lo instalaste tú, investígalo. Los loaders necesitan persistencia para funcionar, y el inicio automático es su escondite favorito. Si ya usas un gestor de contraseñas, asegúrate de que las credenciales de tus servicios críticos son únicas: si un stealer descargado por un loader las roba, al menos limitarás el daño.

dropper malware loader malware descargador malware primera fase infección malware descarga
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Fileless malware: el malware invisible que vive solo en la memoria RAM
Malware y Virus

Fileless malware: el malware invisible que vive solo en la memoria RAM

Spyware: cómo te espían sin que lo sepas y cómo eliminarlo
Malware y Virus

Spyware: cómo te espían sin que lo sepas y cómo eliminarlo

Malware en la cadena de suministro: el caso SolarWinds y lecciones aprendidas
Malware y Virus

Malware en la cadena de suministro: el caso SolarWinds y lecciones aprendidas

← Volver al blog