Login Probar gratis
Fileless malware: el malware invisible que vive solo en la memoria RAM

Fileless malware: el malware invisible que vive solo en la memoria RAM

por MataSpam Malware y Virus

El fileless malware no deja rastro en tu disco duro. Este tipo de malware sin archivos se ejecuta directamente en la memoria RAM, aprovecha herramientas legítimas del sistema operativo y desaparece al reiniciar el equipo. Los antivirus tradicionales, diseñados para escanear ficheros, lo tienen crudo para detectar un ataque fileless. Y eso lo convierte en el malware invisible favorito de los grupos APT más sofisticados. Si alguna vez pensaste que con no abrir adjuntos sospechosos ya estabas a salvo, sigue leyendo.

Qué es exactamente el fileless malware y por qué esquiva los antivirus

El malware tradicional funciona como un ladrón que entra en tu casa y deja herramientas tiradas por el suelo: archivos ejecutables, DLLs, scripts guardados en disco. El malware en memoria es más listo. Entra, usa tus propias herramientas —las que ya tienes en la cocina— y no deja nada cuando se va.

En términos técnicos, un ataque fileless aprovecha procesos legítimos del sistema como PowerShell, WMI (Windows Management Instrumentation), macros de Office o el propio registro de Windows para ejecutar código malicioso. No escribe ningún archivo nuevo en el disco. El payload vive exclusivamente en la RAM o se inyecta en procesos ya existentes.

¿Por qué los antivirus lo pasan por alto? Porque la mayoría de soluciones endpoint basan su detección en firmas de archivos. Si no hay archivo, no hay firma que comparar. Es como buscar huellas dactilares en una escena del crimen donde el ladrón llevaba guantes y usó tu propia llave para entrar.

Cómo funciona un ataque fileless paso a paso

Un ataque de malware sin archivos típico sigue una cadena bastante definida. Entender cada fase ayuda a saber dónde poner las defensas.

  1. Vector de entrada: Un email con un documento Word que contiene una macro, un enlace a una web con un exploit kit, o una vulnerabilidad en un servicio expuesto. El punto de entrada puede ser tan mundano como un PDF aparentemente inofensivo.
  2. Ejecución en memoria: La macro o el exploit lanza PowerShell (o cualquier intérprete del sistema) con un comando codificado en Base64. Ese comando descarga el payload directamente a la RAM, sin tocar disco.
  3. Persistencia (opcional): Para sobrevivir a reinicios, el malware puede escribir en el registro de Windows, crear tareas programadas o modificar scripts de inicio. Todo con herramientas nativas del sistema.
  4. Movimiento lateral: Usando credenciales robadas de la memoria (con técnicas tipo Mimikatz) o a través de WMI remoto, el atacante salta a otros equipos de la red.
  5. Exfiltración: Los datos salen por canales legítimos: HTTPS, DNS tunneling o servicios cloud. Nada que un firewall básico vaya a detectar.

El caso Operation Cobalt Kitty (2017) lo ilustra bien: el grupo OceanLotus comprometió una corporación asiática usando exclusivamente PowerShell y herramientas del sistema durante más de seis meses. Ni un solo ejecutable malicioso en disco.

Casos reales y técnicas que conviene conocer

Esto no es teoría de laboratorio. El fileless malware lleva años causando estragos reales:

  • Astaroth (2019): Distribuido masivamente en Brasil, usaba WMIC y BITSAdmin para ejecutar todo en memoria. Microsoft lo documentó en detalle.
  • Kovter: Un clásico del malware invisible que almacena su código cifrado en claves del registro de Windows. Técnicamente no hay archivo en disco, pero el payload persiste entre reinicios.
  • Purple Fox (2021): Combinaba exploits de escalada de privilegios con ejecución fileless para propagarse como un gusano por redes corporativas. Explotó la vulnerabilidad CVE-2021-1732 en el kernel de Windows.
  • SolarWinds / SUNBURST (2020): Aunque el backdoor inicial sí era un archivo (la DLL troyanizada), las fases posteriores del ataque usaron técnicas fileless extensivamente. Este ataque, uno de los más sonados de la historia, demostró cómo las técnicas in-memory escalan a nivel de estado-nación.

Las herramientas más explotadas por los atacantes son, irónicamente, las mismas que usan los administradores de sistemas: PowerShell, WMI, PsExec, .NET reflection, mshta.exe y certutil.exe. Microsoft agrupa muchas de estas técnicas bajo el concepto de LOLBins (Living Off the Land Binaries): binarios legítimos del sistema usados con fines maliciosos.

El framework MITRE ATT&CK cataloga estas técnicas bajo tácticas como Execution (T1059 - Command and Scripting Interpreter) y Defense Evasion (T1055 - Process Injection). Si gestionas seguridad, esas referencias son tu diccionario.

Cómo detectar y protegerte del malware en memoria

Que un ataque fileless no deje archivos no significa que no deje rastro. Hay señales, pero hay que saber dónde mirar.

Detección

  • EDR (Endpoint Detection and Response): Soluciones como CrowdStrike Falcon, Microsoft Defender for Endpoint o SentinelOne monitorizan el comportamiento de los procesos, no solo los archivos. Si PowerShell ejecuta un comando ofuscado en Base64 que se conecta a un servidor externo, el EDR lo detecta por el comportamiento.
  • AMSI (Antimalware Scan Interface): Microsoft introdujo AMSI en Windows 10 para inspeccionar scripts en tiempo de ejecución, incluso si están ofuscados. No es infalible (existen técnicas de bypass), pero eleva el listón.
  • Sysmon + SIEM: Configurar Sysmon con reglas específicas para registrar creación de procesos, conexiones de red y accesos al registro. Enviar esos logs a un SIEM como Elastic Security o Splunk permite correlacionar eventos sospechosos.
  • Análisis de memoria volátil: Herramientas como Volatility Framework permiten capturar y analizar el contenido de la RAM para encontrar código inyectado en procesos legítimos.

Protección activa

MedidaQué haceDificultad de implementación
Restringir PowerShell con Constrained Language ModeLimita las funciones de PowerShell disponibles para usuarios no adminMedia
Aplicar AppLocker o WDACBloquea la ejecución de scripts y binarios no autorizadosMedia-alta
Deshabilitar macros de Office por GPOElimina el vector de entrada más comúnBaja
Segmentar la redDificulta el movimiento lateral del atacanteAlta
Parchear, parchear, parchearLos exploits necesitan vulnerabilidades. Sin vulnerabilidad, sin exploitBaja (pero requiere disciplina)
Usar contraseñas robustas + MFAReduce la efectividad del robo de credenciales en memoriaBaja

Y un consejo que pocos mencionan: activa el logging de PowerShell (Module Logging, Script Block Logging y Transcription). Muchos ataques de malware sin archivos dejan rastro en los logs de PowerShell si tienes la auditoría activada. El problema es que la mayoría de organizaciones no lo hacen hasta después del incidente.

Preguntas frecuentes

¿El fileless malware desaparece si reinicio el ordenador?

Depende. El malware en memoria puro sí desaparece al reiniciar, porque la RAM se vacía. Pero la mayoría de variantes modernas usan mecanismos de persistencia (registro de Windows, tareas programadas, scripts WMI) que les permiten volver a cargarse en memoria tras cada arranque. Reiniciar ayuda, pero no es una solución definitiva.

¿Puede un antivirus normal detectar un ataque fileless?

Un antivirus basado solo en firmas de archivo, no. Necesitas una solución EDR que analice comportamiento de procesos en tiempo real. Microsoft Defender, en sus versiones empresariales, incluye detección de técnicas fileless desde hace años. Para entornos domésticos, mantener Windows actualizado y AMSI activo ya ofrece una capa razonable de protección.

¿Solo afecta a Windows?

Windows es el objetivo principal porque tiene más superficie de ataque con herramientas como PowerShell y WMI. Pero Linux y macOS no son inmunes. Ataques como Ezuri (un crypter para ELF) demuestran que las técnicas de ejecución en memoria también funcionan en entornos Unix. En Linux, los atacantes suelen aprovechar memfd_create, LD_PRELOAD o scripts en Bash/Python.

¿Qué relación tiene el fileless malware con el ransomware?

Muchos grupos de ransomware con doble extorsión usan técnicas fileless en las fases iniciales del ataque para moverse por la red sin ser detectados. El ransomware en sí suele necesitar escribir en disco para cifrar archivos, pero toda la fase de reconocimiento, escalada de privilegios y movimiento lateral puede ser completamente fileless.

El siguiente paso

Abre PowerShell como administrador en tu equipo Windows y ejecuta Get-WinEvent -LogName "Microsoft-Windows-PowerShell/Operational" -MaxEvents 50. Si no devuelve resultados o ves que el log está vacío, tienes el logging desactivado y estás volando a ciegas. Activa Script Block Logging desde la directiva de grupo (Administrative Templates → Windows Components → Windows PowerShell → Turn on PowerShell Script Block Logging). Son cinco minutos que marcan la diferencia entre detectar un ataque fileless a tiempo o enterarte meses después.

fileless malware malware sin archivos malware memoria ataque fileless malware invisible
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Spyware: cómo te espían sin que lo sepas y cómo eliminarlo
Malware y Virus

Spyware: cómo te espían sin que lo sepas y cómo eliminarlo

Malware en la cadena de suministro: el caso SolarWinds y lecciones aprendidas
Malware y Virus

Malware en la cadena de suministro: el caso SolarWinds y lecciones aprendidas

Malware en Linux: por qué ya no es inmune y qué amenazas crecen
Malware y Virus

Malware en Linux: por qué ya no es inmune y qué amenazas crecen

← Volver al blog