Login Probar gratis
Gusanos informáticos: cómo se propagan sin que hagas nada

Gusanos informáticos: cómo se propagan sin que hagas nada

por MataSpam Malware y Virus

Un gusano informático es malware que se replica solo, sin que abras nada, sin que hagas clic en ningún enlace, sin que muevas un dedo. A diferencia de un virus clásico, un worm no necesita adjuntarse a un programa ni esperar a que ejecutes un archivo. Se mueve por la red de forma autónoma, explotando vulnerabilidades conocidas, y en cuestión de minutos puede infectar miles de máquinas. La propagación de un gusano es lo que lo convierte en una de las formas de malware autorreplicante más destructivas que existen. Si un troyano es un ladrón que espera a que le abras la puerta, un gusano de red directamente tira la pared abajo.

Qué diferencia a un gusano de otros tipos de malware

La confusión entre virus, troyanos y gusanos es habitual, pero la diferencia técnica es clara. Un virus necesita un archivo huésped: se incrusta en un ejecutable o documento y se activa cuando lo abres. Un troyano se disfraza de software legítimo para que tú mismo lo instales. El gusano, no. El gusano informático opera de forma completamente autónoma.

Su ciclo de vida tiene tres fases: escaneo, explotación y replicación. Primero, el worm escanea rangos de direcciones IP buscando máquinas con puertos abiertos o servicios vulnerables. Cuando encuentra una, explota la vulnerabilidad —un buffer overflow, un fallo en SMB, una API sin autenticar— y se copia en el sistema objetivo. Desde ahí, repite el proceso. Sin intervención humana.

Si sospechas que algo raro pasa en tu equipo, echa un vistazo a las señales de alerta que indican presencia de malware. Muchos síntomas de infección por gusano —tráfico de red anómalo, ralentización extrema, procesos desconocidos— coinciden con los de otros tipos de software malicioso.

Gusanos históricos que cambiaron las reglas del juego

La historia de los gusanos informáticos es un catálogo de desastres que obligaron a la industria a tomarse en serio la seguridad de red.

GusanoAñoVector de propagaciónImpacto estimado
Morris Worm1988Vulnerabilidades en sendmail, fingerd y rshAproximadamente 6.000 máquinas (el 10% de Internet en aquel momento)
Code Red2001Buffer overflow en Microsoft IIS (CVE-2001-0500)En torno a 359.000 servidores infectados en 14 horas
SQL Slammer2003Buffer overflow en SQL Server (CVE-2002-0649)Duplicaba infecciones cada 8,5 segundos. Colapsó cajeros de Bank of America
Conficker2008Vulnerabilidad en Windows Server Service (MS08-067)Millones de máquinas, incluyendo redes militares de varios países
Stuxnet2010USB + cuatro zero-days en Windows + vulnerabilidades SCADADestruyó centrifugadoras de uranio en la planta de Natanz (Irán)
WannaCry2017EternalBlue (MS17-010), exploit de SMBv1Más de 200.000 equipos en 150 países. NHS británico paralizado

Stuxnet merece mención aparte porque cambió el paradigma. Fue el primer worm diseñado como arma militar, atribuido a una operación conjunta de EE.UU. e Israel (operación Olympic Games, según documentos filtrados). Utilizaba cuatro vulnerabilidades zero-day simultáneas —algo extremadamente raro y costoso— y estaba programado para sabotear específicamente los PLCs Siemens S7-300 que controlaban las centrifugadoras iraníes. Un malware autorreplicante con un objetivo geopolítico concreto.

Vectores de propagación: cómo viaja un gusano por tu red

La propagación de un gusano depende del vector que explote. Estos son los más habituales:

  • Explotación de servicios de red: El gusano ataca servicios expuestos —SMB (puerto 445), RDP (puerto 3389), SSH con credenciales débiles— y se copia automáticamente. EternalBlue, el exploit que usó WannaCry, atacaba una vulnerabilidad en SMBv1 que Microsoft había parcheado dos meses antes del ataque. Dos meses. La mayoría de víctimas simplemente no habían actualizado.
  • Propagación por email: Gusanos como ILOVEYOU (2000) o Mydoom (2004) se enviaban a toda la libreta de contactos. Técnicamente necesitan que abras el adjunto, así que son un híbrido entre gusano y troyano. Pero una vez activados, la propagación por la red es completamente autónoma.
  • USB y medios extraíbles: Stuxnet llegó a la planta de Natanz —que estaba aislada de Internet— a través de una memoria USB. Los gusanos crean archivos autorun.inf o explotan vulnerabilidades en el manejo de iconos (como LNK, CVE-2010-2568) para ejecutarse automáticamente al insertar el dispositivo.
  • Vulnerabilidades en IoT: El botnet Mirai (2016) no era un gusano clásico, pero su mecanismo de propagación sí lo era: escaneaba dispositivos IoT con credenciales por defecto (admin/admin, root/root) y se replicaba automáticamente. Si tienes dispositivos domóticos, te interesa conocer los riesgos de seguridad en domótica antes de conectar todo a tu red.

Lo que hace especialmente peligroso a un gusano de red es la velocidad. SQL Slammer, con un payload de solo 376 bytes, infectó aproximadamente el 90% de servidores SQL vulnerables del mundo en diez minutos. No había tiempo de reaccionar. Cuando los administradores de sistemas se dieron cuenta de lo que pasaba, ya era tarde.

Cómo protegerte de un gusano informático

La defensa contra malware autorreplicante se basa en reducir la superficie de ataque y segmentar la red. No hay bala de plata, pero estas medidas cubren la mayoría de vectores:

  1. Actualiza. En serio, actualiza. WannaCry explotaba un parche publicado dos meses antes (MS17-010). Conficker atacaba una vulnerabilidad parcheada un mes antes (MS08-067). La mayoría de gusanos explotan vulnerabilidades conocidas con CVE asignado y parche disponible. Si gestionas servidores, consulta nuestra guía de hardening básico de Linux para configurar actualizaciones automáticas de seguridad.
  2. Segmenta la red. Si un worm entra en un segmento, que no pueda saltar a los demás. VLANs, firewalls internos, políticas de microsegmentación. El departamento de contabilidad no necesita acceso SMB al servidor de desarrollo.
  3. Desactiva servicios innecesarios. ¿Necesitas SMBv1 en 2026? No. Desactívalo. ¿RDP expuesto a Internet sin VPN? Ciérralo. Cada puerto abierto es una invitación para el escaneo automatizado que hace un gusano.
  4. Monitoriza el tráfico de red. Un pico repentino de conexiones al puerto 445 desde una máquina interna es una señal clara de que algo se está propagando. Herramientas como Wireshark, Zeek (antes Bro) o Suricata pueden detectar patrones de escaneo lateral.
  5. EDR y antimalware actualizados. Herramientas como CrowdStrike Falcon, SentinelOne o Microsoft Defender for Endpoint detectan comportamientos de propagación lateral. Si sospechas de un archivo, súbelo a VirusTotal antes de ejecutarlo.

También conviene estar al tanto de las técnicas que usa el malware moderno. Los gusanos con capacidades de inteligencia artificial empiezan a aparecer en pruebas de concepto académicas, capaces de adaptar su vector de ataque según el entorno que encuentran. Todavía no son habituales en el mundo real, pero la tendencia está ahí.

Gusanos en 2025-2026: no han desaparecido

Podría parecer que los gusanos son cosa del pasado, reliquias de la era pre-firewall. No es así. La técnica de propagación autónoma por red sigue vigente, pero integrada en amenazas más complejas.

Ransomware con capacidad de gusano es la combinación más destructiva de los últimos años. WannaCry y NotPetya (2017) fueron ransomware que se propagaban como gusanos. NotPetya, atribuido al GRU ruso según las agencias de inteligencia occidentales, causó pérdidas estimadas en más de 10.000 millones de dólares —y técnicamente ni siquiera era ransomware real, ya que no tenía mecanismo funcional de recuperación. Era un worm destructivo disfrazado.

Los backdoors o puertas traseras también se instalan frecuentemente mediante gusanos. Una vez el malware autorreplicante compromete una máquina, deja una puerta trasera para acceso persistente, y sigue propagándose a la siguiente víctima.

En entornos cloud y contenedores, los gusanos han encontrado nuevos vectores. Investigadores han demostrado worms que se propagan entre contenedores Docker mal configurados, o que explotan APIs de Kubernetes expuestas sin autenticación. La superficie de ataque ha cambiado, pero el principio del gusano de red —escanear, explotar, replicar— sigue siendo el mismo.

Preguntas frecuentes

¿Puede un gusano informático infectar mi ordenador sin que yo haga nada?

Sí, esa es precisamente su característica diferencial. Un gusano explota vulnerabilidades en servicios de red que están escuchando conexiones. Si tu máquina tiene un servicio vulnerable expuesto —por ejemplo, SMB sin parchear— el gusano puede entrar sin que abras ningún archivo, hagas clic en ningún enlace ni visites ninguna web. Mantener el sistema actualizado es la defensa principal.

¿Cuál es la diferencia entre un gusano y un virus?

Un virus necesita un archivo huésped (un ejecutable, un documento con macros) y se activa cuando el usuario lo abre. Un worm se propaga de forma autónoma por la red, sin necesitar archivos huésped ni interacción del usuario. En la práctica, muchas amenazas modernas combinan características de ambos.

¿Un firewall me protege contra los gusanos?

Un firewall bien configurado reduce mucho el riesgo, porque bloquea las conexiones entrantes a puertos que el gusano intenta explotar. Pero no es suficiente por sí solo. Si el gusano entra por otro vector (USB, una VPN comprometida, un equipo portátil infectado que se conecta a la red interna), el firewall perimetral no lo detectará. La segmentación interna y el parcheo son igual de necesarios.

¿Los gusanos informáticos afectan a móviles?

Los gusanos clásicos de red son raros en móviles por el modelo de sandboxing de iOS y Android. Sin embargo, se han documentado pruebas de concepto que se propagan por Bluetooth o AirDrop (como BlueBorne en 2017, CVE-2017-0781). Además, un móvil conectado a una red corporativa infectada puede actuar como vector de entrada si tiene servicios de red activos.

El siguiente paso

Abre una terminal ahora mismo y comprueba qué puertos tienes abiertos en tu equipo. En Linux o macOS: sudo ss -tlnp (o netstat -tlnp). En Windows: netstat -an | findstr LISTENING. Cada puerto abierto que no reconozcas o no necesites es una puerta de entrada potencial para un gusano informático. Ciérralo, desactiva el servicio, o ponlo detrás de un firewall. Diez minutos de auditoría básica pueden ahorrarte semanas de limpieza.

gusano informático worm propagación gusano malware autorreplicante gusano red
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Keyloggers: cómo registran todo lo que tecleas para robar tus contraseñas
Malware y Virus

Keyloggers: cómo registran todo lo que tecleas para robar tus contraseñas

Análisis de malware en sandbox: cómo los expertos estudian el software malicioso
Malware y Virus

Análisis de malware en sandbox: cómo los expertos estudian el software malicioso

Cómo eliminar un virus del ordenador paso a paso sin perder tus archivos
Malware y Virus

Cómo eliminar un virus del ordenador paso a paso sin perder tus archivos

← Volver al blog