Login Probar gratis
Malware polimórfico: cómo cambia de forma para esquivar a los antivirus

Malware polimórfico: cómo cambia de forma para esquivar a los antivirus

por MataSpam Malware y Virus

El malware polimórfico es software malicioso que modifica su propio código cada vez que se replica, manteniendo intacta su funcionalidad destructiva mientras cambia su apariencia para esquivar la detección. Imagínalo como un ladrón que se cambia de disfraz después de cada golpe: mismo criminal, diferente cara.

Esta técnica de evasión antivirus lleva décadas perfeccionándose y sigue siendo uno de los quebraderos de cabeza más serios para los equipos de seguridad. La mutación malware convierte cada copia en una variante única, lo que hace que las firmas tradicionales de los antivirus sean prácticamente inútiles. Si a esto le sumas la ofuscación de código y las técnicas de malware metamórfico, tienes un adversario que evoluciona más rápido de lo que la mayoría de defensas pueden seguir.

Cómo funciona la mutación: el motor polimórfico por dentro

Un malware convencional tiene un código binario fijo. Los antivirus lo identifican generando una firma —un hash o patrón de bytes— y comparándola con su base de datos. Detectado y eliminado. Caso cerrado.

El malware polimórfico rompe ese modelo porque incluye un componente llamado motor de mutación (mutation engine). Cada vez que el malware se copia o se propaga, este motor reescribe partes del código: cambia nombres de variables, reordena instrucciones, inserta código basura (instrucciones que no hacen nada pero alteran la firma) o cifra el payload con una clave diferente. El resultado es un archivo binario que, para un antivirus basado en firmas, parece completamente distinto.

El primer ejemplo documentado fue 1260 (V2PX), creado en 1990 por Mark Washburn como prueba de concepto. Utilizaba cifrado variable para alterar su apariencia en cada infección. Poco después llegó el Mutation Engine (MtE) de Dark Avenger en 1991, un toolkit que cualquier creador de malware podía acoplar a su virus para dotarlo de capacidades polimórficas. Aquello democratizó la técnica y obligó a la industria antivirus a replantearse su enfoque por completo.

Polimórfico vs. metamórfico: primos hermanos, estrategias distintas

Conviene no confundir ambos términos, aunque a menudo se usan de forma intercambiable.

CaracterísticaPolimórficoMetamórfico
Técnica principalCifrado del payload con clave variableReescritura completa del código fuente
Parte que mutaEl descifrador (stub) cambia; el payload va cifradoTodo el código muta en cada generación
ComplejidadMediaAlta
Ejemplo clásicoStorm Worm (2007)Zmist/Mistfall (2001)
DetecciónEmulación + heurísticaAnálisis de comportamiento profundo

El malware metamórfico es la evolución natural: no se limita a cifrar su carga útil, sino que reescribe su propio código máquina. Sustituye instrucciones por equivalentes funcionales (un MOV + ADD por un LEA, por ejemplo), reordena bloques de código y modifica el flujo de ejecución. Zmist, descubierto en 2001, era capaz de desensamblar ejecutables legítimos, insertar su código entre las instrucciones originales y reensamblar el archivo. Un nivel de sofisticación que entonces parecía ciencia ficción.

Técnicas de ofuscación que usan hoy

Las familias modernas de malware combinan múltiples capas de ofuscación de código para dificultar tanto la detección automática como el análisis manual por parte de investigadores. Estas son las más habituales:

  • Cifrado multicapa: el payload se cifra varias veces con algoritmos y claves distintas. Cada capa requiere descifrar la anterior, complicando el análisis en sandbox.
  • Inserción de código muerto: instrucciones NOP, operaciones matemáticas irrelevantes o bucles vacíos que alteran la firma sin afectar la ejecución.
  • Sustitución de instrucciones: reemplazar operaciones por equivalentes funcionales. Un XOR EAX, EAX hace lo mismo que SUB EAX, EAX, pero genera bytes diferentes.
  • Reordenación de bloques: reorganizar funciones y saltos condicionales para que el flujo de ejecución sea idéntico pero la estructura del binario cambie.
  • Técnicas anti-sandbox: el malware detecta si se ejecuta en un entorno virtualizado (comprueba nombres de procesos, drivers de VMware/VirtualBox, tiempos de ejecución anómalos) y no activa su payload si sospecha que está siendo analizado.
  • Living off the Land (LotL): usar herramientas legítimas del sistema operativo (PowerShell, WMI, certutil) para ejecutar acciones maliciosas sin descargar binarios sospechosos.

Emotet, una de las amenazas más persistentes entre 2018 y 2021 —hasta que Europol coordinó su desmantelamiento en enero de 2021—, combinaba mutación del malware con macros ofuscadas en documentos de Office y servidores de mando y control (C2) rotativos. Cada descarga generaba un binario único. VirusTotal recibía miles de muestras diarias de Emotet y muchas tardaban horas en ser detectadas por los motores antivirus.

Si te preocupa que tus dispositivos móviles también estén expuestos, echa un ojo a las apps peligrosas de Android que pueden colarse incluso en tiendas oficiales con técnicas similares de ofuscación.

Cómo se defienden los antivirus modernos

Los motores antivirus llevan años adaptándose a esta carrera armamentística. Las firmas estáticas siguen existiendo (son rápidas y baratas computacionalmente), pero se complementan con capas más sofisticadas:

  1. Análisis heurístico: en lugar de buscar patrones exactos, el motor analiza la estructura del código y busca comportamientos sospechosos. Si un ejecutable desconocido intenta cifrar archivos del usuario, saltan las alarmas aunque su firma no esté en ninguna base de datos.
  2. Emulación: el antivirus ejecuta el archivo sospechoso en un entorno controlado (una mini-sandbox interna) para observar qué hace antes de permitir que se ejecute en el sistema real. Esto permite "desempaquetar" capas de cifrado polimórfico.
  3. Machine learning: modelos entrenados con millones de muestras que clasifican archivos como benignos o maliciosos basándose en cientos de características (tamaño de secciones, entropía, imports sospechosos, cadenas de texto). Soluciones como CrowdStrike Falcon, SentinelOne y Microsoft Defender for Endpoint dependen fuertemente de estos modelos.
  4. EDR (Endpoint Detection and Response): monitorización continua del comportamiento de procesos. No importa cómo se vea el binario si el sistema detecta que está inyectando código en otros procesos o estableciendo conexiones con servidores C2 conocidos.
  5. Threat Intelligence compartida: plataformas como MISP, AlienVault OTX y los feeds de VirusTotal permiten compartir indicadores de compromiso (IoCs) en tiempo casi real entre organizaciones.

Aun así, la ventaja sigue estando del lado del atacante durante las primeras horas. Las muestras polimórficas recién generadas suelen tener tasas de detección bajas en VirusTotal hasta que suficientes motores actualizan sus firmas o modelos. Los analistas de seguridad lo llaman la ventana de exposición, y puede durar desde minutos hasta días.

Casos reales: cuando la mutación gana la partida

Storm Worm (2007): este gusano polimórfico se propagaba por email con asuntos sensacionalistas. Su motor de mutación generaba una versión diferente del ejecutable cada 30 minutos. En su pico, controlaba una botnet estimada en más de un millón de equipos y los antivirus del momento tardaban entre 24 y 48 horas en generar firmas actualizadas para cada variante.

Virlock (2014-2016): un ransomware polimórfico que además funcionaba como file infector. Cifra tus archivos, los convierte en ejecutables infectados y cada copia tiene un código diferente. Una pesadilla para las herramientas de limpieza porque cada archivo requería un análisis individual.

Qakbot/QBot: activo desde 2007 y todavía recurrente (fue desmantelado parcialmente por el FBI en agosto de 2023, pero ha mostrado signos de reaparición). Sus módulos se actualizan constantemente con nuevas capas de evasión antivirus y sus loaders polimórficos cambian de forma con cada campaña. Qakbot servía frecuentemente como puerta de entrada para ataques de ransomware con doble extorsión.

Estas amenazas no solo afectan a grandes corporaciones. Cualquier usuario con un email y conexión a internet es un objetivo potencial. Y la primera línea de defensa sigue siendo no ejecutar lo que no deberías, combinado con contraseñas robustas y autenticación multifactor.

Preguntas frecuentes

¿Un antivirus gratuito puede detectar malware polimórfico?

Los antivirus gratuitos incluyen análisis heurístico y basado en firmas que detectan variantes conocidas, pero suelen carecer de protección EDR avanzada y actualizaciones en tiempo real. Para uso doméstico ofrecen una capa razonable de protección, pero no esperes que detecten muestras recién generadas. Windows Defender, incluido en Windows 10/11, ha mejorado notablemente su motor heurístico y es una opción sólida si lo mantienes actualizado.

¿El malware polimórfico puede infectar sistemas Linux o macOS?

Sí, aunque la gran mayoría de muestras polimórficas apuntan a Windows por cuota de mercado. En Linux, el malware metamórfico se ve más en servidores expuestos (cryptominers que mutan para evitar detección) y en macOS han aparecido variantes como XLoader (evolución de Formbook) con capacidades de ofuscación avanzadas. Ningún sistema operativo es inmune.

¿Cómo puedo comprobar si un archivo sospechoso es polimórfico?

Sube el archivo a VirusTotal y observa la entropía del binario (valores altos sugieren cifrado o empaquetamiento). Herramientas como PEiD, Detect It Easy o pestudio te permiten analizar la estructura del ejecutable y detectar packers o motores de ofuscación conocidos. Si la muestra tiene muy pocas detecciones en VirusTotal pero su comportamiento en sandbox es sospechoso, probablemente use alguna técnica de mutación malware.

¿La inteligencia artificial puede frenar el malware polimórfico?

Los modelos de machine learning son la herramienta más prometedora contra la mutación continua, porque clasifican por comportamiento y estructura en lugar de por firma fija. Sin embargo, los atacantes también usan IA generativa para producir variantes más sofisticadas y crear señuelos de phishing más convincentes. La carrera sigue abierta y ningún sistema garantiza detección del 100%.

El siguiente paso

Abre VirusTotal ahora mismo y sube ese archivo que llevas días ignorando en la carpeta de descargas. Si además quieres proteger el resto de tu infraestructura digital —desde tu red doméstica inteligente con los consejos del blog de domótica, hasta tus cuentas online con nuestra guía de seguridad para Google—, dedica 20 minutos esta semana a revisar qué software tienes instalado que no reconozcas. El mejor antivirus contra el malware polimórfico sigue siendo un usuario que no ejecuta lo primero que le llega al correo.

malware polimórfico evasión antivirus mutación malware malware metamórfico ofuscación código
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Droppers y loaders: el malware que abre la puerta a infecciones peores
Malware y Virus

Droppers y loaders: el malware que abre la puerta a infecciones peores

Fileless malware: el malware invisible que vive solo en la memoria RAM
Malware y Virus

Fileless malware: el malware invisible que vive solo en la memoria RAM

Spyware: cómo te espían sin que lo sepas y cómo eliminarlo
Malware y Virus

Spyware: cómo te espían sin que lo sepas y cómo eliminarlo

← Volver al blog