Un RAT (troyano de acceso remoto) es un tipo de malware que da a un atacante control total de tu ordenador sin que te enteres. Mueve el ratón, lee tus archivos, enciende la webcam y teclea por ti, todo desde la otra punta del mundo. El nombre viene de Remote Access Trojan, aunque a algunos nos gusta más la traducción literal: una rata viviendo dentro de tu máquina. Familias como njRAT, AsyncRAT o el control remoto malware tipo QuasarRAT llevan años circulando y siguen funcionando porque son baratos, fáciles de usar y endiabladamente eficaces. Aquí te explico cómo entran, qué hacen una vez dentro y cómo cerrarles la puerta antes de que se acomoden en tu disco duro.
Qué es exactamente un RAT y por qué da tanto miedo
Un troyano de acceso remoto es software malicioso que abre una puerta trasera permanente. A diferencia de un ransomware, que hace ruido y te pide rescate, el RAT prefiere el silencio. Cuanto más tiempo pase sin que lo detectes, mejor para el atacante.
La estructura es siempre la misma. Hay un cliente (el panel de control que usa el atacante) y un servidor (el código que se ejecuta en tu equipo). Tu ordenador, irónicamente, hace de servidor obediente. El operador abre su panel, ve una lista de víctimas conectadas y hace clic en la tuya como quien elige una serie en Netflix.
Lo que puede hacer una vez dentro:
- Keylogging: registrar cada tecla, incluidas contraseñas y números de tarjeta.
- Captura de pantalla y webcam: ver lo que ves y grabarte sin encender el LED.
- Robo de archivos: exfiltrar documentos, fotos, carteras de criptomonedas.
- Persistencia: sobrevivir a reinicios modificando el registro o tareas programadas.
- Pivote: usar tu equipo para atacar otros dispositivos de la red.
El robo de credenciales es la joya de la corona. Una vez tienen tus contraseñas, el siguiente paso suele ser el credential stuffing: probar esas mismas claves en decenas de servicios para ver dónde más entras.
njRAT, AsyncRAT y compañía: el catálogo del crimen
El ecosistema del remote access trojan tiene sus clásicos. Conviene conocerlos porque la mayoría de ataques reales reutilizan estas familias con pequeñas variaciones.
| Familia | Origen / año | Características |
|---|---|---|
| njRAT (Bladabindi) | ~2012, Oriente Medio | Veterano, código filtrado, muy usado por principiantes. Keylogger y control de webcam. |
| AsyncRAT | 2019, open source | Escrito en .NET, conexión cifrada, sigue siendo de los más detectados en campañas activas. |
| QuasarRAT | Open source en GitHub | Legítimo en origen, abusado por grupos APT y delincuentes comunes. |
| Remcos | Vendido como "herramienta legítima" | RAT comercial usado masivamente en phishing con adjuntos Office. |
| DarkComet | 2008 | El abuelo. Discontinuado pero todavía aparece en muestras. |
El problema con AsyncRAT y njRAT es que su código es público. Cualquiera con tutoriales de YouTube y mala fe puede montar una campaña. No hace falta ser un genio: basta con descargar el constructor, generar el ejecutable y buscar a quién engañar.
Algunas de estas herramientas se venden descaradamente como "software de administración remota legítimo". Es la misma excusa que usan los fabricantes de stalkerware. La línea entre TeamViewer y un RAT la marca una cosa: si la víctima sabe que está instalado o no.
Cómo entra el control remoto malware en tu equipo
Un RAT no se materializa solo. Necesita que alguien lo ejecute, y ahí es donde entra la ingeniería social. Las vías de infección más comunes:
- Adjuntos de correo: facturas falsas, currículums, presupuestos en .docx, .xlsm o .zip. El clásico que nunca falla.
- Software pirata y cracks: ese activador de Windows o Photoshop "gratis" suele venir con regalo dentro.
- Falsos instaladores: webs que imitan a programas legítimos y sirven el RAT empaquetado.
- Phishing dirigido: el spear phishing personaliza el cebo para un objetivo concreto, lo que dispara la tasa de éxito.
- Archivos por mensajería: enlaces y ficheros que llegan por WhatsApp, Telegram o Discord.
El vector estrella sigue siendo el email malicioso. Por eso conviene entender cómo funcionan las herramientas anti-phishing que filtran estos adjuntos antes de que lleguen a tu bandeja. Un buen filtro de correo, como el que hacemos en MataSpam, corta el 90% del problema en origen. Lo que nunca llega no te puede infectar.
Una técnica que se ha sofisticado mucho es la suplantación de identidad para colar el adjunto. Ya no es el "príncipe nigeriano": ahora pueden imitar la voz y la cara de tu jefe pidiéndote que abras un fichero, como explicamos en el caso de los deepfakes en phishing.
Señales de que tienes una rata dentro
Los RAT modernos están diseñados para pasar desapercibidos, pero rara vez son perfectos. Vigila estos síntomas:
- El LED de la webcam se enciende solo o parpadea sin que abras ninguna app.
- El ventilador se dispara y el equipo va lento estando en reposo.
- El cursor se mueve solo o se abren ventanas un instante y se cierran.
- Tu antivirus se ha desactivado misteriosamente o no deja abrir su panel.
- Tráfico de red saliente raro cuando no estás haciendo nada (revísalo en el Administrador de tareas o con Wireshark).
- Procesos con nombres extraños o que imitan a legítimos (svchost con una letra cambiada, por ejemplo).
Si sospechas, sube el ejecutable dudoso a VirusTotal, que lo analiza con decenas de motores antivirus a la vez. Para comprobar si tus credenciales ya andan circulando tras una posible infección, pasa tu correo por Have I Been Pwned. Son gratis y tardan segundos.
Cómo protegerte del troyano de acceso remoto
La defensa contra el control remoto malware es por capas. Ninguna medida es infalible sola, pero juntas le complican muchísimo la vida al atacante.
- No ejecutes adjuntos inesperados. Ni aunque vengan de un contacto conocido: su cuenta puede estar comprometida.
- Mantén todo actualizado. Sistema, navegador y plugins. Muchos RAT se cuelan por vulnerabilidades conocidas ya parcheadas.
- Antivirus con protección en tiempo real. Windows Defender ha mejorado mucho y detecta la mayoría de familias comunes.
- Tapa la webcam cuando no la uses. Una pegatina de un euro derrota a millones en malware.
- Activa la verificación en dos pasos (2FA). Aunque roben la contraseña, sin el segundo factor no entran.
- Cuentas sin privilegios de administrador para el uso diario. Limita lo que el malware puede tocar.
- Filtro de correo decente. El adjunto que no llega es la infección que no ocurre.
A nivel de empresa, el RGPD obliga a notificar las brechas de datos a la AEPD en un plazo de 72 horas (artículo 33 del Reglamento UE 2016/679). Una infección por RAT que exponga datos personales puede ser una brecha notificable, así que la prevención no es solo técnica, también es legal.
Si gestionas la web o las apps de tu negocio, asegúrate de que quien las desarrolla aplica buenas prácticas de seguridad desde el diseño. En soluciones de inteligencia artificial para empresas y en el mantenimiento de WordPress profesional la seguridad debería venir de serie, no como extra. Y para entender mejor el panorama de amenazas digitales, echa un vistazo a los ciberataques a gran escala.
Qué hacer si ya estás infectado
Si confirmas un RAT, actúa rápido y en este orden:
- Desconecta de internet (cable o WiFi). Sin conexión, el atacante pierde el control en tiempo real.
- No apagues todavía si necesitas conservar evidencias forenses; en caso contrario, arranca en modo seguro.
- Escanea con un antivirus actualizado y con herramientas como Malwarebytes.
- Cambia todas las contraseñas desde otro dispositivo limpio. Empieza por correo y banca.
- Revisa accesos de tus cuentas y cierra sesiones desconocidas.
- Si fue grave, formatea y reinstala el sistema desde cero. Es la única garantía total.
- Denuncia ante el Grupo de Delitos Telemáticos de la Guardia Civil o la Policía Nacional.
Preguntas frecuentes
¿Un RAT puede activar mi webcam sin que se encienda la luz?
En algunos modelos antiguos sí, manipulando el firmware. En la mayoría de portátiles modernos el LED está cableado al sensor por hardware y es difícil de evitar, pero no imposible. Por eso tapar físicamente la cámara sigue siendo el método más fiable.
¿El antivirus detecta siempre un troyano de acceso remoto?
No siempre. Los atacantes usan "crypters" para ofuscar el código y evadir la detección por firmas. Un antivirus con análisis de comportamiento (heurístico) tiene más posibilidades, pero ninguna solución garantiza el 100%. La prevención en el correo es tu mejor defensa.
¿Es ilegal descargar njRAT o AsyncRAT?
Descargar el código puede no serlo en sí, ya que algunos se distribuyen como herramientas de administración. Usarlo contra un equipo sin autorización sí es delito en España (artículos 197 y 264 del Código Penal, acceso ilícito y daños informáticos). El uso es lo que marca la diferencia.
¿Puede infectarse mi móvil con un RAT?
Sí. Existen versiones para Android como AndroRAT o variantes que se hacen pasar por apps legítimas. iOS es más difícil de infectar por su modelo cerrado, pero no es inmune. Instala solo desde tiendas oficiales y revisa los permisos que pide cada app.
¿Cómo sé si mis datos ya se filtraron tras una infección?
Consulta tu correo en Have I Been Pwned, que cruza tu dirección con bases de datos de filtraciones conocidas. Si aparece, cambia esas contraseñas de inmediato y activa la verificación en dos pasos en todos los servicios afectados.
El siguiente paso
Ahora mismo, tapa la webcam de tu portátil con una pegatina y activa la verificación en dos pasos en tu cuenta de correo. Dos minutos de trabajo que le quitan el 90% de la gracia a cualquier rata que intente colarse. Y si quieres seguir blindándote, échale un ojo a nuestros artículos sobre protección anti-phishing y correo privado y seguro.
