Malware: definición, funcionamiento y formas de protección

Un malware no es un simple “virus informático”. Es una amenaza más amplia, más discreta y, a menudo, más costosa. Detrás de este término se encuentran todos los programas maliciosos diseñados para alterar un sistema, robar datos, bloquear un dispositivo, espiar a los usuarios o tomar el control de una red.

Para una empresa, el tema va mucho más allá de lo técnico. Un malware puede ralentizar la actividad, exponer datos sensibles, comprometer accesos, bloquear puestos de trabajo o abrir la puerta a otros ciberataques frecuentes. El problema, por tanto, no consiste solo en “limpiar un ordenador infectado”. Consiste en entender cómo entró el software malicioso, por qué no se detectó antes y cómo evitar que se propague al conjunto del parque informático.

El NIST (National Institute of Standards and Technology) define el malware como un software, firmware o código destinado a ejecutar un proceso no autorizado que tiene un impacto negativo en la confidencialidad, la integridad o la disponibilidad de un sistema. Esta definición incluye, entre otros, virus, gusanos, troyanos, spywares y algunas formas de adware.

¿Qué es un malware?

La palabra malware viene del inglés malicious software, que se traduce como software malicioso. Designa cualquier software diseñado para dañar un sistema informático, un dispositivo, una red o a sus usuarios.

Un malware puede adoptar varias formas: archivo infectado, programa descargado, archivo adjunto, script, extensión de navegador, aplicación móvil, software publicitario, troyano o incluso ransomware. Su objetivo depende del tipo de malware utilizado: robar datos, espiar la actividad de un usuario, bloquear el acceso a un ordenador, cifrar archivos, mostrar falsas alertas, desviar la potencia de cálculo de un dispositivo o permitir que un atacante permanezca oculto dentro de un sistema.

La confusión más frecuente consiste en utilizar la palabra “virus” para hablar de todos los malwares. En realidad, un virus es solo un tipo de software malicioso. Todos los virus informáticos son malwares, pero no todos los malwares son virus. Un spyware, un ransomware o un rootkit pueden ser muy peligrosos sin funcionar como un virus clásico.

En una empresa, un malware suele explotar una vulnerabilidad sencilla: un software sin actualizar, una contraseña débil, un dispositivo no supervisado, un archivo adjunto abierto demasiado rápido, una antigua cuenta de usuario que nunca se desactivó o un puesto que no aplica las reglas de seguridad.

Por eso, la lucha contra los programas maliciosos no se basa únicamente en un antivirus. Se basa en una combinación de prevención, detección, gestión del parque informático y reacción rápida.

Los distintos tipos de software malicioso

Existen muchos tipos de malware. Algunos son visibles de inmediato. Otros permanecen ocultos durante semanas. Algunos buscan destruir. Otros prefieren observar, recopilar información y esperar el momento adecuado.

Comprender los distintos tipos de software malicioso permite identificar mejor los riesgos, pero también elegir las herramientas de ciberseguridad adecuadas, adoptar los buenos reflejos y definir los niveles de control necesarios.

Spywares

Los spywares, o programas espía, son programas maliciosos diseñados para vigilar la actividad de un usuario sin su consentimiento. Pueden recopilar el historial de navegación, identificadores, contraseñas, capturas de pantalla, información bancaria, documentos consultados o datos introducidos en formularios.

Un spyware puede instalarse tras la descarga de un software dudoso, a través de una extensión de navegador, un sitio web malicioso o un archivo adjunto infectado. También puede ser instalado por otro malware ya presente en el dispositivo.

El principal riesgo es el robo de datos. Para una empresa, esto puede significar la compromisión de una cuenta de email, un acceso SaaS, un espacio cloud o una herramienta financiera. En algunos casos, el atacante no busca actuar de inmediato. Observa los usos, mapea los accesos y prepara después un ataque más dirigido.

Ransomwares

El ransomware, o secuestro de datos, es uno de los tipos de malware más conocidos. Bloquea el acceso a un dispositivo o cifra los archivos de un sistema, y después exige el pago de un rescate para restaurar el acceso a los datos.

Cybermalveillance.gouv.fr recuerda que un ransomware puede llegar a través de un archivo adjunto fraudulento, un enlace malicioso recibido por email, un sitio comprometido o una intrusión informática.

El ransomware es especialmente crítico para las empresas, porque afecta directamente a la continuidad de la actividad. Los archivos se vuelven inaccesibles, los equipos ya no pueden trabajar, las herramientas de negocio pueden quedar bloqueadas y las copias de seguridad también pueden ser atacadas.

Algunos ataques combinan cifrado y exfiltración: los datos se copian antes de ser bloqueados y después se utilizan como medio de presión.

El buen reflejo no consiste solo en contar con un antivirus. También es necesario disponer de copias de seguridad aisladas, una gestión estricta de los accesos, monitorización de los dispositivos, un inventario fiable y procedimientos de emergencia probados.

Rootkit

Un rootkit es un software malicioso diseñado para permanecer oculto en un sistema mientras concede al atacante privilegios elevados. Puede permitir modificar archivos, ocultar actividades, desactivar ciertas herramientas de detección o mantener un acceso persistente a un dispositivo infectado.

El peligro del rootkit reside en su discreción. Mientras que un adware o un scareware se detecta rápidamente, un rootkit busca precisamente no ser detectado. Puede seguir activo incluso después de ciertas operaciones de limpieza si el sistema no se restaura correctamente.

En una empresa, este tipo de software malicioso resulta especialmente preocupante en puestos de administrador, servidores, máquinas críticas y dispositivos con acceso a datos sensibles.

Virus

Un virus informático es un programa malicioso capaz de copiarse e infectar otros archivos o programas. El NIST describe un virus como un programa capaz de replicarse e infectar un ordenador, a veces corrompiendo o eliminando datos, o utilizando emails para propagarse.

Un virus suele necesitar una acción humana para activarse: abrir un archivo, ejecutar un programa, activar una macro o instalar un software infectado. Una vez activo, puede modificar archivos, ralentizar el ordenador, alterar el sistema operativo o propagarse a otros usuarios.

Aunque la palabra “virus” se utiliza a menudo como sinónimo de malware, conviene mantener la distinción. Un virus es una categoría precisa de software malicioso, con una lógica de propagación específica.

Gusanos informáticos

Un gusano informático, o worm, es un malware capaz de propagarse automáticamente de un dispositivo a otro, a menudo a través de una red empresarial. A diferencia del virus, no siempre necesita estar asociado a un archivo existente ni requiere una acción del usuario después de su lanzamiento inicial.

Los gusanos informáticos son peligrosos porque pueden difundirse muy rápido. Suelen explotar una vulnerabilidad, una mala configuración o sistemas informáticos sin parchear.

En un entorno mal segmentado, un solo dispositivo infectado puede convertirse en el punto de partida de una propagación masiva.

El riesgo es aún mayor cuando los puestos de trabajo, servidores, impresoras, equipos de red o dispositivos conectados no están correctamente inventariados. Lo que no se ve es difícil de proteger.

Troyano

El troyano, o Trojan, es un software malicioso que se presenta como un programa legítimo. Puede parecer una herramienta útil, una aplicación conocida, una actualización, un documento profesional o un archivo esperado.

Su objetivo es engañar al usuario. Una vez instalado, el troyano puede abrir una puerta trasera, instalar otros programas maliciosos, robar datos, dar acceso remoto al atacante o preparar un ataque más amplio.

Fortinet recuerda que los troyanos parecen inofensivos, pero pueden crear puertas traseras que permiten a otros programas maliciosos avanzados obtener acceso remoto.

En una empresa, un troyano puede entrar por correo electrónico, mensajería colaborativa, descarga, falso software de negocio o archivo adjunto. El riesgo aumenta cuando los usuarios disponen de derechos de administrador demasiado amplios en su puesto.

Keyloggers

Los keyloggers, o registradores de teclas, son programas maliciosos que capturan lo que un usuario escribe en su teclado. Pueden registrar identificadores, contraseñas, códigos, mensajes, información bancaria o datos confidenciales.

El keylogger se utiliza a menudo para comprometer accesos. Una vez recuperados los identificadores, el atacante puede conectarse a herramientas SaaS, una mensajería, un espacio cloud o una cuenta de administrador.

En algunos casos, el usuario no nota nada: su dispositivo funciona con normalidad, pero su información se recopila en segundo plano.

La protección pasa por la detección, pero también por medidas de fondo: autenticación multifactor, gestor de contraseñas, limitación de derechos, vigilancia de conexiones inusuales y revocación rápida de accesos durante las salidas de empleados.

Cryptojacking

El cryptojacking consiste en utilizar la potencia de cálculo de un dispositivo o sistema para minar criptomonedas sin que el usuario lo sepa. El objetivo no es necesariamente robar archivos, sino explotar los recursos informáticos de la víctima.

Las señales pueden ser discretas: ordenador lento, ventiladores que funcionan intensamente, batería que se agota rápido, aumento del consumo de CPU o rendimiento degradado.

En un parque informático completo, el cryptojacking puede generar costes indirectos: pérdida de productividad, desgaste acelerado de los dispositivos, sobreconsumo energético y ralentización de aplicaciones.

Este tipo de ataque demuestra bien que un malware no siempre busca destruir. A veces, simplemente busca utilizar tus recursos.

Scareware

El scareware se basa en el miedo. Muestra falsas alertas de seguridad para empujar al usuario a descargar un falso antivirus, pagar una falsa licencia o contactar con un falso soporte técnico.

Ejemplo clásico: una ventana indica que el ordenador está infectado por varios virus y que hay que hacer clic inmediatamente para eliminar los programas maliciosos. En realidad, la propia alerta es una manipulación.

Al hacer clic, el usuario puede instalar un archivo malicioso, proporcionar información bancaria o dar acceso remoto a un atacante.

El scareware es eficaz porque juega con la urgencia. En empresa, la sensibilización de los usuarios sigue siendo esencial: nadie debería instalar una herramienta de seguridad ni llamar a un número de soporte desde una ventana emergente no verificada.

Adware

El adware, o software publicitario, muestra anuncios intrusivos, a veces modifica la página de inicio del navegador, añade barras de herramientas o redirige al usuario hacia sitios web maliciosos.

No todos los softwares publicitarios son necesariamente destructivos, pero algunos pueden recopilar datos, degradar el rendimiento, exponer al usuario a otros ataques de software malicioso o servir como puerta de entrada a amenazas más graves.

El NIST incluye, de hecho, ciertas formas de adware entre los ejemplos de código malicioso.

En una empresa, un adware no es una simple molestia para el usuario. Puede revelar una falta de control sobre las instalaciones de software, las extensiones del navegador, los derechos de usuario y la conformidad de los puestos.

¿Cuáles pueden ser las consecuencias de un ataque por malware?

Las consecuencias de un ataque por malware varían según el tipo de software malicioso, el nivel de privilegios obtenido, la rapidez de detección y la capacidad de la empresa para aislar el dispositivo infectado.

La primera consecuencia es operativa. Un puesto puede quedar inutilizable, un servidor puede ralentizarse, una herramienta de negocio puede bloquearse o una red puede saturarse. En el caso de un ransomware, la actividad puede detenerse de forma brusca.

La segunda consecuencia es financiera. Está el coste del incidente, pero también los costes invisibles: tiempo perdido por los equipos, intervención de emergencia, restauración de sistemas, pérdida de productividad, interrupción comercial, sustitución de material, auditoría posterior al incidente, acompañamiento jurídico o comunicación de crisis.

La tercera consecuencia afecta a los datos. Un malware puede permitir el robo de datos, la exfiltración de archivos de clientes, la fuga de información de RR. HH., financiera, comercial o estratégica. Una fuga de datos también puede generar obligaciones regulatorias, especialmente en materia de cumplimiento del RGPD.

La cuarta consecuencia es la pérdida de confianza. Clientes, partners, inversores o colaboradores pueden cuestionar la capacidad de la empresa para proteger sus sistemas informáticos.

Para organizaciones en crecimiento, la ciberseguridad se convierte en un tema de credibilidad business, no solo en un tema técnico.

La ANSSI indicó que, en 2024, trató 4.386 eventos de seguridad, lo que supone un aumento del 15 % respecto al año anterior, y que la amenaza cibercriminal vinculada, en particular, a los ransomware y a las fugas de datos constituye un riesgo diario para las organizaciones francesas.

¿Cómo reconocer una infección por malware?

Un malware no siempre es visible. Algunos programas maliciosos están diseñados para permanecer discretos. Otros, en cambio, activan señales evidentes. En ambos casos, hay que saber identificar los síntomas.

Un dispositivo infectado puede volverse lento, calentarse de forma anormal o reiniciarse sin motivo. Pueden aparecer ventanas emergentes. Pueden instalarse programas desconocidos. El navegador puede redirigir hacia sitios web inusuales. Algunos archivos pueden desaparecer, cambiar de extensión o volverse imposibles de abrir. Los mensajes de error pueden multiplicarse.

También deben alertar otras señales: actividad de red inusual, antivirus desactivado, espacio en disco que se llena sin explicación, cuentas conectadas desde ubicaciones desconocidas, emails enviados sin acción del usuario, solicitudes de conexión sospechosas o aumento repentino del consumo de CPU.

Para una empresa, el verdadero reto es la detección a escala de todo el parque. Un colaborador puede no reportar una ralentización. Un dispositivo puede quedar fuera de supervisión. Un puesto remoto puede estar infectado sin que el equipo IT lo vea inmediatamente.

Por eso, la monitorización, el inventario, los antivirus gestionados y el pilotaje en tiempo real son esenciales.

Un malware detectado a tiempo sigue siendo un incidente controlable. Un malware detectado demasiado tarde puede convertirse en una crisis.

¿Cómo protegerse contra los malwares?

Protegerse contra los malwares no consiste en acumular herramientas. Hace falta un enfoque estructurado: reducir los puntos de entrada, detectar rápidamente, limitar la propagación, restaurar correctamente y mantener una visibilidad continua sobre los dispositivos.

Buenas prácticas de ciberseguridad

La primera regla es sencilla: mantener los sistemas actualizados. Muchos ataques de software malicioso explotan vulnerabilidades ya conocidas, para las que existen parches. Un sistema operativo sin actualizar, un navegador obsoleto, una VPN expuesta o una aplicación de negocio olvidada pueden convertirse en una puerta de entrada.

La segunda regla: limitar los derechos. No todos los usuarios necesitan ser administradores de su puesto. Cuanto más limitados sean los derechos, menos profundamente podrá actuar el malware dentro del sistema.

La tercera regla: proteger los accesos. La autenticación multifactor, las contraseñas robustas, la revocación rápida de cuentas durante las salidas y el modelo zero trust reducen significativamente el riesgo de compromisión. El modelo zero trust se basa en una idea simple: no confiar nunca por defecto, verificar siempre.

La cuarta regla: sensibilizar a los usuarios. Muchas infecciones comienzan con un correo electrónico, archivos adjuntos, un enlace de phishing, un documento falso o una falsa alerta. La ciberseguridad no depende únicamente del equipo IT. También depende de la capacidad de los colaboradores para reconocer señales débiles.

La quinta regla: realizar copias de seguridad de forma inteligente. Las copias de seguridad deben ser regulares, aisladas, probadas y restaurables. CISA recomienda mantener copias de seguridad cifradas y offline de los datos críticos, y probar regularmente su disponibilidad e integridad en escenarios de recuperación.

Por último, hay que pilotar. Un parque informático seguido en Excel, con dispositivos no inventariados y softwares no controlados, genera zonas ciegas.

La protección contra malwares pasa por una gestión rigurosa del parque informático: inventario, actualizaciones, conformidad, supervisión, gestión de accesos, incorporación y salida IT.

Herramientas y soluciones de protección

Las herramientas de protección deben cubrir varias capas. Un antivirus sigue siendo útil, pero ya no siempre es suficiente. Los antivirus modernos deben complementarse con detección comportamental, alertas centralizadas, gestión de parches, control de aplicaciones, protección del email, supervisión de red y procedimientos de respuesta ante incidentes.

Las herramientas de ciberseguridad más útiles son aquellas que aportan visibilidad.

¿Qué dispositivos están actualizados?
¿Qué puestos ya no tienen un antivirus activo?
¿Qué softwares están instalados?
¿Qué usuarios tienen derechos de administrador?
¿Qué dispositivos no se han comunicado desde hace varios días?
¿Qué cuentas siguen activas después de una salida?

Aquí es donde la ciberseguridad se une con el pilotaje IT.

Una plataforma todo en uno, conectada al parque, a los usuarios y a las herramientas de RR. HH., permite reducir las zonas de sombra. Con conectores SIRH, automatizaciones y pilotaje en tiempo real, la empresa limita los olvidos que suelen generar incidentes: accesos no revocados, dispositivos no recuperados, sistemas sin parches, softwares no conformes.

Para las organizaciones en crecimiento, el reto no consiste solo en comprar una herramienta. Consiste en construir una gobernanza sencilla: quién supervisa, quién recibe las alertas, quién actúa, quién valida las excepciones, quién restaura y quién documenta.

La seguridad se convierte entonces en una herramienta de ayuda a la decisión y de orquestación para las empresas, no en una carga añadida al día a día.

En caso de ataque, ¿cómo eliminar un malware?

Cuando se detecta un malware, la prioridad es evitar la propagación. No hay que improvisar. Un mal reflejo puede borrar pruebas, relanzar la infección o contaminar otros dispositivos.

La eliminación de software malicioso debe seguir un procedimiento claro: aislar, analizar, limpiar, restaurar, controlar y documentar.

En el caso de un ransomware, Cybermalveillance.gouv.fr recomienda, entre otras cosas, cortar las conexiones a Internet de la red atacada, identificar y desconectar las máquinas afectadas, alertar al servicio o proveedor informático y no pagar el rescate.

Las etapas de eliminación

La primera etapa consiste en aislar el dispositivo infectado. Hay que desconectarlo de la red, del Wi-Fi, de la VPN y de los recursos compartidos. El objetivo es impedir que el malware se comunique o se propague.

La segunda etapa consiste en conservar los elementos útiles para el análisis. No conviene eliminar demasiado rápido todos los archivos sospechosos sin entender qué ha ocurrido. Los registros, alertas, mensajes recibidos, archivos descargados y horarios de actividad pueden ayudar a identificar el punto de entrada.

La tercera etapa consiste en lanzar un análisis con una herramienta fiable: antivirus, anti-malware, EDR o solución de detección adaptada. Los archivos maliciosos detectados deben ponerse en cuarentena o eliminarse según las recomendaciones de la herramienta y del equipo IT.

La cuarta etapa consiste en cambiar las contraseñas, especialmente si se sospecha de un spyware, un troyano, un keylogger o un robo de credenciales. Las sesiones activas deben revocarse, las cuentas sensibles verificarse y los accesos de administrador controlarse.

La quinta etapa consiste en verificar toda la red de la empresa. Limpiar un solo dispositivo no basta si el malware se ha propagado a otros lugares. Hay que controlar los demás puestos, los servidores, las cuentas, los recursos compartidos, las copias de seguridad y los registros de conexión.

Necesidad de restaurar un sistema limpio

En algunos casos, eliminar el malware no es suficiente. Si la infección es profunda, si se sospecha de un rootkit, si los archivos del sistema están comprometidos o si no se puede garantizar la integridad del dispositivo, hay que restaurar un sistema limpio.

Restaurar correctamente significa partir de una imagen sana, reinstalar el sistema operativo, aplicar los parches, reinstalar los softwares necesarios, restaurar únicamente los datos validados y comprobar que el dispositivo respeta las políticas de seguridad.

La restauración no debe reintroducir el problema. Una copia de seguridad puede contener archivos infectados. Una cuenta comprometida puede devolver el acceso al atacante. Un software sin parchear puede reabrir la misma brecha.

Por eso, la recuperación debe integrar una fase de control: análisis de copias de seguridad, validación de accesos, actualización de sistemas, control antivirus y supervisión reforzada.

Después del incidente, hay que documentar.

¿Cuál fue el punto de entrada?
¿Qué dispositivo se vio afectado?
¿Qué datos quedaron expuestos?
¿Cuánto tiempo permaneció activo el ataque?
¿Qué medidas deben reforzarse?

Este retorno de experiencia transforma el incidente en una mejora concreta del pilotaje IT.

Ejemplos conocidos de ataques por software malicioso

Varios ataques por software malicioso demuestran hasta qué punto los malwares pueden ir mucho más allá de un simple ordenador infectado.

WannaCry, aparecido en 2017, es un ejemplo de ransomware de propagación rápida. Afectó a numerosas organizaciones en todo el mundo explotando sistemas Windows sin parchear. Este caso recuerda una regla simple: las actualizaciones de seguridad no son una formalidad. Pueden evitar una crisis.

NotPetya, también aparecido en 2017, se presentó inicialmente como un ransomware, pero su impacto fue ampliamente destructivo. Paralizó grandes organizaciones al volver inutilizables sus sistemas. Este ejemplo demuestra que un malware puede hacerse pasar por un ataque financiero y, al mismo tiempo, tener efectos cercanos al sabotaje.

Emotet es otro ejemplo conocido. Identificado inicialmente como troyano bancario, evolucionó hasta convertirse en una infraestructura utilizada para distribuir otros programas maliciosos. Ilustra bien la lógica de los ataques modernos: un malware puede ser una primera etapa y después servir para instalar otras amenazas de software malicioso.

Stuxnet suele citarse como ejemplo de malware dirigido a sistemas industriales. Demostró que un código malicioso podía tener efectos sobre equipos físicos, y no solo sobre archivos u ordenadores.

Estos ejemplos tienen algo en común: rara vez explotan un único fallo. Aprovechan un conjunto de debilidades: sistemas sin parchear, falta de segmentación, derechos demasiado amplios, ausencia de supervisión, copias de seguridad vulnerables y procesos de seguridad incompletos.

Precisamente ahí es donde las empresas deben centrar su atención.

La protección contra malwares no se basa en una herramienta mágica. Se basa en una IT visible, gobernada, documentada y pilotada.

Un parque controlado, accesos supervisados, dispositivos monitorizados, copias de seguridad probadas y usuarios sensibilizados reducen significativamente el riesgo.

El malware es un riesgo técnico.

Pero su prevención es un tema de dirección: continuidad de actividad, costes evitados, conformidad, confianza del cliente y capacidad de escalar sin fricción.