- El malware sin archivos se ejecuta en memoria y abusa de herramientas legítimas como PowerShell, WMI o macros sin dejar nuevos archivos en disco.
- Los ataques suelen iniciarse con phishing, explotación de vulnerabilidades y robo de credenciales para lograr acceso, persistencia y exfiltración de datos.
- La detección eficaz exige análisis de comportamiento, EDR/XDR, prevención de exploits y uso de tecnologías como ETW y AMSI en vez de depender solo de firmas.
- La mejor defensa combina controles técnicos, gestión de parches y formación continua frente al phishing para reducir al mínimo la probabilidad de infección.
El malware sin archivos se ha convertido en uno de esos términos que cada vez escuchamos más en ciberseguridad, pero que mucha gente aún no termina de entender del todo. No estamos hablando del típico virus que descargas en un archivo adjunto y se queda guardado en el disco duro, sino de una forma de ataque mucho más sigilosa que aprovecha herramientas legítimas del propio sistema para hacer de las suyas sin dejar apenas rastro.
Este tipo de amenaza representa un problema serio tanto para empresas como para usuarios particulares, porque rompe el modelo clásico de defensa basado en escanear archivos. Funciona principalmente en la memoria, tira de PowerShell, WMI, scripts y aplicaciones de confianza, y se apoya en la ingeniería social y el phishing para conseguir el primer acceso. Vamos a ver con calma qué es, cómo funciona y, sobre todo, cómo detectar y prevenir ataques de malware sin archivos.
¿Qué es el malware sin archivos?
Cuando hablamos de malware sin archivos (o fileless malware) nos referimos a código malicioso que no necesita instalar un ejecutable nuevo en el disco del equipo víctima. En lugar de eso, se apoya casi por completo en componentes ya presentes en el sistema: scripts, procesos nativos de Windows, el registro, WMI o herramientas de administración como PowerShell.
En un ataque típico, el malware se inyecta en procesos que ya están en marcha y se ejecuta directamente en la RAM. Esto complica mucho su detección, porque el antivirus tradicional suele basarse en buscar archivos sospechosos en el disco duro o firmas conocidas. Si no hay archivo nuevo, no hay prácticamente nada que analizar a nivel de sistema de ficheros.
Este enfoque permite a los atacantes aprovechar programas de confianza que suelen estar incluso en listas blancas corporativas, como PowerShell, VBScript, JScript, el programador de tareas, WMI, o binarios firmados por Microsoft tales como mshta o rundll32. No se ve un ejecutable “raro” suelto, sino que se corrompe o se abusa de un componente legítimo, lo que reduce drásticamente las alertas basadas en firmas.
El gran “atractivo” para los criminales es que el malware sin archivos evade con mucha más facilidad los antivirus basados en ficheros. Al actuar modificando líneas de comando, scripts en memoria o entradas de registro, puede pasar completamente inadvertido si la organización no dispone de soluciones que monitoricen el comportamiento de los procesos y la actividad en tiempo real.
¿Cómo funciona el malware sin archivos?
La mayoría de campañas de malware sin archivos siguen un patrón similar: combinan phishing, vulnerabilidades y abuso de utilidades del sistema. El acceso inicial suele empezar por algo tan mundano como un correo con un enlace o un adjunto malicioso que el usuario termina abriendo.
Es muy habitual que el atacante recurra a correos de suplantación de identidad (phishing) cuidadosamente preparados, donde se hace pasar por un compañero, un proveedor, un banco o incluso por un directivo de la propia empresa. El objetivo es empujar al usuario a hacer clic en un enlace o habilitar macros en un documento, jugando con la urgencia, el miedo o la curiosidad.
Cuando la víctima cae en la trampa, el enlace o documento abre la puerta a que se ejecute algún tipo de exploit o script. Puede ser una macro de Office que lanza PowerShell, un PDF que explota una vulnerabilidad del lector, un script HTA que se ejecuta con mshta.exe o una página web que dispara código a través del navegador. A partir de ahí, se cargan comandos que descargan y ejecutan la carga útil exclusivamente en la memoria.
En muchos casos el malware utiliza código shell para invocar PowerShell con parámetros específicos —por ejemplo, deshabilitando políticas de ejecución y ocultando la ventana— y así descargar un payload desde Internet directamente a RAM, sin que se llegue a escribir un ejecutable en disco. En escenarios más avanzados, el propio código malicioso se guarda ofuscado en el registro de Windows o en una suscripción de WMI y se lanza desde ahí al iniciar el sistema.
Una vez en marcha, el malware sin archivos se centra en los objetivos del atacante: robo de credenciales, exfiltración de datos, movimientos laterales hacia otros equipos y, en muchos casos, el despliegue de ransomware o troyanos de acceso remoto (RAT). Todo esto apoyándose casi siempre en procesos y API legítimas del sistema, lo que hace que a simple vista “parezca” actividad normal.
Características y técnicas habituales del malware sin archivos
Una de las señas de identidad de estos ataques es que explotan al máximo el concepto de “vivir de la tierra” (living off the land): usar binarios y funciones que ya existen en el sistema operativo para llevar a cabo acciones maliciosas, en lugar de introducir archivos nuevos.
Entre las técnicas más frecuentes encontramos el uso intensivo de PowerShell, tanto para descargar y ejecutar código como para moverse por la red, crear claves de persistencia o manipular el registro. También son clásicos los scripts en VBScript y JScript, los archivos por lotes (.bat), las suscripciones de eventos de WMI, y el abuso de binarios como mshta.exe, rundll32.exe u otras utilidades firmadas por Microsoft capaces de ejecutar código.
Otra técnica muy extendida consiste en esconder el malware dentro de documentos aparentemente inofensivos (Word, Excel, PDFs). Aunque estos ficheros no son ejecutables en sí mismos, contienen macros, funciones DDE u otros mecanismos que, al abrirse, pueden disparar comandos de PowerShell o aprovechar vulnerabilidades del lector para ejecutar código directamente en memoria.
Muchos ataques combinan además componentes residentes en la memoria con datos almacenados en el registro. Por ejemplo, un droplet inicial se ejecuta una vez, escribe un script malicioso ofuscado en una clave del registro y se autodestruye. A partir de entonces, el verdadero malware se lanza desde el registro tras cada reinicio, sin necesidad de que vuelva a aparecer un nuevo ejecutable en el disco.
En los casos de ransomware sin archivos, la estrategia es similar, pero el objetivo final es cifrar archivos críticos. El código que realiza el cifrado se ejecuta desde memoria utilizando procesos legítimos, lo que complica mucho que las soluciones basadas en firmar ejecutables puedan intervenir a tiempo.
Etapas de un ataque de malware sin archivos
Aunque no haya archivos nuevos en disco, el ciclo de vida de un ataque de malware sin archivos sigue una serie de fases bastante reconocibles. Entenderlas ayuda a saber dónde y cómo reforzar la defensa.
La primera etapa es el acceso inicial. Aquí entran en juego el phishing, las descargas maliciosas (drive-by), la explotación de vulnerabilidades en aplicaciones expuestas o incluso el uso de credenciales robadas. En esta fase, basta con que el atacante consiga un punto de apoyo mínimo en un equipo o servidor para continuar.
A continuación, el atacante intenta robar credenciales adicionales: contraseñas de usuarios de mayor privilegio, cuentas de administrador de dominio, claves de servicios, etc. Para ello puede usar keyloggers en memoria, dumpeo de credenciales de procesos como lsass.exe o herramientas legítimas de Windows ejecutadas vía PowerShell.
Una tercera etapa crítica es el establecimiento de persistencia. Aunque el código principal resida en memoria, los atacantes necesitan asegurarse de que, si el equipo se reinicia, pueden volver a entrar sin repetir todo el proceso. Aquí entran técnicas como crear tareas programadas, añadir entradas de autorun en el registro, configurar suscripciones de eventos WMI o modificar servicios existentes para que lancen scripts al inicio.
Finalmente llega la etapa de explotación y fuga de datos. Dependiendo de la campaña, eso puede significar cifrar información para pedir un rescate, extraer documentos confidenciales hacia servidores controlados por el atacante, moverse lateralmente para comprometer más máquinas o desplegar herramientas de espionaje de larga duración.
Tipos de malware y tácticas sin archivos más habituales
Dentro del paraguas de los ataques sin archivos podemos encontrar distintas familias y combinaciones, muchas de ellas híbridas con técnicas tradicionales. Todas comparten, eso sí, el uso intensivo de memoria y componentes nativos del sistema.
Uno de los más citados es el malware residente en memoria, que se aloja en el espacio de memoria de procesos reales de Windows. Su código puede permanecer inactivo hasta que se cumpla cierta condición (por ejemplo, una fecha o un comando recibido), y mientras tanto no hay ejecutable sospechoso que un antivirus pueda marcar fácilmente.
Los ataques que se apoyan en el registro de Windows son también muy frecuentes. En ellos, el atacante utiliza un archivo o script que se ejecuta una sola vez y luego se borra, pero antes de desaparecer deja su “segunda fase” almacenada y ofuscada en claves del registro o tareas programadas. A partir de ese momento, el malware se mantiene funcionando sin necesitar nuevos archivos en disco.
Otra táctica muy peligrosa es el uso de credenciales robadas. El atacante puede conseguir unas credenciales iniciales con un troyano clásico, phishing o fuga previa, y luego utilizarlas para conectarse vía RDP, VPN u otras herramientas legítimas. Una vez dentro, lanza scripts de PowerShell o WMI directamente desde esa sesión, de forma que todo parece actividad de un usuario autorizado.
Además, se ha visto un crecimiento notable del ransomware sin archivos y de kits de explotación que inyectan código directo en RAM. Los exploits automatizados —kits diseñados para escanear vulnerabilidades y explotarlas— son capaces de desplegar payloads enteros en memoria, escalar privilegios, moverse lateralmente y preparar el terreno para otros componentes maliciosos, todo ello prácticamente sin escribir nada en el disco local.
Impacto en empresas y retos para proveedores de seguridad
Para las organizaciones, el malware sin archivos plantea un dilema complicado: no se puede bloquear sin más herramientas esenciales como PowerShell, macros de Office o WMI, porque son imprescindibles para el día a día de TI y para los propios usuarios de negocio.
Si una empresa decide deshabilitar por completo PowerShell, el equipo de sistemas verá limitadas sus posibilidades de automatizar tareas, gestionar servidores o administrar equipos. Lo mismo ocurre con las macros en Excel o Word, muy utilizadas en procesos financieros, reporting o generación de informes. Bloquearlas a lo bruto impacta de lleno en la productividad.
Por otro lado, el malware sin archivos reduce la eficacia de los antivirus clásicos y soluciones heredadas de seguridad de endpoints, que se basaban sobre todo en firmas de archivos sospechosos, listas blancas y entornos aislados. Al no haber un ejecutable claro que analizar, estas soluciones sólo ven procesos aparentemente normales lanzando comandos legítimos.
Esta situación ha puesto bajo presión a los proveedores de ciberseguridad, obligándoles a evolucionar sus productos. Muchos han intentado atajar el problema con parches rápidos: bloques agresivos de PowerShell, restricciones genéricas de macros, detección en la nube sin contexto local, etc. Sin embargo, gran parte de estos enfoques se han demostrado insuficientes o demasiado intrusivos.
Las soluciones realmente efectivas frente a este tipo de amenazas pasan por combinar motores de comportamiento, análisis continuo del endpoint, prevención de exploits y capacidad de respuesta (EDR/XDR). El foco se desplaza desde “qué archivo es” a “qué está haciendo realmente este proceso y si su comportamiento encaja con un patrón malicioso”.
Detección del malware sin archivos: del archivo al comportamiento
Dado que los códigos de ataque no se guardan en el disco, la detección ya no puede basarse únicamente en firmas o reputación de ficheros. La clave está en observar la conducta de los procesos: qué comandos lanzan, qué conexiones de red abren, qué cambios realizan en el registro o qué archivos tocan.
Este enfoque centrado en el comportamiento parte de una realidad: el número de variantes de malware es enorme, pero el número de patrones de comportamiento malicioso es bastante más limitado. Si una herramienta ve que un documento de Office abre PowerShell con una línea de comandos ofuscada que descarga código desde una URL desconocida, ese conjunto de acciones es altamente sospechoso, aunque el archivo original no tenga una firma conocida.
Las soluciones modernas de protección de endpoints incorporan motores de IA estática y de comportamiento, que analizan tanto los binarios como su actividad real. Supervisan desde el núcleo del sistema todos los eventos relevantes: usuarios implicados, procesos que se lanzan, argumentos de línea de comandos, accesos al registro, ficheros modificados en disco y tráfico saliente.
Con todo ese contexto, pueden identificar y mitigar actividades maliciosas en tiempo real, incluso revertir cambios (como cifrados de archivos o modificaciones del registro) cuando detectan un patrón claro de ataque. Este tipo de soluciones suele apoyarse además en modelos de “historias” o “líneas de tiempo” que permiten atribuir la causa raíz de un incidente, agrupando todos los procesos relacionados en una única cadena maliciosa.
Para complementar, muchos fabricantes aprovechan capacidades nativas de Windows como Event Tracing for Windows (ETW) y AMSI (Antimalware Scan Interface), que proporcionan eventos detallados sobre la ejecución de scripts y procesos. Así es posible inspeccionar, por ejemplo, scripts de PowerShell en tiempo de ejecución, incluso aunque estén ofuscados o generados dinámicamente.
Estrategias de protección y prevención frente al malware sin archivos
Aunque parezca una amenaza casi invisible, el malware sin archivos se puede mitigar de forma muy eficaz combinando buenas prácticas técnicas y formación de usuarios. La estrategia no debe basarse en un único control, sino en una defensa por capas.
En el plano técnico, es fundamental contar con soluciones EDR/XDR o de endpoint avanzado que monitoricen la actividad en tiempo real y apliquen prevención de exploits, análisis de comportamiento y corrección automática. Estas herramientas pueden bloquear la ejecución de scripts sospechosos, detener cifrados de archivos en curso o aislar equipos comprometidos antes de que el daño se propague.
Otro aspecto crítico es la gestión de macros y scripts. No siempre es viable deshabilitar todas las macros, pero sí se pueden aplicar políticas para que sólo se ejecuten aquellas firmadas o procedentes de ubicaciones de confianza, y para que los usuarios reciban advertencias claras cuando un documento trate de lanzar código. Del mismo modo, se pueden restringir las capacidades de PowerShell, WMI y otras herramientas administrativas mediante control de aplicaciones y listas de permisos.
La gestión de vulnerabilidades y parches sigue siendo básica: muchos ataques sin archivos empiezan explotando fallos de seguridad en navegadores, Office, servicios web o componentes del sistema. Mantener el software actualizado y reforzar servicios expuestos reduce muchísimo la superficie de ataque disponible.
Por último, la autenticación robusta y los principios de Zero Trust ayudan a frenar ataques que dependen de credenciales robadas. Aplicar MFA (doble factor), minimizar los privilegios de las cuentas y vigilar accesos anómalos conlleva que, aunque un atacante robe un usuario y contraseña, su capacidad de moverse libremente quede muy limitada.
Buenas prácticas organizativas: personas, procesos y monitorización
Más allá de la tecnología, muchas campañas de malware sin archivos triunfan porque se apoyan en fallos humanos e insuficiente monitorización. La ingeniería social y el phishing siguen siendo los vectores estrella para lograr el primer clic.
Por eso, resulta clave establecer programas de concienciación y formación continua para empleados. Explicar con ejemplos reales qué es un correo de phishing, cómo reconocer saludos extraños, solicitudes de credenciales fuera de lugar o mensajes que generan un sentido artificial de urgencia puede marcar la diferencia entre abrir o no un adjunto malicioso.
Otra práctica recomendable es apoyarse en servicios gestionados de caza de amenazas, ya sean internos (un equipo de threat hunting propio) o externos (SOC, MDR, EMDR, etc.). Estos equipos se dedican a buscar de forma proactiva indicadores de ataque (IOA): cadenas de acciones sospechosas que, combinadas, revelan un ataque en marcha aunque todavía no se haya materializado un daño evidente.
Los IOA se centran menos en la herramienta concreta utilizada y más en la intención: por ejemplo, ver cómo un usuario normal que nunca usa PowerShell empieza a ejecutar comandos ofuscados para descargar código de dominios poco fiables. Una sola señal aislada no siempre indica un ataque, pero varias en conjunto sí pintan un cuadro claro.
Y, como base, resulta imprescindible contar con una política clara de actualización de software. Ignorar durante meses los avisos de actualización del navegador, del sistema operativo o de herramientas de ofimática deja la puerta abierta a que kits de explotación automatizados encuentren un hueco y lo aprovechen para lanzar cargas maliciosas en memoria.
El malware sin archivos ha cambiado las reglas del juego en ciberseguridad porque obliga a dejar de fijarse únicamente en “qué archivo entra” y obliga a mirar “qué está haciendo realmente el sistema”; quienes combinen tecnología capaz de analizar el comportamiento en tiempo real, procesos de monitorización continua y usuarios bien formados tendrán muchas más papeletas para detectar estos ataques a tiempo y evitar que una simple macro o un script de PowerShell se conviertan en el punto de partida de una brecha grave.