¿Qué pasa cuando el malware no se va aunque reinicies tu sistema? Cuando hablamos de persistencia de malware, nos referimos a las tácticas que usan los ciberatacantes para asegurarse de que su acceso a un sistema no se pierda, incluso si reinicias el equipo, cambias las contraseñas o intentas limpiar el sistema con un antivirus. En otras palabras: quieren quedarse dentro de tu red pase lo que pase.
¿Cómo lo logran? Utilizando diferentes trucos que les permiten pasar desapercibidos, volver a activarse tras un reinicio o incluso sobrevivir a herramientas de seguridad que, en teoría, deberían eliminarlos. Las técnicas más habituales van desde modificar configuraciones del sistema y inyectar código malicioso en procesos legítimos, hasta crear nuevas cuentas de usuario sin que nadie lo note.
Y aquí viene lo preocupante: muchas veces, todo esto ocurre sin que te des cuenta. Mientras tanto, el atacante sigue activo en segundo plano: robando información, espiando movimientos o preparando otros ataques aún más graves.
En este artículo vamos a darte una idea clara de cómo funcionan estas técnicas de persistencia, qué impacto pueden tener y cómo puedes detectar y bloquear estos movimientos con Wazuh antes de que se conviertan en un problema serio.
Técnicas de persistencia de malware más comunes (según MITRE ATT&CK)
Para entender mejor cómo actúan los atacantes, vamos a apoyarnos en el marco MITRE ATT&CK, una base de datos muy completa que documenta las tácticas y técnicas utilizadas por actores maliciosos reales. Aquí te mostramos algunas de las técnicas de persistencia más utilizadas para mantenerse dentro de sistemas comprometidos durante el mayor tiempo posible:
T1053 – Tareas programadas / Trabajos automatizados
Una forma bastante común de mantener presencia en un sistema es programar tareas automáticas que ejecutan código malicioso cada cierto tiempo o en momentos específicos, como al iniciar el sistema.
-
En Windows, se utiliza el Task Scheduler.
-
En Linux, es típico ver modificaciones en cron.
-
En macOS, los atacantes pueden usar launchd.
Una tarea programada bien configurada puede hacer que el malware se reactive automáticamente, sin necesidad de que el usuario haga nada.
T1037 – Scripts de arranque o inicio de sesión
Otra técnica muy efectiva es aprovechar los scripts que se ejecutan al encender el sistema o al iniciar sesión. El malware se cuela aquí para garantizar que se lance cada vez que el equipo se pone en marcha.
Por ejemplo:
-
En Linux, archivos como
rc.local, carpetas como/etc/init.d/, o servicios configurados consystemdson blancos habituales. -
En entornos empresariales, también pueden aprovechar políticas de grupo para hacer esto a gran escala.
El objetivo: ejecutar el código malicioso antes de que el usuario siquiera se dé cuenta.
T1543 – Creación o modificación de procesos del sistema
Los procesos que corren con privilegios elevados, como los servicios de Windows, los demonios de Linux o los launch agents de macOS, son perfectos para esconder cargas maliciosas.
Una vez que el atacante logra instalar o alterar uno de estos servicios, puede ejecutar su malware automáticamente cada vez que se encienda el equipo o se inicie un proceso del sistema. Lo más preocupante es que, como son procesos legítimos, no siempre levantan sospechas.
T1136 – Crear cuentas de usuario
Si un atacante tiene acceso suficiente, puede simplemente crear una nueva cuenta en el sistema, ya sea local, en el dominio o incluso en servicios en la nube.
Estas cuentas pueden usarse para volver a entrar en el sistema sin ser detectado, especialmente si se configuran con privilegios de administrador o se camuflan como cuentas del sistema. Es una técnica simple, pero muy eficaz para mantener el acceso a largo plazo.
T1098 – Manipulación de cuentas existentes
Además de crear nuevas cuentas, los atacantes también pueden modificar cuentas que ya existen. Por ejemplo:
-
Cambiar contraseñas.
-
Agregar usuarios a grupos con más privilegios.
-
Modificar archivos como
~/.ssh/authorized_keyspara habilitar el acceso SSH sin necesidad de una contraseña.
Este tipo de cambios puede pasar desapercibido en muchos entornos, sobre todo si no hay un sistema de monitoreo activo que detecte estas acciones.
¿Por qué deberías prestar atención a estas técnicas?
Porque si un atacante logra mantener persistencia en tu sistema, no basta con detectar el malware una vez. Mientras no identifiques y elimines los métodos de persistencia, el atacante puede volver a entrar una y otra vez.
Aquí algunas de las consecuencias más comunes de ignorar este tipo de actividad:
-
Filtraciones de datos a largo plazo.
-
Accesos remotos no autorizados.
-
Uso de tus sistemas como punto de partida para atacar a otros.
-
Daños en la reputación de tu empresa o marca.
Además, muchas soluciones antivirus tradicionales no detectan este tipo de persistencia, ya que no siempre se trata de archivos maliciosos en sí, sino de configuraciones del sistema que parecen legítimas a simple vista.
Podría interesarte leer: ¿Qué es La Respuesta a Incidentes en Ciberseguridad?
Cómo Wazuh se defiende contra las técnicas de persistencia de malware
Si buscas una solución completa para defenderte contra estas técnicas, Wazuh es una excelente opción. Es una plataforma gratuita y de código abierto que combina SIEM + XDR, y te da todo lo que necesitas para monitorear, detectar y responder a amenazas en distintos entornos: locales, en la nube, virtualizados o en contenedores.
Wazuh te ayuda específicamente con la persistencia de malware con:
Wazuh Active Response (respuesta automática)
Wazuh no solo detecta anomalías: también puede actuar automáticamente ante ellas. Su módulo de respuesta activa te permite configurar acciones automáticas basadas en eventos específicos.
Por ejemplo, si detecta:
-
Un intento de fuerza bruta
-
La creación de una cuenta no autorizada
-
Un cambio sospechoso en el registro o en tareas programadas
... puede ejecutar un script para bloquear IPs, desactivar cuentas o eliminar archivos maliciosos. Todo en tiempo real, sin intervención humana.
Wazuh Active Response deshabilita una cuenta de Linux dirigida por ataques de fuerza bruta
Ejemplo real: Si un atacante intenta iniciar sesión por fuerza bruta en una cuenta de Linux, Wazuh puede deshabilitar esa cuenta automáticamente para evitar accesos posteriores.
Conoce más sobre cómo funciona Wazuh Active Response:
Monitoreo de integridad de archivos (FIM): Tu primera línea de defensa silenciosa
El módulo FIM (File Integrity Monitoring) de Wazuh es como un guardián silencioso que mantiene un ojo en archivos y carpetas clave del sistema. Su trabajo es simple pero poderoso: detectar cualquier cambio inesperado y avisarte al instante.
¿Cómo funciona? Primero, FIM escanea los archivos que estás monitoreando y crea una línea de base, algo así como una huella digital de cada archivo, usando sumas de verificación y atributos importantes (como permisos o fechas de modificación). A partir de ahí, cualquier cambio que ocurra (ya sea creación, modificación o eliminación) genera una alerta si no concuerda con esa huella original.
Esto es especialmente útil cuando hablamos de persistencia de malware, ya que muchos ataques intentan modificar scripts de inicio, servicios del sistema o configuraciones críticas sin levantar sospechas.
Detección de servicios y temporizadores de Systemd mediante el módulo FIM de Wazuh
Podría interesarte leer: Seguridad y Cumplimiento Normativo con Wazuh
Evaluación de seguridad y configuración (SCA): detecta fallos antes de que se conviertan en problemas
Uno de los pilares para mantener tus sistemas seguros es tener una buena configuración. Muchas veces, los errores no vienen por un malware superavanzado, sino por configuraciones mal hechas o servicios innecesarios que nadie revisó.
Ahí es donde entra el módulo de SCA (Security Configuration Assessment) de Wazuh.
Este módulo se encarga de analizar tus endpoints en busca de errores de configuración, componentes innecesarios o ajustes inseguros, y te da recomendaciones claras para corregirlos. Es como una auditoría de seguridad automática que puedes correr cuando quieras.
¿Cómo funciona?
Wazuh SCA utiliza archivos de directiva (una especie de checklist de buenas prácticas) para revisar diferentes aspectos del sistema, como:
-
Configuraciones del sistema operativo
-
Archivos críticos
-
Procesos en ejecución
-
Claves del registro (en entornos Windows)
Todo esto para identificar qué configuraciones deberías revisar, cambiar o reforzar.
¿Qué puede detectar?
Algunos ejemplos de cosas que SCA puede ayudarte a identificar:
-
Políticas de contraseñas débiles o desactualizadas
-
Software instalado que no se está usando y representa un riesgo
-
Servicios innecesarios corriendo en segundo plano
-
Configuraciones de red mal aseguradas
-
Parámetros inseguros en protocolos como SSH o RDP
Por ejemplo, si estás permitiendo inicios de sesión SSH sin autenticación de clave pública, Wazuh lo detectará y te mostrará una alerta clara, como en el resultado de la siguiente imagen, donde se marca ese fallo específico.
Resultado del escaneo SCA de Wazuh que muestra la configuración SSH
Análisis de logs: visibilidad total de lo que pasa en tu infraestructura
Si hay algo que no miente en ciberseguridad, son los logs. Cada acción, cambio o evento dentro de tu infraestructura deja un rastro. El truco está en saber leerlo a tiempo. Ahí es donde entra Wazuh con su potente módulo de análisis de datos de registro.
Este módulo te permite tener visibilidad completa de lo que ocurre en tus endpoints, dispositivos de red y aplicaciones, recolectando, analizando y almacenando logs de forma centralizada. Con esta información, puedes detectar amenazas, resolver problemas, hacer auditorías de cumplimiento y mucho más.
¿Cómo funciona?
El agente de Wazuh, instalado en los sistemas que deseas supervisar, se encarga de:
-
Recolectar registros del sistema y de aplicaciones en tiempo real.
-
Enviar esa información al servidor de Wazuh, donde se analiza y correlaciona.
-
Generar alertas automáticas cuando detecta algo fuera de lo normal.
Este flujo continuo de información te permite mantener el control y tomar decisiones informadas antes de que un problema se convierta en una brecha de seguridad.
¿Qué puedes detectar con el análisis de logs?
-
Intentos de persistencia de malware
-
Creación de cuentas no autorizadas
-
Cambios sospechosos en claves del registro
-
Modificaciones en servicios del sistema
-
Errores críticos o fallos de seguridad
-
Actividades inusuales en usuarios o aplicaciones
Podría interesarte leer: Wazuh y Filebeat en la Seguridad de Logs
Detección de vulnerabilidades en Wazuh: Encuentra los puntos débiles antes que los atacantes
No importa lo sólido que creas que es tu sistema, si hay una vulnerabilidad sin parchear, los atacantes la encontrarán. Por eso, uno de los pilares de una buena estrategia de seguridad es saber exactamente dónde están esos puntos débiles… antes de que alguien más los explote.
El módulo de detección de vulnerabilidades de Wazuh se encarga de eso.
¿Cómo funciona? Muy sencillo: analiza el sistema operativo y las aplicaciones instaladas en tus endpoints, y luego cruza esa información con bases de datos de vulnerabilidades conocidas (como las que están en su plataforma CTI). Si encuentra coincidencias, genera una alerta automática y la muestra directamente en el panel de Wazuh.
¿Qué obtienes con esto?
Una vista clara y centralizada de:
-
Qué paquetes están vulnerables
-
En qué sistema operativo se encuentran
-
Qué agente lo está reportando
-
Qué tan grave es la vulnerabilidad (baja, media, crítica)
Todo esto te permite actuar de forma proactiva, priorizando los parches y fortaleciendo tus sistemas antes de que los atacantes aprovechen esos huecos de seguridad.
Panel de detección de vulnerabilidades de Wazuh
Conclusión
Las técnicas de persistencia de malware son una de las herramientas favoritas de los atacantes para mantenerse dentro de un sistema durante semanas o incluso meses, sin que nadie lo note. Eso representa un riesgo enorme para cualquier organización.
Combatirlas no se trata solo de eliminar el malware. Requiere una estrategia completa que incluya:
-
Sistemas bien configurados
-
Aplicación regular de parches y actualizaciones
-
Supervisión continua de archivos y cuentas (FIM)
-
Búsqueda activa de amenazas
-
Visibilidad total sobre lo que ocurre en tus endpoints
Si estás buscando una solución sólida para proteger tu infraestructura, en TecnetOne podemos ayudarte a implementar y personalizar Wazuh de acuerdo con las necesidades específicas de tu organización.
Nuestro equipo está especializado en crear estrategias de defensa adaptadas a distintos entornos (on-premise, nube, híbridos o con contenedores) garantizando una cobertura de seguridad completa y efectiva.
Desde la implementación inicial, pasando por la configuración de reglas y alertas, hasta la capacitación de tu equipo técnico, te acompañamos en cada paso del camino para que puedas sacar el máximo provecho de Wazuh.
