Malware Remcos: Análisis y Cómo Protegerte
Adriana Aguilar 11/12/2023 Ciberseguridad, Riesgos informaticos
9 Minutos

Remcos lleva varios años apareciendo de forma consistente en los reportes de amenazas más detectadas en Latinoamérica, y las empresas en México, Colombia y Chile lo encuentran en sus filtros de correo casi cada semana.

Los equipos de seguridad lo identifican como uno de los troyanos de acceso remoto más activos en campañas dirigidas a sectores como fintech, manufactura, retail y salud, pero la conversación pública sobre Remcos suele quedarse en la definición ("es un RAT, ten cuidado con el phishing") y deja fuera lo que realmente necesita un CISO o un director de IT: entender cómo opera, cómo lo detecta su stack actual, y qué hay que cambiar para reducir el riesgo.

Este artículo cubre Remcos desde la perspectiva operativa, abordando qué es, cómo se distribuye, qué hace una vez dentro, cómo se ve en los logs, y qué controles técnicos y de proceso bajan la probabilidad de que se convierta en un incidente serio.

 

TecnetOne
Tabla de Contenido
0% leído
0% completado

 

Qué es Remcos y por qué importa

 

Remcos es un RAT (Remote Access Trojan, o troyano de acceso remoto), lo que en términos prácticos significa que es software que le da a un atacante el mismo nivel de control que tendría sentado frente al equipo infectado, incluyendo leer archivos, escribir comandos, capturar lo que el usuario teclea, encender la cámara y exfiltrar credenciales del navegador.

Lo desarrolla una empresa llamada Breaking Security, que lo vende públicamente desde 2016 como "herramienta de administración remota legítima", y esa narrativa de doble uso es justamente lo que ha hecho que se mantenga vigente: el binario circula, los foros de cibercrimen comparten versiones crackeadas, y los grupos de amenazas lo adoptan porque está bien mantenido y resulta relativamente barato comparado con desarrollar uno propio.

La razón por la que sigue siendo relevante en 2026 es que cumple bien tres funciones que el cibercrimen valora: acceso inicial persistente, robo de información en su modo de keylogging y captura de credenciales (funcionando como infostealer, o ladrón de información), y plataforma para soltar cargas posteriores que pueden ir desde otros troyanos bancarios hasta ransomware operado manualmente. Una infección con Remcos rara vez termina en Remcos.

 

Cómo funciona Remcos por dentro

 

La arquitectura es la típica de un RAT comercial: un cliente que el atacante ejecuta en su máquina, un servidor C2 (Command and Control, o servidor de comando y control) que recibe las conexiones de las víctimas, y un payload (carga útil maliciosa) que se instala en el equipo objetivo y mantiene la conexión abierta.

Lo que distingue a Remcos de otros RATs comerciales es la calidad de sus mecanismos de evasión y la flexibilidad de su panel de control, que permite al operador filtrar víctimas por país, sistema operativo o privilegios.

Una infección típica sigue esta secuencia:

 

  1. Entrega: el usuario recibe un correo con un documento Office, un archivo comprimido o un PDF que contiene un enlace.

  2. Ejecución inicial: al abrir el archivo se dispara una macro, una vulnerabilidad de Office (CVE-2017-11882 sigue siendo común) o un script que descarga la siguiente etapa.

  3. Loader (cargador intermedio): herramientas como GuLoader, DBatLoader o AgentTesla descargan y descifran el binario real de Remcos en memoria, evitando que toque disco hasta que está listo para persistir.

  4. Persistence (persistencia en el sistema): Remcos se copia a sí mismo en %AppData%\Roaming\remcos o rutas similares, crea una clave en el registro (típicamente HKCU\Software\Microsoft\Windows\CurrentVersion\Run) y, en algunas variantes, se inyecta en procesos legítimos como explorer.exe.

  5. Conexión al C2: el implante contacta al servidor del atacante por TCP en puertos no estándar (2404, 8080, 1604 y 8888 son frecuentes) usando un protocolo propio, y desde ese momento el operador puede ejecutar comandos en tiempo real.

 

El detalle importante para los equipos de seguridad es que una vez establecida la conexión al C2, todo el tráfico malicioso parece "comunicación de aplicación instalada", ya que no hay PowerShell sospechoso corriendo en bucle ni Mimikatz cargándose visiblemente. Por eso la detección efectiva no se basa en buscar "Remcos" sino en correlacionar comportamientos.

 

Vectores de distribución más comunes en LATAM

 

El correo electrónico sigue siendo el canal dominante, y las campañas que vemos contra empresas en México, Colombia y Chile no son técnicamente sofisticadas en su entrega, aunque sí están bien localizadas:

 

  1. Facturas y comprobantes falsos: "Adjunto su factura del mes" con un documento que pretende ser un PDF pero es un ejecutable o un archivo Office con macros.

  2. Notificaciones bancarias suplantadas: correos que imitan a bancos locales (Banorte, Bancolombia, BancoEstado) pidiendo verificar un movimiento sospechoso.

  3. Citaciones legales o fiscales: señuelos que invocan al SAT en México o la DIAN en Colombia, dirigidos a personal administrativo o contable.

  4. Archivos en servicios legítimos: enlaces a Dropbox, Google Drive, OneDrive o Mediafire para esquivar filtros de reputación de URL.

 

En 2024 ESET publicó un análisis de cómo operan los troyanos de acceso remoto y documentó una campaña activa de Remcos contra empresas y organismos en Colombia, usando señuelos en español y un loader intermedio que hacía mucho más difícil la detección estática.

Lo que ese caso dejó claro es que no se trata de ataques de oportunidad, sino que los operadores eligen verticales con buena capacidad de pago y donde un equipo infectado en una posición administrativa o financiera tiene acceso directo a información sensible.

El vector secundario, menos visible pero creciente, son los anuncios maliciosos en motores de búsqueda, donde los atacantes pagan campañas de Google Ads imitando software legítimo (clientes VPN, herramientas de productividad, instaladores de impresoras) y entregan el ejecutable troyanizado. Este vector no se mitiga con filtros de correo y requiere controles a nivel de endpoint junto con educación al usuario.

 

Qué puede hacer Remcos una vez dentro

 

El panel de Remcos expone una lista de capacidades que vale la pena entender, porque cada una se traduce directamente en un riesgo operacional concreto:

 

  1. Keylogger online y offline: registra cada tecla pulsada incluyendo cuando el equipo está sin conexión, y lo envía cuando se restablece, lo que significa que por ahí se van credenciales corporativas, contraseñas de banca y respuestas de correos confidenciales.

  2. Captura de pantalla a demanda o programada: el operador puede sacar screenshots periódicos para reconstruir qué hace el usuario sin necesidad de mirar el live feed.

  3. Acceso a webcam y micrófono: sin notificación visible para el usuario en la mayoría de las variantes.

  4. Gestor de archivos remoto: navegar, descargar, subir y borrar archivos del disco infectado.

  5. Shell de comandos: ejecución arbitraria de comandos del sistema, incluyendo PowerShell.

  6. Robo de credenciales del navegador: extracción de contraseñas guardadas en Chrome, Edge, Firefox y otros, junto con cookies de sesión que permiten secuestrar cuentas sin necesidad de la contraseña.

  7. Descarga y ejecución de cargas adicionales: Remcos suele ser solo el primer escalón, ya que el operador puede entregar después un infostealer especializado (Redline, Vidar) o preparar el terreno para ransomware.

 

Este último punto es el más importante para el cálculo de riesgo, porque una infección con Remcos no es "tenemos un equipo con un troyano" sino "alguien tiene acceso interactivo, en tiempo real, a un equipo de nuestra red, y está decidiendo qué hacer a continuación". El tiempo entre la infección y el siguiente movimiento del atacante define cuánto daño hay.

 

Cómo detectar Remcos: IOCs y señales en logs

 

Detectar Remcos por firma estática es cada vez menos confiable porque los operadores lo empaquetan con crypters distintos en cada campaña, así que la detección efectiva combina IOCs (Indicators of Compromise, o indicadores de compromiso) conocidos con reglas de comportamiento. Estas son las señales que un SIEM bien configurado debería estar alertando:

Artefactos en el endpoint:

  1. Procesos ejecutándose desde %AppData%\Roaming\remcos\ o subcarpetas similares.

  2. Claves de registro creadas en HKCU\Software\Remcos, o entradas de autoarranque en HKCU\Software\Microsoft\Windows\CurrentVersion\Run apuntando a binarios en carpetas de usuario.

  3. Procesos legítimos (explorer.exe, iexplore.exe, RegSvcs.exe, MSBuild.exe) iniciando conexiones de red salientes, comportamiento típico de inyección.

  4. Mutex con nombres como "Remcos-XXXXXX" donde XXXXXX es un identificador del operador, visibles con herramientas como Process Explorer.

 

Indicadores de red:

  1. Conexiones TCP salientes persistentes a IPs no categorizadas en puertos 2404, 8080, 8888, 1604, 7777 u otros no estándar.

  2. Patrones de tráfico tipo beacon, con pequeños paquetes a intervalos regulares (cada 30 a 60 segundos) hacia el mismo destino.

  3. Resolución DNS a dominios dinámicos (DuckDNS, No-IP, ChangeIP) que cambian de IP con frecuencia, patrón clásico de C2 de bajo presupuesto.

 

Para empresas con plataforma SIEM, Wazuh tiene reglas específicas para Remcos en su catálogo de detección que se pueden ajustar al entorno. Lo mismo aplica para soluciones EDR como Microsoft Defender for Endpoint o CrowdStrike, que traen detecciones de comportamiento cubriendo los patrones de inyección y persistencia descritos arriba, aunque requieren configuración y tuning para no generar ruido excesivo. Para equipos sin un SOC propio, un SOC gestionado externalizado normalmente trae estas reglas precargadas y respondidas 24/7.

 

Qué hacer si Remcos ya está dentro

 

El protocolo de respuesta para un equipo infectado con Remcos en un entorno corporativo difiere del que se aconseja a un usuario doméstico, y las prioridades son detener la exfiltración, preservar evidencia y rotar lo que ya pudo estar comprometido. Estos son los pasos en orden:

 

  1. Aislar el equipo de la red: desconectar Wi-Fi y cable, o usar contención de host desde la herramienta EDR si lo permite, para mantener visibilidad sin permitir tráfico saliente.

  2. Preservar evidencia antes de limpiar: snapshot de memoria, copia de procesos en ejecución, y dump de conexiones de red activas, algo crítico si el incidente puede tener implicaciones legales o contractuales (LFPDPPP en México, Ley 1581 en Colombia).

  3. Identificar el alcance: buscar los IOCs en el resto de la flota, porque si Remcos llegó por phishing probablemente más de un usuario abrió el correo, y si llegó por un loader compartido puede haber más persistencias.

  4. Rotar credenciales: asumir comprometidas todas las contraseñas tecleadas o guardadas en navegador del equipo afectado, incluyendo cuentas corporativas, banca, VPN y herramientas SaaS.

  5. Reimagen del equipo: en entornos empresariales no se "limpia" un equipo infectado con un RAT sino que se reinstala desde imagen limpia, porque el costo de no hacerlo (una persistencia que no se vio durante la limpieza) es mucho mayor que el tiempo de reimagen.

  6. Comunicar y documentar: notificar al área legal, al DPO si aplica, y mantener bitácora de cada acción para auditoría posterior.

 

Para usuarios individuales o equipos sin gestión corporativa, la secuencia se simplifica a arrancar en modo seguro, ejecutar un escaneo completo con una solución antimalware reputada, revisar carpetas de inicio y claves de registro de autoarranque, cambiar todas las contraseñas desde otro equipo limpio, y revisar movimientos bancarios y correos enviados recientemente.

 

Remcos vs otros RATs: dónde encaja en el panorama

 

Para dimensionar el riesgo es útil comparar Remcos con los otros RATs más activos en campañas dirigidas a LATAM, ya que cada uno tiene su perfil de uso y su forma de aparecer en logs:

 

RAT Modelo Distribución típica Lo que mejor sabe hacer Visibilidad en LATAM
Remcos Comercial (Breaking Security) Phishing con docs Office, loaders Acceso interactivo más keylogging Muy alta
AsyncRAT Open source en GitHub Phishing, descargas drive-by Conexión asíncrona, ligero Alta
NjRAT Filtrado en foros (gratis) Cracks, instaladores piratas Sencillez, muy popular en script kiddies Media
Quasar Open source (originalmente legítimo) Phishing, ataques dirigidos Modular, base de variantes a medida Media-alta
AgentTesla Comercial (suscripción) Phishing con docs y enlaces Robo masivo de credenciales Muy alta

 

La conclusión práctica de esta comparativa es que ningún control que cubra solo "Remcos" es suficiente, ya que los controles que detectan Remcos (filtrado de correo, bloqueo de macros, EDR con detección por comportamiento, monitoreo de C2) cubren al mismo tiempo el resto de la familia. Por eso conviene pensar en términos de cadena de ataque (correo, ejecución, persistencia, C2) y no en términos de "tener firma para malware X".

 

Cómo reducir el riesgo de Remcos a nivel empresa

 

La defensa contra Remcos no es un producto sino una combinación de controles que se refuerzan entre sí, organizados aquí en orden de impacto vs esfuerzo:

 

  1. Filtrado de correo robusto: Microsoft Defender for Office 365, Proofpoint o Mimecast con sandbox de adjuntos y análisis de URL en tiempo real, ya que es la primera barrera y la más costo-efectiva. Combinar filtros con educación contra phishing reduce drásticamente el clic inicial.

  2. Bloqueo de macros por política: deshabilitar macros de Office descargadas de internet vía Group Policy, considerando que Microsoft activó esto por defecto desde 2022 pero muchos entornos lo desactivaron para mantener compatibilidad con plantillas legacy, así que vale la pena revisarlo.

  3. EDR en todos los endpoints: no antivirus tradicional, sino una solución EDR moderna que detecte los patrones de inyección y persistencia incluso cuando la muestra es nueva.

  4. Segmentación de red: que un equipo de un usuario administrativo no tenga visibilidad directa a servidores de producción ni a la red de respaldos, lo que limita el daño cuando una infección ocurre.

  5. Monitoreo SIEM/XDR 24/7: los beacons al C2 no respetan horario de oficina, así que una alerta de tráfico anómalo a las 3 AM que nadie ve hasta el lunes equivale a no tener la alerta, y acá es donde un SOC propio o gestionado hace la diferencia.

  6. MFA en todo lo que se pueda: aunque Remcos robe credenciales, MFA frena el reuso para acceder a SaaS y VPN, y aunque no es perfecto contra robo de cookies de sesión, sube el costo del ataque.

  7. Plan de respuesta documentado y probado: saber qué hacer en la primera hora después de detectar una infección, porque la velocidad de respuesta es lo que separa "incidente contenido" de "violación de datos reportable".

 

Conclusión: Remcos no es novedoso, pero sigue funcionando

 

Remcos no es la amenaza más sofisticada en circulación, ya que no tiene capacidades de zero-day, no usa técnicas de evasión exclusivas, y los productos de seguridad llevan años incorporando detecciones para él.

Lo que lo mantiene relevante en LATAM es la combinación de tres factores: distribución barata vía phishing localizado, suficiente flexibilidad para servir a múltiples objetivos (espionaje, robo de credenciales, acceso inicial para ransomware), y entornos corporativos donde los controles básicos como filtrado de correo, EDR y monitoreo continuo no están desplegados o están mal configurados.

La pregunta para un CISO o director de IT no es "¿está Remcos en mi red?" sino "¿si Remcos llegara a mi red mañana, en cuánto tiempo lo detectaría y qué tan rápido podría contenerlo?", y si la respuesta es "no estoy seguro", es donde hay que trabajar.

En TecnetOne ayudamos a equipos de seguridad a desplegar la capa de detección y respuesta que cierra ese hueco, con SOC gestionado 24/7 con reglas afinadas para amenazas activas en LATAM (incluida la familia de RATs comerciales como Remcos), integración con Microsoft Defender y Wazuh, y respuesta ante incidentes con playbooks documentados. Si quieres dimensionar tu exposición actual o evaluar qué cobertura te falta, conversemos en una sesión sin compromiso.

 

Contáctanos

Tag:

Ciberseguridad Riesgos informaticos

Supervisión de métricas de StatsD con Site24x7

Artículo Anterior

Prevención y Análisis del Troyano AsyncRAT

Siguiente Artículo
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 03/25/2026 SOC, TecnetProtect, TecnetOne
¿Qué es TecnetOne? Ciberseguridad y Servicios en la Nube para Empresas
Muriel de Juan Lara 01/13/2026 Ciberseguridad, SOC
Contratar SOC: ¿Cómo hacerlo y qué debes tomar en cuenta?
Adan Cuevas 04/01/2026 Ciberseguridad, Cumplimiento Normativo
¿Cómo cumple con PCI DSS una fintech en LATAM?
Gustavo Sánchez 01/19/2026 Ciberseguridad, Pentesting
Cómo elegir el Proveedor de Pentesting Ideal para tu Empresa

Artículos Relacionados

Ciberseguridad, Riesgos informaticos
Scarlet Mendoza 12/22/2025

Paquete NPM Malicioso Roba Cuentas y Mensajes de WhatsApp

Se ha detectado unpaquete malicioso en el registro de Node Package Manager (NPM) que se hace pasar

Leer más
Ciberseguridad, Riesgos informaticos, Concientización, phishing
Muriel de Juan Lara 11/26/2025

Phishing en Black Friday: Así Operan los Ciberdelincuentes

El boom del comercio digital ha cambiado por completo la forma en que compramos durante el Black

Leer más
Ciberseguridad, Riesgos informaticos
Adan Cuevas 11/24/2025

10 Consejos para Prevenir el Robo de Identidad Digital

En TecnetOne, sabemos que proteger la información personal es muy importante. Vivimos en una era

Leer más