Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Actualidad

Fileless malware: qué es, cómo actúa y por qué algunos antivirus no lo detectan

17 Jul 2025

En la lucha constante contra las amenazas cibernéticas, uno de los vectores de ataque más sofisticados y difíciles de detectar es el fileless malware. A diferencia de malware que se almacena en el disco duro del dispositivo infectado, el fileless malware reside exclusivamente en la memoria, lo que lo hace más difícil de identificar para los antivirus tradicionales. A medida que los atacantes se vuelven más hábiles, esta técnica para ejecutar malware sin persistencia ha ganado popularidad, representando una amenaza creciente para las organizaciones que confían en las soluciones convencionales de ciberseguridad. 

¿Qué es fileless malware y por qué es una amenaza creciente?

El fileless malware es, más que un software malicioso, una forma de alojar malware en el sistema evitando dejar rastros en el disco duro del equipo infectado. En lugar de almacenar los archivos maliciosos en el disco, los atacantes aprovechan procesos legítimos del sistema operativo para ejecutar malware y llevar a cabo sus actividades maliciosas. Con esta forma de operar se persigue que el malware resida completamente en la memoria RAM, lo que lo hace invisible para muchos sistemas de protección tradicionales.

Definición y características clave del fileless malware

Esta técnica pretende minimizar o evitar el uso de archivos físicos para infectar un sistema. Algunas de sus características clave son: 

  • Ejecución en memoria: El malware se carga y ejecuta directamente en la memoria del sistema.

  • Persistencia limitada: Aunque puede ser más difícil de detectar, el fileless malware tiende a no persistir una vez que el sistema se reinicia.

  • Evasión de antivirus: Al no dejar archivos en el disco, el malware evade las soluciones antivirus tradicionales que se basan en firmas de archivos.

¿Por qué es difícil de detectar el fileless malware?

El fileless malware desafía las soluciones de ciberseguridad tradicionales debido a sus métodos de funcionamiento únicos. A continuación, exploramos las principales razones por las que esta forma de ejecutar malware es tan difícil de detectar.

Ausencia de archivos en disco

El principal desafío es la falta de archivos en disco. Mientras que los antivirus tradicionales escanean los archivos almacenados en el sistema en busca de patrones maliciosos, el fileless malware opera directamente desde la memoria RAM, lo que impide que los escaneos convencionales lo detecten.

Uso de procesos legítimos del sistema

A menudo para la ejecución de malware siguiendo esta técnica se emplean herramientas legítimas del sistema operativo, como PowerShell o WMI (Windows Management Instrumentation). Esto permite evitar las herramientas de detección que se centran en identificar actividades sospechosas fuera de los procesos normales.

Limitaciones de los antivirus tradicionales

Muchos antivirus dependen de la detección basada en firmas, lo que significa que deben identificar archivos maliciosos específicos previamente conocidos. Dado que la técnica de fileless malware pretende no dejar archivos, no puede ser detectada por esta metodología. Además, muchos antivirus no están diseñados para monitorear los procesos de memoria en tiempo real.

Informe actualizado Panorama de RaaS

Factores que explican el aumento del fileless malware

El aumento en los ataques con componentes fileless malware puede atribuirse a varias razones, entre las que se encuentran las siguientes:

Mayor sofisticación de los atacantes

Los atacantes cibernéticos han perfeccionado sus técnicas, utilizando métodos avanzados para eludir las defensas tradicionales. Al usar herramientas y scripts legítimos del sistema, pueden ejecutar ataques más sigilosos y difíciles de detectar.

Fallos en detección basada en firmas

La detección basada en firmas no es efectiva contra fileless malware, ya que este tipo de ataque no deja rastros de archivos en el disco. Esto permite que los atacantes exploten vulnerabilidades sin ser detectados.

Incremento de ataques dirigidos (APT)

Los Advanced Persistent Threats (APT) son ataques dirigidos y sofisticados que buscan acceder a información crítica. El fileless malware se ha convertido en una herramienta popular en estos ataques debido a su capacidad para operar de manera oculta y persistente.

¿Cómo funciona el fileless malware?

Existen diversas formas de ejecutar malware de forma directa en memoria. Para comprender cómo los diferentes actores las emplean en sus campañas es fundamental mantener un ciclo de ciberinteligencia actualizado y con monitorización en este tipo de amenazas.

Técnicas comunes de infección y acceso inicial

Las técnicas más comunes de infección por malware siguen incluyendo el uso de correos electrónicos de phishing, enlaces maliciosos o el aprovechamiento de vulnerabilidades en aplicaciones legítimas. Estas técnicas siguen siendo aplicables a casos en los que los ciberdelincuentes deciden emplear fileless malware. La diferencia radica en que durante la infección se evitará en la medida de lo posible que queden rastros en el disco, y de ahí que se apode fileless. Diferentes formas de malware pueden ser desplegados como fileless malware. 

Un caso notorio reciente es el de webshells como Godzilla, con componentes malware recibidos por medio de peticiones http que serán inyectados directamente en memoria.

Persistencia en memoria y evasión de controles

A diferencia de otros tipos de malware, el fileless malware se carga en la memoria RAM y evita el disco duro. Esto le permite persistir mientras el sistema esté en funcionamiento, pero desaparece cuando el sistema se reinicia. Esta operativa podría ser particularmente útil en sistemas que raramente se reinicien (p.ej. servidores críticos). 

Ejecución mediante PowerShell, WMI y scripts

Las herramientas como PowerShell y WMI son comúnmente utilizadas para ejecutar fileless malware. Estos procesos legítimos del sistema operativo permiten que el malware ejecute comandos y scripts maliciosos sin dejar huellas en el disco.

Casos reales de ataques empleando la técnica fileless malware

Ejemplo 1: Ataque a entidades financieras con PowerShell

En 2017, un grupo de atacantes utilizó PowerShell para implementar un ataque de fileless malware dirigido a instituciones financieras. Utilizaron scripts para manipular procesos legítimos y robar información sensible sin dejar rastros.

Ejemplo 2: Fileless malware en redes corporativas mediante macros de Office

En varios incidentes, los atacantes han utilizado macros de Microsoft Office como vector de ataque para introducir fileless malware en redes corporativas. Una vez activadas, las macros descargan y ejecutan malware en memoria sin necesidad de almacenar archivos en disco.

Recomendaciones para prevenir y detectar fileless malware

Restricción de scripts y herramientas administrativas

Es crucial restringir el uso de herramientas como PowerShell y WMI, a menos que sea absolutamente necesario. Establecer políticas estrictas sobre el uso de scripts y herramientas administrativas ayuda a minimizar el riesgo.

Concienciación y entrenamiento del personal técnico

La formación continua es esencial. Asegúrate de que el personal técnico conozca las tácticas de ataque más recientes y cómo detectar señales de fileless malware.

Servicios de detección y respuesta ante fileless malware

En S2GRUPO, ofrecemos soluciones avanzadas para detectar y mitigar amenazas de fileless malware a través de nuestra plataforma EMDR (Enterprise Managed Detection and Response) y SOC (Centro de Operaciones de Seguridad).

EMDR de S2GRUPO: detección proactiva basada en MITRE ATT&CK

Nuestro servicio EMDR utiliza el marco MITRE ATT&CK para detectar y responder a ataques en tiempo real, incluidos los basados en fileless malware.

SOC de S2GRUPO: monitorización continua y análisis forense

Nuestro SOC está diseñado para proporcionar monitoreo 24/7, análisis de comportamiento y respuesta ante incidentes, asegurando que cualquier amenaza sea detectada y mitigada rápidamente.

En S2GRUPO, contamos con un equipo de expertos que, con el uso de tecnologías de vanguardia y una metodología personalizada, brindan soluciones de ciberseguridad que van más allá de la detección convencional. Si deseas proteger tu empresa de las amenazas más sofisticadas y asegurar la continuidad de tu negocio, estamos aquí para ayudarte.

Conoce más sobre nuestros servicios de detección y respuesta a amenazas avanzadas y descubre cómo podemos proteger tu infraestructura de forma efectiva frente al fileless malware y otros ataques cibernéticos.

Artículos relacionados
Detección de malware en 2025: técnicas, herramientas y desafíos reales
Leer más →
Análisis de vulnerabilidades paso a paso: herramientas, errores comunes y buenas prácticas
Leer más →
Exploits: qué son, cómo se utilizan y cómo mitigar sus riesgos
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día