T1055 encabeza la lista entre las 1,1 millones malware analizadas, y el 80 % de las diez técnicas principales se centran en eludir los sistemas de defensa.malware sin archivos malware una de las categorías de amenazas de más rápido crecimiento y más difíciles de detectar a las que se enfrentan hoy en día los equipos de seguridad. A diferencia del malware que descarga archivos ejecutables en el disco, los ataques sin archivos hacen uso indebido de herramientas de confianza del sistema operativo —PowerShell, WMI, .NET— para ejecutar código malicioso directamente en la memoria. El resultado es un ataque que deja un mínimo de rastros forenses, elude los antivirus basados en firmas y se mimetiza a la perfección con la actividad legítima del sistema. Según el estudio «State of Endpoint Security Risk» de 2017 del Ponemon Institute, los ataques sin archivos tenían aproximadamente 10 veces más probabilidades de tener éxito que los ataques basados en archivos, un hallazgo que, aunque antiguo, sigue siendo el punto de referencia más citado porque ningún estudio actualizado lo ha sustituido. Datos más recientes muestran que el problema se está acelerando. malware sin archivos han aumentado un 78 % entre 2024 y 2026, y las técnicas sin archivos y en memoria han crecido aproximadamente un 30 % interanual. Esta guía ofrece una visión exhaustiva y basada en pruebas de cómo malware sin archivos, las campañas reales que conforman el panorama actual de amenazas y las estrategias de detección por capas que realmente funcionan contra las amenazas residentes en memoria.
malware sin archivos malware una categoría de actividad maliciosa que utiliza herramientas nativas y legítimas integradas en un sistema operativo —como PowerShell, WMI y .NET— para llevar a cabo ciberataques sin escribir archivos ejecutables tradicionales en el disco, operando principalmente en la memoria a través de procesos del sistema de confianza y eludiendo la detección basada en firmas.
Esa definición, aunque clara, simplifica en exceso una realidad llena de matices. El término «sin archivos» abarca un amplio espectro. La taxonomía oficial de amenazas sin archivos de Microsoft clasifica estas amenazas en tres tipos:
También es posible que te encuentres con términos sinónimos en la práctica. malware que opera únicamente en memoria,malware , los ataques sin huella y las técnicas «living off the land» (LOTL) describen conceptos que se solapan dentro de esta categoría de amenazas. La diferencia clave es que malware sin archivos malware una categoría más amplia, y LOTL es un subconjunto específico de técnicas dentro de ella.
malware sin archivos no malware un virus en el sentido tradicional. Los virus tradicionales se replican adhiriéndose a los archivos. malware sin archivos malware a través de procesos legítimos del sistema, lo que lo convierte en una categoría de amenaza fundamentalmente diferente que requiere métodos de detección distintos.
Tabla: Diferencias clave entre malware sin archivos y malware tradicional
malware sin archivos malware un proceso de ataque en varias fases. Comprender cada una de estas fases —y las herramientas que utilizan los atacantes— es fundamental para desarrollar un sistema de detección eficaz.
Cadena típica de un ataque sin archivos:
PowerShell sigue siendo el principal medio de ejecución sin archivos en Windows. Los atacantes utilizan comandos codificados en Base64 que se envían directamente a PowerShell para descargar y ejecutar cargas útiles sin necesidad de crear ningún archivo. El T1059.001 Esta técnica es una de las que más se observan en las campañas del mundo real.
Un patrón típico consiste en que curl.exe o Invoke-WebRequest recuperen un script de un servidor remoto y lo canalicen directamente a powershell.exe -EncodedCommand para su ejecución en memoria. La Interfaz de Análisis Antimalware (AMSI) se diseñó para inspeccionar estos comandos en tiempo de ejecución, pero los atacantes siguen desarrollando técnicas para eludir las medidas de seguridad — lo que convierte a AMSI en una capa de defensa importante, aunque imperfecta.
El uso indebido de WMI añade otra dimensión. Los atacantes crean suscripciones a eventos WMI, es decir, desencadenantes permanentes que ejecutan código cuando se cumplen determinadas condiciones del sistema. La puerta trasera POSHSPY de APT29 almacenaba comandos cifrados de PowerShell dentro del propio repositorio WMI, y un filtro WMI activaba su ejecución periódica. Tal y como documentó el análisis de Mandiant, esto proporcionó a APT29 un acceso persistente y sin archivos, ejecutándose como SYSTEM y sin dejar rastros fuera del repositorio WMI.
Inyección en el proceso (T1055) es la MITRE ATT&CK más extendida MITRE ATT&CK . El informe Picus Red Report 2026, que analiza 1,1 millones malware , la situó en el primer puesto y reveló que el 80 % de las diez técnicas principales se centran en la evasión de las defensas, la persistencia y el comando y control.
Los atacantes inyectan código malicioso en el espacio de memoria de procesos en ejecución de confianza —RuntimeBroker.exe, svchost.exe, OneDrive.exe— para que la actividad maliciosa se ejecute bajo el contexto de un binario legítimo y firmado. La campaña DEAD#VAX de febrero de 2026 lo demostró con ofuscación de cuatro capas e inyección de procesos en procesos de Windows de confianza, utilizando archivos VHD alojados en IPFS para eludir por completo las protecciones de Mark-of-the-Web.
La persistencia basada en el Registro almacena cargas útiles codificadas en claves del Registro, lo que garantiza su supervivencia tras los reinicios y mantiene la carga útil fuera del sistema de archivos. La instalación paralela de DLL —en la que los atacantes colocan una DLL maliciosa junto a una aplicación legítima y firmada digitalmente— se ha convertido en una técnica muy utilizada. Storm-0249 se valió de un binario firmado por SentinelOne precisamente con este fin, convirtiendo el propio proceso de una herramienta de seguridad en un vector de ataque.
malware sin archivos ya no malware un problema exclusivo de Windows. Los entornos Linux —que albergan la mayor parte de cloud empresariales cloud — se enfrentan a su propio conjunto de técnicas sin archivos:
La campaña de minería de criptomonedas sin archivos dirigida a PostgreSQL, llevada a cabo en abril de 2025, afectó a más de 1 500 servidores mediante la técnica «memfd», lo que puso de manifiesto que los ataques sin archivos pueden alcanzar una escala propia del cibercrimen común en infraestructuras Linux. Los atacantes utilizaron la diversificación de hash de los binarios por objetivo para eludir la detección basada en la reputación, un nivel de sofisticación que hasta entonces solo se asociaba a las amenazas persistentes avanzadas.
Comprender la clasificación del malware sin archivos malware los equipos de seguridad malware desarrollar métodos de detección adecuados para cada variante. La tabla siguiente combina la taxonomía de Microsoft (Tipo I/II/III) con categorías basadas en técnicas y cloud emergentes cloud .
Tabla: Clasificación del malware sin archivos malware el tipo de ejecución y el mecanismo de persistencia
La expansión de las técnicas sin archivos a cloud supone una importante laguna en el sector de la ciberseguridad, así como una amenaza en rápido crecimiento. Cloud son especialmente vulnerables porque los contenedores son efímeros por naturaleza, lo que significa que el análisis tradicional basado en archivos tiene un valor limitado incluso frente malware convencional.
Entre los vectores de ataque cloud específicos cloud se incluyen:
VoidLink, un marco sin archivos cloud y asistido por IA descubierto en enero de 2026, es un claro ejemplo de esta evolución. Creado por un único desarrollador con la ayuda de un modelo de lenguaje grande —que, según se informa, generó unas 88 000 líneas de código—, VoidLink está dirigido a cloud con cadenas de ejecución sin archivos diseñadas específicamente para eludir las plataformas de protección cloud .
Las campañas reales de 2025 y 2026 demuestran cómo se utilizan las técnicas sin archivos en todas las principales superficies de ataque. Estos ejemplos —mucho más recientes que las anticuadas referencias de Poweliks (2014) y Kovter que aparecen en la mayoría de las guías de la competencia— reflejan la situación actual de las amenazas sin archivos.
Tabla: malware recientes malware sin archivos entre 2025 y 2026
La integración de técnicas sin archivos en las operaciones de ransomware se está acelerando. Según Recorded Future, los ataques de ransomware de los que se ha informado públicamente aumentaron hasta los 7.200 en 2025, frente a los 4.900 de 2024, lo que supone un incremento del 47 %. malware sin archivos en los kits de herramientas de ransomware han aumentado un 40 % (Gitnux, 2026), y el 93 % de las organizaciones ha sufrido al menos una intrusión preparada para el ransomware en los últimos 24 meses.
La campaña de Storm-0249 de diciembre de 2025 ilustra este patrón. La cadena de ataque utiliza ingeniería social de ClickFix para engañar a los usuarios y que ejecuten un comando de PowerShell. Ese comando descarga y ejecuta una carga útil sin archivos a través de curl.exe, canalizada a PowerShell; ningún archivo llega a tocar el disco. A continuación, la carga útil utiliza la carga lateral de DLL a través de un binario de seguridad firmado legítimamente para establecer la persistencia e implementar el ransomware. Todas las etapas previas a la carga útil de cifrado final aprovechan técnicas sin archivos, lo que hace que la detección temprana dependa del análisis de comportamiento en lugar del escaneo de archivos.
La detección malware sin archivos malware un cambio fundamental: pasar de una seguridad basada en archivos a una basada en el comportamiento. Los antivirus tradicionales —que se basan en el análisis de archivos en busca de firmas conocidas— no pueden detectar código que nunca existe como archivo. Por eso, el 79 % de los ataques dirigidos en 2023 utilizaron binarios «living-off-the-land» (KnowBe4, 2025) y por eso el 54 % de la actividad de los atacantes se registra, pero solo el 14 % genera alertas (Picus Blue Report, 2025). La brecha de detección es real, pero se puede abordar con el enfoque adecuado.
La detección de amenazas basada en el comportamiento supervisa el comportamiento de los procesos, los parámetros de los comandos y los cambios en el sistema, en lugar de las firmas de los archivos. Los siguientes indicadores son específicos de malware sin archivos.
Tabla: Indicadores de comportamiento del malware sin archivos malware correspondencias de detección
Esta es la idea clave que ninguna otra guía aborda adecuadamente. malware sin archivos malware la detección en los puntos finales; ese es precisamente su objetivo. Sin embargo, malware sin archivos malware generando tráfico de red. Cada comunicación de comando y control, cada intento de movimiento lateral y cada caso de exfiltración de datos produce comportamientos observables en la red.
La detección y respuesta en red (NDR) ofrece una capa de detección complementaria que detecta lo que las herramientas de los dispositivos finales no detectan:
La combinación de EDR y NDR proporciona visibilidad tanto en la capa de ejecución de los dispositivos finales como en la capa de comunicación de red, lo que permite cerrar la brecha que malware sin archivos.
Aunque no existe una única medida que permita eliminar por completo malware sin archivos, las siguientes medidas encarecen considerablemente la tarea a los atacantes:
En lo que respecta a la respuesta ante incidentes, hay que tener en cuenta que malware sin archivos malware una recopilación de pruebas volátiles. Se debe dar prioridad al análisis forense de la memoria, ya que el análisis forense del disco por sí solo no permite detectar los artefactos principales. Los manuales de respuesta ante incidentes específicos para el malware sin archivos deben incluir la captura de memoria como medida de primera respuesta.
Correlación de técnicas sin archivos con el MITRE ATT&CK permite una ingeniería de detección estructurada. En lugar de buscar ataques individuales, los equipos de seguridad pueden crear una cobertura de detección contra las técnicas específicas en las que malware sin archivos, creando defensas duraderas que funcionen contra futuras campañas, no solo contra las ya conocidas. Este enfoque se alinea con la metodología de la cadena de ataque cibernético, que consiste en interrumpir los ataques en cada etapa.
Tabla: MITRE ATT&CK que se utilizan habitualmente en malware sin archivos
malware sin archivos se ajustan directamente a los requisitos de cumplimiento normativo de los principales marcos normativos.
Tabla: Tabla de correspondencias del marco de cumplimiento para los controles malware sin archivos
El panorama de la detección está evolucionando en respuesta a las amenazas sin archivos. Tres tendencias convergentes están transformando la forma en que las organizaciones se defienden contra los ataques residentes en memoria.
En primer lugar, la integración integra las señales de los endpoints, la red y las identidades en un canal de detección unificado. Los ataques sin archivos que eluden cualquier capa de detección individual siguen generando comportamientos observables en múltiples capas. La correlación entre una ejecución anómala de PowerShell en un endpoint y un tráfico C2 saliente inusual en la red produce una señal de alta fiabilidad que ninguna de las capas logra por sí sola.
En segundo lugar, el análisis de comportamiento están madurando están madurando más allá de la simple detección basada en reglas. Las organizaciones que implementan defensas basadas en IA ahorran una media de 1,9 millones de dólares por incidente, en comparación con aquellas que no lo hacen (agregación de investigaciones de seguridad, 2025). Estos sistemas aprenden los comportamientos de referencia y señalan las desviaciones, exactamente el enfoque necesario contra las amenazas sin archivos que se camuflan entre las operaciones legítimas.
En tercer lugar, la propia amenaza está evolucionando. El análisis «Cyber Insights 2026» de SecurityWeek destaca los ataques polimórficos sin archivos impulsados por IA como una tendencia emergente, siendo PromptFlux y PromptSteal las primeras malware confirmadas que utilizan consultas a modelos de lenguaje grande (LLM). El uso que hace VoidLink de la asistencia de los LLM en el desarrollo de su marco de trabajo —que generó aproximadamente 88 000 líneas de código— indica que la IA está reduciendo las barreras para crear herramientas sofisticadas sin archivos.
El enfoque Vectra AI para malware sin archivos se basa en la filosofía de «asumir que el sistema está comprometido» y en Attack Signal Intelligence. En lugar de basarse en firmas o indicadores basados en archivos, la plataforma analiza los patrones de comportamiento en cloud de red y cloud para identificar las comunicaciones de comando y control, el movimiento lateral y la exfiltración de datos que los ataques sin archivos generan inevitablemente, incluso cuando se eluden las herramientas de detección de endpoints. Este análisis de comportamiento a nivel de red, respaldado por 35 patentes de IA y 12 referencias en MITRE D3FEND, proporciona una capa de detección crítica que complementa la cobertura de EDR y cierra la brecha de visibilidad de malware sin archivos.
malware sin archivos está entrando en una nueva fase impulsada por las capacidades de la inteligencia artificial tanto en el ámbito ofensivo como en el defensivo. En los próximos 12 a 24 meses, los equipos de seguridad deben prepararse para varios cambios.
Los ataques sin archivos impulsados por IA serán cada vez más sofisticados y accesibles. El descubrimiento de PromptFlux y PromptSteal —las primeras malware confirmadas que consultan activamente grandes modelos de lenguaje durante su funcionamiento— marca un giro hacia malware se adapta en tiempo real. VoidLink demostró que un solo desarrollador, con la ayuda de un LLM, puede crear marcos sin archivos de nivel empresarial. A medida que estas herramientas se extiendan, el volumen de ataques sin archivos aumentará, incluso aunque disminuya el nivel de habilidad necesario para lanzarlos.
Las técnicas sin archivosCloud cobrarán impulso. A medida que las organizaciones migren más cargas de trabajo a entornos contenedorizados y sin servidor, los atacantes les seguirán. La explotación del entorno de ejecución de contenedores a través de memfd, el uso indebido cloud y los ataques dirigidos a Kubernetes representan la próxima frontera del malware sin archivos. Las organizaciones deben evaluar sus estrategias de protección cloud para obtener visibilidad sobre las amenazas residentes en la memoria, y no solo sobre las vulnerabilidades basadas en archivos.
Los marcos normativos endurecerán los requisitos para la detección avanzada de amenazas. La Directiva NIS2 de la UE y los requisitos en constante evolución de la norma PCI DSS v4 ya están ampliando el alcance de lo que se considera malware adecuada malware . Las capacidades de detección específicas para amenazas sin archivo —como el análisis de comportamiento, el escaneo de memoria y la detección de anomalías en la red— se convertirán cada vez más en requisitos de cumplimiento normativo, en lugar de ser mejoras opcionales.
malware dedicado a la extracción de datos de la memoria malware en una categoría de amenaza diferenciada. Dado que, cada vez más, los datos residen en la memoria durante su procesamiento (incluidos los datos confidenciales de los modelos de IA), los atacantes se centrarán directamente en el contenido de la memoria, pasando de utilizarla como entorno de ejecución a tratarla como un objetivo para la extracción de datos.
Las organizaciones que inviertan ahora en la detección de comportamientos por capas —en terminales, redes y cloud — estarán en condiciones de hacer frente a estas amenazas emergentes sin necesidad de una revisión completa de su arquitectura.
malware sin archivos malware uno de los mayores retos de detección a los que se enfrentan las operaciones de seguridad actuales. Al hacer un uso indebido de herramientas fiables del sistema operativo y ejecutarse íntegramente en memoria, estos ataques eluden los sistemas de detección basados en archivos en los que el sector de la seguridad ha confiado durante décadas. Las campañas aquí documentadas —desde EggStreme hasta ShadowHS y Storm-0249— demuestran que las técnicas sin archivos abarcan ahora cloud Windows, Linux y cloud , y son utilizadas tanto por actores estatales como por ciberdelincuentes comunes.
La defensa es clara, pero requiere una inversión deliberada. Las organizaciones necesitan una detección basada en el comportamiento en múltiples niveles que combine la visibilidad de los puntos finales con el análisis a nivel de red. Las herramientas basadas únicamente en firmas crean una falsa sensación de seguridad. El análisis del comportamiento, el NDR, la búsqueda proactiva de amenazas y MITRE ATT&CK estructurada MITRE ATT&CK proporcionan la detección integral que malware sin archivos.
Los equipos de seguridad que deseen subsanar las deficiencias en la detección de amenazas sin archivos pueden descubrir cómo la solución Attack Signal Intelligence Vectra AI ofrece detección basada en el comportamiento encloud híbridos ycloud , detectando los ataques que otras herramientas pasan por alto.
malware sin archivos malware una categoría de actividad maliciosa que utiliza herramientas nativas y legítimas integradas en el sistema operativo —como PowerShell, WMI y .NET— para ejecutar ciberataques sin escribir archivos ejecutables tradicionales en el disco. En lugar de recurrir a malware que los antivirus pueden analizar y detectar, los atacantes aprovechan los procesos de confianza del sistema para ejecutar código malicioso directamente en la memoria. Este enfoque hace que malware sin archivos sea malware más difícil de detectar que malware tradicional, malware no hay hash de archivos que comparar, ni archivos estáticos que analizar, y la actividad maliciosa se integra perfectamente con las operaciones legítimas del sistema. Microsoft clasifica las amenazas sin archivos en un espectro de tres niveles (Tipo I a Tipo III), reconociendo que el término «sin archivos» abarca diversos grados de interacción con el sistema de archivos. El impacto práctico para los equipos de seguridad es que las herramientas de detección basadas en firmas ofrecen una cobertura prácticamente nula frente a las amenazas sin archivos, lo que requiere un cambio hacia el análisis de comportamiento y la supervisión de la red.
malware sin archivos malware introducirse a través de un phishing , un exploit o una técnica de ingeniería social como ClickFix. Una vez obtenido el acceso inicial, el atacante aprovecha las herramientas de confianza del sistema para ejecutar comandos en memoria. PowerShell es el medio de ejecución más habitual: los atacantes utilizan comandos codificados para descargar y ejecutar cargas útiles sin escribir archivos. La persistencia se establece mediante mecanismos como las suscripciones a eventos WMI o entradas del Registro que se activan ante eventos del sistema. A partir de ahí, los atacantes utilizan la inyección de procesos para ocultarse dentro de procesos de confianza y moverse lateralmente utilizando protocolos administrativos legítimos como SMB, WMI o WinRM. A lo largo de esta cadena, la actividad maliciosa se ejecuta bajo la identidad de procesos legítimos del sistema, lo que hace extremadamente difícil para las herramientas de seguridad basadas en archivos distinguirla de las operaciones normales.
malware sin archivos no malware un virus en el sentido tradicional. Los virus informáticos tradicionales son programas basados en archivos que se replican adhiriéndose a otros archivos o a sectores de arranque. malware sin archivos malware escribe archivos ejecutables en el disco y no se autorreplica de la misma manera. En su lugar, opera a través de procesos y herramientas legítimas del sistema que ya están presentes en el sistema de destino. El términomalware se utiliza en sentido amplio para abarcar todo el software malicioso, independientemente de si utiliza archivos, por lo que malware sin archivos malware entiende mejor como una categoría distinta de amenaza que comparte la intención maliciosa del malware tradicional, malware utiliza métodos de ejecución y evasión fundamentalmente diferentes.
Los antivirus tradicionales y muchas soluciones de protección de endpoints se basan en el análisis de los archivos del disco en busca de firmas conocidas o características sospechosas. malware sin archivos malware por completo este enfoque, ya que nunca crea archivos tradicionales. El código malicioso se ejecuta en memoria a través de herramientas de sistema de confianza, como PowerShell y WMI, y la actividad del proceso resultante se camufla entre las operaciones legítimas del sistema. En muchos casos, no hay hash de archivos que comparar con las bases de datos de inteligencia sobre amenazas, ni archivos estáticos que aislar en un entorno de pruebas o detonar, ni rastros en el disco para la investigación forense. Según malware de ControlD para 2026, el 54 % de las empresas tiene dificultades para detectar ataques sin archivos que aprovechan las herramientas integradas del sistema operativo. El Picus Blue Report 2025 reveló que, aunque se registra el 54 % de la actividad de los atacantes, solo el 14 % genera alertas reales, lo que pone de manifiesto una enorme brecha entre la recopilación de datos y la detección que permite actuar.
Los antivirus tradicionales basados en firmas no pueden detectar malware sin archivos, malware no hay archivos maliciosos que analizar. Las soluciones modernas de seguridad para puntos finales, dotadas de capacidades de detección de comportamiento, integración con AMSI y análisis de memoria, pueden detectar algunas técnicas sin archivos —en particular, los ataques basados en PowerShell, en los que AMSI inspecciona el contenido de los scripts en tiempo de ejecución—. Sin embargo, los ataques avanzados sin archivos que utilizan la inyección de procesos, la persistencia WMI o la ejecución de memfd en Linux suelen eludir la detección basada únicamente en los puntos finales. El enfoque más eficaz combina la detección y respuesta en endpoints (EDR) con la detección y respuesta en red (NDR) y el análisis de comportamiento, creando una visibilidad por capas que detecta las amenazas sin archivos a través de sus comportamientos observables —comunicaciones C2, patrones de movimiento lateral y actividades de procesos anómalas— en lugar de a través de firmas de archivos.
La prevención requiere que varias capas defensivas trabajen de forma conjunta. Comience por reforzar los puntos finales: active el registro de bloqueo de scripts de PowerShell y el modo de lenguaje restringido, implemente una solución EDR con capacidades de detección de comportamiento e implemente listas de aplicaciones permitidas a través de WDAC o AppLocker. Restrinja el acceso a las herramientas administrativas siguiendo los principios del privilegio mínimo: limite quién puede ejecutar PowerShell, comandos WMI y otras utilidades administrativas. Supervise continuamente las suscripciones a eventos WMI, ya que la persistencia legítima de WMI es poco frecuente y las nuevas suscripciones merecen una investigación inmediata. Implemente NDR para la detección a nivel de red de las comunicaciones C2 y el movimiento lateral que generan los ataques sin archivos. Segmente las redes para limitar el radio de impacto. Lleve a cabo una búsqueda proactiva de amenazas centrada en los indicadores de ataques sin archivos. Por último, asegúrese de que los guiones de respuesta a incidentes incluyan el análisis forense de la memoria como primera medida de respuesta, ya que el análisis forense del disco por sí solo pasará por alto los principales artefactos de los ataques sin archivos.
malware tradicional malware archivos ejecutables en el disco que las herramientas de seguridad pueden analizar, someter a hash y detectar mediante firmas. malware sin archivos malware principalmente en la memoria utilizando herramientas legítimas del sistema, dejando un rastro mínimo o nulo en el disco. Esto genera requisitos de detección fundamentalmente diferentes. malware tradicional malware detectarse mediante análisis antivirus de archivos en reposo o durante su descarga. malware sin archivos malware un análisis de comportamiento: supervisar cómo se comportan los procesos, qué comandos ejecutan y qué conexiones de red establecen. Desde el punto de vista forense, malware tradicional malware rutas de archivos, encabezados PE y hash de archivos como pruebas. malware sin archivos malware análisis forense de memoria y análisis de registros de eventos. La clasificación de Tipo I/II/III de Microsoft reconoce que la frontera no es binaria: muchos ataques se sitúan en un espectro entre el totalmente sin archivos y el totalmente basado en archivos, utilizando artefactos legítimos del sistema de archivos, como claves de registro o repositorios WMI, para la persistencia, al tiempo que mantienen la carga útil activa en la memoria.