Qué es un troyano: tipos, ejemplos reales y cómo eliminarlo

Un troyano es malware que se camufla como un programa legítimo y, una vez ejecutado, opera en segundo plano sin que la víctima lo perciba. Sus acciones típicas: instalar más malware, capturar credenciales, conceder acceso remoto al atacante o exfiltrar datos. Le debe el nombre al caballo de Troya de la Ilíada: aspecto inofensivo por fuera, contenido hostil por dentro. A diferencia de los virus o gusanos, el troyano no se propaga solo; depende de que el usuario lo ejecute.

Esta guía explica qué es exactamente un troyano, los siete tipos que aparecen una y otra vez en investigaciones forenses (RAT, banker, downloader, dropper, backdoor, rootkit, info-stealer), ejemplos reales documentados (Emotet, Trickbot, Agent Tesla, Qakbot, AsyncRAT), cómo se distribuye en 2026, qué encadena después y qué pasos seguir para eliminarlo de un equipo o de una red corporativa comprometida.

Qué es un troyano

Un troyano es un programa que se hace pasar por software legítimo o útil para que el usuario lo ejecute, ocultando una funcionalidad maliciosa que se activa después. La diferencia clave con otros tipos de malware es esta: el troyano no se replica por sí mismo, no aprovecha vulnerabilidades de sistema para propagarse. Necesita ingeniería social.

Lo que hace un troyano una vez dentro depende del módulo que lleve:

• Abre conexión saliente a un servidor de mando y control (C2) y entrega control remoto al atacante.
• Descarga otra pieza de malware más especializada (ransomware, stealer, miner).
• Captura credenciales bancarias o corporativas mediante keylogging, form-grabbing o screen scraping.
• Roba ficheros, sesiones de navegador, claves SSH, wallets de criptomonedas.
• Instala persistencia para sobrevivir reinicios.
• Modifica configuración del sistema para deshabilitar antivirus o reducir defensas.

En la mayoría de incidentes profesionales que investigamos, el troyano es la pieza inicial de una cadena más larga: phishing o pharming, troyano, reconnaissance interno, robo de credenciales, escalada de privilegios y, finalmente, ransomware o exfiltración. Esa cadena marca la diferencia entre incidente menor e incidente catastrófico.

Tipos de troyano

Siete categorías cubren prácticamente todo lo que aparece en producción.

Troyano de acceso remoto (RAT)

Da control remoto del equipo al atacante. Funcionalidad típica: shell, file manager, captura de pantalla, micrófono, webcam, ejecutar comandos. Familias documentadas: AsyncRAT, NjRat, RemcosRAT, QuasarRAT, AveMariaRAT. Muchas se venden como suscripción mensual en mercados underground por menos de 50 dólares.

Riesgo principal: el operador humano detrás puede pivotar lateralmente y mantener la presencia durante meses sin disparar alertas burdas.

Troyano bancario (banker)

Especializado en robar credenciales y datos de banca online. Combina form-grabbing, web injects (modificación del HTML de la página del banco para añadir campos falsos) y, cada vez más, captura de tokens MFA y SMS. Familias clásicas: Zeus y derivados (Citadel, Atmos), Trickbot, IcedID, Qakbot, Dridex, Emotet en su fase banker.

En 2026 muchos bankers han evolucionado a information stealers genéricos por la rentabilidad de robar credenciales corporativas y revenderlas a operadores de ransomware.

Troyano downloader

Función única: descargar otra pieza de malware desde un servidor controlado por el atacante. Pequeño, sigiloso, sin funcionalidad maliciosa propia más allá de la descarga, lo que hace que muchas firmas antivirus lo dejen pasar. Una vez ejecuta el binario que trae, lo borra para reducir trazas.

Troyano dropper

Variante del downloader que en lugar de descargar lleva el payload empotrado en sí mismo. Más grande, menos dependiente de conectividad, útil en entornos sin acceso saliente directo.

Troyano backdoor

Crea una puerta trasera persistente: cuenta nueva con privilegios elevados, regla de firewall que abre un puerto, servicio nuevo que escucha conexiones, clave SSH añadida en authorized_keys. El operador se conecta cuando quiere, sin necesidad de exploit.

Troyano rootkit

Modifica el sistema operativo (kernel, drivers, hooks) para ocultar su propia presencia y la de procesos asociados. Muy difíciles de detectar con herramientas estándar y eliminarlos suele requerir reinstalación completa del SO. Casos documentados: Stuxnet (sector industrial, 2010), TDSS/Alureon, ZeroAccess.

Troyano info-stealer

Categoría más activa en mercado underground 2024-2026. Roba todo lo que encuentre y se cierra: cookies de navegador, contraseñas guardadas, sesiones de Discord/Telegram, ficheros de configuración cloud (.aws, .kube), wallets de criptomoneda, capturas de pantalla. Familias: RedLine, Vidar, Raccoon, Lumma Stealer. La salida se vende inmediatamente en mercados como Russian Market o se procesa para alimentar ataques posteriores.

Ejemplos reales documentados

Los nombres que más aparecen en informes forenses recientes en empresa española.

Emotet. Empezó como banker en 2014 y evolucionó a "loader as a service": entregaba Trickbot y Ryuk a quien pagase. Desmantelado en 2021 por Europol con coordinación NL/DE/UA, resucitó en 2022 y volvió a caer parcialmente. La metodología (campañas de phishing con documentos Office y macros) se replica en familias actuales.

Trickbot. Banker convertido en plataforma modular para entregar ransomware (Conti, Ryuk). Investigación coordinada por Microsoft y US Cyber Command interrumpió su infraestructura en 2020. Sus operadores migraron a otros frameworks.

Agent Tesla. Stealer commodity vendido en foros desde 2014. Se distribuye masivamente por phishing en cuentas corporativas españolas. Roba credenciales del navegador, cliente de correo, FTP, SSH y exfiltra por SMTP, FTP, Telegram o HTTP.

Qakbot (Qbot). Banker que evolucionó a loader. Desmantelado parcialmente por el FBI en 2023 (Operation Duck Hunt). Sus operadores pivotaron a familias menos conocidas como Pikabot.

AsyncRAT y NjRat. RATs commodity que aparecen en cualquier campaña sin objetivo específico, distribuidas por afiliados con poco presupuesto. Muy detectables por EDRs serios pero efectivas en endpoints sin protección.

RedLine Stealer y Vidar. Stealers que dominan mercados de credenciales 2024-2026. Las credenciales corporativas que aparecen en marketplaces underground vienen mayoritariamente de aquí. Operadores de ransomware compran combolists fresh para acceso inicial.

Cómo se distribuye en 2026

Los vectores realistas, ordenados por frecuencia en investigaciones de incidentes en España:

• Email de phishing con adjunto malicioso. Documento Office con macro, archivo HTA, ZIP protegido por contraseña con ejecutable dentro, OneNote con script, ISO o IMG montable que esquiva Mark of the Web. Sigue siendo el vector número uno.
• Email con enlace a sitio malicioso. Enlace acortado, sitio que imita SharePoint o portal corporativo, descarga drive-by que se hace pasar por instalador de Adobe, Zoom u otro software corriente.
• Software pirata, cracks, "cheats". Usuarios descargando keygen o crack se llevan info-stealer empotrado. Vector dominante para troyanos que afectan a particulares y a equipos personales que se conectan a redes corporativas.
• Malvertising. Anuncios maliciosos servidos a través de redes legítimas. El usuario busca "Notion download" en Google, hace click en el anuncio patrocinado y descarga troyano disfrazado de instalador.
• Compromiso de cadena de suministro. Un proveedor distribuye un instalador con un módulo añadido. SolarWinds (2020), 3CX (2023), XZ utils (2024).
• USB malicioso dejado en parking o entregado en eventos. Vector raro pero documentado, sobre todo contra organizaciones específicas.
• Mensajería instantánea. Telegram, WhatsApp y Teams con ficheros maliciosos o enlaces a páginas de descarga. Crece en 2024-2026 a medida que las defensas de email mejoran.
• Falsos actualizadores y notificaciones del navegador. "Tu Chrome está desactualizado, descarga este parche". Pop-ups que el usuario inexperto ejecuta.

La constante: ingeniería social. Sin un humano que ejecute el binario, el troyano no entra.

Detección con controles defensivos

Los siete frentes que cubren un troyano moderno.

Antivirus tradicional (NGAV). Detecta firmas de familias conocidas. Eficaz contra commodity sin ofuscar; menos contra variantes packed con polimorfismo.

EDR / XDR. Detecta el comportamiento. Patrones que disparan alerta: proceso desconocido escribiendo en Run del registro, ejecutable creado en %AppData% y luego ejecutado, conexión saliente a IP sin reputación, base64 decodificado y ejecutado. Detalle en qué es un EDR.

Sandbox de adjuntos. Antes de entregar el correo, el adjunto se ejecuta en sandbox controlado y se observa comportamiento. Detecta lo que las firmas estáticas no ven.

Network monitoring. Tráfico DNS anómalo (DGA, DNS tunneling), conexiones HTTPS a dominios recién registrados, beaconing periódico característico de C2. Detectable con SIEM bien configurado y reglas Sigma públicas.

EDR de identidad. Detecta uso anómalo de credenciales (logins desde geolocalización rara, hora rara, dispositivo nuevo) que indican robo previo aunque el troyano no se haya capturado.

Threat hunting. La caza proactiva de patrones de C2, persistencia y movimiento lateral cuando no han disparado alerta automática es parte del trabajo de threat hunting maduro.

Protección desde el correo. Bloqueo de macros Office por defecto (política de Microsoft 365 desde 2022), bloqueo de adjuntos ejecutables, filtrado de enlaces, sandbox detonation antes de entregar. La mayoría de incidentes evitables se evitan aquí.

Cómo eliminar un troyano

Si la sospecha es de equipo personal aislado:

1. Desconectar de la red inmediatamente para evitar movimiento lateral o exfiltración.
2. No reiniciar repetidamente intentando "limpiar". Algunos troyanos persisten en memoria y aprovechan el reinicio para reinstalarse desde la persistencia.
3. Arrancar en modo seguro (Windows) o entorno de recuperación.
4. Escaneo con dos antivirus distintos del proveedor habitual: ESET, Malwarebytes, Bitdefender. La combinación pilla lo que uno solo no.
5. Revisar persistencia manualmente: registro Run, tareas programadas, servicios, carpetas Startup, winlogon\\Shell, GPO Local. Herramienta clásica: Sysinternals Autoruns.
6. Cambiar contraseñas desde un equipo limpio: cuenta principal, banco, email, redes sociales, plataformas corporativas.
7. Revisar autenticaciones recientes en cada servicio crítico para detectar accesos no autorizados.
8. Si se trata de equipo de trabajo, contactar al equipo de seguridad antes de manipular más.

Para entornos corporativos o sospecha de infección amplia:

1. Aislar host desde EDR (red, login, hosts vecinos).
2. No apagar la máquina: la memoria contiene evidencia forense valiosa.
3. Captura de memoria y disco en formato forense (FTK Imager, Belkasoft Live RAM Capturer).
4. Análisis IR: revisar timeline, tracking de procesos, conexiones, registro, prefetch, journals.
5. Rotación de credenciales de cualquier cuenta que haya tocado el host.
6. Reinstalación limpia del sistema operativo. Más rápido y seguro que intentar limpiar; en muchos casos es la única opción defensible legalmente.
7. Hunting en el resto de la red por IoCs derivados del análisis (hashes, dominios C2, mutex, claves de registro).
8. Notificación si aplica: a la Agencia Española de Protección de Datos en menos de 72 horas si hay datos personales afectados, a la autoridad sectorial NIS2/DORA cuando proceda, al CCN-CERT o INCIBE-CERT.

Encaje con compliance

La gestión del riesgo de troyanos cubre puntos directos en marcos vigentes:

• NIS2 (artículo 21). Medidas de gestión del riesgo, incluyendo protección contra software malicioso. Notificación de incidentes en 24/72h.
• DORA (artículo 9). Requisitos ICT para servicios financieros. Detección y respuesta a malware son explícitas.
• ISO 27001:2022 (control 8.7). Protección frente a malware. Auditoría externa exige procesos documentados.
• ENS Real Decreto 311/2022 (op.exp.6). Protección frente a código dañino, distinto según nivel del sistema.
• PCI DSS v4.0 (req. 5). Antimalware obligatorio en sistemas que procesen datos de tarjeta.
• RGPD. Una infección con exfiltración de datos personales es brecha notificable.

Preguntas frecuentes

¿Diferencia entre virus y troyano?

El virus se replica solo, infectando otros ficheros o sistemas. El troyano necesita que el usuario lo ejecute y no se replica por sí mismo. La distinción clásica se ha difuminado en 2026 porque la mayoría del malware moderno mezcla técnicas, pero el matiz importa para entender el vector de entrada: bloquear la ejecución del usuario es lo que detiene un troyano, no parchear el sistema.

¿Un troyano puede infectar móviles?

Sí. Existen familias específicas para Android (Anubis, Cerberus, FluBot) y, en menor medida, para iOS (más raras debido al modelo cerrado). Llegan vía APKs maliciosos descargados fuera de la Play Store, mensajes SMS con enlace, anuncios fraudulentos. La defensa principal es no instalar fuera de tiendas oficiales y mantener el sistema actualizado.

¿Mi antivirus me protege seguro?

Los antivirus modernos paran la mayoría de troyanos commodity. Las variantes recientes, ofuscadas o targeted, las paran sólo los EDRs con detección comportamental. Para una empresa, el mínimo razonable en 2026 es EDR (no antivirus tradicional) en todos los endpoints, con respuesta operativa.

¿Puede un troyano sobrevivir a reinstalar Windows?

Casi nunca. Solo los rootkits avanzados con persistencia en UEFI, en firmware del disco o en cadena de suministro pueden sobrevivir. Para un usuario normal, formatear y reinstalar limpia el equipo. La excepción es que la imagen de instalación que use ya esté contaminada.

¿Cuánto tiempo puede pasar entre infección y detección?

Mucho. El tiempo medio de detección (dwell time) en informes recientes (Mandiant M-Trends, IBM Cost of a Breach) está entre 10 y 200 días según sector y madurez. En empresas con SOC bien operado, horas. En empresas sin EDR, meses sin enterarse.

¿Por qué algunos troyanos vienen firmados con certificado válido?

Los atacantes consiguen certificados de firma de código por dos vías: roban claves privadas de empresas legítimas (Stuxnet llevaba certificados de Realtek y JMicron robados) o crean empresas pantalla para comprar certificados con identidad falsa. Cuando el truco se descubre, se revoca; mientras tanto, esquiva controles que confían en firma de código.

¿Un troyano puede usar la GPU o la CPU para minar criptomoneda?

Sí, es una categoría aparte llamada cryptojacker. Algunos troyanos modernos llevan minero como módulo opcional que se activa si el endpoint cumple condiciones (potencia, tiempo idle, electricidad asumible). La señal típica es subida sostenida de uso de CPU/GPU sin causa visible y aumento de temperatura.

Recursos relacionados

• Tipos de malware: familia más amplia donde encajan los troyanos junto a virus, gusanos, ransomware, spyware y rootkits.
• Qué es un keylogger: módulo frecuente dentro de troyanos bancarios, RATs y stealers.
• Qué es ransomware: el escenario al que muchos troyanos sirven de acceso inicial.
• Qué es un EDR y qué es un MDR: controles que detienen troyanos modernos en endpoints.
• Qué es threat hunting: la disciplina que caza los que escapan a la detección automática.
• Ataques Kerberos en Active Directory: la fase típica posterior cuando un troyano captura credenciales privilegiadas en entorno Windows.

Defensa frente a troyanos en Secra

En Secra abordamos el riesgo de troyanos en dos frentes: por un lado, ejercicios de Red Team que validan si los controles defensivos detectan campañas reales (phishing dirigido más entrega de payload con TTPs actuales) en endpoints, identidad y red; por otro, auditoría de configuración EDR, política de macros, despliegue MFA, segmentación de privilegios y formación al usuario para reducir el abrir-doble-click que abre la puerta. El entregable habitual es un mapa de riesgos por usuario y máquina con prioridades. Si quieres entender cuánto durarías frente a una campaña realista que combine phishing y troyano contra tu plantilla, escríbenos a través de contacto o consulta nuestros servicios gestionados.