defensiva
malware
tipos de malware
ransomware

Tipos de malware: definición, ejemplos reales y cómo se detectan

Qué es un malware, los 12 tipos principales (virus, gusano, troyano, ransomware, spyware, rootkit, infostealer, RAT, fileless, dropper) con ejemplos reales y defensa práctica.

Secra7 de mayo de 202613 min de lectura

Un malware es cualquier software diseñado para realizar acciones no autorizadas en un sistema informático sin el consentimiento de su propietario: robar datos, cifrar ficheros, espiar usuarios, mantener acceso persistente o convertir el equipo en parte de una infraestructura criminal mayor. El término engloba familias muy distintas (un virus, un ransomware y un infostealer son malware, pero se comportan, se distribuyen y se detectan de forma muy diferente). Conocer los tipos no es academia: cambia qué controles aplica un equipo de seguridad y cómo prioriza la respuesta cuando suena la alerta.

Esta entrada explica qué es un malware, cómo funciona, repasa las 12 familias que cualquier equipo defensivo encuentra hoy en producción y cómo se detectan y bloquean en la práctica.

Qué es un malware

Un malware es un programa o fragmento de código cuyo objetivo es operar contra los intereses del usuario o de la organización propietaria del sistema. Esa intención es la línea que separa malware de software legítimo: un keylogger comercial usado por un padre con consentimiento del menor no es malware; el mismo binario instalado clandestinamente en el portátil de un empleado, sí.

Lo que un malware hace concretamente depende del objetivo del atacante. Las funciones más habituales:

  • Robar credenciales, cookies de sesión o datos personales y enviarlos a un servidor controlado por el atacante.
  • Cifrar archivos y exigir rescate (ransomware).
  • Mantener acceso remoto persistente al equipo (RAT, backdoor, rootkit).
  • Convertir el equipo en bot que se suma a una botnet para atacar otros objetivos (DDoS, spam, minería de criptomoneda).
  • Espiar al usuario: capturar tecleo, micro, cámara, posición o pantalla.
  • Sabotear el sistema: borrar datos, manipular procesos industriales (SCADA), corromper backups.

El término "virus" se popularizó en los años 80 y muchos lo siguen usando como sinónimo de malware. Técnicamente un virus es sólo un tipo concreto. Conviene mantener la distinción si tu trabajo toca incidentes, ya que el manual de respuesta cambia mucho según la familia.

Cómo se distribuye un malware

Casi todos los incidentes de malware empiezan por uno de estos vectores:

  • Phishing con adjunto o enlace. Un correo aparentemente legítimo que invita a abrir un PDF, un Word con macros o una URL que descarga el binario. Sigue siendo el vector número uno.
  • Descarga drive-by. La víctima visita una web comprometida y un exploit kit aprovecha una vulnerabilidad del navegador para ejecutar código sin interacción.
  • Sistemas expuestos sin parchear. Servicios RDP abiertos a Internet, VPNs con CVEs públicos, paneles administrativos sin MFA. Ransomware como Royal o BlackCat entró así durante 2024-2025.
  • Cadena de suministro. Un paquete npm, PyPI o un binario firmado por un proveedor legítimo que se compromete. SolarWinds, 3CX y XZ Utils son los casos célebres.
  • USB malicioso. Más raro en empresa, frecuente en sectores OT y entornos restringidos.
  • Apps móviles instaladas desde stores de terceros (Android) o vía perfil MDM en iOS.

Tipos de malware: las 12 familias que cualquier equipo defensivo encuentra

A continuación las familias más relevantes, con definición operativa, ejemplo real y diferencia clave con familias parecidas.

Virus

Un virus es un malware que se inserta en archivos legítimos (ejecutables, documentos con macros) y necesita que el usuario los abra para activarse y propagarse. Cada copia ejecutada infecta nuevos archivos.

Hoy es una categoría minoritaria en empresa porque los antivirus de los 90 se diseñaron precisamente contra ella y los ejecutables firmados, los ASLR/DEP y los scanners de macros la dejaron en marginal. Sigue presente en macros de Office y en algunas familias dirigidas a sistemas legacy.

Gusano (worm)

Un gusano se autopropaga por la red sin requerir interacción del usuario. Aprovecha vulnerabilidades de servicios expuestos para saltar de un equipo a otro.

Ejemplo histórico: WannaCry (2017) usó EternalBlue contra SMBv1 para extenderse a 200.000 equipos en horas. Ejemplo reciente: Mirai y sus variantes infectan dispositivos IoT con credenciales por defecto y construyen botnets de cientos de miles de cámaras y routers.

Troyano

Un troyano se disfraza de software legítimo. El usuario lo instala convencido de que es una herramienta útil (un instalador crackeado, un parche supuesto, un PDF "factura"), y el binario ejecuta funciones maliciosas en paralelo.

Ejemplo operativo: Emotet comenzó como troyano bancario y derivó en plataforma de distribución de otras familias (TrickBot, Ryuk, Conti). Las desarticulaciones policiales europeas de 2021 y 2022 lo redujeron, pero Lumma Stealer y otros han ocupado su nicho.

Ransomware

Un ransomware cifra los archivos del equipo o de la red y exige un rescate (habitualmente en criptomoneda) a cambio de la clave de descifrado. Las variantes modernas combinan cifrado con doble extorsión: exfiltran los datos antes de cifrar y amenazan con publicarlos si no se paga.

Familias activas en 2025-2026: LockBit (variantes 4.0 y derivadas tras la operación Cronos), BlackCat/ALPHV (parcialmente desmantelado pero con re-brands), Royal, Akira, Play. La mayoría opera bajo modelo Ransomware-as-a-Service (RaaS) con afiliados que reciben un porcentaje del rescate.

Las multas regulatorias por gestión deficiente del incidente (RGPD, NIS2) suelen superar al propio rescate cuando el ransomware afecta a datos personales.

Spyware

Un spyware recopila información del usuario sin su consentimiento: hábitos de navegación, credenciales escritas, capturas de pantalla, ubicación, audio del micrófono. La diferencia con un infostealer es la persistencia: el spyware monitoriza durante semanas o meses; el infostealer roba lo que encuentra de una pasada y se va.

Ejemplo gubernamental: Pegasus (NSO Group) usado contra periodistas y activistas. En empresa privada el spyware aparece sobre todo como módulo embebido en troyanos o RATs.

Adware

Adware es software que muestra publicidad no solicitada o redirige tráfico de navegación a sitios afiliados del atacante. Históricamente molesto más que peligroso, pero las variantes recientes recopilan datos de navegación y abren la puerta a otros payloads.

Suele entrar bundled en instaladores freeware mal moderados.

Rootkit

Un rootkit modifica componentes del sistema operativo (kernel, drivers, bootloader) para ocultar su presencia y la de otro malware que vaya con él. La detección requiere inspección a nivel de kernel o boot, no análisis sólo del filesystem.

Tipos: userland rootkits (modifican librerías y procesos en espacio de usuario), kernel rootkits (cargan módulo en el kernel), bootkits/UEFI rootkits (infectan el firmware o el bootloader y sobreviven a reinstalaciones del sistema).

Caso reciente: BlackLotus (UEFI bootkit detectado en 2023-2024) firmado con clave válida que saltaba Secure Boot en versiones de Windows sin parche.

Keylogger

Un keylogger captura todo lo que el usuario teclea: contraseñas, mensajes, búsquedas. Puede ser hardware (raro en empresa) o software, y suele venir como módulo de un troyano o RAT en lugar de como binario independiente.

Botnet

Una botnet es una red de equipos comprometidos coordinados por un servidor C2 (command and control). Cada equipo individual ejecuta un cliente bot. La botnet se alquila por horas para DDoS, spam, fraude publicitario o como punto de entrada a otras intrusiones.

Familias relevantes: Emotet (botnet de delivery), Mirai y derivados (IoT), Necurs (spam histórico), TrickBot (banca, ya legacy).

Infostealer

Un infostealer es un troyano especializado en robar credenciales guardadas, cookies de sesión, wallets de criptomoneda, tokens de aplicaciones y archivos sensibles del equipo. Una vez extrae el botín, se desinstala.

Es la categoría con mayor crecimiento en 2024-2026. Familias dominantes: Lumma Stealer, Redline, Vidar, StealC, Raccoon. Los logs robados se venden en marketplaces como acceso inicial para ransomware: alguien compra cookies de sesión SSO de un empleado, entra en el VPN o el SaaS, y vende ese acceso a un grupo de ransomware.

RAT (Remote Access Trojan)

Un RAT da control remoto interactivo del equipo al atacante: ejecutar comandos, transferir archivos, abrir webcam, observar pantalla, pivotar a otros equipos. Es la herramienta favorita de actores APT y operaciones de espionaje.

Familias clásicas: Cobalt Strike (commercial pentesting tool abusada masivamente), Sliver (open source, sustituto creciente), Quasar, NjRAT, AsyncRAT.

Malware sin archivos (fileless)

El malware fileless ejecuta código directamente en memoria sin escribir un binario al disco. Vive en procesos legítimos del sistema (PowerShell, WMI, regsvr32, mshta) y abusa de utilidades nativas de Windows ("LOLBins": Living Off the Land Binaries).

Ejemplo metodológico: Cobalt Strike beacon inyectado en un proceso legítimo vía un macro de Word. Sin archivo en disco, el AV firmas tradicional no lo detecta. La detección requiere EDR y telemetría de comportamiento.

Dropper / loader

Un dropper o loader es un payload pequeño cuyo único trabajo es descargar e instalar el malware "real". Sirve para evadir detección estática (el dropper en sí parece inocuo) y para modular la carga (el atacante decide en runtime qué desplegar según la víctima).

SmokeLoader, GuLoader e IcedID son loaders frecuentes en campañas masivas. Tras la fase loader, el atacante decide si la víctima vale la pena para ransomware, infostealer o RAT prolongado.

Cómo se detectan y bloquean los distintos tipos

No hay un control único que cubra todas las familias. La defensa razonable combina:

  • Antivirus / EPP con firmas y ML para virus, gusanos clásicos y droppers conocidos. Suficiente para el ruido de fondo, insuficiente para casi todo lo demás.
  • EDR con telemetría de comportamiento para detectar fileless, RATs, infostealers y movimiento lateral. Es la pieza que más reduce dwell time del atacante.
  • SIEM correlando telemetría de endpoint, red, identidad y cloud. Detecta cadenas que el endpoint solo no ve.
  • Email security con sandbox para detonar adjuntos sospechosos antes de entregar el correo. Frena gran parte del phishing con malware adjunto.
  • MFA en todo lo que sea SaaS o VPN. Anula el valor de las cookies y credenciales robadas por infostealers. Es la única medida que rompe la cadena de venta de logs en mercados criminales.
  • Patch management agresivo sobre superficie expuesta: VPN, RDP, paneles admin, sistemas legacy. La explotación de CVEs públicos sigue siendo el segundo vector tras el phishing.
  • Segmentación de red para que un equipo comprometido no acabe en el dominio entero. Especialmente crítico en industria con OT.
  • Backups offline y testados. La única respuesta defensiva fiable contra ransomware es restaurar desde backup limpio.

Errores comunes en la gestión de malware

Cuatro patrones frecuentes que aparecen en informes de incident response:

  1. Confiar sólo en antivirus tradicional. Cubre virus y gusanos clásicos, deja fuera fileless, infostealers modernos y RATs sigilosos. La detección de comportamiento que aporta el EDR ya no es opcional.
  2. No segmentar la red. Un equipo con malware se convierte en un compromiso de toda la organización si todos los servidores son alcanzables. La segmentación reduce el blast radius del incidente.
  3. No ejercitar el playbook de ransomware. El primer ransomware no es el momento de improvisar comunicaciones, decisiones de pago y restauración. La tabletop annual con escenarios reales es lo que separa una contención de horas de una de semanas.
  4. Asumir que MFA es suficiente. MFA frena el robo de password, pero los infostealers modernos roban cookies de sesión post-MFA. Token binding, sesiones cortas y revisión activa de sesiones inusuales son los siguientes controles.

Preguntas frecuentes

¿Qué diferencia hay entre virus y malware?

Malware es el término general: cualquier software diseñado para hacer daño. Virus es una categoría concreta de malware que se inserta en archivos y necesita que el usuario los abra para propagarse. Hoy la mayoría de incidentes en empresa no son virus en sentido estricto sino troyanos, ransomware, infostealers y RATs.

¿Qué tipo de malware es más peligroso para una empresa?

Depende del modelo de negocio. Para la mayoría de empresas el ransomware es el riesgo de mayor impacto inmediato (paraliza la operación). Para sectores con propiedad intelectual sensible o datos personales masivos, los infostealers y los RATs APT son más peligrosos por exfiltración silenciosa que tarda meses en detectarse. Los incidentes que terminan peor combinan ambos: un infostealer roba cookies de un empleado, el atacante entra al SSO, mueve lateral varias semanas y dispara ransomware al final.

¿Cómo entra el malware en una empresa típicamente?

Tres vías concentran la mayoría de incidentes: phishing con adjunto o enlace, explotación de servicios expuestos sin parchear (VPN, RDP, paneles admin), y compromiso de la cadena de suministro (proveedor SaaS, paquete de código, binario firmado). El phishing sigue siendo el vector número uno en informes anuales de ENISA, IBM y Verizon DBIR.

¿Sirve un antivirus en 2026?

Sí, como capa base. Detecta el ruido de fondo (variantes conocidas, droppers comunes, virus clásicos) y libera al equipo de seguridad de tener que mirar cada alerta. Lo que ya no es suficiente es confiar el endpoint sólo al antivirus: las familias modernas (fileless, RATs, infostealers actualizados a diario) requieren EDR con telemetría de comportamiento.

¿Qué hago si sospecho que un equipo tiene malware?

Aislar el equipo de la red sin apagarlo (apagar destruye evidencia volátil), avisar al equipo de seguridad o a un proveedor de DFIR, y no manipular el sistema más allá de lo necesario para contener. Si no hay equipo interno, contactar inmediatamente con un servicio de respuesta a incidentes y, en España, abrir reporte a INCIBE-CERT si es entidad bajo NIS2.

¿Cómo se previene el ransomware específicamente?

Cuatro controles cubren la mayoría del riesgo: MFA en VPN, RDP y SaaS para cortar el acceso inicial; parcheo agresivo de servicios expuestos a Internet; EDR con respuesta automática para detener cifrado en fase temprana; y backups offline (no accesibles desde el dominio) testados con restauración real al menos cada trimestre.

Recursos relacionados

  • Qué es un SOC: el equipo y los procesos que monitorizan y responden a alertas de malware en producción.
  • Qué es un SIEM: la plataforma que correlaciona telemetría de endpoint, red e identidad para detectar cadenas de ataque.
  • Qué es un EDR: la pieza de endpoint que detecta fileless, RATs e infostealers que el antivirus tradicional no ve.
  • Qué es un CVE: los identificadores de las vulnerabilidades que muchos malware explotan para entrar.
  • Qué es un pentesting: cómo el pentesting valida que los controles antimalware se sostienen frente a un atacante real.

La respuesta a malware en Secra

En Secra ayudamos a organizaciones a contener incidentes de malware en curso (DFIR) y a reforzar la postura defensiva para reducir la probabilidad de que vuelva a pasar (auditoría técnica, mejora del SOC interno, integración EDR/SIEM). Si tu equipo está gestionando un incidente activo o quiere preparar el playbook antes del primero, escríbenos a través de contacto o consulta nuestro servicio de DFIR y respuesta a incidentes.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Qué es threat hunting: definición, metodología y herramientas

Qué es el threat hunting: cómo se diferencia de la detección reactiva, metodologías (hipótesis, IoC-driven, TTP-driven), MITRE ATT&CK, herramientas y ejemplos prácticos.

2026-05-0911 min
defensiva

Qué es un ransomware: cómo funciona, ejemplos reales y cómo defenderse

Qué es un ransomware: cómo cifra ficheros, doble extorsión, familias activas (LockBit, BlackCat, Akira), vectores de entrada, defensa práctica y respuesta a un incidente.

2026-05-0811 min
defensiva

Qué es un CVE: definición, cómo funciona y por qué importa

Qué es un CVE (Common Vulnerabilities and Exposures): cómo se asigna, diferencia con CVSS, CWE y EPSS, dónde se publica (NVD, GHSA, INCIBE-CERT) y cómo afecta a tu empresa.

2026-05-0611 min