Tipos de virus informáticos: clasificación completa con ejemplos

Un virus informático es un programa malicioso que se ejecuta sin permiso, hace algo dañino y, sobre todo, se replica para infectar otros archivos o equipos. Esa última parte (la capacidad de replicarse) es la que distingue al virus clásico del resto del malware: no todos los programas maliciosos son virus, pero todos los virus son malware. En la práctica diaria, "virus" se usa como cajón de sastre y se mezcla con gusanos, troyanos, ransomware, spyware y rootkits, que técnicamente son familias distintas con comportamientos y defensas distintas. Esta guía clasifica los principales tipos de virus informáticos (y malware relacionado), explica cómo infectan, cómo se detectan y cómo se previenen, con ejemplos reales para fijar cada categoría.

Si buscas el panorama completo del malware más allá del virus clásico, está la pieza tipos de malware. Aquí entramos directos a la clasificación práctica.

Qué es un virus informático

Un virus informático es un fragmento de código que se inserta dentro de un programa o archivo legítimo y se ejecuta cuando ese programa se abre, infectando entonces a otros archivos o sistemas. La analogía con el virus biológico es deliberada: el virus informático necesita un huésped (un archivo ejecutable, un documento con macros, una entrada del sector de arranque) para activarse y propagarse.

Tres características técnicas lo definen:

1. Carga útil (payload). Lo que el virus hace cuando se activa: borrar archivos, cifrar datos, robar información, instalar puertas traseras o, en virus antiguos, mostrar mensajes "broma".
2. Mecanismo de propagación. Cómo pasa de un huésped a otro: ejecutables compartidos, documentos ofimáticos con macros, sectores de arranque, redes locales, USB.
3. Mecanismo de activación. Cuándo se ejecuta la carga útil: al abrir el archivo, en una fecha concreta, cuando se cumple una condición lógica (bombas lógicas).

La diferencia clave con un gusano es la necesidad de huésped: el gusano se replica solo a través de la red sin necesitar un archivo anfitrión. Con un troyano, la diferencia es la replicación: el troyano se hace pasar por software legítimo pero no se replica por sí mismo. En el lenguaje cotidiano y en informes de prensa estas distinciones se difuminan, pero en respuesta a incidentes importan mucho porque cambian el manual de contención.

Tipos de virus informáticos clásicos por mecanismo

Esta clasificación agrupa los virus por dónde se alojan y cómo se propagan, que es como los catalogan los motores antivirus.

Virus de archivo (file infectors)

Infectan ejecutables (.exe, .com, .dll, .scr en Windows; archivos ELF en Linux). Al ejecutar el programa legítimo, el código del virus se carga primero, hace lo suyo y luego cede el control al programa original para que el usuario no note nada raro. Son los virus "de manual" de los años 90.

Ejemplos históricos: CIH (Chernobyl) en 1998, que sobrescribía el firmware de la BIOS y dejaba miles de equipos inutilizables.

Virus de sector de arranque (boot sector)

Infectan el sector de arranque (MBR) del disco duro o de medios extraíbles. Se cargan antes que el sistema operativo, lo que les daba en su época control casi total. Cayeron en desuso con la migración a UEFI Secure Boot, pero su versión moderna (los bootkits) sigue activa en ataques dirigidos.

Ejemplos: Stoned en los 80 (uno de los primeros virus de PC), Petya en 2016 (cifraba la MFT del disco y reescribía el MBR).

Macro virus

Aprovechan los lenguajes de macros (VBA en Office, AppleScript) embebidos en documentos ofimáticos. El usuario abre un Word o un Excel "normal", la macro se ejecuta y descarga el resto del payload. Es el formato más usado en phishing actual: un documento que pide habilitar macros, y a partir de ahí la cadena de infección.

Ejemplo: Melissa en 1999, primer virus de macro masivo, llegó a saturar servidores de correo de medio mundo. Emotet revivió la técnica desde 2014 hasta su desmantelamiento en enero de 2021 (Operation Ladybird), con operaciones intermitentes entre 2022 y 2024 antes de quedar prácticamente inactivo.

Virus polimórficos y metamórficos

Cambian su propio código en cada infección para evitar la detección por firma. Los polimórficos cifran su carga útil y mutan la clave en cada copia; los metamórficos reescriben su código entero conservando la función. Forzaron a los antivirus a pasar de detección por firma a detección heurística y por comportamiento.

Ejemplo: Marburg (1998), Bagle (2004) en variantes polimórficas.

Virus residentes en memoria

Cargan su código en la memoria RAM y permanecen activos después de que el archivo huésped se cierra, interceptando llamadas del sistema operativo para infectar todo lo que pasa por ellas. En sistemas modernos su efectividad bajó con la protección de memoria, pero la técnica se mantiene en malware avanzado fileless.

Malware relacionado: las familias modernas

Los virus clásicos son una fracción pequeña del malware activo hoy. Los siguientes tipos no son virus en sentido estricto (no se replican como huésped+ejecutable), pero el lenguaje cotidiano y los clientes que llaman tras un incidente los llaman "virus" por inercia.

Gusanos (worms)

Se replican y propagan por la red sin necesidad de huésped ni de interacción humana. Explotan vulnerabilidades en servicios expuestos para saltar de máquina a máquina. Bien diseñados, pueden infectar decenas de miles de equipos en horas.

Ejemplos famosos: ILOVEYOU (2000) saturó correos corporativos, Blaster y Sasser (2003-2004) explotaron vulnerabilidades RPC en Windows, WannaCry (2017) usó el exploit EternalBlue (CVE-2017-0144) para propagarse, NotPetya (2017) usó la misma técnica para causar daños superiores a los 10.000 millones de dólares.

Más detalle en qué es un gusano informático.

Troyanos

Se hacen pasar por software legítimo y, una vez ejecutados por el usuario, abren la puerta a otras acciones (descarga de malware, control remoto, robo de información). El nombre viene del caballo de Troya: el atacante necesita engañar al usuario para que ejecute el archivo. No se replican por sí mismos.

Subtipos relevantes:

• Backdoor: abre acceso remoto al atacante.
• Banking trojan: roba credenciales bancarias.
• RAT (Remote Access Trojan): control completo del equipo.
• Downloader / Dropper: descarga e instala otro malware.

Ejemplos: Zeus y sus variantes para banca, TrickBot, Emotet (que combinaba troyano + macro virus + dropper de ransomware).

Más detalle en qué es un troyano.

Ransomware

Cifra archivos del equipo o de la red y exige rescate (típicamente en criptomoneda) para entregar la clave de descifrado. La generación actual ejerce doble extorsión: además de cifrar, exfiltra datos y amenaza con publicarlos. Algunas familias añaden triple extorsión con ataques DDoS o presión a clientes y partners de la víctima.

Ejemplos: WannaCry (2017), Ryuk, Conti, LockBit, REvil, BlackCat / ALPHV, Cl0p. El sector empresarial español sufrió en 2024 varios incidentes públicos con familias de ransomware as a service (RaaS).

Más detalle en qué es ransomware.

Spyware

Recopila información del usuario sin su conocimiento: pulsaciones de teclado, capturas de pantalla, contactos, ubicación, mensajes. Se usa tanto en cibercrimen (banking spyware) como en vigilancia comercial (stalkerware) y dirigida (spyware avanzado como Pegasus).

Subtipos:

• Keyloggers (qué es un keylogger): registran teclas pulsadas.
• Infostealers: roban credenciales guardadas en navegadores, cookies de sesión, monederos cripto. Una de las familias más activas hoy.
• Stalkerware: instalado por personas con acceso físico al dispositivo de la víctima.

Adware

Muestra publicidad no solicitada, redirige búsquedas y recopila datos de comportamiento para perfilar al usuario. En su versión benigna es solo molesto; en su versión maliciosa modifica el navegador, instala extensiones no deseadas y abre puerta a otros malwares.

Más detalle en qué es adware.

Rootkits

Se esconden en lo más profundo del sistema (kernel, hipervisor, firmware) para evitar ser detectados por antivirus convencionales. Suelen mantener acceso persistente para el atacante después de comprometer el sistema. Difíciles de detectar, más difíciles aún de eliminar sin reinstalar.

Ejemplos: Stuxnet (2010), atribuido a operaciones estatales, sabotaje a la planta de enriquecimiento de uranio de Natanz; TDL-4 en banca, uno de los rootkits más sofisticados de la década pasada.

Bombas lógicas

Código malicioso latente que se activa al cumplirse una condición: una fecha concreta, la ausencia de un empleado en la nómina, la presencia o ausencia de un archivo. Habitual en sabotajes internos.

Ejemplo público: el caso de un administrador despedido de una empresa estadounidense que dejó una bomba lógica que activó el día que su nombre desapareciera de la lista de empleados.

Cryptojacking (mineros maliciosos)

Usan los recursos de cómputo de la víctima para minar criptomoneda sin su consentimiento. Menos visibles que el ransomware pero costosos en factura eléctrica y desgaste de hardware. Frecuentes en servidores cloud comprometidos, donde el atacante paga la víctima la factura de su minería.

Malware fileless

No deja archivos en disco: vive en memoria, en el registro de Windows, en tareas programadas o en scripts de PowerShell. Pensado para evadir antivirus tradicionales basados en firma de archivo. Es la técnica más usada en ataques dirigidos modernos.

Diferencias clave entre virus, gusano y troyano

Tres preguntas resuelven la duda en la mayoría de casos:

1. ¿Necesita un huésped (archivo o sector)? Si sí, es virus clásico. Si no, es gusano o troyano.
2. ¿Se replica solo por la red? Si sí, es gusano.
3. ¿Engaña al usuario para que lo ejecute creyendo que es legítimo y no se replica por sí mismo? Si sí, es troyano.

En incidentes reales aparecen combinaciones: un correo de phishing con un documento (vector inicial) descarga un troyano downloader que instala un módulo gusano para moverse lateralmente y, al final, deja un ransomware que cifra. Cada eslabón requiere defensa propia.

Cómo se detectan los virus informáticos

Los motores de detección modernos combinan cuatro técnicas en proporciones variables. Cada una tiene puntos ciegos, por eso se usan juntas.

Detección por firma

Compara el binario contra una base de datos de hashes y patrones conocidos. Rápida, precisa para amenazas conocidas, ciega ante variantes nuevas. Sigue siendo la primera línea de antivirus tradicionales.

Detección heurística

Analiza el código en busca de patrones sospechosos sin firma exacta: rutinas de cifrado, llamadas a API inusuales, uso de empaquetadores. Detecta variantes nuevas de familias conocidas, a costa de más falsos positivos.

Detección por comportamiento

Ejecuta el binario en un entorno controlado (sandbox) o monitoriza su comportamiento en el endpoint y bloquea si hace cosas típicas de malware: cifrado masivo de archivos, escalada de privilegios, modificación del MBR, conexiones a infraestructura de comando y control. Es la técnica clave de los EDR modernos (analizado en qué es EDR).

Detección por threat intelligence

Cruzar indicadores observados (IPs, dominios, hashes, certificados, infraestructura) con feeds de inteligencia para identificar campañas y actores conocidos. Útil para anticipar y para responder, no tanto para detectar el ataque inicial.

Cómo protegerse: defensa práctica por capas

No existe una sola medida que pare todos los tipos de virus. La defensa eficaz combina capas técnicas con concienciación del personal.

Capa técnica imprescindible

• EDR/XDR en endpoints, no solo antivirus tradicional. Capa de detección por comportamiento.
• Parches al día. La mayoría de gusanos modernos explotan vulnerabilidades con parche disponible.
• Segmentación de red para limitar el movimiento lateral si una máquina se infecta.
• Backups inmutables (offline o con WORM) probados periódicamente. Es la única defensa de verdad contra ransomware bien ejecutado.
• MFA en todas las cuentas privilegiadas para mitigar el daño de credenciales robadas por infostealers.
• Filtro de correo con sandboxing para neutralizar adjuntos maliciosos antes de que lleguen a buzones.

Capa humana

• Formación periódica sobre phishing y reconocimiento de correos sospechosos.
• Simulaciones de phishing para medir y mejorar la tasa de clic.
• Política clara de "qué hacer si": línea de reporte rápido, prohibición de pagar rescates sin involucrar a especialistas, protocolo de aislamiento del equipo afectado.

Capa de gobierno

• Plan de respuesta a incidentes documentado y ensayado.
• Inventario de activos críticos identificados y mapeados.
• Indicadores que se miden (MTTD, MTTR, tasa de incidentes por mes, vulnerabilidades pendientes), no que se guardan en una hoja sin revisar.

Ejemplos famosos por categoría

Para fijar las categorías con casos reales:

• Virus de archivo: CIH (1998), uno de los virus más destructivos de su época.
• Virus de boot moderno (bootkit): BlackLotus (2022), capaz de saltarse Secure Boot.
• Macro virus: Melissa (1999), Emotet (2014-2024, mayoritariamente desmantelado).
• Gusano: ILOVEYOU (2000), WannaCry (2017), NotPetya (2017).
• Troyano: Zeus (2007), TrickBot (2016), Emotet en su fase troyana.
• Ransomware: WannaCry (2017), Ryuk (2018), LockBit (2019-2024, takedown parcial Operation Cronos en febrero 2024), BlackCat/ALPHV (2021-2024).
• Spyware avanzado: Pegasus (NSO Group, 2016 en adelante).
• Rootkit: Stuxnet (2010), TDL-4 (2011).
• Cryptojacking: Coinhive en sitios web (2017-2019), variantes en contenedores cloud mal protegidos.

Preguntas frecuentes

¿Cuál es la diferencia entre virus y malware?

Malware es el término general que engloba cualquier software malicioso: virus, gusanos, troyanos, ransomware, spyware, adware, rootkits. Virus es una categoría específica dentro del malware: la que se replica insertándose en archivos o sectores anfitriones. En el lenguaje cotidiano "virus" se usa como sinónimo de malware, pero técnicamente el conjunto es más amplio.

¿Cuáles son los tipos de virus informáticos más peligrosos hoy?

Los más dañinos en empresas son el ransomware con doble extorsión (cifrado más exfiltración), los infostealers que roban credenciales y cookies de sesión, y el malware fileless que evade antivirus tradicionales. Los virus de archivo clásicos siguen existiendo pero son una fracción menor del incidente medio en una organización.

¿Cómo se propaga un virus informático?

Los vectores más habituales en 2026 son: correo electrónico con adjuntos o enlaces maliciosos (sigue siendo el #1), descargas desde sitios comprometidos, vulnerabilidades sin parchear en servicios expuestos (vector de gusanos), medios extraíbles infectados (USB), suplantación en redes sociales y mensajería, y ataques a la cadena de suministro de software (analizado en ataques a la cadena de suministro).

¿Sirve un antivirus gratuito para protegerse?

Para un equipo doméstico sin datos sensibles, un antivirus gratuito reputado y el sistema operativo al día cubren la base. Para una empresa no es suficiente: hace falta EDR/XDR con detección por comportamiento, gestión centralizada, capacidad de respuesta y, en empresas medianas, un SOC que monitorice. Un antivirus tradicional pierde rápido contra ransomware moderno y malware fileless.

¿Cómo sé si mi equipo está infectado?

Señales habituales: lentitud anormal, ventanas emergentes sospechosas, archivos cifrados o renombrados, uso elevado de CPU o disco sin razón aparente, conexiones de red a destinos extraños, antivirus desactivado sin tu intervención, redirecciones de navegador, correos enviados desde tu cuenta sin tu conocimiento. Cualquiera de estos signos en un equipo corporativo justifica aislarlo de la red y abrir un análisis con el equipo de seguridad.

¿Qué hago si mi empresa sufre un ataque de ransomware?

Tres pasos en este orden: aislar los equipos afectados de la red sin apagarlos (apagarlos puede destruir evidencias en memoria); notificar al equipo de seguridad y, si aplica, al CSIRT competente (INCIBE-CERT, CCN-CERT) y a las autoridades según NIS2 o DORA si la organización está bajo alcance; no pagar sin involucrar a especialistas en respuesta a incidentes y análisis forense: pagar no garantiza la recuperación y puede tener implicaciones legales según la familia atacante y las sanciones aplicables.

¿Los virus informáticos afectan a Mac y Linux?

Sí. La idea de que Mac o Linux son inmunes es un mito. macOS sufre menos malware masivo pero campañas dirigidas crecen (XLoader, Atomic Stealer, OSX/Shlayer en su día). Linux es el sistema dominante en servidores cloud y, por tanto, objetivo principal de cryptominers, ransomware específico (DarkSide y BlackCat tienen versión Linux) y exploits contra Kubernetes mal configurados. La superficie es distinta, la amenaza no desaparece.

Recursos relacionados

• Tipos de malware: clasificación completa
• Qué es un ransomware
• Qué es un troyano
• Qué es un gusano informático
• Qué es un keylogger
• Qué es EDR: protección de endpoints
• Concienciación en ciberseguridad

---

Concienciar al equipo es la defensa más rentable contra cualquier tipo de virus informático, porque la mayoría de infecciones empiezan con un clic. En Secra diseñamos planes de concienciación y simulaciones de phishing adaptados al perfil real de cada empresa, con métricas de mejora medibles entre campañas. Cuéntanos cómo está tu equipo y construimos el plan que toca.