Malware sin archivos: qué es, cómo funciona y cómo frenarlo

El malware sin archivos se ha convertido en uno de esos conceptos de ciberseguridad que cada vez suena más, pero que muchas veces se entiende a medias. No hablamos del típico virus que te descargas en un archivo .exe y se queda guardado en el disco duro, sino de algo bastante más sigiloso, que se mueve sobre todo en la memoria del equipo y se apoya en herramientas legítimas del propio sistema operativo.

En otras palabras, el fileless malware no necesita instalarse como programa clásico para hacer daño: aprovecha scripts, procesos de Windows y componentes como PowerShell, WMI o incluso el Registro para ejecutar código malicioso en segundo plano. Esto complica muchísimo su detección con soluciones de antivirus de toda la vida y obliga a cambiar el enfoque de defensa hacia el comportamiento y la monitorización continua.

¿Qué es exactamente el malware sin archivos?

Cuando hablamos de malware sin archivos nos referimos a una categoría de amenazas que evita, en la medida de lo posible, escribir archivos maliciosos persistentes en el disco duro. En lugar de eso, el atacante inyecta o ejecuta el código directamente en la memoria (RAM) o a través de procesos confiables ya presentes en el sistema.

En el malware tradicional, el delincuente prepara un ejecutable, lo distribuye (por ejemplo, a través de un adjunto de correo o una descarga desde la web), la víctima lo ejecuta y ese binario se mantiene en el sistema para relanzarse tras cada reinicio. En el modelo sin archivos, muchas de estas piezas se sustituyen por scripts o comandos que “viven” en memoria, se apoyan en utilidades integradas de Windows y borran o minimizan los rastros en disco.

Este enfoque se popularizó especialmente a partir de 2017, cuando comenzaron a detectarse campañas más masivas que ya no se limitaban a ataques muy dirigidos. Desde entonces, fabricantes como Kaspersky, SentinelOne o grandes proveedores de seguridad han observado cómo surgen familias de troyanos, adware y clickers con componentes fileless integrados en su cadena de ataque.

Una particularidad importante es que muchas veces no estamos ante un “nuevo tipo de malware” en cuanto a funcionalidad, sino ante una nueva forma de desplegar las mismas amenazas de siempre: ransomware, ladrones de credenciales, RATs (herramientas de acceso remoto) o criptomineros pueden utilizar técnicas sin archivos para saltarse detecciones basadas en firmas.

Cómo funciona el malware sin archivos en un sistema

La mecánica básica de estos ataques se diferencia de la del malware clásico en un punto clave: el código malicioso no se vuelca como ejecutable visible en el disco. Normalmente, las aplicaciones se instalan o se copian al almacenamiento, y cuando el usuario las abre se carga una copia en memoria. En el caso del fileless malware, se “salta” esa parte de escritura en disco y se opera casi por completo desde procesos ya cargados.

Para lograrlo, los atacantes abusan de lo que se conoce como living off the land: utilizan funciones, scripts y herramientas legítimas del propio sistema (LoLBins) en lugar de binarios extraños. PowerShell es el ejemplo estrella en entornos Windows, ya que proporciona acceso privilegiado a APIs del sistema y permite ejecutar scripts complejos con una simple línea de comandos.

Un escenario típico de ataque empieza con un correo de phishing que incluye un enlace o un documento adjunto malicioso. El mensaje intenta generar urgencia o confianza (por ejemplo, simulando ser de Finanzas, Recursos Humanos o de un proveedor), y persuade al usuario para que abra el fichero o pulse en el enlace. A partir de ahí se puede desencadenar la ejecución de macros, comandos de PowerShell, scripts VBScript o JScript que descargan o ejecutan la carga útil directamente en memoria.

En muchos casos se produce también explotación de vulnerabilidades: un fallo de tipo desbordamiento de búfer o RCE (ejecución remota de código) en un navegador, un plugin o una aplicación de escritorio permite ejecutar código shell dentro del propio proceso vulnerado, sin tener que escribir en disco. Desde ahí, el atacante inyecta más código en memoria, despliega scripts adicionales o manipula procesos del sistema.

Otras veces, el fileless malware se apoya en el Registro de Windows para establecer persistencia sin dejar un ejecutable “obvio” en el sistema de archivos. Por ejemplo, puede almacenar un script codificado como valor de una clave de ejecución automática y lanzar herramientas como PowerShell o WMI para decodificar y ejecutar ese código cuando el usuario inicie sesión.

Técnicas principales usadas por el malware sin archivos

Las campañas modernas combinan varias técnicas sin archivos para aumentar la capacidad de evasión y la persistencia. No todas se aplican en cada ataque, pero conviene conocer las más habituales porque suelen aparecer mezcladas:

1. Scripts maliciosos en WMI (Windows Management Instrumentation)
Una táctica muy extendida consiste en almacenar scripts maliciosos como parte de suscripciones WMI. Estas suscripciones pueden ejecutarse cuando se cumplen ciertos eventos del sistema (por ejemplo, el arranque o el inicio de sesión), permitiendo que el malware se active sin un archivo ejecutable tradicional. El código permanece incrustado en la propia infraestructura de administración de Windows.

2. PowerShell como vector central
Otra vía clásica es pasar directamente el script malicioso como parámetro de línea de comandos a PowerShell. Esto puede hacerse desde un documento de Office con macros, desde un ejecutable aparentemente legítimo o mediante utilidades del sistema como mshta o rundll32 que lanzan PowerShell encubierto. Este enfoque permite descargar cargas adicionales en memoria, manipular el sistema y comunicarse con servidores de mando y control sin escribir nada permanente en disco.

3. Scripts almacenados en el Registro o el Programador de tareas
Los atacantes guardan scripts codificados en claves del Registro de Windows o en entradas del Programador de tareas. Después, un proceso legítimo los lee y los ejecuta, a menudo a través de LoLBins como powershell.exe, cscript, wscript o incluso cmd. De este modo, la persistencia queda disimulada entre las configuraciones habituales de arranque y tareas programadas.

4. Cargas .NET reflejadas en memoria
Mediante técnicas de reflexión en .NET, un binario malicioso puede ser cargado directamente en memoria como un ensamblado sin necesidad de escribir el archivo físico. La aplicación que realiza esta carga puede ser legítima o formar parte de una herramienta administrativa, lo que hace más difícil distinguir la actividad maliciosa de la legítima si solo se miran los archivos en disco.

5. Uso de binarios firmados por Microsoft
Herramientas como mshta.exe o rundll32.exe, firmadas por Microsoft y presentes en todos los sistemas Windows, se utilizan con frecuencia como lanzaderas. Pueden ejecutar scripts HTML, JavaScript, VBScript o DLLs que contienen código malicioso. Como son procesos confiables, muchos controles básicos los dejan pasar por defecto.

6. Documentos con macros y otras funciones activas
Los archivos de Word, Excel, PowerPoint o PDFs pueden incluir macros, campos DDE o aprovechar vulnerabilidades específicas del lector para lanzar comandos. Un documento aparentemente limpio puede activar una línea de PowerShell que descargue y ejecute un payload en memoria, o inyecte código en procesos existentes, todo ello sin que la víctima vea más que un documento “normal”.

7. Webshells y componentes recibidos por HTTP
En entornos de servidor, los atacantes instalan webshells (como Godzilla y otros) que reciben componentes de malware a través de peticiones HTTP. Esos fragmentos se inyectan directamente en memoria dentro del proceso del servidor web o de la aplicación, sin necesidad de escribir librerías o binarios adicionales en disco.

Fases de un ataque de malware sin archivos

Un ataque fileless suele seguir una cadena de pasos similar a la de cualquier incidente de malware, pero adaptada para minimizar el uso de archivos físicos y maximizar el apoyo en procesos existentes.

1. Acceso inicial al equipo o a la red
La puerta de entrada más habitual sigue siendo el phishing: correos con enlaces a sitios maliciosos, adjuntos ofimáticos con macros, archivos PDF con exploits o simples ejecutables disfrazados de documentos. También se explotan vulnerabilidades en servicios expuestos, fallos en aplicaciones web o credenciales robadas para entrar vía RDP u otras soluciones de acceso remoto.

2. Ejecución del código en memoria
Una vez lograda la intrusión inicial, el atacante ejecuta código sin archivos mediante scripts de PowerShell, WMI, VBScript, JScript o shellcode inyectado en procesos en ejecución. Es común que se utilicen comandos que pasan directamente el script en la línea de comandos, a menudo ofuscado, y que se configure la política de ejecución de PowerShell en modo bypass para evitar restricciones.

3. Persistencia y movimiento lateral
Para no perder el acceso después de un reinicio, se crean mecanismos de persistencia basados en el Registro, suscripciones WMI, tareas programadas o servicios “legítimos” modificados. Desde ese punto, el malware puede moverse lateralmente hacia otros equipos usando credenciales comprometidas, herramientas administrativas estándar y protocolos corporativos habituales, todo ello con un uso mínimo de archivos nuevos.

4. Acciones sobre el objetivo
En la fase final, el malware cumple su propósito: robo de credenciales, cifrado de archivos con ransomware, instalación de RATs, exfiltración de información sensible o despliegue de criptomineros. Muchas de estas acciones se realizan a través de procesos benignos que simplemente se ven “forzados” a comportarse de forma anómala.

Qué puede hacer un malware sin archivos y por qué es tan peligroso

En cuanto a capacidad de daño, el malware sin archivos no tiene prácticamente límites distintos a los del malware tradicional. Utilizando scripts en memoria y procesos de confianza puede actuar como:

Ladrón de información y credenciales
Puede registrar pulsaciones de teclado, volcar contraseñas de la memoria de procesos como navegadores o gestores de credenciales, y enviar todos esos datos a un servidor externo. Como muchas de estas operaciones se hacen a través de herramientas administrativas, no siempre saltan alertas básicas.

Ransomware sin archivos
Determinadas familias de ransomware han incorporado técnicas fileless para ejecutarse desde la memoria, cifrar archivos en masa y eliminar rastros una vez completada la operación. Al no depender de un binario visible, la ventana de detección se reduce y la respuesta tiene que ser muy rápida para evitar el desastre.

RATs y puertas traseras persistentes
Los kits de acceso remoto pueden residir parcialmente en memoria y apoyarse en el Registro o WMI para mantenerse activos. Esto permite a los atacantes moverse por la red durante meses, recopilando información o preparando futuras fases del ataque, a menudo sin levantar sospechas.

Criptomineros y abuso de recursos
Un script fileless puede lanzar procesos de minado, conectarse a pools de criptomonedas y exprimir CPU y GPU, especialmente en servidores que casi nunca se reinician. El impacto se nota en degradación del rendimiento y consumo eléctrico, pero el origen puede resultar complicado de rastrear si no se monitoriza la actividad de procesos en detalle.

El gran problema para empresas y usuarios es que el fileless malware está pensado desde cero para esquivar antivirus basados en firmas y escaneos puntuales de archivos. Si la defensa se queda en ese nivel, la organización puede estar completamente a oscuras frente a este tipo de campañas.

Por qué el malware sin archivos es tan difícil de detectar

La principal ventaja táctica de estas amenazas es que casi no dejan huella en el sistema de archivos. Al operar sobre procesos legítimos y apoyarse en la RAM, los escáneres tradicionales que analizan archivos en disco apenas ven nada sospechoso.

Ausencia de archivos maliciosos identificables
Los motores clásicos se basan en firmas: detectan patrones de bytes asociados a malware conocido dentro de archivos. Si el atacante evita crear archivos o los borra justo después de usarlos, esa firma nunca llega a ser inspeccionada. De ahí que muchos fileless ataques consigan evadir controles que se centran solo en el almacenamiento.

Uso intensivo de procesos confiables
PowerShell, WMI, mshta, rundll32, cscript, wscript o incluso aplicaciones de Office son esenciales para la administración y el trabajo diario. Bloquearlas sin más rompería la operación de TI y el negocio. Esto hace que los controles más básicos se muestren muy permisivos con estas herramientas, lo que los atacantes aprovechan para esconder su código dentro de ellas.

Limitaciones de muchos antivirus tradicionales
Buena parte de las soluciones heredadas no están diseñadas para inspeccionar de forma profunda los procesos en memoria, las líneas de comandos, los parámetros de ejecución o las correlaciones entre eventos del sistema. Sin esa visibilidad, es muy complicado detectar que detrás de un proceso de Office se ha lanzado un PowerShell con una cadena ofuscada que descarga código desde un dominio sospechoso.

Ofuscación y técnicas anti-análisis
Los atacantes recurren a ofuscación de scripts, codificación en base64, fragmentación de código o incrustación de scripts en imágenes (por ejemplo, usando técnicas similares a Invoke-PSImage) para complicar el análisis estático. El resultado es que incluso las herramientas que extraen macros o scripts de un archivo pueden tener problemas para valorar si son maliciosos sin generar falsos positivos en masa.

Estrategias modernas de detección: del archivo al comportamiento

Para hacer frente al malware sin archivos ya no vale con “pasar el antivirus” de vez en cuando. La tendencia clara es combinar varias capas de seguridad centradas en el comportamiento de procesos y en la correlación de eventos.

Análisis de comportamiento en tiempo real
Las soluciones EDR y XDR modernas monitorizan todas las actividades relevantes en el endpoint: procesos que se lanzan, argumentos de línea de comandos, accesos al Registro, uso de herramientas administrativas, conexiones de red, etc. En lugar de basarse solo en firmas, detectan patrones de comportamiento típicos de malware, como un documento de Office que abre un PowerShell oculto y, acto seguido, descarga un binario desde un dominio poco fiable.

Motores de prevención de exploits
La capa de Exploit Prevention (EP) busca bloquear ataques en la fase de explotación de vulnerabilidades, antes de que el malware consiga ejecutar su shellcode en el proceso atacado. Esto reduce mucho la superficie disponible para encadenar técnicas sin archivos que partan de fallos de RCE o desbordamientos de búfer.

Análisis de áreas críticas del sistema
Herramientas avanzadas revisan de forma periódica y automatizada zonas como tareas del Programador, claves sensibles del Registro, suscripciones WMI y otros puntos habituales de persistencia. El objetivo es detectar entradas anómalas, scripts ofuscados o tareas que ejecutan comandos sospechosos, incluso cuando no hay binarios visibles asociados.

Uso de ETW y AMSI en Windows
Windows proporciona tecnologías como Event Tracing for Windows (ETW) y Antimalware Scan Interface (AMSI) que permiten registrar y analizar la ejecución de scripts y otros contenidos a bajo nivel. Integrar estos mecanismos en las soluciones de seguridad permite inspeccionar el contenido de scripts de PowerShell, VBScript o JScript justo antes de ejecutarse, aumentando drásticamente la capacidad de detección.

Caza de amenazas e inteligencia continua
Más allá de las detecciones automáticas, muchas organizaciones incorporan equipos de threat hunting que analizan de forma proactiva su entorno en busca de indicadores de ataque asociados a técnicas sin archivos. Estos equipos se apoyan en marcos como MITRE ATT&CK, consultan telemetría histórica y afinan las reglas de detección para adelantarse a nuevas campañas.

Impacto en las organizaciones y retos para proveedores de seguridad

Para las empresas, el fileless malware supone un quebradero de cabeza porque ataca justo donde duele: en los procesos y herramientas que no pueden simplemente bloquearse sin dañar el negocio. Deshabilitar PowerShell por completo, por ejemplo, complicaría la administración de sistemas y generaría resistencia interna en los equipos de TI.

Lo mismo ocurre con las macros de Office
Muchos flujos de trabajo corporativos siguen dependiendo de documentos que utilizan macros para automatizar tareas. Aunque Microsoft ofrece opciones para deshabilitarlas, la realidad es que en numerosas organizaciones se mantienen activas por necesidad. Los proveedores de seguridad han intentado mitigar esto extrayendo y analizando código de macros, pero clasificarlo con precisión sin disparar falsos positivos es todo un reto.

Los intentos de protección basados solo en el lado del servidor
Algunas soluciones delegan casi toda la lógica de detección en la nube o en servidores centrales. Esto introduce latencia y dependencia de la conectividad: el agente tiene que esperar la decisión del servidor para actuar, lo que dificulta la prevención en tiempo real. Además, en ataques muy rápidos como ciertos ransomware sin archivos, unos segundos de retraso pueden marcar la diferencia.

Los clientes exigen coberturas claras frente a ataques sin archivos
A medida que crece la conciencia sobre este tipo de amenazas, las organizaciones presionan a los fabricantes para demostrar que sus productos realmente bloquean campañas fileless y no solo añaden parches superficiales. Esto ha impulsado el desarrollo de motores basados en IA, correlación de eventos y modelos de StoryLine o grafos de ataque que reconstruyen el origen real de la actividad maliciosa.

Buenas prácticas de prevención frente al malware sin archivos

Aunque ningún entorno puede blindarse al 100 %, sí hay una serie de medidas que reducen enormemente las probabilidades de sufrir una infección fileless grave y mejoran las opciones de detectarla pronto.

Gestión estricta de scripts y herramientas administrativas
Limitar quién puede usar PowerShell, WMI, cscript, wscript y otras utilidades de alto riesgo es clave. Esto incluye aplicar políticas de ejecución restrictivas, utilizar versiones firmadas de scripts, registrar toda la actividad de estos binarios y bloquear patrones de uso anómalos (por ejemplo, PowerShell lanzado por un proceso de Office con parámetros ofuscados).

Control de macros y documentos activos
Lo ideal es deshabilitar macros por defecto y permitirlas solo para usuarios o plantillas concretas, tras una revisión previa. Asimismo, conviene filtrar a nivel de correo los adjuntos que puedan contener código activo y emplear soluciones que analicen documentos en entornos aislados antes de entregarlos al usuario.

Parcheo continuo de vulnerabilidades
Mantener navegadores, plugins, suites de oficina, sistemas operativos y aplicaciones de servidor al día con los últimos parches reduce drásticamente las oportunidades de explotación. Complementar esto con sistemas de prevención de intrusiones (IPS) ayuda a tapar huecos en aplicaciones que no pueden actualizarse de inmediato.

Autenticación robusta y modelo de confianza cero
Dado que muchos ataques fileless se apoyan en credenciales comprometidas, implementar MFA (autenticación multifactor) y principios de Zero Trust (no fiarse por defecto de nadie ni de ningún dispositivo) limita la capacidad del atacante para moverse lateralmente y escalar privilegios una vez dentro.

Monitorización y respuesta gestionada
Servicios como SOCs externos o plataformas de MDR/EMDR permiten a organizaciones sin grandes equipos internos tener vigilancia 24/7, correlación avanzada de señales y capacidad de respuesta rápida. Estos servicios suelen apoyarse en marcos como MITRE ATT&CK para mapear tácticas y técnicas, incluyendo las asociadas al fileless malware.

En definitiva, el malware sin archivos se ha ganado su fama porque aprovecha a la perfección las debilidades de los enfoques tradicionales basados en archivos y firmas. Entender cómo se infiltra, qué técnicas utiliza (PowerShell, WMI, Registro, macros, webshells, memoria, LoLBins) y qué tipo de daños puede causar es el primer paso para reforzar defensas con EDR/XDR, análisis de comportamiento, caza de amenazas y políticas estrictas sobre el uso de herramientas administrativas y documentos activos.