Últimas noticias
07 de julio de 2026 | Texto: Markus Selinger | Antivirus para Windows
Ciberataques: herramienta de automatización de Windows con ransomware y ladrones de información
La detección de malware, como ransomware y ladrones de información, es un primer paso, pero el segundo es detenerlo. Especialmente cuando los atacantes se aprovechan de herramientas legítimas de Windows, como AutoIt, para sus maliciosos fines. ¿Qué pasa si una solución de seguridad no detecta a los atacantes o no los detiene a pesar de detectarlos? La prueba de protección avanzada contra amenazas, abreviada ATP del inglés Advanced Threat Protection, responde justo a estas preguntas. Los test en 10 escenarios reales comprueban si una solución de seguridad utiliza en la práctica todo su arsenal de herramientas de protección y protege como promete. Si no lo consigue, el ataque del ransomware o el ladrón de datos tiene éxito. Pero la prueba muestra que las soluciones de seguridad dominan su oficio.
Ransomware y los ladrones de datos atacan Windows 11
17 de los paquetes de seguridad para usuarios finales y empresas demostraron en la prueba ATP lo bien que defienden contra atacantes peligrosos
Incluso a los expertos les resulta difícil tener una visión de conjunto de los numerosos grupos de hackers. Continuamente se consolidan nuevos grupos que incluso alquilan su infraestructura a “affiliates” (socios criminales que ejecutan los ataques) en el marco de Ransomware-as-a-Service (RaaS). Esto aumenta notablemente las amenazas existentes en Internet. Por supuesto existen también servicios en la red oscura para ladrones de información y otro tipo de malware.
Ataque el grupo que ataque, como Qilin, Play, Cl0p, RansomHub o Akira, todos utilizan las técnicas y vías de ataque más nuevas y modifican su malware, a menudo con ayuda de IA. Las pruebas de Advanced Threat Protection también se adaptan tras cada ciclo bimensual y adoptan estas nuevas técnicas para el malware de prueba.
Gran capacidad de defensa contra ransomware y ladrones de información
En la prueba ATP de marzo y abril, 17 soluciones de seguridad se sometieron a los test con Windows 11. Estas incluyen 8 productos para usuarios privados de Avast, AVG, Bitdefender, ESET, K7 Computing, Kaspersky, McAfee y Norton. En el caso de los productos para empresas, participaron 9 soluciones de los siguientes fabricantes: Acronis, Avast, Kaspersky (con dos versiones), Microworld, Net Protector, Norton, Qualys y Trellix.
La prueba de Advanced Threat Protection está claramente estructurada. Cada solución de seguridad tiene que superar 10 escenarios reales en un ordenador de prueba, 5 veces contra ransomware y 5 veces contra ladrones de datos. En ellos, el laboratorio aplica diferentes técnicas de ataque o las combina. Puede tratarse, por ejemplo, de ataques de inyección, código PowerShell especial o herramientas usadas con fines fraudulentos, como es el caso en esta prueba. Y es que actualmente los atacantes realizan a menudo ataques automatizados con la herramienta AutoIt. Por eso se le da un papel destacado en esta prueba.
AutoIt: es una popular herramienta de Windows que usa un lenguaje de script para Windows similar a BASIC para automatizar procesos como clics, entradas de teclado, control de ventanas y tareas sencillas de instalación o administración. Con ella también se pueden compilar scripts en archivos EXE ejecutables en destino sin instalar AutoIt.
Los agresores utilizan AutoIt para crear y difundir scripts maliciosos. Como la herramienta es conocida y legal, su uso no llama de inmediato la atención. En nuestros ataques utilizamos scripts de AutoIt que implementan cargadores de Shellcode, encargados de descodificar y ejecutar el código malicioso en la memoria de trabajo. Estos scripts o bien se difunden conjuntamente con el intérprete de AutoIt o se compilan con ayuda de Aut2Exe en archivos ejecutables. Durante la ejecución en el sistema objetivo, el cargador basado en AutoIt simula el comportamiento del ransomware o el malware para robar información.
Todos los productos tienen que detener a los atacantes en los 10 escenarios. Los gráficos de resultados al final del artículo muestran lo bien que lo hace cada producto. Las demás tablas indican la cantidad de puntos que han conseguido las soluciones para su puntuación en protección. La máxima puntuación asciende a 35 puntos. Por cada ransomware que se detecta se conceden hasta 3 puntos y por cada ladrón de información, hasta 4 puntos. Si tienen problemas con la defensa se les puede descontar medio o todo un punto.
Los 10 escenarios de prueba
Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas y cómo el malware puede propagarse en los sistemas.
La prueba ATP con 8 paquetes de seguridad para usuarios finales
7 de los 8 paquetes de seguridad para Windows examinados superaron la actual prueba ATP con la máxima puntuación. Reconocieron a los atacantes en los 10 escenarios y no se dejaron engañar por las nuevas técnicas de ataque. Por ello, estos paquetes recibieron los 35 puntos máximos: Avast, AVG, Bitdefender, K7 Computing, Kaspersky, McAfee y Norton.
El único producto que tuvo problemas fue el paquete de ESET. En la prueba hubo un ladrón de datos que ni detectó ni pudo detener por otros medios. El atacante se puso manos a la obra sin que nada se lo impidiera y robó los datos. Esto supuso una deducción de 4 puntos.
En otra ocasión, con un ransomware, detectó al atacante, pero no pudo bloquearlo por completo. El ataque fue bloqueado parcialmente por otros módulos de defensa, pero, al final, el ransomware ganó y encriptó el sistema. ESET perdió aquí otros 1,5 puntos. Al final le quedaron, por tanto, 29,5 de los 35 puntos posibles.
Todo producto que alcanza en la prueba una puntuación de protección del 75 por ciento de los 35 puntos (26,5 puntos) y participa en las series de pruebas periódicas con Windows recibe el certificado de AV-TEST “Advanced Certified”. Todos los paquetes para usuarios privados cumplieron estos requisitos y recibieron el certificado.
9 soluciones de seguridad para empresas en la prueba ATP
El examen de las 9 soluciones para empresas en la prueba ATP transcurrió de forma muy satisfactoria para muchos proveedores. 8 productos endpoint para ordenadores de oficina con Windows 11 no tuvieron ninguna dificultad en los 10 escenarios y detuvieron a todos los atacantes. Por este buen rendimiento se merecieron los 35 puntos máximos para su puntuación en protección: Acronis, Avast, Kaspersky (con ambas versiones), Microworld, Norton, Qualys y Trellix.
El producto de Net Protector fracasó en la prueba en dos ocasiones. Si bien detectó de inmediato a los 10 atacantes, solo pudo aislar a 8 de ellos. La protección bloqueó solo parcialmente un ladrón de datos y un ransomware, por lo que los ataques siguieron adelante. Los demás módulos de protección que entraron en acción tampoco detuvieron por completo a los atacantes. Al final, los datos fueron encriptados por el ransomware o bien robados por el ladrón de información. Por eso, Net Protector perdió una vez 2,5 puntos y otra, 2 puntos. Al final le quedaron 30,5 de los 35 puntos posibles para la puntuación en protección.
Todas las soluciones examinadas cumplieron los requisitos para recibir el certificado de “Advanced Approved Endpoint Protection”, puesto que consiguieron el 75 por ciento de los 35 puntos (26,5 puntos) en la puntuación de protección y son participantes habituales en las pruebas bimensuales con Windows.
Prueba ATP con muchos resultados excelentes
La actual prueba ATP pone de manifiesto el buen trabajo de investigación y desarrollo de los fabricantes de productos de seguridad para usuarios privados y empresas. 15 de los 17 paquetes de seguridad examinados no se dejaron engañar por las más nuevas técnicas de ataque ni por malware modificado. Detectaron y eliminaron sin fallos todos los peligros de la prueba.
Solo dos de los paquetes de seguridad tuvieron problemas en algunos casos concretos. Pero con el ransomware y los ladrones de información no hay margen de error. Estos fabricantes tienen que mejorar en este aspecto.




























