Últimas noticias
20 de enero de 2026 | Texto: Markus Selinger | Antivirus para Windows
Prueba ATP: con qué facilidad engaña a Windows un malware
Muchos usuarios hace tiempo que saben que tienen que mantener actualizado su sistema Windows para limitar al máximo las posibilidades de que lo ataquen ciberdelincuentes. Pero el propio Windows tiene algunas vulnerabilidades que solo puede contrarrestar un software de seguridad. ¿Sabía acaso que Windows intenta cargar archivos DLL aunque estos solo estén en el código como referencias y el archivo en realidad no exista? Los atacantes crean estos archivos fantasma, inclusive código malicioso, y se los ofrece a un proceso de Windows. Este ayuda de forma involuntaria al ataque del ransomware o el ladrón de información. En la actual prueba de Advanced Threat Protection o prueba ATP, 19 productos de protección para usuarios finales y empresas mostraron si detectan estos trucos con DLL y malware o si se dejan engañar.
Software de seguridad en la prueba ATP:
20 programas de seguridad con Windows 11 contra ransomware y ladrones de información
Los ciberdelincuentes no son más que criminales que quieren robar algo. Como, por regla general, no encuentran ninguna caja fuerte digital con dinero, se apoderan de datos y exigen un rescate. Este es en resumen el principio de negocio que se esconde tras un ransomware o un ladrón de datos. Mientras que los ladrones de información suelen extraer solo datos, los ransomware cifran datos importantes además, casi siempre, roban datos de la víctima. El principio es sencillo, pero por desgracia tiene muchísimo éxito desde hace años. Incluso los expertos tienen problemas para estimar el botín obtenido con rescates, pero el año pasado se observaron pagos demostrables a carteras de ciberbandas por un importe de unos 40 mil millones de dólares estadounidenses. El FBI informó que solo en EUA las empresas perdieron casi 17 mil millones de dólares. Los daños reales son presumiblemente superiores, puesto que los datos robados también se venden y dan lugar a otros delitos.
La serie de test ATP examina con regularidad si los programas de seguridad están a la altura de los tiempos y conocen los trucos y técnicas de ataque más nuevos. En la prueba realizada en noviembre y diciembre de 2025 se examinaron 10 productos para usuarios finales y 9 soluciones para empresas con Windows 11.
19 productos de seguridad en la prueba ATP con Windows 11
Todos los productos tienen que demostrar en el laboratorio, en 10 escenarios de ataque reales, si detectan el malware y lo detienen, aunque sea en pasos posteriores. Se documenta cada acción a lo largo de la prueba ATP y se refleja en los gráficos de resultados
En la prueba participaron 11 productos para usuarios finales de Avast, AVG, Avira, ESET, F-Secure, G DATA, Kaspersky, McAfee, Microsoft y Norton. Las soluciones para empresas provienen de los fabricantes Acronis, Avast, Bitdefender, ESET, Kaspersky (con dos versiones), Microworld, Qualys y Trellix.
Prueba ATP: paquetes de seguridad para Windows 11
De los 10 paquetes de seguridad analizados, 7 alcanzaron la máxima puntuación en la prueba ATP ampliada con Windows 11
Soluciones para empresas en el ATP test
Casi todas las soluciones para terminales de empresas demostraron en la prueba ATP con Windows 11 una gran eficacia contra el ransomware y los ladrones de datos
En cada prueba ATP, los expertos del laboratorio cambian las técnicas de ataque, tal y como lo hacen los ciberdelincuentes en el mundo real. En los 10 escenarios, con 5 ejemplares de ransomware y de ladrones de información respectivamente, los examinadores otorgan una puntuación predeterminada por la actuación de los productos. En el caso de los ladrones de información, pueden llegar a ser 4 puntos y en el del ransomware, 3 puntos. Si en un paso solo se consigue una defensa parcial, también es posible recibir medios puntos. Al final de la prueba, cada producto puede acumular hasta 35 puntos para su puntuación en protección.
En la prueba actual se utilizaron estas técnicas de ataque especiales:
Phantom DLL hijacking: El atacante se aprovecha de que un servicio de Windows busca una DLL que no existe en el directorio para colocar allí un archivo malicioso. Algunos servicios de Windows cargan DLL opcionales o con una referencia débil si las encuentran en su ruta de búsqueda, lo cual abre la posibilidad a engaños. Por ejemplo, en el pasado, el servicio SessionEnv de Windows intentaba cargar la TSVIPSrv.dll aunque esta no estuviera disponible. Si un atacante coloca una DLL con ese nombre en un directorio de la ruta de carga del servicio es posible que el servicio la cargue al iniciar.
En nuestros ejemplos utilizamos una elusión del UAC (control de cuentas de usuario) que nos permite colocar la TSVIPSrv.dll en “System32” y reiniciar el servicio SessionEnv. A continuación, cargamos nuestro código malicioso en el servicio de Windows auténtico e iniciamos la simulación del comportamiento del ladrón de datos o ransomware.
DLL sideloading: Con esta técnica de ataque, un archivo ejecutable legítimo carga una DLL con un nombre de confianza de un lugar de almacenamiento inesperado. Sin embargo, los atacantes habían sustituido previamente el archivo por una versión maliciosa. En Windows, muchas aplicaciones buscan primero determinadas DLL en sus directorios de trabajo antes de recurrir a rutas del sistema. Por ejemplo, el archivo binario legítimo de Microsoft Edge, identity_helper.exe, intenta cargar la msedge_elf.dll del mismo directorio.
En nuestros ejemplos colocamos en el directorio de identity_helper.exe nuestra msedge_elf.dll manipulada con código malicioso. O bien copiamos ambos archivos en otro directorio y hacemos que se ejecuten. El archivo ejecutable legítimo carga la biblioteca maliciosa diseñada ejecutando así el comportamiento simulado del ladrón de datos o del ransomware.
Los 10 escenarios de prueba
Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas y cómo el malware puede propagarse en los sistemas.
Prueba ATP: 10 productos para usuarios privados
Los productos para usuarios finales examinados proceden de los siguientes fabricantes: Avast, AVG, Avira, ESET, F-Secure, G DATA, Kaspersky, McAfee, Microsoft y Norton. La prueba se desarrolló a la perfección para 7 de los 10 productos que no se dejaron engañar por ninguna técnica de ataque. Todos ellos recibieron los 35 puntos máximos para su puntuación en protección.
El paquete de ESET identificó a los atacantes en los 10 escenarios. En el caso de un ejemplar de ransomware, sin embargo, ESET detectó al atacante, pero no pudo detenerlo del todo. Tampoco evitó la inserción de un archivo DLL infectado. Al final, los datos fueron encriptados y el producto perdió 2 de los 3 puntos posibles. ESET finalizó la prueba con 33 de los 35 puntos.
Los paquetes de Microsoft y G DATA detectaron sin fallos a 9 atacantes, pero los dos fracasaron frente a uno de los ladrones de información. Ni detección, ni bloqueo ni ninguna otra defensa. Se robaron todos los datos. Ambos productos perdieron por esto 4 puntos y acumularon solo 31 de los 35 puntos para la puntuación en protección.
Casi todos los paquetes para usuarios privados examinados en la prueba recibieron el certificado “Advanced Certified” de AV-TEST por haber cumplido dos condiciones: alcanzar al menos un 75 por ciento de los 35 puntos posibles (26,5 puntos) en la puntuación de protección y participar en las pruebas bimensuales regulares con Windows. El fabricante G DATA no recibió ningún certificado puesto que no cumple el segundo punto.
Prueba ATP: 9 productos para empresas
En el caso de las soluciones para empresas, el resultado es perfecto para casi todas. 8 de la 9 soluciones para terminales de empresas defendieron de forma impecable contra todos los atacantes en los 10 escenarios y recibieron los 35 puntos máximos para su puntuación en protección: Acronis, Avast, Bitdefender, ESET, Kaspersky (con dos versiones), Microworld y Trellix.
Únicamente Qualys perdió frente a un ransomware y a un ladrón de información en la 1ª ronda. Detectó los dos ejemplares de malware, pero no los pudo bloquear por completo. La 2ª ronda también la ganaron los atacantes y colocaron sus DLL infectadas en el sistema. Pero en la 3ª llega el K.O. para el ransomware y el ladrón de datos. Se detienen los respectivos ataques y el sistema está salvado. No obstante, se les descontó 1 punto por cada una de las dos inseguridades del principio, por lo que al final Qualys recibió 33 de los 35 puntos para la puntuación en protección.
Casi todas las soluciones para empresas recibieron el certificado “Advanced Approved Endpoint Protection” ya que cumplieron dos requisitos: alcanzar al menos un 75 por ciento de los 35 puntos posibles (26,5 puntos) en la puntuación de protección y participar en las pruebas bimensuales regulares con Windows. Dado que el fabricante Acronis no cumple el segundo punto, no recibió ningún certificado.
Prueba ATP: aquí ni los trucos más refinados del malware funcionan
La prueba ATP actual demuestra que ni el malware que usa las técnicas más nuevas y los trucos más rebuscados tiene prácticamente posibilidades contra un buen software de seguridad para Windows 11.
De los 10 paquetes para usuarios privados, 7 de los candidatos examinados acumularon los 35 puntos máximos en la puntuación de protección, por lo que uso es recomendable: Avast, AVG, Avira, F-Secure, Kaspersky, McAfee y Norton.
También las soluciones endpoint para empresas demostraron que protegen los ordenadores de oficina de forma fiable. 8 de los 9 productos superaron los test sin fallos. El producto restante cometió errores al principio, pero al final consiguió proteger siempre el sistema. O sea que una solución de seguridad también puede detener a un atacante con otros módulos de protección, aunque no haya detectado el malware. La prueba ATP demuestra que la mera detección del malware no es siempre decisiva.
