El mundo de antivirus

miércoles, 11 de marzo de 2026

El desarrollo vertiginoso de las tecnologías informáticas se percibe como algo natural desde hace mucho. Tras décadas de progreso, nos hemos acostumbrado al crecimiento geométrico del rendimiento de los dispositivos y de la funcionalidad del software, a la aparición de servicios para casi cualquier necesidad y a esa simbiosis digital que ha hecho nuestra vida cotidiana mucho más cómoda. Pero todo tiene su reverso. El ámbito de la seguridad de la información ha demostrado una y otra vez que cada nueva posibilidad tecnológica trae consigo nuevas amenazas. Siempre ha sido así: desde la aparición de Internet a escala global hasta el desarrollo de los metaversos virtuales.

Hoy la atención de la comunidad está centrada en los algoritmos de redes neuronales y en los modelos de inteligencia artificial, en su impacto global sobre la industria y, en particular, sobre los principios de la protección de la información. Los medios de comunicación hablan de un «cambio tectónico» en las tecnologías, capaz de alterar las reglas del juego para todos: desarrolladores, grandes empresas, usuarios y, por supuesto, también para los ciberdelincuentes. Las redes neuronales ya son de naturaleza ambivalente: al mismo tiempo se presentan como la solución para todo y como una especie de «arma digital de destrucción masiva». Con frecuencia, este discurso encierra un mensaje peligroso: el usuario corriente puede llegar a pensar que ya nada depende de él. Que la inteligencia artificial lo protegerá todo. O que, si no lo hace, tampoco hay forma de protegerse de ella.

En la edición de hoy de El Mundo de Antivirus proponemos analizar las amenazas más relevantes teniendo en cuenta estas «nuevas realidades» y, de paso, averiguar si de verdad estamos a las puertas de un nuevo paradigma en el que el ser humano deje de ser el protagonista.

Amenazas antiguas y nuevos vectores

En una de las ediciones anteriores, dedicado al uso del PC sin antivirus, ya hemos reflexionado sobre los riesgos habituales a los que se enfrenta el usuario medio. La realidad es que, pese al evidente progreso tecnológico, estos escenarios conocidos y los métodos clásicos de infección siguen plenamente vigentes hoy en día. Malware de todo tipo y de innumerables variantes — desde simples scripts hasta ransomware — continúan campando a sus anchas por la red, camuflados como software legítimo o aparentemente útil. La mayoría siguen siendo troyanos que el propio usuario, sin darse cuenta, ejecuta por su cuenta.

Este enfoque funcionaba hace veinte años y sigue funcionando hoy, porque desde el punto de vista de los creadores de malware es el método técnicamente más eficaz para lograr una infección inicial en entornos del sistema operativo Windows (aprovechando, claro está, la falta de atención del usuario). Naturalmente, con el paso de los años los sistemas de protección integrados han ido mejorando. Windows, por ejemplo, nunca permitirá ejecutar un archivo no firmado sin mostrar el correspondiente aviso o incluso intentar bloquear su ejecución. Pero ¿a quién detienen realmente estas limitaciones si se esquivan con dos clics y el usuario necesita ejecutar el archivo «aquí y ahora»?

Por desgracia, este escenario «sencillo» no afecta únicamente a equipos de hogar aislados. Muchas intrusiones graves en el ámbito corporativo comienzan exactamente de la misma manera. En la primera fase, el objetivo principal de los atacantes es siempre explotar el punto de entrada: lograr la infección inicial. A partir de ahí, el troyano que se ha puesto en marcha actúa según la funcionalidad que lleve incorporada. En muchos casos no es más que un cargador destinado a descargar otros módulos más complejos, que son los que ejecutan las acciones realmente destructivas: por ejemplo, recopilar, robar o destruir datos.

En nuestros artículos solemos recomendar descargar los programas únicamente desde fuentes oficiales. Se trata de una regla básica de seguridad destinada a minimizar los riesgos descritos anteriormente. Sin embargo, el malware también dispone de otras vías para llegar a un dispositivo.

En ocasiones, los atacantes consiguen comprometer a la propia empresa desarrolladora de software y, con una actualización aparentemente legítima, introducir código malicioso o alguna vulnerabilidad en un archivo firmado y completamente válido. Este método se conoce como ataque a la cadena de suministro. Cada vez que se produce un caso así y sale a la luz, suele recibir una amplia cobertura en los medios, y los desarrolladores intentan corregir la situación lo antes posible. Pero, aunque se trate de un fenómeno poco frecuente, el simple hecho de que exista este método implica que incluso al descargar programas oficiales el riesgo nunca es completamente nulo. En sentido estricto, una firma digital válida no garantiza que el archivo sea totalmente «limpio» y seguro: lo único que certifica es quién es su remitente.

En cuanto a los escenarios con los que el usuario se enfrenta a diario, los creadores de malware procuran que sus programas no solo funcionen de forma eficaz, sino también que pasen desapercibidos. Un ejemplo claro son las versiones modernas de los mineros de criptomonedas. Su rasgo distintivo es que operan en modo silencioso, lo cual dificulta detectarlos por cuenta propia. Los atacantes han entendido que, para minar durante más tiempo, lo mejor es no molestar al usuario. Por eso, durante el proceso de minado el programa utiliza los recursos del ordenador de manera controlada y ajusta la carga de forma dinámica. Actualmente se centran sobre todo en la minería de Monero y de otras criptomonedas con una barrera de entrada baja, capaces de generar beneficios rápidos. Los dispositivos infectados pasan a formar parte de botnets, es decir, redes distribuidas de cálculo que trabajan para enriquecer a sus creadores. Este tipo de mineros existe tanto en forma de troyanos clásicos como de scripts maliciosos incrustados en páginas web o incluso de extensiones para navegadores.

En los últimos años, bajo la influencia de la digitalización masiva, lo que ha cambiado no han sido tanto los métodos de intrusión como las prioridades de los delincuentes. Hoy resulta mucho más valioso apropiarse de la identidad digital de un usuario que controlar un único dispositivo. Un ejemplo claro es la amplia difusión de los troyanos infostealer. Estos malware están diseñados para robar cookies de sesión y credenciales almacenadas en el navegador. Con esa información, un atacante puede iniciar sesión en las cuentas de la víctima desde su propio dispositivo, incluso sorteando la autenticación en dos factores. El resultado puede ser la pérdida de acceso al correo electrónico, a las redes sociales o a los servicios bancarios.

El peligro no reside tanto en el compromiso de un servicio aislado como en el riesgo de un efecto en cadena. Así, una sola cuenta comprometida —por ejemplo, el correo principal— puede abrir la puerta a toda la vida digital de una persona: desde servicios de administración electrónica hasta chats corporativos de trabajo. Además, los conjuntos de datos robados suelen convertirse en una mercancía muy demandada en la darknet, donde se revenden para posteriores extorsiones o para preparar nuevos ataques.

Conviene recordar que los ciberdelincuentes son pragmáticos y procuran estar siempre a la última. Cualquier tecnología reciente o nuevo canal de comunicación se convierte rápidamente en una herramienta más de su arsenal. En este momento nos encontramos en una fase en la que combinan activamente los canales tradicionales de propagación del malware, bien probados con el paso del tiempo, con las nuevas posibilidades técnicas. El phishing a través del correo electrónico y de aplicaciones de mensajería, las páginas web falsas con programas infectados, las vulnerabilidades de red o la escasa protección de muchos dispositivos seguirán utilizándose mientras continúen dando resultados.

Phishing 2.0 y redes neuronales

El phishing siempre ha sido una piedra angular de la ciberdelincuencia, ya que en esencia se basa en algo tan simple como el engaño. El engaño está en la base del concepto de los troyanos, de los mensajes y sitios web falsos, de la minería parasitaria y de la extorsión digital. ¿Para qué desarrollar un código extremadamente complejo y emplear malware multifuncional para infectar un sistema si se puede conseguir que el propio usuario entregue la información necesaria «voluntariamente»? Las tecnologías actuales permiten a los delincuentes multiplicar sus probabilidades de éxito. En los últimos años, de hecho, el phishing ha experimentado un salto cualitativo notable. En vez del spam masivo enviado al azar, los estafadores recurren cada vez más a ataques dirigidos. En ello les ayudan las redes neuronales mencionadas anteriormente, la automatización y la combinación de distintos métodos. Si antes los sitios o mensajes de phishing solían delatarse por la abundancia de errores y una ejecución descuidada, hoy la inteligencia artificial elimina en gran medida ese problema.

Los modelos lingüísticos pueden redactar textos en cualquier idioma con una corrección impecable, respetar el tono del lenguaje empresarial o incluso imitar el estilo de una marca concreta. La situación se complica aún más con las tecnologías deepfake, capaces ya de imitar voces y generar vídeos convincentes con la imagen de cualquier persona.

Por último, otra característica clave del phishing dirigido actual es su carácter omnicanal. Los estafadores ya no se limitan al correo electrónico, sino que utilizan varios canales de comunicación en distintas fases. Por ejemplo, pueden iniciar el contacto a través de una red social, continuar la conversación en un servicio de mensajería y rematar el proceso con un correo electrónico «oficial» que contiene un archivo malicioso o un formulario de acceso falso destinado a robar credenciales.

En un contexto en el que la inteligencia artificial es capaz de procesar rápidamente enormes volúmenes de datos, todo ello simplifica considerablemente el trabajo de los ciberdelincuentes: el engaño se vuelve mucho más eficaz. Las redes neuronales en manos de los delincuentes no se limitan a producir «textos bien escritos». La inteligencia artificial se ha convertido en otra poderosa herramienta dentro de la eterna pugna entre los ciberdelincuentes y los especialistas en seguridad informática.

Últimamente, muchos analistas hablan del polimorfismo basado en IA: una tecnología que permite a una red neuronal reescribir sobre la marcha el código malicioso de un programa, lo que hace que el análisis tradicional basado en firmas resulte prácticamente inútil para su detección. Realmente es así, aunque cabe destacar que la propia tecnología del polimorfismo se conoce desde hace más de treinta años. Ya en los albores del desarrollo masivo de virus informáticos, los expertos que estaban en el origen del antivirus Dr.Web implantaron con éxito algoritmos de descifrado y emulación para combatir esta amenaza. Sin embargo, hoy, gracias a las redes neuronales, el polimorfismo vive una especie de renacimiento. Si los métodos clásicos se limitaban a reorganizar instrucciones o a cifrar el código, los modelos actuales de IA son capaces de reescribir por completo la lógica del programa, haciendo que cada nueva instancia resulte única desde el punto de vista del análisis.

De este modo, la inteligencia artificial se utiliza para mejorar cuantitativamente las capacidades de los troyanos: desde la automatización de la búsqueda de vulnerabilidades hasta la ampliación de los métodos de infección y de camuflaje. ¿Por qué hablamos de una mejora cuantitativa? Porque, por ahora, los modelos de IA todavía no son capaces de inventar métodos de ataque muy nuevos ni de tomar decisiones que vayan más allá de los datos con los que han sido entrenados. Funcionan más bien como una gigantesca enciclopedia, capaz de realizar el «trabajo sucio» con una rapidez y una eficacia extraordinarias. Y aquí llegamos a uno de los grandes malentendidos de la narrativa actual, que tiende a atribuir a las redes neuronales un poder casi absoluto. A nuestro juicio, la situación real en materia de virus indica justo lo contrario: el papel decisivo en la seguridad sigue recayendo, ante todo, en el propio usuario.

En última instancia, por muy «inteligente» que parezca un virus o un troyano, siempre necesita un intermediario para entrar en su sistema. La inteligencia artificial puede redactar el mensaje perfecto o reorganizar el código hasta hacerlo irreconocible, pero no puede infectar un equipo por arte de magia.

No estamos a las puertas de un apocalipsis digital en el que el ser humano quede indefenso ante el poder de las redes neuronales; simplemente hemos entrado en una fase en la que el precio del error es más alto y los métodos de engaño son cada vez más sofisticados. Hoy la seguridad de la información no es solo una batalla entre programas con «IA a bordo», sino también una cuestión de vigilancia y sentido común. En realidad, siempre ha sido así: lo único que ha cambiado son las herramientas. La mejor protección sigue siendo la misma de siempre: la combinación de un antivirus de confianza y el pensamiento crítico del usuario. Recuerde: el «algoritmo de detección» más eficaz sigue estando en su propia cabeza.