Saltar al contenido

Próxima edición 6 de julio de 2026

Seguridad defensiva

Análisis de Malware

Proceso de diseccionar software malicioso para entender su funcionalidad, origen, capacidades e impacto potencial, usando técnicas de análisis estático, dinámico, conductual y de código para producir indicadores de compromiso, firmas e inteligencia de amenazas.

Autor
Unihackers Team
Tiempo de lectura
2 min de lectura
Última actualización

Por Qué Importa

Las amenazas modernas entregan malware custom o que evoluciona rápido más rápido de lo que los proveedores firman. Cuando un endpoint marca un binario sospechoso o un equipo de respuesta a incidentes encuentra un ejecutable desconocido, el análisis de malware convierte una muestra en IOCs, patrones conductuales y detecciones que protegen al resto del entorno.

El análisis de NotPetya en 2017 reveló que era un wiper destructivo, no ransomware. La ingeniería inversa de Stuxnet expuso capacidad de Estado-nación. El análisis de SUNBURST de SolarWinds produjo detecciones usadas mundialmente.

El Flujo

1. Triage

  • Búsqueda de hash en VirusTotal, MalwareBazaar, Hybrid Analysis
  • Identificación de tipo y arquitectura
  • Strings y entropía para detectar packing
  • Coincidencias AV/EDR

2. Análisis Estático

estatico.sh
Bash
file sospechoso.exe                # Tipo
strings -n 8 sospechoso.exe        # Strings
sha256sum sospechoso.exe           # Hash
exiftool sospechoso.exe            # Metadatos
yara reglas.yar sospechoso.exe     # YARA
capa sospechoso.exe                # Capacidades

Busca imports (APIs como VirtualAllocEx, WriteProcessMemory, CreateRemoteThread), recursos embebidos e indicios de packing.

3. Análisis Dinámico

Ejecuta en entorno aislado y observa árbol de procesos, escrituras de archivo, cambios de registro, comportamiento de red, mutex. Sandboxes: Cuckoo, Any.run, Joe Sandbox, Hybrid Analysis.

4. Análisis de Código

  • IDA Pro: estándar de la industria
  • Ghidra: alternativa NSA gratuita
  • Binary Ninja: UI moderna
  • x64dbg / WinDbg: depuración

Recupera algoritmos, técnicas de evasión y huellas únicas para detecciones de alta fidelidad.

Técnicas Anti-Análisis

Salidas

SalidaQuién la usaEjemplo
HashesSOC, EDRSHA256 del dropper
Reglas YARAHuntersPattern matching
Reglas SigmaSIEMReglas conductuales
IOCs de redNDR, firewallsDominios C2, IPs
Mapeo ATT&CKThreat intelTTPs
AtribuciónInteligencia estratégicaVínculos a actor

Estándares

  • MITRE ATT&CK: TTPs estándar
  • MAEC: caracterización de malware
  • STIX/TAXII: intercambio estructurado
  • YARA: pattern matching
  • Capa: capacidades en ejecutables

Mejores Prácticas

  1. VMs aisladas con snapshot/revert.
  2. Segmentos de red de análisis con Internet simulada.
  3. Hash y documenta todo.
  4. Limita el tiempo de análisis profundo.
  5. Comparte hallazgos con la comunidad.
  6. Mapea a ATT&CK para integración.

Conceptos Relacionados

En el Bootcamp

Cómo enseñamos Análisis de Malware

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Análisis de Malware en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 8: Operaciones de Seguridad Avanzadas

Temas relacionados que dominarás:Respuesta a IncidentesDFIRThreat HuntingVolatility
Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido