Evasión de Defensas

La evasión de defensas es el conjunto de técnicas que los atacantes usan para evitar ser detectados, como ofuscar o codificar el código, desactivar o manipular las herramientas de seguridad y ocultar cargas maliciosas dentro de procesos legítimos. En el marco MITRE ATT&CK es la táctica TA0005, y resulta peculiar porque no describe un único objetivo como robar datos. En cambio, envuelve casi todo lo demás que hace un atacante, convirtiendo una acción ruidosa en una silenciosa.

Por qué importa la evasión de defensas

Cualquier otra táctica, desde el robo de credenciales hasta el movimiento lateral, se vuelve mucho más peligrosa cuando pasa desapercibida. Un atacante que puede actuar sin disparar una alerta gana el recurso que más importa: tiempo. Por eso la evasión se trata menos como un paso opcional y más como un requisito básico de las intrusiones serias.

La escala de esto sorprende. En el análisis de ataques reales de Anthropic, la evasión de defensas fue la táctica más usada, presente en el 84,4% de los actores, algo que puedes leer en nuestro desglose sobre cómo usan los hackers la IA. Cuando más de cuatro de cada cinco adversarios priorizan mantenerse ocultos, la detección se convierte en el problema central de la defensa moderna.

Técnicas comunes de evasión de defensas

La evasión de defensas abarca decenas de métodos distintos, pero la mayoría caen en unas pocas familias reconocibles.

Estas técnicas son potentes justamente porque atacan las suposiciones en las que confían los defensores. Los escáneres basados en firmas suponen que el código malicioso es reconocible, y la ofuscación rompe esa suposición. La monitorización supone que los registros están completos, y el borrado de logs rompe la otra.

Carga maliciosa

→ofuscar

Código codificado o empaquetado

→inyectar

Proceso de confianza

→silenciar

Logs y alertas cegados

Detectar y contrarrestar la evasión

Como la evasión ataca las herramientas que vigilan los ataques, ningún producto único la detiene. La respuesta defensiva es trabajar por capas. Las plataformas modernas de detección y respuesta en endpoints se centran en el comportamiento en lugar de las firmas, marcando inyecciones sospechosas, manipulación de servicios de seguridad y líneas de comando anómalas que la ofuscación no puede ocultar con facilidad.

Más allá de la detección automática, la caza de amenazas dirigida por personas asume que un actor evasivo ya puede estar dentro y sale a buscar el rastro que deja: logs borrados, defensas desactivadas o un proceso que arranca donde no debería. La lección de una prevalencia del 84,4% es simple. Los defensores no pueden suponer que el silencio significa seguridad, porque los adversarios más capaces dedican su primer esfuerzo a asegurarse de que no oigas nada.