“Entrar es solo el comienzo. Lo importante es quedarse.”
Una vez que el atacante logra ejecutar código dentro del sistema (fase de Explotación), su prioridad cambia: debe asegurar el acceso y mantener el control sin ser detectado.
Esa es la esencia de la fase de Instalación —donde el atacante planta raíces en el entorno comprometido, garantizando que podrá volver incluso si el sistema se reinicia o se detecta parte del malware.
El objetivo es lograr persistencia y control.
Hasta ahora, el acceso podía ser temporal o inestable. Pero si el atacante desea moverse lateralmente, exfiltrar datos o ejecutar acciones prolongadas, necesita un punto de apoyo seguro y discreto dentro del sistema.
Durante la instalación, los atacantes suelen:
🔹 Backdoors (puertas traseras)
Programas o scripts que permiten al atacante conectarse remotamente al sistema sin pasar por los mecanismos de autenticación normales. Ejemplo: un troyano que se comunica con un servidor C2 (Command & Control) usando tráfico HTTP o DNS disfrazado de tráfico legítimo.
🔹 Rootkits
Componentes que modifican el sistema operativo para ocultar archivos, procesos o conexiones. Un rootkit bien diseñado puede esconderse incluso de herramientas de administración y antivirus tradicionales.
🔹 Remote Access Trojans (RATs)
Herramientas que otorgan control total al atacante sobre el dispositivo comprometido: ejecutar comandos, capturar pantallas, robar credenciales o registrar pulsaciones del teclado.
🔹 Persistencia en el arranque
El malware puede programarse para iniciarse con el sistema, agregando entradas al registro, tareas programadas o servicios. Incluso si el usuario reinicia el equipo, el atacante sigue “dentro”.
🔹 Malware fileless (sin archivos)
En lugar de instalar archivos, este tipo de ataque reside en memoria, aprovechando procesos legítimos del sistema (como PowerShell o WMI) para ejecutar código. Es más difícil de detectar y erradicar.
Después de una intrusión detectada en una empresa de logística, el equipo técnico reinstaló servidores y actualizó contraseñas. Semanas después, un escaneo de rutina mostró conexiones salientes hacia un dominio desconocido.
La investigación reveló que, durante la primera intrusión, el atacante había creado una cuenta de servicio con privilegios elevados y agregado un script en una tarea programada que reactivaba un beacon C2 cada tres días.
La lección fue clara: el atacante nunca se fue realmente; simplemente esperó a que el ruido bajara para volver a operar.
Aunque el atacante intenta pasar inadvertido, hay señales que pueden delatar su presencia:
El monitoreo continuo y la correlación de eventos (SIEM, EDR, XDR) son clave para detectar estos patrones de persistencia.
🧱 Control de aplicaciones y listas blancas
Permitir solo la ejecución de software firmado y autorizado. Esto reduce la posibilidad de que se instale malware desconocido.
🔐 EDR y análisis de comportamiento
Las soluciones de detección avanzada pueden identificar actividades anómalas, como intentos de persistencia o uso de herramientas administrativas fuera de contexto.
🧩 Gestión de cuentas y privilegios
Aplicar el principio de mínimo privilegio y auditar periódicamente las cuentas locales y de servicio.
⚙️ Monitoreo de tareas y servicios
Revisar tareas programadas, scripts de inicio y configuraciones de registro que podrían haber sido modificadas.
🧼 Revisar la integridad del sistema
Herramientas de file integrity monitoring (FIM) permiten detectar modificaciones no autorizadas en archivos críticos del sistema.
🧠 Análisis post-incidente riguroso
Cada vez que se responde a un ataque, hay que verificar si el atacante dejó mecanismos de persistencia. Restaurar un backup sin revisar su contenido puede reinfectar el entorno.
La fase de Instalación representa la consolidación del atacante dentro de la red. En este punto, ya no basta con bloquear un archivo o eliminar un proceso: si no se erradican los mecanismos de persistencia, el adversario volverá.
Por eso, la detección y respuesta temprana son esenciales. Cada segundo que un atacante logra permanecer “en las sombras” aumenta su capacidad de escalar privilegios, robar datos y moverse lateralmente.
Próxima entrega. Fase 6: Comando y Control — Cuando el atacante toma el mando. Veremos cómo los sistemas comprometidos comienzan a comunicarse con los servidores del atacante y cómo se establecen canales encubiertos de control y exfiltración.