Saltar al contenido principal
Volver a la biblioteca
Riesgo altoEndpoint· Nivel intermedio

Malware en el puesto: stealers, troyanos y dispositivos perdidos

Software malicioso ejecutado en un equipo corporativo: roba credenciales del navegador, cookies de sesión y tokens. Un portátil sin cifrar olvidado en un taxi es una brecha por sí mismo.

Qué es

Qué cubre

Tres familias de problemas que viven en el puesto de trabajo:

  1. Info-stealers (RedLine, Vidar, Raccoon): malware ligero que en cuanto se ejecuta roba todas las credenciales guardadas en navegadores, billeteras cripto, tokens de sesión y archivos sensibles, y los manda a un panel remoto. Suele entrar como instalador pirata, un "crack", un adjunto malicioso o un anuncio en buscadores que descarga una versión falsa de software conocido.
  2. Troyanos de acceso remoto (RAT): dan control persistente al atacante. Históricamente vinculados a campañas dirigidas; hoy también se distribuyen masivamente.
  3. Dispositivos perdidos o robados: portátiles, móviles, USBs con datos corporativos sin cifrar. No requiere malware: basta con perderlo.

Por qué duele tanto

Un stealer en un solo equipo puede comprometer decenas de cuentas SaaS en minutos: las cookies de sesión de M365, GitHub, AWS, panel de gestión, etc., bypassean el MFA mientras la sesión sigue viva. De ahí los "checker" services que venden listas de cookies frescas en mercados clandestinos.

Señales

  • Antivirus / EDR genera alertas y se desactiva solo.
  • Procesos desconocidos corriendo en segundo plano.
  • Picos de conexiones salientes a IPs raras.
  • Login desde geografías imposibles poco después de usar el equipo (la cookie robada).
  • Notificación de MFA o cambio de contraseña que tú no iniciaste.
Prevención

En el puesto

  • EDR de verdad en todos los equipos. Defender, CrowdStrike, SentinelOne — no antivirus gratuito de consumidor en entorno corporativo.
  • Sin permisos de admin local para usuarios. Si necesitan instalar, que pase por IT.
  • Cifrado de disco (BitLocker en Windows, FileVault en macOS, LUKS en Linux) en todos los portátiles. Sin excepción.
  • Actualizaciones automáticas del SO y del navegador.
  • No guardar contraseñas en el navegador. Usar gestor de contraseñas.
  • Sesiones de SaaS con tiempo de expiración razonable y revocación masiva por usuario disponible.

En el móvil corporativo

  • MDM (Microsoft Intune, Jamf, Google MDM) con borrado remoto.
  • Separación de perfil personal/corporativo cuando sea posible.
  • Aplicaciones corporativas solo desde la store oficial.

Hábitos

  • No instalar software pirata o de origen dudoso en equipos corporativos. Una licencia ahorrada vale infinitamente menos que una brecha.
  • No conectar USBs encontrados en parking, recepción, eventos. Es un vector real.
  • Bloqueo de pantalla automático en 5-10 minutos y al alejarse del puesto.
Si ocurre

Si pierdes un dispositivo

  1. Avisa a IT inmediatamente — minutos, no horas. Pueden disparar el borrado remoto y revocar sesiones antes de que alguien acceda.
  2. Cambia las contraseñas críticas desde otro equipo (correo corporativo, gestor de contraseñas, banca).
  3. Bloquea las tarjetas corporativas si estaban guardadas.
  4. Reporte interno y, si lleva datos personales sin cifrar, valoración de notificación RGPD (72h).

Si sospechas malware en tu equipo

  1. No reinicies y no toques nada más — corta la red (cable o WiFi) y avisa a IT. El reinicio puede borrar evidencia o disparar la siguiente fase del malware.
  2. No introduzcas contraseñas en ningún sitio hasta que el equipo esté limpio o reinstalado.
  3. Cambia las contraseñas usadas en ese equipo desde otro equipo limpio.