# Malware: Del Disco a la Memoria

El **malware** ha evolucionado considerablemente a lo largo de los años, y uno de los aspectos más críticos que ha cambiado es la forma en que interactúa con el sistema operativo. Tradicionalmente, los **malware basados en disco** se confiaban en **archivos maliciosos** escritos en el disco duro del sistema comprometido, lo que facilitaba la **detección** mediante la **inspección de archivos** y la **analítica forense**. Sin embargo, con el tiempo, los **malware en memoria** han ganado prominencia debido a su capacidad para **evadir la detección** y **complicar la investigación forense**. Esta transición de la infección a través del **disco** a la ejecución directa en **memoria** representa un cambio fundamental en las tácticas de los atacantes.

## <mark style="color:red;">**Malware Basado en Disco**</mark>

El **malware basado en disco** es un tipo de malware que depende de la escritura de archivos maliciosos en el sistema de archivos del sistema operativo. Estos archivos pueden estar en diversas ubicaciones: desde la carpeta de inicio automático hasta directorios temporales, dependiendo de las técnicas de persistencia que el malware utilice. Estos son algunos de los tipos más comunes de malware basado en disco:

### <mark style="color:red;">**Tipos de Malware Basado en Disco:**</mark>

1. <mark style="color:red;">**Troyanos**</mark><mark style="color:red;">:</mark> Son programas maliciosos que a menudo se disfrazan de aplicaciones legítimas y requieren que el usuario los ejecute. Una vez ejecutados, estos troyanos pueden escribir archivos maliciosos en el disco, como **backdoors** o **rootkits**.
2. <mark style="color:red;">**Ransomware**</mark><mark style="color:red;">:</mark> Este tipo de malware encripta los archivos de la víctima y los deja en el disco, pidiendo un rescate para restaurarlos.
3. <mark style="color:red;">**Spyware**</mark><mark style="color:red;">:</mark> Aunque a menudo opera en segundo plano, el spyware puede escribir archivos en el disco para almacenar registros de actividad de los usuarios o datos robados.
4. <mark style="color:red;">**Virus**</mark><mark style="color:red;">:</mark> Un virus puede adjuntarse a archivos legítimos en el sistema y propagarse a través de ellos, por lo que es necesario interactuar con los archivos en disco para llevar a cabo su función.

### <mark style="color:red;">**Cómo Funciona el Malware Basado en Disco:**</mark>

* El **malware basado en disco** generalmente necesita **escribir archivos en el sistema** para ser persistente. Estos archivos pueden incluir **ejecutables maliciosos**, **scripts** o **archivos de configuración**.
* Los archivos pueden estar ocultos en ubicaciones comunes, como la carpeta **AppData**, o configurarse para **ejecutarse al iniciar el sistema** mediante modificaciones en el **registro de Windows** o mediante el uso de **tareas programadas**.
* El principal **problema de detección** es que los antivirus y los sistemas de detección de intrusos (IDS) pueden escanear **los archivos en disco** en busca de **firmas maliciosas** y **comportamientos anómalos**. Sin embargo, el **malware basado en disco** aún se puede eludir mediante técnicas como la **ofuscación de código** o el **cifrado**.

### <mark style="color:red;">**Ventajas del Malware Basado en Disco:**</mark>

1. <mark style="color:red;">**Persistencia**</mark><mark style="color:red;">:</mark> Al escribir en el disco, el malware tiene una **persistencia a largo plazo**. Incluso después de un reinicio, los archivos maliciosos permanecerán en el sistema a menos que sean eliminados.
2. <mark style="color:red;">**Facilidad de distribución**</mark><mark style="color:red;">:</mark> El malware puede ser distribuido fácilmente a través de **archivos adjuntos** en correos electrónicos, **descargas** de sitios web maliciosos o **medios extraíbles**.

***

## <mark style="color:red;">**Malware en Memoria: La Nueva Frontera de la Evasión**</mark>

A medida que los **mecanismos de detección** han mejorado, los atacantes han comenzado a mover su actividad maliciosa fuera del **disco** y directamente a la **memoria RAM** del sistema. El **malware en memoria** no deja rastros en el disco y, por lo tanto, es más difícil de detectar mediante los métodos tradicionales de análisis de archivos. Esto ha sido una evolución natural, dada la **dificultad** de los antivirus para detectar y mitigar las amenazas basadas en memoria, y su capacidad de **evadir herramientas forenses**.

### <mark style="color:red;">**Tipos de Malware en Memoria:**</mark>

1. <mark style="color:red;">**Shellcodes**</mark><mark style="color:red;">:</mark> Un **shellcode** es un pequeño fragmento de código que se ejecuta directamente en la memoria, a menudo inyectado en un proceso legítimo. Puede ser usado para abrir una **reverse shell** o ejecutar comandos maliciosos sin dejar rastro en el disco.
2. <mark style="color:red;">**Malware de Inyección de Código**</mark><mark style="color:red;">:</mark> Algunos tipos de malware inyectan código directamente en los procesos en ejecución de la memoria, como los procesos **explorer.exe** o **svchost.exe**, sin escribir nada en el disco.
3. <mark style="color:red;">**Rootkits en Memoria**</mark><mark style="color:red;">:</mark> Estos tipos de malware se cargan directamente en la memoria y **ocultan su presencia**, incluso de las herramientas de análisis de memoria y de los antivirus.
4. <mark style="color:red;">**Fileless Malware**</mark><mark style="color:red;">:</mark> Este tipo de malware no utiliza archivos en disco, sino que se ejecuta **directamente en la memoria**, a menudo aprovechando **scripts** como **PowerShell** o **WMI** (Windows Management Instrumentation).

### <mark style="color:red;">**Cómo Funciona el Malware en Memoria:**</mark>

* <mark style="color:red;">**Ejecución en memoria**</mark><mark style="color:red;">:</mark> El malware en memoria se carga directamente en **la memoria RAM** sin dejar archivos en el disco. Esto permite que el malware opere de forma más sigilosa, evitando la detección mediante escaneos de disco.
* <mark style="color:red;">**Inyección de código**</mark><mark style="color:red;">:</mark> Una técnica común es **inyectar código** malicioso en procesos legítimos. Este código se ejecuta directamente en la memoria, a menudo sin interacción directa con el sistema de archivos. Técnicas como **Process Hollowing** o **Reflective DLL Injection** permiten cargar código malicioso sin dejar rastros.
* <mark style="color:red;">**Evasión de Antivirus**</mark><mark style="color:red;">:</mark> Al ejecutarse solo en memoria y no dejar archivos, este tipo de malware es más difícil de detectar por los sistemas antivirus, ya que las herramientas de escaneo de archivos no pueden ver lo que está ocurriendo directamente en la memoria del sistema.

### <mark style="color:red;">**Ventajas del Malware en Memoria:**</mark>

1. <mark style="color:red;">**Evasión de la detección**</mark><mark style="color:red;">:</mark> Dado que **no hay archivos escritos en el disco**, las herramientas tradicionales de detección de malware basadas en el análisis de archivos no pueden detectar este tipo de amenazas.
2. <mark style="color:red;">**Rápido y eficiente**</mark><mark style="color:red;">:</mark> El malware en memoria puede ejecutarse rápidamente, sin la latencia asociada con la lectura/escritura de archivos en disco.
3. <mark style="color:red;">**Dificultad para la forensia**</mark><mark style="color:red;">:</mark> Los **analistas forenses** tienen dificultades para analizar malware en memoria debido a la **volatilidad de la RAM**. Esto hace que las evidencias sean mucho más difíciles de recuperar después de un reinicio del sistema.

## <mark style="color:red;">**Comparación: Malware Basado en Disco vs Malware en Memoria**</mark>

| **Característica**       | **Malware Basado en Disco**                                                     | **Malware en Memoria**                                                                  |
| ------------------------ | ------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------- |
| **Persistencia**         | El malware persiste entre reinicios escribiendo en el disco.                    | El malware desaparece después de reiniciar el sistema.                                  |
| **Detección**            | Puede ser detectado por antivirus y herramientas de análisis de archivos.       | Más difícil de detectar debido a que no deja archivos en el disco.                      |
| **Evasión de Detección** | Dependiendo de la obfuscación y técnicas, puede ser detectado fácilmente.       | Utiliza técnicas avanzadas de evasión, como la inyección de código.                     |
| **Distribución**         | Suele distribuirse a través de **archivos maliciosos** (ej. emails, descargas). | Se distribuye a través de **exploits** o inyecciones en procesos.                       |
| **Técnicas Comunes**     | **Ransomware**, **virus**, **troyanos**, **spyware**.                           | **Shellcodes**, **fileless malware**, **rootkits en memoria**, **inyección de código**. |


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://books.spartan-cybersec.com/malware/introduccion-al-desarrollo-de-malware/malware-del-disco-a-la-memoria.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.