¿Cómo Responder a un Incidente Malware?

Conclusión

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Detectar malware requiere capas múltiples de herramientas. Una sola es insuficiente. Pensá en esto como en las aduanas: un scanner de rayos X detecta cosas que las máquinas de metales no, y un perro detector detecta cosas que ninguna máquina ve.

Para Windows/Servidores

• Microsoft Defender + MSRT: Defender es el antivirus nativo de Windows. MSRT (Microsoft Software Removal Tool) es un scanner específico para malware conocido. Corren en segundo plano, pero necesitás iniciar escaneos manuales en sitios comprometidos.
• Netstat + netstat -ano: Te muestra todas las conexiones activas (TCP/UDP) con el PID asociado. Cuando ves una conexión outbound rara, eso es tu first clue de que algo está llamando a casa (malware C&C).
• Event Viewer + Windows Logs: Security, System y Application logs cuentan la historia. Intentos de login fallidos, cambios de policy, instalación de servicios. Si sabés dónde buscar, está todo ahí.
• Task Scheduler: Los malware a menudo se lanzan como tareas programadas. Mirá qué hay en Scheduled Tasks que no reconozcas.

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Herramientas y Técnicas de Detección

Detectar malware requiere capas múltiples de herramientas. Una sola es insuficiente. Pensá en esto como en las aduanas: un scanner de rayos X detecta cosas que las máquinas de metales no, y un perro detector detecta cosas que ninguna máquina ve.

Para Windows/Servidores

• Microsoft Defender + MSRT: Defender es el antivirus nativo de Windows. MSRT (Microsoft Software Removal Tool) es un scanner específico para malware conocido. Corren en segundo plano, pero necesitás iniciar escaneos manuales en sitios comprometidos.
• Netstat + netstat -ano: Te muestra todas las conexiones activas (TCP/UDP) con el PID asociado. Cuando ves una conexión outbound rara, eso es tu first clue de que algo está llamando a casa (malware C&C).
• Event Viewer + Windows Logs: Security, System y Application logs cuentan la historia. Intentos de login fallidos, cambios de policy, instalación de servicios. Si sabés dónde buscar, está todo ahí.
• Task Scheduler: Los malware a menudo se lanzan como tareas programadas. Mirá qué hay en Scheduled Tasks que no reconozcas.

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

El CEO no sabe qué pasó, el cliente tampoco, el abogado está furioso porque le enteras dos semanas después. La comunicación tiene que ser temprana (incluso si no tenés todos los detalles), clara (decí qué se sabe y qué no, no inventes), y frecuente (actualiza cada pocas horas si el incidente sigue activo).

Herramientas y Técnicas de Detección

Detectar malware requiere capas múltiples de herramientas. Una sola es insuficiente. Pensá en esto como en las aduanas: un scanner de rayos X detecta cosas que las máquinas de metales no, y un perro detector detecta cosas que ninguna máquina ve.

Para Windows/Servidores

• Microsoft Defender + MSRT: Defender es el antivirus nativo de Windows. MSRT (Microsoft Software Removal Tool) es un scanner específico para malware conocido. Corren en segundo plano, pero necesitás iniciar escaneos manuales en sitios comprometidos.
• Netstat + netstat -ano: Te muestra todas las conexiones activas (TCP/UDP) con el PID asociado. Cuando ves una conexión outbound rara, eso es tu first clue de que algo está llamando a casa (malware C&C).
• Event Viewer + Windows Logs: Security, System y Application logs cuentan la historia. Intentos de login fallidos, cambios de policy, instalación de servicios. Si sabés dónde buscar, está todo ahí.
• Task Scheduler: Los malware a menudo se lanzan como tareas programadas. Mirá qué hay en Scheduled Tasks que no reconozcas.

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Sin comunicación clara

El CEO no sabe qué pasó, el cliente tampoco, el abogado está furioso porque le enteras dos semanas después. La comunicación tiene que ser temprana (incluso si no tenés todos los detalles), clara (decí qué se sabe y qué no, no inventes), y frecuente (actualiza cada pocas horas si el incidente sigue activo).

Herramientas y Técnicas de Detección

Detectar malware requiere capas múltiples de herramientas. Una sola es insuficiente. Pensá en esto como en las aduanas: un scanner de rayos X detecta cosas que las máquinas de metales no, y un perro detector detecta cosas que ninguna máquina ve.

Para Windows/Servidores

• Microsoft Defender + MSRT: Defender es el antivirus nativo de Windows. MSRT (Microsoft Software Removal Tool) es un scanner específico para malware conocido. Corren en segundo plano, pero necesitás iniciar escaneos manuales en sitios comprometidos.
• Netstat + netstat -ano: Te muestra todas las conexiones activas (TCP/UDP) con el PID asociado. Cuando ves una conexión outbound rara, eso es tu first clue de que algo está llamando a casa (malware C&C).
• Event Viewer + Windows Logs: Security, System y Application logs cuentan la historia. Intentos de login fallidos, cambios de policy, instalación de servicios. Si sabés dónde buscar, está todo ahí.
• Task Scheduler: Los malware a menudo se lanzan como tareas programadas. Mirá qué hay en Scheduled Tasks que no reconozcas.

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Limpias el servidor, le sacas el malware, restauras del backup. Pero el atacante TODAVÍA tiene las credenciales del admin que robó. Una semana después, vuelve a entrar por la puerta principal como si fuera el dueño. Cambiar contraseñas es PASO UNO de recuperación, no paso tres.

Sin comunicación clara

El CEO no sabe qué pasó, el cliente tampoco, el abogado está furioso porque le enteras dos semanas después. La comunicación tiene que ser temprana (incluso si no tenés todos los detalles), clara (decí qué se sabe y qué no, no inventes), y frecuente (actualiza cada pocas horas si el incidente sigue activo).

Herramientas y Técnicas de Detección

Detectar malware requiere capas múltiples de herramientas. Una sola es insuficiente. Pensá en esto como en las aduanas: un scanner de rayos X detecta cosas que las máquinas de metales no, y un perro detector detecta cosas que ninguna máquina ve.

Para Windows/Servidores

• Microsoft Defender + MSRT: Defender es el antivirus nativo de Windows. MSRT (Microsoft Software Removal Tool) es un scanner específico para malware conocido. Corren en segundo plano, pero necesitás iniciar escaneos manuales en sitios comprometidos.
• Netstat + netstat -ano: Te muestra todas las conexiones activas (TCP/UDP) con el PID asociado. Cuando ves una conexión outbound rara, eso es tu first clue de que algo está llamando a casa (malware C&C).
• Event Viewer + Windows Logs: Security, System y Application logs cuentan la historia. Intentos de login fallidos, cambios de policy, instalación de servicios. Si sabés dónde buscar, está todo ahí.
• Task Scheduler: Los malware a menudo se lanzan como tareas programadas. Mirá qué hay en Scheduled Tasks que no reconozcas.

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Limpias el servidor, le sacas el malware, restauras del backup. Pero el atacante TODAVÍA tiene las credenciales del admin que robó. Una semana después, vuelve a entrar por la puerta principal como si fuera el dueño. Cambiar contraseñas es PASO UNO de recuperación, no paso tres.

Sin comunicación clara

El CEO no sabe qué pasó, el cliente tampoco, el abogado está furioso porque le enteras dos semanas después. La comunicación tiene que ser temprana (incluso si no tenés todos los detalles), clara (decí qué se sabe y qué no, no inventes), y frecuente (actualiza cada pocas horas si el incidente sigue activo).

Herramientas y Técnicas de Detección

Detectar malware requiere capas múltiples de herramientas. Una sola es insuficiente. Pensá en esto como en las aduanas: un scanner de rayos X detecta cosas que las máquinas de metales no, y un perro detector detecta cosas que ninguna máquina ve.

Para Windows/Servidores

• Microsoft Defender + MSRT: Defender es el antivirus nativo de Windows. MSRT (Microsoft Software Removal Tool) es un scanner específico para malware conocido. Corren en segundo plano, pero necesitás iniciar escaneos manuales en sitios comprometidos.
• Netstat + netstat -ano: Te muestra todas las conexiones activas (TCP/UDP) con el PID asociado. Cuando ves una conexión outbound rara, eso es tu first clue de que algo está llamando a casa (malware C&C).
• Event Viewer + Windows Logs: Security, System y Application logs cuentan la historia. Intentos de login fallidos, cambios de policy, instalación de servicios. Si sabés dónde buscar, está todo ahí.
• Task Scheduler: Los malware a menudo se lanzan como tareas programadas. Mirá qué hay en Scheduled Tasks que no reconozcas.

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Todos corren en direcciones distintas, nadie sabe quién decide qué, se llaman los mismos números veinte veces, se comunica algo a un stakeholder y a otro le dicen lo contrario. Mientras tanto, el atacante sigue adentro porque nadie coordinó la contención. Tener roles claros ANTES del incidente es la diferencia entre 3 horas resolviendo esto y 48 horas de caos. Sobre eso hablamos en herramientas avanzadas de análisis y detección.

No preservar datos forenses

Después querés hacer análisis forense para saber cuándo entró exactamente, pero ya borraste los logs. O querés demostrar lo que pasó a un seguros o auditor, pero la evidencia se fue. La forensia correcta requiere cadena de custodia: documentar qué se tocó, cuándo, quién, y mantener copias bit-a-bit del estado de los discos al momento del incidente.

Ignorar credenciales robadas

Limpias el servidor, le sacas el malware, restauras del backup. Pero el atacante TODAVÍA tiene las credenciales del admin que robó. Una semana después, vuelve a entrar por la puerta principal como si fuera el dueño. Cambiar contraseñas es PASO UNO de recuperación, no paso tres.

Sin comunicación clara

El CEO no sabe qué pasó, el cliente tampoco, el abogado está furioso porque le enteras dos semanas después. La comunicación tiene que ser temprana (incluso si no tenés todos los detalles), clara (decí qué se sabe y qué no, no inventes), y frecuente (actualiza cada pocas horas si el incidente sigue activo).

Herramientas y Técnicas de Detección

Detectar malware requiere capas múltiples de herramientas. Una sola es insuficiente. Pensá en esto como en las aduanas: un scanner de rayos X detecta cosas que las máquinas de metales no, y un perro detector detecta cosas que ninguna máquina ve.

Para Windows/Servidores

• Microsoft Defender + MSRT: Defender es el antivirus nativo de Windows. MSRT (Microsoft Software Removal Tool) es un scanner específico para malware conocido. Corren en segundo plano, pero necesitás iniciar escaneos manuales en sitios comprometidos.
• Netstat + netstat -ano: Te muestra todas las conexiones activas (TCP/UDP) con el PID asociado. Cuando ves una conexión outbound rara, eso es tu first clue de que algo está llamando a casa (malware C&C).
• Event Viewer + Windows Logs: Security, System y Application logs cuentan la historia. Intentos de login fallidos, cambios de policy, instalación de servicios. Si sabés dónde buscar, está todo ahí.
• Task Scheduler: Los malware a menudo se lanzan como tareas programadas. Mirá qué hay en Scheduled Tasks que no reconozcas.

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Errores Críticos a Evitar

Acá es donde la mayoría de las respuestas a incidentes se convierten en tragedia. Estos son los errores que REALMENTE ves en el terreno.

Destruir evidencia sin saber

Tu help desk ve que una máquina está lenta y qué hace: reinstala Windows. Adiós logs, adiós proceso malicioso en memoria, adiós forma de saber cómo entró el atacante. Ahora vuelve a entrar por el mismo agujero porque nunca lo encontraste.

Actuar sin plan

Todos corren en direcciones distintas, nadie sabe quién decide qué, se llaman los mismos números veinte veces, se comunica algo a un stakeholder y a otro le dicen lo contrario. Mientras tanto, el atacante sigue adentro porque nadie coordinó la contención. Tener roles claros ANTES del incidente es la diferencia entre 3 horas resolviendo esto y 48 horas de caos. Sobre eso hablamos en herramientas avanzadas de análisis y detección.

No preservar datos forenses

Después querés hacer análisis forense para saber cuándo entró exactamente, pero ya borraste los logs. O querés demostrar lo que pasó a un seguros o auditor, pero la evidencia se fue. La forensia correcta requiere cadena de custodia: documentar qué se tocó, cuándo, quién, y mantener copias bit-a-bit del estado de los discos al momento del incidente.

Ignorar credenciales robadas

Limpias el servidor, le sacas el malware, restauras del backup. Pero el atacante TODAVÍA tiene las credenciales del admin que robó. Una semana después, vuelve a entrar por la puerta principal como si fuera el dueño. Cambiar contraseñas es PASO UNO de recuperación, no paso tres.

Sin comunicación clara

El CEO no sabe qué pasó, el cliente tampoco, el abogado está furioso porque le enteras dos semanas después. La comunicación tiene que ser temprana (incluso si no tenés todos los detalles), clara (decí qué se sabe y qué no, no inventes), y frecuente (actualiza cada pocas horas si el incidente sigue activo).

Herramientas y Técnicas de Detección

Detectar malware requiere capas múltiples de herramientas. Una sola es insuficiente. Pensá en esto como en las aduanas: un scanner de rayos X detecta cosas que las máquinas de metales no, y un perro detector detecta cosas que ninguna máquina ve.

Para Windows/Servidores

• Microsoft Defender + MSRT: Defender es el antivirus nativo de Windows. MSRT (Microsoft Software Removal Tool) es un scanner específico para malware conocido. Corren en segundo plano, pero necesitás iniciar escaneos manuales en sitios comprometidos.
• Netstat + netstat -ano: Te muestra todas las conexiones activas (TCP/UDP) con el PID asociado. Cuando ves una conexión outbound rara, eso es tu first clue de que algo está llamando a casa (malware C&C).
• Event Viewer + Windows Logs: Security, System y Application logs cuentan la historia. Intentos de login fallidos, cambios de policy, instalación de servicios. Si sabés dónde buscar, está todo ahí.
• Task Scheduler: Los malware a menudo se lanzan como tareas programadas. Mirá qué hay en Scheduled Tasks que no reconozcas.

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response

Cuando descubrís que tus servidores están comprometidos por malware, el primer instinto es entrar en pánico (y bueno, un poco te lo merecés). La realidad es que responder bien a un incidente depende de preparación previa, protocolos claros y saber exactamente qué NO hacer. Según la guía de respuesta a incidentes del NIST, un plan estructurado en seis fases es lo que marca la diferencia entre recuperarse en horas o pasar semanas limpiando el desastre.

Un incidente de malware es la intrusión no autorizada de código malicioso en tus sistemas con la intención de robar datos, causar daño, cifrar información para rescate, o simplemente servir como puerta trasera para futuros ataques. No es lo mismo que un virus (que se auto-replica) o un gusano (que se propaga por la red): el malware es el paraguas que los engloba todos.

Cómo Detectar un Incidente de Malware

Ponele que está siendo un viernes normal. Entras a tu panel de control y notás que una máquina está usando 95% de CPU cuando debería estar en 10%. Revisás los procesos en el Administrador de tareas y hay cinco cosas corriendo que no reconocés. Eso, amigo, son las primeras banderas rojas.

Los síntomas de un compromiso por malware varían, pero los más frecuentes son estos:

• Rendimiento degradado: El servidor tarda siglos en responder, el disco está al 100% aunque no estés usando nada, la RAM desaparece misteriosamente.
• Procesos desconocidos: Abrís el monitor de procesos y ves servicios corriendo con nombres raros (svchost.exe duplicados, procesos sin ruta clara, nombres que parecen legales pero no lo son).
• Cambios no autorizados: Permisos de archivos que cambiaron, cuentas de usuario nuevas que no creaste, archivos en directorios de sistema donde no deberían estar.
• Redirecciones de tráfico: Los usuarios se quejan de que cuando entran a tu sitio les sale publicidad rara, les redirige a otros lados, o ven popups de “estás infectado, clickeá acá”.
• Conexiones de red raras: Netstat te muestra conexiones outbound hacia IPs desconocidas, puertos abiertos que vos no abriste, o intentos constantes de conectarse a C&C (command and control) servers.
• Logs sospechosos: Si revisás los event logs de Windows o syslog en Linux, ves intentos de acceso fallidos, cambios en política de grupo, o instalación de servicios inexplicables.

En WordPress específicamente (que es donde muchos nos movemos), las herramientas como Wordfence, MalCare o Sucuri escanean automáticamente y te alertan si detectan patrones de malware conocidos o comportamiento sospechoso. Aunque (y acá viene lo importante) ninguna herramienta es 100% confiable. El malware nuevo, hecho a medida para tu sitio, puede zafar de los scanners.

Tipos de Malware: Troyanos, Ransomware, Gusanos y Más

No todo malware es igual, y entender qué tipo de bicho te comió va a cambiar tu estrategia de respuesta completamente. Vos podés tratar un troyano distinto a como tratarías un ransomware.

Dato interesante: según SpyCloud, los ataques de troyanos bancarios se triplicaron en dispositivos Android entre 2024 y 2025, pero en infraestructura web los ransomware siguen siendo el dolor de cabeza número uno. ¿Por qué? Porque un ransomware te cierra el negocio al instante. Un troyano puede estar meses sin que te des cuenta.

Fases de la Respuesta a Incidente

La industria de seguridad sigue un marco estándar para responder a incidentes. El NIST (Instituto Nacional de Estándares y Tecnología de EE.UU.) lo define en seis fases. No es un procedimiento caprichoso: está basado en décadas de análisis de incidentes reales. Te puede servir nuestra cobertura de mantener control local de tu infraestructura.

1. Preparación

Antes de que el malware toque tu puerta, necesitás tener tres cosas listas: roles claros (quién es el incident commander, quién maneja la forensia, quién habla con los usuarios), herramientas instaladas y testeadas (antivirus, SIEM, logs centralizados), y un plan escrito que ALGUIEN haya leído (la mayoría de las empresas tienen plan pero nadie lo leyó nunca).

2. Detección y Análisis

Alguien (un usuario, un monitor automático, un SIEM) detecta comportamiento sospechoso. Tu job acá es confirmar que es realmente un incidente (no una falsa alarma), evaluar la severidad (¿cuántos sistemas comprometidos? ¿qué datos expuestos?), y documentar la timeline de cuándo empezó todo.

3. Contención

El objetivo es detener la sangría sin destruir evidencia. Aislar sistemas infectados de la red (físicamente, si es necesario, desenchufando cables), deshabilitar cuentas comprometidas en Active Directory, revocar sesiones activas. Lo que NO hacés: apagar máquinas (se pierden artefactos forenses), formatear discos (aún no sabés qué investigar), o dejar el atacante rondando porque “necesitás más información”.

4. Erradicación

Una vez que contenés la infección, ahora sí elimina el malware. Eso incluye: remover archivos maliciosos, cambiar credenciales comprometidas, parchear vulnerabilidades que usó el atacante para entrar, revisar firewalls y accesos que hayan sido modificados.

5. Recuperación

Restaurar sistemas desde backups confirmados como limpios (pre-infección). Verificar integridad de datos. Monitorear comportamiento post-restauración porque el malware puede haber dejado puertas traseras que no vimos. Para más detalles técnicos, mirá evaluar las opciones de seguridad disponibles.

6. Lecciones Aprendidas

Post-mortem: qué pasó, por dónde entró el atacante, dónde falló la detección, dónde falló la respuesta. Actualizar el plan. Documentar todo porque vas a necesitar eso para auditoría, seguros, y para que el próximo incidente (va a haber) sea menos caótico.

Pasos Inmediatos: Contención e Investigación

Son las primeras dos horas. Tenés que tomar decisiones rápido pero correctas, y la tentación de hacer algo drástico es ENORME.

• Aislar sin apagar: Desenchufá el servidor infectado de la red. Si está en la nube, revocá su acceso de red en el security group. Lo importante: no lo apagues. Cuando apagas una máquina, los procesos en memoria desaparecen, los logs de conexiones activas se cierran, y se va toda la evidencia que necesitás para saber qué hizo el atacante.
• Documentar timeline: ¿A qué hora fue detectado? ¿Qué fue lo primero que notaron? ¿Cuándo fue el último backup limpio? Escribe todo, date y hora exacta. Esto después te va a ahorrar horas de investigación.
• Deshabilitar cuentas en AD: Si el atacante usó credenciales robadas, deshabilitá esas cuentas en Active Directory AHORA. Invalida todas las sesiones activas de ese usuario. Pero no borres la cuenta — necesitás investigarla después.
• Preservar evidencia forense: Si tenés que tomar un dump de memoria, hacelo en una máquina externa. Si tenés que copiar discos, uní el disco a otra máquina como disk externo en read-only mode. Nunca ejecutes comandos en el sistema infectado — cambiás timestamps y logs.
• Identificar alcance: ¿Es solo una máquina o se propagó? Verificá logs de firewall para conexiones outbound raras, revisá otros servidores para procesos similares, escaneá toda la red con herramientas como Nessus. Necesitás saber si el fuego es un cerillo o un incendio forestal.

Errores Críticos a Evitar

Acá es donde la mayoría de las respuestas a incidentes se convierten en tragedia. Estos son los errores que REALMENTE ves en el terreno.

Destruir evidencia sin saber

Tu help desk ve que una máquina está lenta y qué hace: reinstala Windows. Adiós logs, adiós proceso malicioso en memoria, adiós forma de saber cómo entró el atacante. Ahora vuelve a entrar por el mismo agujero porque nunca lo encontraste.

Actuar sin plan

Todos corren en direcciones distintas, nadie sabe quién decide qué, se llaman los mismos números veinte veces, se comunica algo a un stakeholder y a otro le dicen lo contrario. Mientras tanto, el atacante sigue adentro porque nadie coordinó la contención. Tener roles claros ANTES del incidente es la diferencia entre 3 horas resolviendo esto y 48 horas de caos. Sobre eso hablamos en herramientas avanzadas de análisis y detección.

No preservar datos forenses

Después querés hacer análisis forense para saber cuándo entró exactamente, pero ya borraste los logs. O querés demostrar lo que pasó a un seguros o auditor, pero la evidencia se fue. La forensia correcta requiere cadena de custodia: documentar qué se tocó, cuándo, quién, y mantener copias bit-a-bit del estado de los discos al momento del incidente.

Ignorar credenciales robadas

Limpias el servidor, le sacas el malware, restauras del backup. Pero el atacante TODAVÍA tiene las credenciales del admin que robó. Una semana después, vuelve a entrar por la puerta principal como si fuera el dueño. Cambiar contraseñas es PASO UNO de recuperación, no paso tres.

Sin comunicación clara

El CEO no sabe qué pasó, el cliente tampoco, el abogado está furioso porque le enteras dos semanas después. La comunicación tiene que ser temprana (incluso si no tenés todos los detalles), clara (decí qué se sabe y qué no, no inventes), y frecuente (actualiza cada pocas horas si el incidente sigue activo).

Herramientas y Técnicas de Detección

Detectar malware requiere capas múltiples de herramientas. Una sola es insuficiente. Pensá en esto como en las aduanas: un scanner de rayos X detecta cosas que las máquinas de metales no, y un perro detector detecta cosas que ninguna máquina ve.

Para Windows/Servidores

• Microsoft Defender + MSRT: Defender es el antivirus nativo de Windows. MSRT (Microsoft Software Removal Tool) es un scanner específico para malware conocido. Corren en segundo plano, pero necesitás iniciar escaneos manuales en sitios comprometidos.
• Netstat + netstat -ano: Te muestra todas las conexiones activas (TCP/UDP) con el PID asociado. Cuando ves una conexión outbound rara, eso es tu first clue de que algo está llamando a casa (malware C&C).
• Event Viewer + Windows Logs: Security, System y Application logs cuentan la historia. Intentos de login fallidos, cambios de policy, instalación de servicios. Si sabés dónde buscar, está todo ahí.
• Task Scheduler: Los malware a menudo se lanzan como tareas programadas. Mirá qué hay en Scheduled Tasks que no reconozcas.

Para Linux

• Rootkit hunters (GMER, TDSSKiller): GMER es la herramienta estándar para detectar rootkits en Windows (escanea drivers, hooks de kernel, memoria). En Linux usarías chkrootkit o rkhunter.
• netstat/ss: El equivalente en Linux. Ver conexiones activas, sockets abiertos, procesos asociados.
• ps aux + lsof: Listar procesos corriendo y qué archivos tienen abiertos. Un proceso malicioso va a acceder a archivos raros o directorios /tmp.
• Logs del sistema: /var/log/auth.log (intentos de login), /var/log/syslog (eventos del sistema). Igual que Windows, pero en texto plano.

Para WordPress

Wordfence es el estándar de facto en WordPress. Escanea el core, plugins y temas contra una base de datos de malware conocido, detecta cambios de archivos no autorizados, y monitorea en tiempo real intentos de acceso sospechosos. MalCare y Sucuri son alternativas. El tema: todos tienen falsos negativos. Un malware nuevo, customizado, va a zafar.

Dato de NIST: la mejor práctica es tener antivirus corriendo en controladores de dominio y sistemas cliente, además de escaneo en el perímetro (firewall, gateway). Una sola línea de defensa no es suficiente. Cubrimos ese tema en detalle en comparar seguridad de plataformas de desarrollo.

Recuperación y Restauración

Acá es donde decidís si la empresa se recupera en días o si te pasás meses limpiando. Hacerlo mal significa que vuelves a infectarte al mes.

• Restaurar desde backup limpio confirmado: Esto significa que vos verificaste ANTES del incidente que el backup funciona y que no está contaminado. Un backup infectado que restaurás es una pérdida de tiempo. Idealmente tenés snapshots históricos: “este backup es de 7 días atrás, confirmamos que la infección empezó 4 días atrás, así que este es limpio”.
• If no backup exists (y va a haber casos): rebuild desde imagen limpia conocida. Una imagen de SO limpio, instalas el software necesario, recuperas datos desde otro medio si es posible. Es lento, pero es seguro.
• Cambiar TODAS las contraseñas: Admin local, admin remoto, cuentas de servicio, cuentas de aplicación, credenciales de base de datos. Todas. El atacante puede haber hasheado cosas que no ves. Mejor estar paranoico que vuelto a infectar.
• Crear cuentas de reemplazo para las comprometidas: Si el admin (usuario Admin01) fue comprometido, no lo habilites de nuevo. Crea Admin02, desactiva Admin01 permanentemente. Esto previene que el atacante tenga un backdoor escondido dentro de una cuenta “conocida”.
• Verificar integridad de datos restaurados: A veces el malware corrompe datos silenciosamente. Comparar checksums pre-malware vs post-restauración. Si ves que un archivo crítico tiene hash diferente, investigá.
• Monitorear post-restauración: Las primeras 48 horas después de restaurar, observá como un halcón. CPU, memoria, conexiones de red, logs. Si ves el mismo patrón de malware, significa que no lo eliminaste completamente (o el atacante SIGUE ADENTRO porque no cierras el agujero por el que entró).

Comunicación, Coordinación y Lecciones Aprendidas

Preguntas Frecuentes

¿Cómo sé si mi servidor tiene malware?

¿Cuáles son los pasos para responder a un incidente de malware?

¿Qué errores críticos no debo cometer en una respuesta a incidente?

¿Cuál es la diferencia entre malware, troyano y ransomware?

¿Cuánto tiempo tarda en eliminarse un malware?

Conclusión

Fuentes

• NIST SP 800-83 — Guía de Respuesta a Incidentes Informáticos
• INCIBE — Primeros Pasos en Respuesta a Incidentes
• SpyCloud — 7 Fases de Respuesta a Incidente de Malware
• Huntress — Plan de Respuesta a Incidente de Malware
• Microsoft — Qué es Incident Response