Hackers están usando más de 2,500 herramientas de seguridad para desactivar defensas antes de atacar

Por: Fecha de publicación:

Recientemente se ha descubierto una campaña de ciberataques muy peligrosa que aprovecha una vulnerabilidad olvidada en un controlador legítimo de seguridad para detener herramientas antivirus y de respuesta ante amenazas (EDR) antes de lanzar ransomware o accesos remotos maliciosos. Lo más inquietante es que los atacantes están utilizando más de 2,500 variantes legítimamente firmadas de un driver de seguridad para lograr este objetivo.

¿Cómo funciona esta técnica de evasión?

El corazón de esta amenaza es un driver de seguridad llamado true­sight.sys, desarrollado originalmente por Adlice Software para su antivirus RogueKiller. Este driver contiene una funcionalidad que, si se abusa de ella, permite ejecutar código con privilegios de kernel (nivel más profundo del sistema) y detener prácticamente cualquier proceso de seguridad que esté funcionando en Windows.

Los atacantes han descubierto que incluso en versiones modernas de Windows 11 es posible cargar este controlador antiguo si está firmado de manera válida. Una vez que el driver está activo con privilegios completos, el malware aprovechado puede desactivar defensas de seguridad antes de que funcione cualquier alerta de detección.

Esto permite que ransomware y troyanos de acceso remoto se ejecuten con casi total impunidad, ya que los principales mecanismos de bloqueo y monitoreo quedan inhabilitados.

 ¿De dónde vienen las variantes firmadas?

Lo más llamativo es que los atacantes no usan solo una versión del driver vulnerable, sino más de 2,500 variantes legítimamente firmadas, cada una de ellas aparentemente válida para Windows.

Esto se debe a que se están aprovechando de reglas antiguas de firma de controladores y de versiones firmadas que todavía son aceptadas por el sistema operativo. El resultado es que la técnica funciona incluso contra herramientas de seguridad modernas, ya que Windows las trata como software confiable.

¿Qué herramientas pueden afectar?

La campaña ha demostrado la capacidad de detener o “matar” procesos de seguridad de una amplia gama de soluciones comerciales y corporativas, incluidas herramientas conocidas en el mercado de seguridad empresarial. Entre las afectadas están:

  • Agentes de respuesta ante amenazas (EDR)

  • Antivirus corporativos

  • Plataformas de protección en endpoint

  • Soluciones de supervisión y telemetría

Esto significa que, incluso si tu empresa utiliza productos de seguridad populares de proveedores reconocidos, su defensa puede ser neutralizada si el atacante logra cargar el driver vulnerable con privilegios elevados.

Cómo comienza el ataque

Según el análisis de investigadores, la cadena de infección sigue una secuencia común pero peligrosa:

  1. Acceso inicial: generalmente a través de un correo de phishing, un instalador falso o un enlace malicioso.

  2. Descarga del componente malicioso: una vez que la víctima ejecuta el primer archivo infectado, el malware descarga más módulos desde servidores controlados por los atacantes.

  3. Carga del driver vulnerable: el driver true­sight.sys se instala con un nombre común para evitar sospechas y se carga como servicio de Windows.

  4. Desactivación de defensas: con el driver ya cargado, se envían comandos al kernel para detener procesos de seguridad antes de que puedan detectar algo.

  5. Despliegue de la carga útil: finalmente, se instala el ransomware o el malware de acceso remoto con una visibilidad mínima. 

¿Por qué esta técnica es tan peligrosa?

Este método representa un salto cualitativo en evasión de seguridad, porque no se basa en vulnerabilidades recientes en Windows o software de seguridad, sino en el abuso de un componente legítimo firmado y todavía aceptado por el sistema operativo.

A diferencia de otros ataques que luchan contra antivirus y EDR que detectan comportamientos sospechosos, aquí los atacantes eliminan o desactivan la defensa directamente a nivel de sistema operativo, antes de que estas herramientas siquiera puedan detectar algo.

El resultado: operaciones más silenciosas, mayor probabilidad de éxito y menos oportunidades de respuesta para los equipos de defensa.

Qué significa esto para empresas y usuarios

Para organizaciones, este tipo de ataque significa que:

  • Tener un antivirus o EDR ya no es suficiente por sí solo si un atacante puede desactivarlo antes de que actúe.

  • La estrategia de defensa debe incluir capas adicionales de protección, como segmentación de red, monitoreo de comportamiento y respuesta automatizada ante anomalías.

  • La educación en seguridad y prácticas de prevención de phishing es aún más crítica, ya que la mayoría de estas campañas empiezan con un clic inocente del usuario.

Para usuarios domésticos, si bien este tipo de campaña típicamente afecta a entornos corporativos, la vulnerabilidad también puede explotarse en PCs individuales mal protegidos o con software desactualizado.

La campaña que utiliza más de 2,500 variantes de herramientas de seguridad firmadas para detener defensas antes de lanzar ataques demuestra que los atacantes están adoptando estrategias cada vez más sofisticadas para neutralizar las protecciones tradicionales. 

Este tipo de técnica subraya la importancia de no depender únicamente de firmas o herramientas aisladas para la defensa. En un mundo donde los atacantes pueden explotar componentes legítimos del sistema, las estrategias de seguridad deben evolucionar hacia modelos más dinámicos basados en comportamiento, respuesta en tiempo real y educación continua del usuario.

Comentarios

Publicar un comentario

Entradas más populares de este blog

🛡️ Nueva vulnerabilidad crítica en Windows SMB Client puede exponer entornos empresariales completos (CVE-2025-33073)

Por: Fecha de publicación:
Imagen
El 19 de enero de 2026 , se publicó un reporte técnico que revela una vulnerabilidad de seguridad grave en el cliente SMB de Windows que afecta entornos corporativos y redes con Active Directory. Esta falla está catalogada como CVE-2025-33073 y permite a atacantes escalar privilegios y comprometer infraestructuras completas si no se han aplicado las actualizaciones recomendadas por Microsoft.  📌 ¿Qué es SMB y por qué importa? SMB ( Server Message Block ) es un protocolo de red ampliamente usado en sistemas Windows para compartir archivos, impresoras y autenticación entre máquinas. El cliente SMB es la parte del sistema operativo que inicia conexiones a recursos remotos. Este componente también participa en el proceso de autenticación con servicios centrales como Active Directory (AD) , que es el corazón de la gestión de usuarios, permisos y seguridad en casi todas las redes empresariales basadas en Windows.  🔍 ¿En qué consiste esta vulnerabilidad? La falla reside en un mec...
Leer más

Raaga Data Breach: Más de 10 millones de cuentas expuestas en la Dark Web

Por: Fecha de publicación:
Imagen
En diciembre de 2025 se detectó una filtración de datos masiva que afectó a la plataforma Raaga , un popular servicio de streaming de música con base en India . Según reportes de seguridad, el incidente comprometió información personal de más de 10.2 millones de usuarios , y parte de esa base de datos fue publicada para su venta en foros de hacking de la Dark Web . ¿Qué datos se vieron comprometidos? Los datos filtrados incluían información muy sensible de los usuarios, entre ellos: Nombres completos Direcciones de correo electrónico Género y edad (incluidas fechas parciales de nacimiento) Ubicación geográfica y códigos postales Contraseñas almacenadas como hashes MD5 sin “salt” Este último punto es especialmente grave: MD5 sin sal es un algoritmo de hashing obsoleto y muy débil que puede ser descifrado rápidamente con hardware moderno o técnicas automatizadas. Esto permite a los atacantes reconstruir las contraseñas en texto claro con relativa facilidad.  ¿Cómo pudo ...
Leer más

Filtración masiva de datos: 48 M de cuentas de Gmail y 6.5 M de Instagram expuestas en una base de datos insegura

Por: Fecha de publicación:
Imagen
  Se ha descubierto una base de datos pública sin protección ni cifrado que contenía aproximadamente 149 millones de credenciales de inicio de sesión de cuentas de servicios populares como Gmail, Instagram, Facebook, Netflix y otros, lo que representa una de las mayores filtraciones de credenciales recopiladas por infostealer en los últimos años. ( gbhackers.com ) Esta exposición fue identificada explícitamente en muestras que revelaron 48 millones de cuentas de Gmail y 6.5 millones de cuentas de Instagram dentro del conjunto de datos, junto con millones de credenciales de otros servicios ampliamente utilizados. ( gbhackers.com )  ¿Qué información estaba expuesta? La base de datos, de unos 96 GB , no tenía ninguna protección de contraseña ni cifrado, por lo que podía accederse directamente desde un navegador o cliente sin autenticar. Entre los 149 millones de registros expuestos se encontraron: Aproximadamente 48 millones de cuentas de Gmail Cerca de 17 millones de cuentas...
Leer más