Define las categorías comunes de malware y explica cómo clasificas un ejemplar según su comportamiento.
Respuesta breve
Se clasifica según para qué está construido el ejemplar, observado a partir de su comportamiento y capacidades. Un dropper transporta y escribe una carga útil en disco; un loader recupera o inyecta la siguiente etapa, a menudo solo en memoria; un RAT da a un operador control remoto interactivo; un wiper destruye datos o registros de arranque sin intención de recuperación; el ransomware cifra archivos y exige un pago. Los ejemplares reales suelen combinar roles — un loader que despliega un RAT — así que se describe la cadena de capacidades en lugar de forzar una sola etiqueta, y se asigna cada comportamiento a técnicas ATT&CK.
Clasificar malware consiste en responder «¿para qué está construido esto?» para que los respondedores puedan acotar el incidente y priorizar. Los entrevistadores preguntan esto a los juniors para confirmar que el vocabulario es sólido y que clasificas según el comportamiento, no según la etiqueta del antivirus ni el lenguaje en que se escribió.
Las categorías comunes
- Dropper. Transporta una carga útil incrustada y la escribe en disco, luego la ejecuta. Autónomo; la carga maliciosa viaja dentro del dropper.
- Loader (stager). Recupera o inyecta la siguiente etapa — a menudo descargándola de un servidor C2 y ejecutándola en memoria para permanecer sin archivos. Ligero por diseño; toda su tarea es entregar otra cosa.
- RAT (Remote Access Trojan). Da a un operador control remoto interactivo: shell, transferencia de archivos, captura de pantalla, keylogging, webcam. Busca un despachador de comandos y un canal C2 que reciba órdenes.
- Wiper. Destruye datos, particiones o el master boot record sin intención de recuperación — destrucción, no extorsión. A menudo disfrazado de ransomware para engañar a los respondedores.
- Ransomware. Cifra archivos (y cada vez más los exfiltra) y exige un pago, deja notas de rescate y normalmente elimina las copias shadow.
Etiquetas relacionadas que debes conocer: backdoor, troyano bancario, gusano (autopropagación), rootkit/bootkit (sigilo/persistencia) e infostealer.
Cómo se clasifica
Examina las capacidades y el comportamiento: imports y llamadas a API, archivos escritos, órdenes de red, cifrado frente a destrucción, persistencia y propagación. Wiper frente a ransomware es la trampa clásica — ambos cifran, pero un wiper descarta la clave o corrompe de forma irrecuperable, así que la señal es si la recuperación es siquiera posible.
El enfoque maduro
Los ejemplares reales son multirol: un adjunto de phishing suelta un loader, que descarga un RAT, que más tarde despliega ransomware. Los buenos candidatos describen la cadena de capacidades y asignan cada comportamiento a MITRE ATT&CK, en lugar de forzar una etiqueta rígida única.
Posibles preguntas de seguimiento
- ¿Cómo distingues un wiper de un ransomware cuando ambos cifran archivos?
- ¿Por qué un loader suele ser sin archivos o solo en memoria, y cómo afecta esto al análisis?
- ¿Cómo podría una sola intrusión involucrar varias de estas categorías en secuencia?