Skip to content

Define las categorías comunes de malware y explica cómo clasificas un ejemplar según su comportamiento.

Respuesta breve

Se clasifica según para qué está construido el ejemplar, observado a partir de su comportamiento y capacidades. Un dropper transporta y escribe una carga útil en disco; un loader recupera o inyecta la siguiente etapa, a menudo solo en memoria; un RAT da a un operador control remoto interactivo; un wiper destruye datos o registros de arranque sin intención de recuperación; el ransomware cifra archivos y exige un pago. Los ejemplares reales suelen combinar roles — un loader que despliega un RAT — así que se describe la cadena de capacidades en lugar de forzar una sola etiqueta, y se asigna cada comportamiento a técnicas ATT&CK.

Clasificar malware consiste en responder «¿para qué está construido esto?» para que los respondedores puedan acotar el incidente y priorizar. Los entrevistadores preguntan esto a los juniors para confirmar que el vocabulario es sólido y que clasificas según el comportamiento, no según la etiqueta del antivirus ni el lenguaje en que se escribió.

Las categorías comunes

  • Dropper. Transporta una carga útil incrustada y la escribe en disco, luego la ejecuta. Autónomo; la carga maliciosa viaja dentro del dropper.
  • Loader (stager). Recupera o inyecta la siguiente etapa — a menudo descargándola de un servidor C2 y ejecutándola en memoria para permanecer sin archivos. Ligero por diseño; toda su tarea es entregar otra cosa.
  • RAT (Remote Access Trojan). Da a un operador control remoto interactivo: shell, transferencia de archivos, captura de pantalla, keylogging, webcam. Busca un despachador de comandos y un canal C2 que reciba órdenes.
  • Wiper. Destruye datos, particiones o el master boot record sin intención de recuperación — destrucción, no extorsión. A menudo disfrazado de ransomware para engañar a los respondedores.
  • Ransomware. Cifra archivos (y cada vez más los exfiltra) y exige un pago, deja notas de rescate y normalmente elimina las copias shadow.

Etiquetas relacionadas que debes conocer: backdoor, troyano bancario, gusano (autopropagación), rootkit/bootkit (sigilo/persistencia) e infostealer.

Cómo se clasifica

Examina las capacidades y el comportamiento: imports y llamadas a API, archivos escritos, órdenes de red, cifrado frente a destrucción, persistencia y propagación. Wiper frente a ransomware es la trampa clásica — ambos cifran, pero un wiper descarta la clave o corrompe de forma irrecuperable, así que la señal es si la recuperación es siquiera posible.

El enfoque maduro

Los ejemplares reales son multirol: un adjunto de phishing suelta un loader, que descarga un RAT, que más tarde despliega ransomware. Los buenos candidatos describen la cadena de capacidades y asignan cada comportamiento a MITRE ATT&CK, en lugar de forzar una etiqueta rígida única.

Posibles preguntas de seguimiento

  • ¿Cómo distingues un wiper de un ransomware cuando ambos cifran archivos?
  • ¿Por qué un loader suele ser sin archivos o solo en memoria, y cómo afecta esto al análisis?
  • ¿Cómo podría una sola intrusión involucrar varias de estas categorías en secuencia?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.